Экзамен в Магистратуру. Содержание. Место информационной безопасности в системе национальной безопасности
 Скачать 0.79 Mb.
|
|
Критерии, условия и принципы отнесения информации к защищаемой. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации. Параметры защиты: важность, полнота, адекватность, релевантность (ее потребность при решении задач) информации, удобство восприятия поступающей информации. Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Утечка или утрата которой может нанести ущерб собственнику информации или лицу, к которому она имеет отношение. Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Сохранение втайне от объектов, не имеющих полномочия на ознакомления с ней. Критерии отнесения информации к защищаемой - это признаки, при наличии которых информации может быть отнесена к защищаемой: 1) Неизвестность информации реальному или потенциальному сопернику. 2) Получение за счет этой неизвестности преимущества над соперником или предотвращение ущерба. 3) Ценность Условия отнесения информации к защищаемой: 1) Если информация не содержит сведений, которые в соответствии с законодательством запрещено относить к конфиденциальной; 2) Если ЗИ возможна по техническим условиям; 3) Если затраты на ЗИ не превышают величину ущерба, который может произойти при ее незащищенности; 4) Если информация не является общеизвестной; 5) Если для ее защиты есть кадровые и материальные ресурсы. Состав защищаемой информации определяется ее собственником. При этом он должен соблюдать принципы: 1) законность отнесения информации к защищенной; 2) обоснованность отнесения информации к защищаемой устанавливается путем экспертной оценки целесообразности отнесения; 3) своевременность определения состава защищаемой информации; 4) соблюдение балансов интересов гос-ва, общества и граждан; 5) приоритет международного права над внутренним; 6) подчиненность ведомств-х интересов к государством; 7) своевременность перевода защищаемой информации в открытую. Основные виды тайн: государственная, коммерческая, профессиональная, личная и семейная тайны, персональные данные, тайна переписки, тайна исповеди, журналистская тайна.
Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Главный документ, в соответствии с которым осуществляется работа по защите государственной тайне - это Закон о государственной тайне. В соответствии с Указом Президента РФ от 06.03.1997 г. № 188 в перечень сведений конфиденциального характера включены: 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях; 2. Сведения, составляющие тайну следствия и судопроизводства; 3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна); 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, и т.д.); 5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами; 6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. Классификация защищаемой информации по степени секретности (конфиденциальности):
Коммерческая тайна – конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; информация, составляющая коммерческую тайну – научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны. Таким образом: - сведения, составляющие коммерческую тайну, могут быть в любой сфере экономической деятельности; - состав сведений, относимых к коммерческой тайне, должен определяться обладателем коммерческой тайны или, согласно договору, конфидентом коммерческой тайны; - защита инф, составляющей коммерческую тайну, должна осуществляться ее обладателем. Виды тайн: Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. (О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ.-Ст. 3); Тайна следствия и судопроизводства, указом Президента РФ №1111 от 23 сентября 2005 года дополнен словами «а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. №119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства»»; Служебная тайна – служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами; Профессиональная тайна – сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами; Коммерческая тайна – сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами; Патентная тайна - сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Угроза – совокупность условий и факторов, создающих опасность нарушения информационной безопасности. При рассмотрении вопросов защиты информации понятие угрозы трактуется несколько в узком смысле как потенциальная возможность несанкционированного или случайного воздействия на информацию, приводящее к ее утрате, искажению, модификации и т.д. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, – злоумышленником. Потенциальные злоумышленники называются источниками угрозы. Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении). Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС. Если речь идет об ошибках в ПО, то окно опасности "открывается" с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих. Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда – недель), поскольку за это время должны произойти следующие события: – должно стать известно о средствах использования пробела в защите; – должны быть выпущены соответствующие заплаты; – заплаты должны быть установлены в защищаемой ИС. Отметим, что некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания. В качестве классифицирующего признака угроз информационной безопасности могут быть использованы их направленность и происхождение (Доктрина информационной безопасности РФ). По направленности угрозы информационной безопасности могут быть классифицированы следующим образом: а) для личности: – нарушение конституционных прав и свобод граждан на поиск, получение, передачу, производство и распространение объективной информации; – лишение права граждан на неприкосновенность частной жизни; – нарушение права граждан на защиту своего здоровья от нео сознаваемой человеком вредной информации; – посягательства на объекты интеллектуальной собственности; б) для общества: – препятствия в построении информационного общества; – лишение права на духовное обновление общества, сохране ние его нравственных ценностей, утверждение в обществе идеалов высокой нравственности, патриотизма и гуманизма, развитие мно говековых духовных традиций Отечества, пропаганду национального, культурного наследия, норм морали и общественной нравст венности; – манипулирование массовым сознанием; – создание атмосферы, препятствующей приоритетному разви тию современных телекоммуникационных технологий, сохранению и развитию отечественного научного и производственного потен циала; в) для государства: – противодействие: – защите интересов личности и общества; – построению правового государства; – формированию институтов общественного контроля за орга нами государственной власти; – формированию системы подготовки, принятия и реализации решений органами государственной власти, обеспечивающей баланс интересов личности, общества и государства; – защите государственных информационных систем и государ ственных информационных ресурсов; – защите единого информационного пространства страны. Угрозы можно классифицировать по нескольким критериям: 1) по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь; 2) по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); 3) по способу осуществления (случайные/преднамеренные действия природного/техногенного характера); 4) по расположению источника угроз (внутри/вне рассматриваемой ИС). В качестве основного критерия мы будем использовать первый (по аспекту ИБ), привлекая при необходимости остальные.
К источникам дестабилизирующего воздействия на информацию относятся: люди; технические средства отображения (фиксации), хранения, обработки, воспроизведения, передачи информации, средства связи и системы обеспечения их функционирования; природные явления. Виды и способы дестабилизирующего воздействия на защищаемую информацию дифференцируются по источникам воздействия. Самое большее количество видов и способов дестабилизирующего воздействия имеет отношение к людям. Со стороны людей возможны следующие виды воздействия, приводящие к уничтожению, искажению и блокированию: 1. Непосредственное воздействие на носители защищаемой информации. 2. Несанкционированное распространение конфиденциальной информации. 3. Вывод из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи. 4. Нарушение режима работы перечисленных средств и технологии обработки информации. 5. Вывод из строя и нарушение режима работы систем обеспечения функционирования названных средств. Несанкционированное распространение конфиденциальной информации может осуществляться путем:
Способами нарушения режима работы технических средств отображения, хранения, обработки, воспроизведения, передача информации, средств связи и технологии обработки информации, приводящими к уничтожению, искажению и блокированию информации, могут быть:
- заражение программ обработки информации вредоносными программами;
- передача ложных сигналов – подключение подавляющих фильтров в информационные цепи, цепи питания и заземления;
К видам дестабилизирующего воздействия на защищаемую информацию со стороны технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования относятся выход средств из строя; сбои в работе средств и создание электромагнитных излучений
Поскольку виды и способы дестабилизирующего воздействия зависят от источников воздействия, то и причины, обстоятельства (предпосылки) и условия должны быть привязаны к источникам воздействия. Применительно к людям причины, обстоятельства и условия в большинстве случаев увязаны еще и с характером воздействия − преднамеренным или непреднамеренным. К причинам, вызывающим преднамеренное дестабилизирующее воздействие, следует отнести: а) стремление получить материальную выгоду (подработать); б) стремление нанести вред (отомстить) руководству или коллеге по работе, а иногда и государству; в) стремление оказать бескорыстную услугу приятелю из конкурирующей фирмы; г) стремление продвинуться по службе; д) стремление обезопасить себя, родных и близких от угроз, шантажа, насилия; е) стремление показать свою значимость. Обстоятельствами (предпосылками), способствующими появлению этих причин, могут быть: а) тяжелое материальное положение, финансовые затруднения; б) корыстолюбие, алчность; в) склонность к развлечениям, пьянству, наркотикам; г) зависть, обида; д) недовольство государственным строем, политическое или научное инакомыслие; е) личные связи с представителями конкурента; ж) недовольство служебным положением, карьеризм; з) трусость, страх; и) тщеславие, самомнение, завышенная самооценка, хвастовство. К условиям, создающим возможность для дестабилизирующего воздействия на информацию, можно отнести: а) недостаточность мер, принимаемых для защиты информации, в том числе из-за недостатка ресурсов; б) недостаточное внимание и контроль со стороны администрации вопросам защиты информации; в) принятие решений по производственным вопросам без учета требований по защите информации; г) плохие отношения между сотрудниками и сотрудников с администрацией. Причинами непреднамеренного дестабилизирующего воздействия на информацию со стороны людей могут быть: а) неквалифицированное выполнение операций; б) халатность, безответственность, недисциплинированность, недобросовестное отношение к выполняемой работе; в) небрежность, неосторожность, неаккуратность; г) физическое недомогание (болезни, переутомление, стресс, апатия). К обстоятельствам (предпосылкам) появления этих причин можно отнести: а) низкий уровень профессиональной подготовки; б) излишнюю болтливость, привычку делиться опытом, давать советы; в) незаинтересованность в работе (вид работы, ее временный характер, зарплата), отсутствие стимулов для ее совершенствования; г) разочарованность в своих возможностях и способностях; д) перезагруженность работой, срочность ее выполнения, нарушение режима работы; е) плохое отношение со стороны администрации. Условиями для реализации непреднамеренного дестабилизирующего воздействия на информацию могут быть: а) отсутствие или низкое качество правил работы с защищаемой информацией; б) незнание или нарушение правил работы с информацией исполнителями; в) недостаточный контроль со стороны администрации за соблюдением режима конфиденциальности; г) недостаточное внимание со стороны администрации условиям работы, профилактики заболеваний, повышению квалификации. Причины, обстоятельства и условия дестабилизирующего воздействия на информацию со стороны технических средств, технологических процессов и природных явлений. Причинами дестабилизирующего воздействия ни информацию со стороны технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи могут быть: а) недостаток или плохое качество средств; б) низкое качество режима функционирования средств; в) перезагруженность средств; г) низкое качество технологии выполнения работ; д) дестабилизирующее воздействие на средства со стороны других источников воздействия. К обстоятельствам (предпосылкам), вызывающим эти причины, следует отнести: а) недостаточность финансовых ресурсов, выделяемых на приобретение и эксплуатацию средств; б) плохой выбор средств; в) старение (износ) средств; г) конструктивные недоработки или ошибки при монтаже средств; д) ошибки при разработке технологии выполнения работ, в том числе программного обеспечения; е) дефекты используемых материалов; ж) чрезмерный объем обрабатываемой информации; з) причины, лежащие в основе дестабилизирующего воздействия на средства со стороны других источников воздействия. Условиями, обеспечивающими реализацию дестабилизирующего воздействия на информацию со стороны технических средств, могут являться: а) недостаточное внимание к составу и качеству средств со стороны администрации, нередко из-за недопонимания их значения; б) нерегулярный профилактический осмотр средств; в) низкое качество обслуживания средств. Причины, обстоятельства (предпосылки) и условия дестабилизирующего воздействия на информацию со стороны систем обеспечения функционирования средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи «вписываются» в причины и обстоятельства воздействия со стороны самих средств. Причиной дестабилизирующего воздействия на информацию со стороны технологических процессов отдельных промышленных объектов является специфика технологии, обстоятельством - необходимость такой технологии, а условием - отсутствие возможностей противодействия изменению структуры окружающей среды. В основе дестабилизирующего воздействия на информацию со стороны природных явлений заложены внутренние причины и обстоятельства, неподконтрольные людям, а следовательно, и не поддающиеся нейтрализации или устранению. |