Главная страница
Навигация по странице:

  • Санкционированный и несанкционированный доступ

  • Субъект доступа

  • Объект доступа

  • Принцип открытости алгоритмов и механизмов защиты

    		•

    Санкционированный и несанкционированный доступ. Статья 146 ук РФ Ст. 146 Ук РФ Нарушение авторских и смежных прав


    Скачать 34.04 Kb.
    НазваниеСтатья 146 ук РФ Ст. 146 Ук РФ Нарушение авторских и смежных прав
    Дата24.09.2019
    Размер34.04 Kb.
    Формат файлаdocx
    Имя файлаСанкционированный и несанкционированный доступ.docx
    ТипСтатья
    #87611

    Тема 1.1.1

    Статья 146 ук рф

    Ст. 146 УК РФ – «Нарушение авторских и смежных прав»

    1. Незаконное использование объектов авторского права или смежных прав, а равно присвоение авторства, если эти деяния причинили крупный ущерб,

    - наказываются штрафом в размере от двухсот до четырехсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до четырех месяцев, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо лишением свободы на срок до двух лет.

    2. Те же деяния, совершенные неоднократно либо группой лиц по предварительному сговору или организованной группой,

    - наказываются штрафом в размере от четырехсот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от четырех до восьми месяцев, либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до пяти лет.

    Несанкционированные действия с информацией могут иметь большие последствия, особенно при работе со сведениями, составляющими государственную тайну. Нормативно – законодательная база в настоящее время совершенствуется и развивается.

      1. Организационно – распорядительная документация

    В 1992 году Федеральной службой по техническому экспорту и контролю (ФСТЭК) были разработаны и опубликованы пять руководящих документов, посвященных вопросам защиты информации в системах ее обработки.

    1. Защита от несанкционированного доступа к информации. Термины и определения.

    2. Концепция защиты СВТ и АС от НСД к информации.

    3. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

    4. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации.

    5. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники.

    Наибольший интерес представляют вторая, третья и четвертая части.
    Санкционированный и несанкционированный доступ

    Под безопасностью автоматизированных систем обработки информации (АСОИ) понимают их защищенность от случайного или преднамеренного вмешательства в нормальный процесс их функционирования, а также от попыток хищения, изменения или разрушения их компонентов [2].

    Одним из основополагающих понятий в информационной безопасности (ИБ) является понятие доступа к информации.

    Под доступом к информации понимается ознакомление с ней, ее обработка, в частности копирование, модификация и уничтожение.

    Понятие доступа к информации неразрывно связано с понятиями субъекта и объекта доступа (рис. 1.1).

    Субъект доступа– это активный компонент системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы (пользователь, процесс, прикладная программа и т.п.).

    Объект доступа – это пассивный компонент системы, хранящий, принимающий или передающий информацию (файл, каталог и т.п.).

    Зачастую, один и тот же компонент системы может являться и субъектом и объектом различных доступов. Например, программа PROGRAM.COM, запускаемая пользователем системы является объектом доступа для данного пользователя. Если та же самая программа PROGRAM.COM читает с диска некоторый файл FILE.TXT, то при данном доступе она является уже субъектом.



    Рис. 1.1. Субъект и объект доступа

    В информационной безопасности различают два типа доступа – санкционированный и несанкционированный.

    Санкционированный доступ к информации – это доступ, не нарушающий установленные правила разграничения доступа.

    Несанкционированный доступ (НСД) к информации – доступ, нарушающий установленные правила разграничения доступа. Субъект, осуществляющий НСД, является нарушителем правил разграничения доступа. НСД является наиболее распространенным видом нарушений безопасности информации.

    Угрозы безопасности и каналы реализации угроз


    С точки зрения информационной безопасности выделяют следующие свойства информации: конфиденциальность, целостность и доступность.

    Конфиденциальность информации – это ее свойство быть известной только допущенным и прошедшим проверку (авторизованным) субъектам системы. Для остальных субъектов системы эта информация должна быть неизвестной (рис 1.2).



    Рис. 1.2. Авторизация субъекта

    Проверка субъекта при допуске его к информации может осуществляться путем проверки знания им некоторого секретного ключа, пароля, идентификации его по фиксированным характеристикам и т.п.

    Целостность информации – ее свойство быть неизменной в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.

    Доступность информации – ее свойство быть доступной для авторизованных законных субъектов системы, готовность служб к обслуживанию запросов.

    Целью злоумышленника является реализация какого-либо рода действий, приводящих к невыполнению (нарушению) одного или нескольких из свойств конфиденциальности, целостности или доступности информации.

    Потенциальные возможности реализаций определенных воздействий на АСОИ, которые прямо либо косвенно могут нанести ущерб ее безопасности, называются угрозами безопасности АСОИ.

    Уязвимость АСОИ – некоторое неудачное свойство системы, которое делает возможным возникновение и реализацию угрозы.

    Атака на компьютерную систему – это непосредственная реализация злоумышленником угрозы безопасности.

    Цель системы защиты информации – противодействие угрозам безопасности в АСОИ.

    По цели воздействия выделяют три основных типа угроз безопасности АСОИ [3]:

    1. Угрозы нарушения конфиденциальности информации;

    2. Угрозы нарушения целостности информации;

    3. Угрозы нарушения работоспособности системы (отказы в обслуживании).

    Угрозы нарушения конфиденциальности информации направлены на перехват, ознакомление и разглашение секретной информации. При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ. Угроза нарушения конфиденциальности имеет место всякий раз, когда получен НСД к некоторой закрытой информации, хранящейся к компьютерной системе, или передаваемой от одной системы к другой. Большие возможности для реализации злоумышленником данного типа угроз существуют в открытых локальных сетях, сетях Internet в связи со слабой защищенностью протоколов передачи данных, и возможностью прослушивания канала передачи (сниффинга) путем перевода сетевой платы в «смешанный режим» (promiscuous mode).

    Угрозы нарушения целостности информации, хранящейся в компьютерной системе или передаваемой по каналу связи, направлены на ее изменение или искажение, приводящее к нарушению ее качества или полному уничтожению.

    Угрозы нарушения работоспособности (отказ в обслуживании) направлены на создание таких ситуаций, когда определенные преднамеренные действия либо снижают работоспособность АСОИ, либо блокируют доступ к некоторым ее ресурсам. Атаки, реализующие данный тип угроз, называются также DoS-атаками (Denied of Service – отказ в обслуживании). При реализации угроз нарушения работоспособности может преследоваться цель нанесения ущерба (вандализм), либо может являться промежуточной целью при реализации угроз нарушения конфиденциальности и целостности (нарушение работоспособности системы защиты информации).

    При реализации угроз безопасности злоумышленник может воспользоваться самыми различными каналами реализации угроз – каналами НСД, каналами утечки.

    Под каналом утечки информации понимают совокупность источника информации, материального носителя или среды распространения, несущего указанную информацию сигнала и средства выделения информации из сигнала или носителя. Средство выделения информации из сигнала или носителя может располагаться в пределах контролируемой зоны, охватывающей АСОИ или вне ее.

    Применительно к АСОИ выделяют следующие основные каналы утечки информации [4]:

    1. Электромагнитный канал.

    2. Виброакустический канал.

    3. Визуальный канал .

    4. Информационный канал.

    Не останавливаясь на первых каналах утечки информации, рассмотрим последний,который связан с возможностью локального или удаленного доступа злоумышленника к элементам АСОИ, к носителям информации, к программному обеспечению, к линиям связи. Данный канал условно может быть разделен на следующие каналы:

    • канал коммутируемых линий связи,

    • канал выделенных линий связи,

    • канал локальной сети,

    • канал машинных носителей информации,

    • канал терминальных и периферийных устройств.

    Ценность информации


    Информационные системы требуют защиты именно потому, что обрабатываемая информация бывает ценной не зависимо от происхождения. Ясно, что в денежном выражении затраты на защиту не должны превышать возможные потери.

    Под ценностью информации понимается ее свойство, характеризующее потери собственника данной информации при реализации определенной угрозы, выраженные в стоимостном, временном либо ином эквиваленте.

    Среди подходов к построению моделей защиты ИC, основанных на понятии ценности информации наиболее известными являются: оценка, анализ и управление рисками ИБ [6], порядковые шкалы ценностей, модели решетки ценностей [7].

    Далеко не всегда возможно и нужно давать денежную оценку ценности информации. Например, оценка личной информации, политической информации или военной информации не всегда разумна в денежном исчислении. В этом случае предпочтительнее использовать подход, связанный со сравнением ценности отдельных информационных элементов между собой и введением порядковой шкалы ценностей.

    Пример 1.1.При оценке ценности информации в государственных структурах используется линейная порядковая шкала ценностей. Всю информацию сравнивают экспертным путем и относят к различным уровням ценности. В этом случае документам, отнесенным к некоторому уровню по шкале, присваиваются соответствующие грифы секретности. Сами грифы секретности образуют порядковую шкалу, например (принятую почти всеми государствами):

    • НЕСЕКРЕТНО

    • КОНФИДЕНЦИАЛЬНО

    • СЕКРЕТНО

    • СОВЕРШЕННО СЕКРЕТНО

    • ОСОБОЙ ВАЖНОСТИ.

    Более высокий класс имеет более высокую ценность и поэтому требования по его защите от несанкционированного доступа более высокие.




    Практическое занятие 1

    Основные принципы обеспечения информационной безопасности


    Основными принципами обеспечения информационной безопасности в АСОИ являются [5]:

    1. Системность.

    2. Комплексность.

    3. Непрерывность защиты.

    4. Разумная достаточность.

    5. Гибкость управления и применения.

    6. Открытость алгоритмов и механизмов защиты.

    7. Простота применения защитных мер и средств.

    Принцип системности предполагает необходимость учета всех слабых и уязвимых мест АСОИ, возможных объектов и направлений атак, высокую квалификацию злоумышленника, текущих и возможных в будущем каналов реализации угроз.

    Принцип комплексности предполагает согласование работы разнородных СЗИ при построении целостной системы защиты, отсутствие слабых мест при стыковке различных СЗИ.

    Принцип непрерывности защиты учитывает то, что защита информации не есть разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Например, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе СЗИ могут быть использованы злоумышленником для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.

    Принцип разумной достаточности опирается на то, что создать абсолютно защищенную систему защиты принципиально невозможно, взлом системы есть вопрос только времени и средств. В связи с этим, при проектировании СЗИ имеет смысл вести речь только о некотором приемлемом уровне безопасности. Важно выбрать золотую середину между стойкостью защиты и ее стоимостью, потреблением вычислительных ресурсов, удобством работы пользователей и другими характеристиками СЗИ.

    Принцип гибкости управления и применения системы защиты предполагает возможность варьировать уровень защищенности АС. При определенных условиях функционирования АС, СЗИ, обеспечивающие ее защищенность могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Гибкость управления и применения системы защиты спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые при смене условий функционирования АС.

    Принцип открытости алгоритмов и механизмов защиты говорит о том, что защита не должна обеспечиваться только за счет секретности структурной организации СЗИ и алгоритмов функционирования ее подсистем. Знание алгоритма защиты не должно давать злоумышленнику возможности ее преодоления или снижать стойкость защиты.

    Принцип простоты применения защитных мер и средств говорит о том, что механизмы защиты должны быть интуитивно понятны и просты в использовании.

    написать администратору сайта