Главная страница
Навигация по странице:

  • Вещественные носители

  • Энергетические носители

  • Информационная безопасность. Учебное пособие вострецова елена владимировна


    Скачать 3.44 Mb.
    НазваниеУчебное пособие вострецова елена владимировна
    АнкорИнформационная безопасность
    Дата07.03.2022
    Размер3.44 Mb.
    Формат файлаpdf
    Имя файла978-5-7996-2677-8_2019.pdf
    ТипУчебное пособие
    #385343
    страница3 из 9
    1   2   3   4   5   6   7   8   9
    человека по отношению к информации многообразна: человек может быть не только носителем информации, но и ге-

    35 2.2. Уровни представления информации нератором новой информации, источником информации, вла- дельцем, пользователем. По отношению к вопросам защиты человек может выступать и как нарушитель, и как защитник.
    Как носитель человек нуждается не только в физической за- щите. Человека следует защищать от информации избыточной, бесполезной, от дезинформации, от разрушающей информации
    (информационно-психологическое оружие). Многие механиз- мы защиты работают у человека на биологическом уровне: при поступлении ненужной или избыточной информации снижа- ется внимание, ухудшается запоминание, замедляется реакция.
    Так как часто на основе имеющейся информации принимаются решения, то важным является достаточная информированность человека. В этом случае опасна как неинформированность (воз- можно принятие неверных решений на основе неполной ин- формации), так и сверхинформированность (сложности в опре- делении приоритетов и основных факторов).
    Вещественные носители
    разнообразны по своим качествам, среди них есть такие, которые используются уже тысячелетия- ми, есть созданные в последние годы. К наиболее распростра- нённым в настоящее время относятся: бумага, электронные но- сители информации. Особенности вещественных носителей:
    · придают информации свойство статичности (постоянства во времени), в связи с этим обычно используются для хра- нения информации;
    · информация фиксируется прочно, её трудно уничтожить, не повредив носителя;
    · со временем вещественные носители разрушаются и ста- реют, при этом информация гибнет вместе с носителем;
    · запись информации связана с изменением физических и химических свойств носителей.
    Вещественные носители, как и любой материальный объект, следует защищать от повреждения, преждевременного износа, хищения, утери. Необходима также защита при копировании информации. Копирование — процесс переноса информации

    36 2. Информация как объект защиты на аналогичный или иной носитель без изменения количества и качества. Копирование легко обеспечивается при помощи современных технологий. Для документов на бумажном но- сителе копирование осуществляется при помощи ксерокса, сканера, фотоаппарата. Для электронных носителей операция копирования предусмотрена стандартным программным обе- спечением. В результате копирования одна и та же информа- ция размещается в разных точках пространства на разных но- сителях, следовательно, нужна охрана всех носителей во всех местах дислокации.
    Энергетические носители —
    это электромагнитное и акусти- ческое поля.
    Особенности энергетических носителей:
    · используются в основном для передачи информации;
    · не стареют;
    · бесконтрольно распространяются в пространстве;
    · способны к взаимному преобразованию;
    · запись информации связана с изменением параметров поля (различные виды модуляции).
    Основные способы защиты информации на энергетическом носителе: обеспечение помехоустойчивости при выборе коди- рования (модуляции), обеспечение требуемой энергетики сиг- нала, защита от утечки, в том числе через побочные электромаг- нитные излучения и наводки (ПЭМИН), защита от перехвата в основном канале.
    2) Уровень средств взаимодействия с носителем
    Непосредственное взаимодействие с носителем не всегда возможно и часто осуществляется через сложные технические устройства. Для защиты на этом уровне нужно следить за исправ- ностью устройств считывания информации, за отсутствием тех- нических средств несанкционированного доступа к информации
    (так называемых «закладок»), задачей которых является перехват или перенаправление потока считываемой информации.

    37 2.2. Уровни представления информации
    3) Логический уровень
    На логическом уровне в информационной системе информа- ция может быть представлена в виде логических дисков, катало- гов, файлов, …, секторов, кластеров. В современных операци- онных системах уровни отдельных байтов, кластеров, секторов не видны, поэтому часто забываются. Следует помнить, что уда- ление информации на высоком логическом уровне (например, на уровне файла) не приводит к удалению информации на ниж- них уровнях, откуда она может быть считана.
    4) Синтаксический уровень
    Синтаксический уровень представления информации свя- зан с кодированием. Информация записывается и передаётся при помощи символов. Символ — это некоторый знак, кото- рому придаётся определённый смысл. Линейный набор симво- лов образует алфавит. В процессе кодирования один алфавит может быть преобразован в другой.
    В зависимости от целей различаются следующие виды ко- дирования:
    · с целью устранения избыточности — архивирование, ли- нейное кодирование;
    · с целью устранения ошибок — помехоустойчивое коди- рование;
    · с целью недоступности информации — криптографиче- ское кодирование.
    5) Семантический уровень
    Семантический уровень связан со смыслом передаваемой информации. Одинаковые лексические конструкции могут иметь различный смысл в разном контексте. Использование профессионализмов, многозначных слов и слов, значение ко- торых изменилось с течением времени, может исказить смысл информации.

    38 2. Информация как объект защиты
    2.3. Основные свойства защищаемой информации
    Информация как объект познания и объект защиты облада- ет множеством свойств. Перечислим важнейшие из них.
    Ценность
    . Как предмет собственности информация име- ет определенную ценность. Именно потому, что информация имеет ценность, ее необходимо защищать.
    Секретность
    (конфиденциальность) информации — субъек- тивно определяемая характеристика информации, указываю- щая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации. Эта характеристика обеспечивается способностью системы сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней. Объективные предпосылки подобного ограни- чения доступности информации для одних субъектов заключе- ны в необходимости защиты законных интересов других субъ- ектов информационных отношений.
    Целостность
    информации — свойство информации суще- ствовать в неискаженном виде. Обычно интересует обеспече- ние более широкого свойства — достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности. Вопросы обеспечения адекватности отображения выходят за рамки про- блемы обеспечения информационной безопасности.
    Доступность
    информации — свойство системы, в которой циркулирует информация, обеспечивать своевременный беспре- пятственный доступ субъектов к интересующей их информации и готовность к обслуживанию поступающих от субъектов запро- сов всегда, когда в обращении к ним возникает необходимость.
    Концентрация
    . Суммарное количество информации может оказаться секретным, сводные данные обычно секретнее, чем одиночные.

    39 2.3. Основные свойства защищаемой информации
    Рассеяние
    . Ценная информация может быть разделена на ча- сти и перемешана с менее ценной с целью маскировки само- го факта наличия информации. Примеры использования это- го свойства — компьютерная стеганография.
    Сжатие
    . Возможно сжатие без потери информации, напри- мер архивирование. Для уменьшения объема информации или увеличения пропускной способности канала передачи инфор- мации применяется сжатие с частичной потерей (например, сжатие в графических форматах типа jpg). Используется также необратимое сжатие (например, алгоритм электронно-цифро- вой подписи (ЭЦП), одностороннее ХЭШ-преобразование).
    Прагматические
    свойства:
    · важность;
    · полнота (степень уменьшения априорной неопределен- ности);
    · достоверность;
    · своевременность;
    · целесообразность;
    · соотносимость с фактами, явлениями.
    Для удовлетворения законных прав и интересов владельцев информации необходимо прежде всего постоянно поддержи- вать секретность, целостность и доступность информации. При нарушении хотя бы одного из этих свойств ценность информа- ции снижается либо теряется вообще:
    · если ценность теряется при ее раскрытии, то говорят, что имеется опасность нарушения секретности информации;
    · если ценность информации теряется при изменении или уничтожении информации, то говорят, что имеется опас- ность для целостности информации;
    · если ценность информации теряется при ее неоператив- ном использовании, то говорят, что имеется опасность нарушения доступности информации.
    Ценность информации изменяется во времени. К измене- нию ценности информации приводят распространение ин-

    40 2. Информация как объект защиты формации и ее использование. Характер изменения ценности во времени зависит от вида информации. Для большинства ви- дов можно представить общую схему жизненного цикла инфор- мации (рис. 2.2).
    Получение данных
    Хранение
    Выборка
    Обработка
    Подготовка к хранению
    Оценка
    Уничтожение
    Использование
    Отчетные данные
    Рис. 2.2. Жизненный цикл информации
    Ценность большинства видов информации, циркулирующей в информационной системе, со временем уменьшается — ин- формация стареет. Старение информации С
    и в первом прибли- жении можно аппроксимировать выражением вида
    С
    0
    (t) = С
    0
    exp(–2,3t/t
    ж.ц
    ),
    где С
    0
    — ценность информации в момент ее возникновения
    (создания); t — время от момента возникновения информации до момента ее использования; t
    ж.ц
    — продолжительность жиз- ненного цикла информации (от момента возникновения до мо- мента устаревания).
    В соответствии с этим выражением за время жизненного цикла ценность информации уменьшается в 10 раз.

    41 2.4. Виды и формы представления информации. Информационные ресурсы
    2.4. Виды и формы представления информации. информационные ресурсы
    В соответствии с законодательством вводится понятие ин- формационных ресурсов. Информационные ресурсы предпри- ятия, организации, учреждения, компании и других госу- дарственных и негосударственных структур включают в себя отдельные документы и отдельные массивы документов (дела), документы и комплексы документов в информационных си- стемах (библиотеках, архивах, фондах, банках данных элек- тронно-информационных систем) на любых носителях, в том числе обеспечивающих работу вычислительной и организаци- онной техники. Информационные ресурсы являются объек- тами отношений физических и юридических лиц между собой и с государством. В совокупности они составляют информаци- онные ресурсы России и защищаются наравне с другими вида- ми ресурсов. Обязательным условием для включения в инфор- мационные ресурсы является документирование информации.
    Любая документированная информация имеет следующие реквизиты:
    · наименование документа;
    · гриф секретности или конфиденциальности (если тако- вые имеются);
    · регистрационный номер;
    · дату создания и регистрации;
    · автора и (или) исполнителя;
    · срок действия грифа секретности или конфиденциально- сти, если таковые имеются;
    · атрибуты учреждения.
    Кроме того, в реквизитах могут указываться адреса рассыл- ки (пользователей).
    Документированная информация может быть представлена в виде справок, решений, приказов, распоряжений, заданий,

    42 2. Информация как объект защиты отчетов, ведомостей, инструкций, комментариев, писем и за- писок, телеграмм, чеков, статей и др. Все эти виды документов могут отличаться по форме. Обычно в служебном и секретном делопроизводстве эти формы стандартизованы. В различных ве- домствах они могут быть неодинаковыми. В информационных системах документированная информация представлена в виде файлов, папок, массивов, баз данных, программ.
    Законодательством Российской Федерации или соглашени- ем сторон могут быть установлены требования к документиро- ванию информации.
    В федеральных органах исполнительной власти докумен- тирование информации осуществляется в порядке, устанав- ливаемом Правительством Российской Федерации. Правила делопроизводства и документооборота, установленные ины- ми государственными органами, органами местного самоу- правления в пределах их компетенции, должны соответство- вать требованиям, установленным Правительством Российской
    Федерации в части делопроизводства и документооборота для федеральных органов исполнительной власти.
    Электронное сообщение, подписанное электронной цифро- вой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным докумен- ту, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовы- ми актами не устанавливается или не подразумевается требо- вание о составлении такого документа на бумажном носителе.
    2.5. структура и шкала ценности информации.
    Классификация информационных ресурсов
    Ценность информации может быть стоимостной категорией и характеризовать конкретный размер прибыли при ее исполь-

    43 2.5. Структура и шкала ценности информации. Классификация информационных ресурсов зовании или размер убытков при ее утрате. Степень ценности информации и необходимая надежность ее защиты находятся в прямой зависимости.
    Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например учреди- тельные документы, программы и планы, договоры с партне- рами и посредниками и т. д. Ценность может проявляться в ее перспективном научном, техническом или технологическом значении.
    Следует учитывать, что документ может быть не только управленческим (деловым), имеющим в большинстве случаев текстовую, табличную или анкетную форму. Большие объемы наиболее ценных документов представлены в изобразительной форме: конструкторские документы, картографические, науч- но-технические, документы на фотографических, магнитных и иных носителях. В соответствии с этим обычно выделяются два вида интеллектуально ценной информации [7]:
    · техническая, технологическая: методы изготовления про- дукции, программное обеспечение, производственные показатели, химические формулы, рецептуры, результа- ты испытаний опытных образцов, данные контроля ка- чества и т. п.;
    · деловая: стоимостные показатели, результаты исследо- вания рынка, списки клиентов, экономические прогно- зы и т. п.
    По принадлежности к виду собственности информацион- ные ресурсы могут быть государственными или негосударствен- ными, находиться в собственности граждан, органов государ- ственной власти, исполнительных органов, органов местного самоуправления, государственных учреждений, организаций и предприятий, общественных организаций.
    Защите подлежит любая официальная документированная информация, неправомерное обращение с которой может на- нести ущерб ее собственнику, владельцу, пользователю и иному

    44 2. Информация как объект защиты лицу. Таким образом, наличие права собственности на инфор- мацию как результат интеллектуальной деятельности опреде- ляет правовую целесообразность защиты информационных ре- сурсов. Существует также экономическая целесообразность защиты информационных ресурсов, основанная на потреби- тельских свойствах информации, прежде всего на ее стоимости.
    В соответствии с интересами обеспечения национальной безопасности и степенью ценности для государства, а также правовыми, экономическими и другими интересами информа- ционные ресурсы могут быть открытыми, то есть общедоступ- ными (используемыми в работе без специального разрешения, публикуемыми в средствах массовой информации, оглашаемы- ми в выступлениях и т. п.), и ограниченного доступа и использо- вания, то есть содержащими сведения, составляющие тот или иной вид тайны и подлежащие защите, охране, наблюдению
    (рис. 2.3) [7].
    Информационные ресурсы открытые ограниченного доступа государственная тайна другие виды тайн
    Рис. 2.3. Классификация информационных ресурсов
    Запрещается относить к информации ограниченного до- ступа:
    · законодательные и другие нормативные акты, устанавлива- ющие правовой статус органов государственной власти, ис- полнительных органов, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;

    45 2.5. Структура и шкала ценности информации. Классификация информационных ресурсов
    · документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демогра- фическую, санитарно-эпидемиологическую и другую ин- формацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производствен- ных объектов, безопасности граждан и населения в целом;
    · документы, содержащие информацию о деятельности ор- ганов государственной власти, исполнительных органов и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии и потребностях населения, за ис- ключением сведений, относящихся к государственной тайне;
    · документы, накапливаемые в открытых фондах библио- тек и архивов, информационных системах органов госу- дарственной власти, исполнительных органов, органов местного самоуправления, организаций, общественных объединений, представляющие общественный интерес или необходимые для реализации прав, свобод и обязан- ностей граждан.
    Ценная информация охраняется нормами права (патентно- го, авторского, смежных прав и др.), товарным знаком или за- щищается включением ее в категорию информации, составля- ющей определенный вид тайны.
    Для информационных ресурсов ограниченного доступа вид тайны является определяющим основанием их классифика- ции. Тайна — это нечто неизвестное, неведомое, неразгадан- ное, еще не познанное, нечто скрываемое от других, известное не всем. Выделяются две глобальные предметные сферы тайны:
    · тайны природы, то есть объективные тайны: тайна Все- ленной, тайны рождения и смерти и множество других тайн;
    · тайны людей, то есть субъективные тайны: тайны лично- сти, тайны производства, тайны искусства и т. п.

    46 2. Информация как объект защиты
    В понятие тайны включается не только документированная информация, а также базы данных, продукция, изделия, тех- нологии, излучения, физические поля. Многообразие форм и субъектов собственности закрепляет за собственником пра- во считать ту или иную ценную информацию тайной.
    Состав видов тайны в современном российском законода- тельстве постоянно расширяется. В настоящее время основны- ми видами тайны являются: государственная, служебная, про- фессиональная, коммерческая и личная. Каждый из этих видов имеет несколько подвидов.
    Государственная тайна — защищаемые государством све- дения в области военной, внешнеполитической, экономиче- ской, разведывательной, контрразведывательной и оператив- но-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Основы защиты государственной тайны регламентируются законом РФ от 21.07.1993 N 5485–1 «О государственной тайне».
    Другие виды тайны являются негосударственными. Отнесе- ние информации к информации ограниченного доступа осу- ществляется в порядке, установленном законодательством РФ, в соответствии с Перечнем сведений конфиденциального ха- рактера, утвержденным Указом Президента РФ от 06.03.1997 г.
    № 188.
    Служебная тайна содержит информацию ограниченного распространения, к которой относятся несекретные сведения, касающиеся деятельности организации, ограничения на рас- пространение которых диктуются служебной необходимостью.
    К служебной информации относятся сведения, не подлежащие опубликованию в средствах массовой информации, использо- ванию в открытых документах, оглашению на конференциях, переговорах и выставках, например черновики и варианты гото- вящихся документов, служебные инструкции, тактика ведения переговоров, персональные данные работников и т. д. Разновид- ностями служебной тайны можно назвать судебно-следствен-

    47 2.5. Структура и шкала ценности информации. Классификация информационных ресурсов ную тайну, тайну государственных банков, производственную тайну (до ее патентования) в некоммерческой сфере и др.
    Профессиональная тайна — инструмент защиты персональ- ных данных о гражданах и личной тайны граждан. Имеется в виду, что эти сведения переданы их собственником или нахо- дятся в распоряжении той или иной организации и необходимы ей для выполнения профессиональной деятельности: врачеб- ная тайна, тайна страхования, тайна завещания, тайна голо- сования, тайна предприятий связи, тайна налоговых органов и др. Профессиональная тайна может быть также тайной ма- стерства, тайной профессионального умения, например тайна творчества, тайна рационализатора и др.
    Коммерческая тайна — сведения, имеющие действительную или потенциальную коммерческую ценность в силу неизвест- ности их третьим лицам, когда к ним нет свободного доступа на законном основании и обладатель этих сведений принима- ет меры к охране их конфиденциальности. Учитывая, что ком- мерческая тайна как таковая отражает в значительной степени торговые секреты, иногда в рамках этого же определения ис- пользуется термин «предпринимательская тайна». В зарубеж- ной практике обычно используются термины, разделяющие предпринимательскую тайну на две части — производствен- ную и коммерческую. Коммерческая тайна рассматривается как обязательное условие добросовестной конкуренции пред- приятий на рынке товаров или услуг. В России коммерческая тайна охватывает негосударственную сферу или коммерческие направления производственной деятельности и включает про- изводственную, финансовую, научную и другие подвиды тай- ны. В рамках этого вида тайны выделяется коммерческая тай- на банка (банковская тайна), тайна фирмы. К коммерческой тайне относятся секреты предприятий, с которыми сотруднича- ет фирма, секреты клиентов, покупателей, поставщиков и т. п.
    Личная тайна граждан определена в Конституции Рос- сийской Федерации, где указано, что каждый имеет право

    48 2. Информация как объект защиты на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Каждый имеет пра- во на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Не допускается сбор, хране- ние, использование и распространение информации о частной жизни граждан без их согласия. Семейную тайну можно считать разновидностью личной тайны. Она представляет собой тайну нескольких лиц, связанных родством, например: имуществен- ное положение, взгляды и убеждения, отношения в семье, тай- на факта усыновления.
    Процесс выявления и регламентации реального состава ин- формации ограниченного доступа важен для эффективной ра- боты системы защиты информации.
    Например, информация ограниченного доступа формиру- ется в следующих направлениях деятельности предприятия:
    · прогнозирование и планирование деятельности (расши- рение или свертывание производства, программы разви- тия, планы инвестиций);
    · управление предприятием (сведения о подготовке и при- нятии решений, применяемые методы управления);
    · финансовая деятельность (баланс, сведения о состоянии счетов и уровне доходности, информация о получении кредитов);
    · торговая деятельность (информация о рыночной страте- гии, об эффективности коммерческой деятельности);
    · производственная деятельность (производственные мощ- ности, тип используемого оборудования, запасы сырья и готовой продукции);
    · переговоры и совещания по направлениям деятельности предприятия (информация о подготовке и результатах проведения переговоров);
    · формирование ценовой политики на продукцию и услу- ги (информация о структуре цен, методах расчета, разме- рах скидок);

    49 2.5. Структура и шкала ценности информации. Классификация информационных ресурсов
    · формирование состава партнеров, поставщиков и потре- бителей;
    · изучение состава конкурентов;
    · участие в торгах и аукционах;
    · научная и исследовательская деятельность по созданию новой техники и технологий;
    · использование новых технологий;
    · подбор и управление персоналом;
    · организация безопасности предприятия.
    При определении состава информации ограниченного до- ступа следует выделять ключевые элементы информации, явля- ющиеся основными носителями секрета. Информация может быть отнесена к коммерческой тайне при соблюдении следу- ющих условий:
    · информация не должна отражать негативные стороны де- ятельности предприятия;
    · информация не должна быть общедоступной или обще- известной;
    · возникновение или получение информации должно быть законным и связано с расходованием материального, финансового или интеллектуального потенциала пред- приятия;
    · персонал должен знать о ценности такой информации и обучен правилам работы с ней;
    · должны быть выполнены реальные действия по защите этой информации (наличие системы защиты, норматив- но-методического и технического обеспечения этой си- стемы).
    В соответствии с постановлением Правительства РФ «О пе- речне сведений, которые не могут составлять коммерческую тайну» от 5 декабря 1991 г. к конфиденциальной информации нельзя относить:
    · учредительные документы, уставы предпринимательских структур;

    50 2. Информация как объект защиты
    · документы, дающие право заниматься предприниматель- ской деятельностью (регистрационные удостоверения, лицензии, патенты);
    · сведения по установленным формам отчетности о фи- нансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в го- сударственную бюджетную систему РФ;
    · документы о платежеспособности;
    · сведения о численности, составе работающих, их заработ- ной плате и условиях труда, а также о наличии свободных рабочих мест;
    · документы об уплате налогов и обязательных платежей;
    · сведения о загрязнении окружающей среды, нарушении ан- тимонопольного законодательства, несоблюдении безопас- ных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях зако- нодательства РФ и размерах причиненного при этом ущерба;
    · сведения об участии должностных лиц предприятия в ко- оперативных, малых предприятиях, товариществах, акци- онерных обществах, объединениях и других организаци- ях, занимающихся предпринимательской деятельностью.
    Состав ценной конфиденциальной информации, подлежа- щей защите, определяется ее собственником или владельцем.
    Предприятия однотипного профиля могут руководствоваться примерным составом защищаемых сведений.
    При определении ценности информации следует определить возможный ущерб от реализации угроз безопасности. Опреде- ляя ущерб, важно оценить его в стоимостном выражении: сто- имость продукции, которая не будет произведена или реализо- вана, затраты на научные исследования и т. п.
    В практической деятельности состав защищаемых сведений фиксируется в специальном Перечне конфиденциальных сведе- ний. Определяется также перечень документов, не содержащих

    51 2.5. Структура и шкала ценности информации. Классификация информационных ресурсов конфиденциальные сведения, но представляющих ценность для предприятия и подлежащих охране (например, устав, контракт и т. п.). (Перечень ценных и конфиденциальных документов).
    Таким образом, ценная информация включается в докумен- ты, входящие в состав информационных ресурсов ограничен- ного доступа к ним персонала. В соответствии с тем, к какому виду тайны относятся ресурсы, документы делятся на секрет- ные и несекретные. Обязательным признаком секретного до- кумента является наличие в нем сведений, составляющих го- сударственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне или содержа- щие персональные данные, называются конфиденциальными.
    Обязательным признаком конфиденциального документа яв- ляется наличие в нем информации, подлежащей защите.
    К документам ограниченного доступа относятся:
    · в государственных структурах: документы, проекты до- кументов и сопутствующие материалы, относимые к слу- жебной инфомации ограниченного распространения (до- кументы «для служебного пользования»), содержащие сведения, отнесенные к служебной тайне, имеющие ра- бочий характер и не подлежащие опубликованию в от- крытой печати;
    · в предпринимательских структурах — документы, содержа- щие сведения, которые собственник или владелец в соответ- ствии с законодательством имеет право отнести к коммер- ческой (предпринимательской) тайне, тайне мастерства;
    · независимо от принадлежности — документы и базы дан- ных, фиксирующие любые персональные (личные) дан- ные о гражданах, а также содержащие профессиональную тайну, технические и технологические новшества (до их патентования), тайну предприятий связи, сферы обслу- живания и т. п.
    Называть документы ограниченного доступа секретными или ставить на них гриф секретности не допускается.

    52 2. Информация как объект защиты
    Ограничение доступа к документам имеет значительный раз- брос по срокам ограничения свободного доступа к ним персо- нала (от нескольких часов до значительного числа лет). Следует учитывать, что основная масса конфиденциальных докумен- тов после окончания их исполнения или работы с ними теряет свою ценность и конфиденциальность. Например, переписка до заключения контракта может иметь гриф конфиденциаль- ности, но после его подписания этот гриф снимается. Остав- шиеся конфиденциальными исполненные документы, сохраня- ющие ценность для деятельности фирмы, формируются в дела в соответствии с номенклатурой дел.
    Период ограничения доступа к документам может быть кра- тковременным или долговременным в зависимости от ценно- сти информации, содержащейся в документах. Период огра- ничения доступа определяется по указанному выше перечню конфиденциальных сведений и зависит от специфики деятель- ности фирмы. Например, производственные, научно-исследо- вательские фирмы обладают более ценными документами, чем торговые, посреднические и др.
    Документы долговременного периода ограничения доступа
    (программы и планы развития бизнеса, технологическая доку- ментация ноу-хау, изобретения и др.) имеют усложненный ва- риант обработки и хранения, обеспечивающий безопасность информации и ее носителя.
    Документы кратковременного периода ограничения доступа, имеющие оперативное значение для деятельности фирмы, об- рабатываются и хранятся по упрощенной схеме и могут не вы- деляться из технологической системы обработки открытых до- кументов при наличии в этой системе минимальных защитных, контрольных и аналитических элементов.
    Режим ограничения доступа к персональным данным сни- мается в случаях обезличивания этих данных или по истечении
    75 лет срока их хранения, если иное не определено законом.

    53 2.6. Правовой режим информационных ресурсов
    2.6. правовой режим информационных ресурсов
    Правовой режим информационных ресурсов определяется нормами, устанавливающими:
    · порядок документирования информации;
    · право собственности на отдельные документы и их мас- сивы;
    · категорию информации по уровню доступа к ней;
    · порядок правовой защиты информации.
    Государство имеет право выкупа документированной ин- формации у физических и юридических лиц в случае отнесе- ния этой информации к государственной тайне.
    Собственник информационных ресурсов, содержащих све- дения, отнесенные к государственной тайне, вправе распоря- жаться этой собственностью только с разрешения соответству- ющих органов государственной власти.
    Государственные информационные ресурсы РФ являются открытыми и общедоступными, исключение составляет доку- ментированная информация, отнесенная законом к категори- ям ограниченного доступа.
    Документированная информация с ограниченным досту- пом по условиям ее правового режима подразделяется на ин- формацию, отнесенную к государственной тайне и конфиден- циальную.
    Режим защиты информации устанавливается:
    · в отношении сведений, отнесенных к государственной тайне, — уполномоченными органами на основании зако- на РФ «О государственной тайне» от 21.09.93 № 182-ФЗ;
    · в отношении конфиденциальной информации — соб- ственником информационных ресурсов или уполно- моченным лицом на основании Федерального закона
    «Об информации, информационных технологиях и за- щите информации от 27.07.2006 № 149-ФЗ;

    54 2. Информация как объект защиты
    · в отношении персональных данных — Федеральный за- кон «О персональных данных» от 27.07.2006 № 152-ФЗ.
    Органы государственной власти и организации, ответ- ственные за формирование и использование информацион- ных ресурсов, подлежащих защите, разрабатывающие и при- меняющие информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности Законода- тельством РФ.
    Контроль за соблюдением требований к защите инфор- мации и эксплуатацией специальных программно-техниче- ских средств защиты, а также обеспечение организационных мер защиты информационных ресурсов, обрабатывающих информацию с ограниченным доступом в негосударствен- ных структурах, осуществляется органами государственной власти.
    Собственник информационных ресурсов имеет право осу- ществлять контроль за выполнением требований по защите ин- формации и запрещать или приостанавливать обработку инфор- мации в случае невыполнения этих требований.
    Риск, связанный с использованием несертифицированных систем и средств, лежит на собственнике (владельце) этих си- стем и средств. Риск, связанный с использованием информа- ции, полученной из несертифицированной системы, лежит на потребителе информации.
    Персональные данные относятся к категории конфиденци- альной информации, однако перечни этих данных должны быть закреплены на уровне федерального закона. В связи с этим дея- тельность негосударственных организаций и частных лиц, свя- занная с обработкой и представлением пользователям персо- нальных данных, подлежит обязательному лицензированию.
    Все информационные системы, базы и банки данных, предна- значенные для информационного обслуживания граждан и ор- ганизаций, подлежат сертификации.

    55 2.6. Правовой режим информационных ресурсов
    Автоматизированные системы органов государственной вла- сти, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих си- стем подлежат обязательной сертификации
    Организации, выполняющие работы в области проектиро- вания, производства средств защиты информации и обработ- ки персональных данных, получают лицензии на этот вид де- ятельности.
    Закон предусматривает защиту прав на доступ к информа-
    ции.
    Отказ в доступе к открытой информации или предостав- ление пользователям заведомо недостоверной информации мо- гут быть обжалованы в судебном порядке.
    Во всех случаях лица, получившие недостоверную инфор- мацию, имеют право на возмещение понесенного ими ущерба.
    Руководители, другие служащие органов государствен- ной власти, организаций, виновные в незаконном ограниче- нии доступа к информации и нарушении режима защиты ин- формации, несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об адми- нистративных правонарушениях.
    ВыВОды
    ·
    Характеристика понятия «информация», выделение ос- новных свойств информации являются ключевыми мо- ментами при определении того, что же подлежит защите.
    ·
    Выделены три основных свойства информации (конфи- денциальность, целостность и доступность), защита ко- торых обеспечивает сохранение ценности информации.
    ·
    Информация является объектом права собственности и информационные отношения регулируются соответ- ствующими законодательными и нормативными актами.
    ·
    Информационные ресурсы классифицируются в зависи- мости от вида отражаемой ими тайны.

    56 2. Информация как объект защиты
    Вопросы для самоконтроля
    1. Что такое информация и каковы уровни ее представления?
    2. Перечислите основные носители информации, особен- ности их использования и защиты.
    3. Какими свойствами определяется ценность информации?
    4. Какие критерии оценки ценности информации Вы мо- жете предложить?
    5. Приведите примеры различной зависимости ценности информации от времени.
    6. Что понимается под информационными ресурсами?
    7. Что не разрешается относить к информации ограничен- ного доступа?
    8. Что понимается под конфиденциальной информацией?
    9. Какие существуют виды тайны?
    10. Какое назначение имеет перечень конфиденциальных сведений предприятия?

    57 3. Государственная политика информационной безопасности.
    Концепция комплексного обеспечения информационной безопасности

    Информационная безопасность и ее место в системе национальной безопасности Российской Федерации  Органы обеспечения инфор- мационной безопасности и защиты информации, их функции и задачи, нормативная деятельность 
    И
    нформация, являясь продуктом деятельности, высту- пает как собственность государства, предприятий, уч- реждений, организаций, граждан и как объект соб- ственности требует защищенности. Однако проблема защиты информации не сводится только к защите прав ее собственни- ков, но и содержит в себе такой важный аспект, как защита прав граждан на свободный доступ к сведениям, гарантированный конституцией. Основы защиты информации разрабатываются органами государственной власти исходя из условий обеспече- ния информационной безопасности в частности и националь- ной безопасности России в целом.
    3.1. информационная безопасность и ее место в системе национальной безопасности российской федерации
    Необходимым условием нормального существова- ния и развития каждого общества является защищенность от внешних и внутренних угроз, устойчивость к попыткам

    58 3. Государственная политика информационной безопасности внешнего давления, способность как парировать подобные попытки и нейтрализовать возникающие угрозы, так и обе- спечивать такие внутренние и внешние условия существова- ния страны, которые гарантируют возможность стабильного и всестороннего прогресса общества и его граждан. Для ха- рактеристики этого состояния используется понятие наци- ональной безопасности.
    Под национальной безопасностью понимается состояние защищенности жизненно важных национальных интересов от внутренних и внешних угроз, при котором обеспечивается реализация конституционных прав и свобод граждан Россий- ской Федерации, достойные качество и уровень их жизни, су- веренитет, независимость, государственная и территориальная целостность, устойчивое социально-экономическое развитие
    Российской Федерации. Национальная безопасность включа- ет в себя оборону страны и все виды безопасности, предусмо- тренные Конституцией Российской Федерации и законодатель- ством Российской Федерации, прежде всего государственную, общественную, информационную, экологическую, экономи- ческую, транспортную, энергетическую безопасность, безо- пасность личности.
    Поэтому в содержании понятия «национальная безопас- ность» можно выделить различные структурные элементы (ком- поненты), одним из которых является Информационная без- опасность.
    Информационная безопасность Российской Федерации
    (далее в данном разделе — информационная безопасность) — состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устой- чивое социально-экономическое развитие Российской Феде- рации, оборона и безопасность государства.

    59 3.1. Информационная безопасность и ее место в системе национальной безопасности
    Поскольку в условиях информатизации страны, развития информационных технологий информационные ресурсы фор- мируются во всех сферах деятельности, и в первую очередь в политической, военной, экономической, научно-техниче- ской, информационную безопасность следует рассматривать как комплексный показатель национальной безопасности.
    Этим определяется ее важное место и одна из ведущих ролей в системе национальной безопасности страны в современ- ных условиях.
    Обеспечение информационной безопасности осуществляет- ся в рамках обеспечения национальной безопасности.
    Национальная безопасность достигается проведением еди- ной государственной политики в области обеспечения безопас- ности, системой мер экономического, политического и ино- го характера, адекватных угрозам жизненно важных интересов личности, общества и государства.
    Политика России в области национальной безопасности строится на основе «Стратегии национальной безопасности Рос-
    сийской Федерации»,
    утвержденной Указом Президента Россий- ской Федерации 31.12.2015 № 683.
    «Стратегия национальной безопасности Российской Федера- ции» — официально признанная система стратегических при- оритетов, целей и мер в области внутренней и внешней поли- тики, определяющих состояние национальной безопасности и уровень устойчивого развития государства на долгосрочную перспективу.
    Стратегия является базовым документом по планированию развития системы обеспечения национальной безопасности
    Российской Федерации, в котором излагаются порядок дей- ствий и меры по обеспечению национальной безопасности.
    Состояние национальной безопасности напрямую зависит от степени реализации стратегических национальных приори- тетов и эффективности функционирования системы обеспече- ния национальной безопасности.

    60 3. Государственная политика информационной безопасности
    На основе Стратегии разработана «Доктрина информацион-
    ной безопасности Российской Федерации»
    , введенная в действие
    Указом Президента РФ от 05.12.2016 N 646.
    Доктрина представляет собой систему официальных взгля- дов на обеспечение национальной безопасности Российской
    Федерации в информационной сфере. В Доктрине определе- ны национальные интересы в информационной сфере, введе- ны основные информационные угрозы и состояние информа- ционной безопасности, сформулированы стратегические цели и основные направления обеспечения информационной безо- пасности, описаны организационные основы обеспечения ин- формационной безопасности.
    Законодательную основу обеспечения безопасности составляют:
    ·
    Конституция РФ;
    · законы и другие нормативные акты РФ, регулирующие отношения в области безопасности;
    · конституции, законы, нормативные акты республик;
    · нормативные акты органов власти и управления краев, областей, принятые в пределах их компетенции;
    · международные договоры и соглашения, заключенные или признанные РФ;
    · основные законы в области защиты информации, прав субъектов, участвующих в информационных процессах и информатизации;
    · федеральный закон «О безопасности» № 390-ФЗ от 28.12.2010;
    · федеральный закон от 27.07.2006 N 149-ФЗ «Об инфор- мации, информационных технологиях и о защите инфор- мации»;
    · федеральный закон от 21.09.93 г. № 182 «О государствен- ной тайне»;
    · федеральный закон от 27.07.06 г. № 152-ФЗ «О персональ- ных данных»;

    61 3.1. Информационная безопасность и ее место в системе национальной безопасности
    · федеральный закон от 27.12.91 г. «О средствах массовой информации»;
    · федеральный закон от 6.04.11 г. № 63-ФЗ «Об электрон- ной подписи»;
    ·
    Гражданский кодекс РФ (ч. 1, 2. 4);
    ·
    Уголовный кодекс РФ.
    Помимо правовых документов, в Российской Федерации действуют нормативно-методические документы:
    · методические документы государственных органов Рос- сии: Доктрина информационной безопасности РФ, Руко- водящие документы ФСТЭК (Гостехкомиссии России), ведомственные приказы;
    · стандарты информационной безопасности: международ- ные стандарты, Государственные стандарты РФ, рекомен- дации по стандартизации, методические указания.
    В целом развитие законодательной базы в области инфор- мационной безопасности идет по четырем основным направ- лениям:
    · защита сведений, составляющих государственную тайну;
    · защита конфиденциальной информации;
    · защита авторского права в сфере информатизации;
    · защита права на доступ к информации.
    Систему национальной безопасности Российской Федерации образуют:
    · органы законодательной, исполнительной и судебной властей;
    · государственные, общественные и иные организации и объединения;
    · граждане, принимающие участие в обеспечении безопас- ности в соответствии с законом;
    · законодательство, регламентирующее отношения в сфе- ре безопасности.

    62 3. Государственная политика информационной безопасности
    Силы обеспечения безопасности
    включают в себя:
    ·
    Вооруженные силы (ВС РФ);
    · федеральные органы безопасности (ФСБ РФ);
    · органы внутренних дел (МВД РФ);
    · органы внешней разведки (СВР РФ);
    · органы обеспечения безопасности органов законода- тельной, исполнительной, судебной властей и их выс- ших должностных лиц;
    · налоговую службу;
    · службы ликвидации последствий чрезвычайных ситуа- ций (МЧС РФ);
    · формирования гражданской обороны;
    · пограничные войска;
    · внутренние войска;
    · органы, обеспечивающие безопасное ведение работ в про- мышленности, энергетике, на транспорте и в сельском хо- зяйстве;
    · таможни, природоохранительные органы, органы охра- ны здоровья населения и другие государственные орга- ны обеспечения безопасности.
    Для рассмотрения вопросов внутренней и внешней политики
    РФ в области обеспечения безопасности, стабильности и пра- вопорядка создан Совет безопасности РФ при Президенте. Он ответственен за состояние защищенности национальных ин- тересов от внешних и внутренних угроз.
    Совет безопасности РФ в соответствии с основными зада- чами его деятельности образует постоянные межведомствен- ные комиссии, которые могут создаваться на функциональной или региональной основе. В частности, Межведомственная ко- миссия по защите государственной тайны разрабатывает и ко- ординирует федеральные программы по защите информации, составляющей государственную тайну.
    Обеспечение информационной безопасности осуществляет- ся в рамках обеспечения национальной безопасности России.

    63 3.2. Органы обеспечения информационной безопасности и защиты информации, их функции и задачи
    Оно предусматривает наличие государственной системы защи- ты информации и законодательства в этой области.
    3.2. Органы обеспечения информационной безопасности и защиты информации, их функции и задачи, нормативная деятельность
    Органы обеспечения информационной безопасности в со- вокупности с законодательством образуют государственную си- стему информационной безопасности и защиты информации.
    Государственная система защиты информации включает
    :
    · органы законодательной, исполнительной и судебной властей;
    · законодательство, регулирующее отношения в области защиты информации и информационных ресурсов;
    · нормативную правовую базу по защите информации;
    · службы (органы) защиты информации предприятий, ор- ганизаций, учреждений.
    Структура государственной системы защиты информации представлена на рис. 3.1.
    Органы законодательной власти (Государственная дума) из- дают законы, регулирующие отношения в области защиты ин- формации. Их перечень рассмотрен в предыдущем разделе.
    Нормативная база формируется на основе нормативных пра- вовых актов в области защиты информации, издаваемых орга- нами различных ветвей власти, министерствами, ведомствами.
    Основу нормативной базы составляют руководящие докумен- ты и стандарты, издаваемые Госстандартом.
    Органы исполнительной власти (правительство) контроли- руют исполнение этих законов. Правительство принимает со- ответствующие постановления в области защиты информации и издает распоряжения, являющиеся подзаконными норматив- ными правовыми актами.

    64 3. Государственная политика информационной безопасности
    Ветви власти
    Законодательная
    Исполнительная
    Судебная
    Информационные ресурсы в ИС
    Законодательная база: законы
    Указы
    Постановления
    ГТК
    Министерства и ведомства
    Верховный суд
    Федеральное собрание
    Президент РФ
    Генеральная прокуратура
    Правительство
    Государствен- ная Дума
    Совет федерации
    ФСБ
    СВР
    МВД
    Гос- стандарт
    ФСТЭК
    Суды
    Нормативная база.
    Принимают: решения, постановления.
    Утверждают: руководства, положения, инструкции,
    правила, методические рекомендации и др.
    Издают: руководящие документы
    Принимают:
    постановления
    УК РФ, ГК РФ, КоАП
    Субъекты информационных отношений
    Органы государ- ственной власти
    Предприятия Организации Учреждения Граждане
    Нормативные правовые акты. Руководители издают приказы, распоряжения.
    Утверждают: руководства, правила, положения, методические рекомендации.
    Заключают: договоры, контракты
    Служба по защите информации
    Рис. 3.1. Государственная система защиты информации
    Министерства и ведомства в соответствии со своим предна- значением разрабатывают и принимают постановления и реше-

    65 3.2. Органы обеспечения информационной безопасности и защиты информации, их функции и задачи ния, являющиеся нормативными правовыми актами. Кроме того, они разрабатывают и утверждают такие нормативные акты, как положения, руководства, инструкции, правила, методические рекомендации. К нормативным актам этого уровня относятся также приказы и письма руководителей ведомств и министерств.
    К основным ведомствам, регулирующим отношения в обла- сти защиты информации, относятся:
    ·
    Межведомственная комиссия по защите государственной тайны;
    ·
    Федеральная служба технического и экспортного контро- ля (ФСТЭК);
    ·
    Госстандарт России;
    ·
    Федеральная служба безопасности (ФСБ РФ).
    Кроме этого, в обеспечении информационной безопасности принимают участие Служба внешней разведки России и Феде- ральная пограничная служба.
    Основным органом управления государственной системы за- щиты информации является ФСТЭК. В соответствии со свои- ми функциями она осуществляет:
    · координацию деятельности органов и организаций в об- ласти защиты информации, обрабатываемой технически- ми средствами;
    · обеспечения защиты информации при помощи техниче- ских средств;
    · организационно-методическое руководство деятельно- стью по защите информации;
    · разработку и финансирование научно-технических про- грамм по защите информации;
    · утверждение нормативно-технической документации;
    · функции государственного органа по сертификации про- дукции по требованиям безопасности информации;
    · лицензирование деятельности предприятий по оказанию услуг в области защиты информации.

    66 3. Государственная политика информационной безопасности
    Для организации и осуществления защиты информации
    ФСТЭК издает соответствующие нормативные документы.
    Госстандарт разрабатывает стандарты в области защиты ин- формации.
    Органы ФСБ РФ выполняют свои функции:
    · при формировании и реализации государственной и науч- но-технической политики в области обеспечения инфор- мационной безопасности, в том числе с использованием инженерно-технических и криптографических средств;
    · при обеспечении криптографическими и инженерно-тех- ническими методами безопасности информационно-теле- коммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в России и её учреждениях, находящихся за пределами России;
    · лицензирования и сертификации отдельных видов дея- тельности, предусматривающих допуск к государствен- ной тайне Российской Федерации.
    Органы МВД ведут борьбу с правонарушителями в инфор- мационной сфере и компьютерными преступлениями. Для это- го в структуре МВД создано специальное управление «Р» для предотвращения и раскрытия компьютерных преступлений.
    Органы Государственного таможенного комитета (ГТК) обя- заны предупреждать незаконный ввоз и вывоз из России «пи- ратской» продукции, обеспечивая тем самым защиту авторских и патентных прав.
    Руководители предприятий, организаций, учреждений в со- ответствии со своими должностными обязанностями при дея- тельности, связанной с информацией, которая составляет госу- дарственную или иную тайну, создают службу (подразделение) по защите информации. Для организации соответствующей де- ятельности они издают нормативные правовые акты (приказы, распоряжения), а также утверждают руководства, инструкции, положения, правила, методические рекомендации, касающиеся защиты информации и деятельности служб защиты информа-

    67 3.2. Органы обеспечения информационной безопасности и защиты информации, их функции и задачи ции. Для деятельности, связанной с государственной тайной, предприятие должно иметь лицензию на этот вид деятельности, в его структуру вводится специальный отдел ФСБ; все средства защиты должны быть сертифицированы.
    Судебная власть осуществляет надзор и привлечение к от- ветственности за нарушения законодательства в информаци- онной сфере. В своей деятельности суды руководствуются со- ответствующими статьями УК РФ, ГК РФ, КОАП.
    Итак, информационная безопасность является важной со- ставляющей национальной безопасности России. Политика го- сударства в этой сфере деятельности направлена в первую оче- редь на организацию защиты государственной тайны и развитие правовых основ защиты информации. Правовая защита инфор- мации выступает как один из наиболее важных способов и ме- тодов защиты информации.
    Вопросы для самоконтроля
    1. Каково место информационной безопасности в системе национальной безопасности Российской Федерации?
    2. Сформулируйте основные положения Доктрины инфор- мационной безопасности РФ.
    3. Каковы основные цели защиты информации?
    4. Каковы основные задачи в области информационной без- опасности?
    5. Какова структура государственной системы защиты ин- формации?
    6. Кто несет ответственность за нарушение режима защиты информации?
    7. Каковы функции руководителей предприятий при орга- низации защиты информации?
    8. Каковы основные функции ФСТЭК?
    9. Покажите роль различных министерств и ведомств в во- просах защиты информации.

    68 4. Угрозы информационной безопасности

    Анализ уязвимостей системы  Классификация угроз информа- ционной безопасности  Основные направления и методы реализа- ции угроз  Неформальная модель нарушителя  Оценка уязвимо- сти системы 
    4.1. анализ уязвимостей системы
    П
    ри построении системы защиты информации обя- зательно нужно определить, что следует защищать и от кого (или чего) следует строить защиту. Опреде- ление информации, подлежащей защите, было дано выше. За- щищаться следует от множества угроз, которые проявляются через действия нарушителя. Угрозы возникают в случае нали- чия в системе уязвимостей, то есть таких свойств информаци- онной системы, которые могут привести к нарушению инфор- мационной безопасности.
    Определение перечня угроз и построение модели нарушите- ля являются обязательным этапом проектирования системы за- щиты. Для каждой системы перечень наиболее вероятных угроз безопасности, а также характеристика наиболее вероятного на- рушителя индивидуальны, поэтому перечень и модель должны носить неформальный характер. Защищенность информации обеспечивается только при соответствии предполагаемых угроз и качеств нарушителя реальной обстановке.
    При наличии в системе уязвимости потенциальная угроза безопасности может реализоваться в виде атаки. Атаки при- нято классифицировать в зависимости от целей, мотивов, ис- пользуемого механизма, места в архитектуре системы и место- нахождения нарушителя.

    69 4.2. Классификация угроз информационной безопасности
    Для предупреждения успешных атак необходим поиск и ана- лиз уязвимостей системы. Уязвимости различаются в зависимо- сти от источника возникновения, степени риска, распростра- ненности, места в жизненном цикле системы, соотношения с подсистемами защиты. Анализ уязвимостей — обязательная процедура при аттестации объекта информатизации. В связи с возможностью появления новых уязвимостей необходим их периодический анализ на уже аттестованном объекте.
    4.2. Классификация угроз информационной безопасности
    Угроза
    — это фактор, стремящийся нарушить работу си- стемы.
    В настоящее время рассматривается достаточно обширный перечень угроз информационной безопасности, насчитываю- щий сотни пунктов.
    Кроме выявления возможных угроз, должен быть проведен анализ этих угроз на основе их классификации по ряду при- знаков. Каждый из признаков классификации отражает одно из требований к системе защиты. При этом угрозы, соответ- ствующие каждому признаку классификации, позволяют уточ- нить требования.
    Для защищаемой системы составляют не полный перечень угроз, а перечень классов угроз, определяемых по ряду базовых признаков [3]. Это связано с тем, что описать полное множе- ство угроз невозможно из-за большого количества факторов, влияющих на информацию.
    Например, можно предложить классифицировать угрозы по следующим признакам:
    1. Природа возникновения: естественные угрозы (связан- ные с природными процессами) и искусственные (вызванные деятельностью человека).

    70 4. Угрозы информационной безопасности
    2. Степень преднамеренности проявления: случайные или преднамеренные.
    3. Источник угроз: природная среда, человек, санкциониро- ванные программно-аппаратные средства, несанкционирован- ные программно-аппаратные средства.
    4. Положение источника угроз: в пределах или вне контро- лируемой зоны.
    5. Зависимость от активности системы: проявляются только в процессе обработки данных или в любое время.
    6. Степень воздействия на систему: пассивные, активные
    (вносят изменения в структуру и содержание системы).
    7. Этап доступа к ресурсам: на этапе доступа, после получе- ния доступа.
    8. Способ доступа к ресурсам: стандартный, нестандартный.
    9. Место расположения информации: внешние носители, оперативная помять, линии связи, устройства ввода-вывода.
    Вне зависимости от конкретных видов угроз было призна- но целесообразным связать угрозы с основными свойствами защищаемой информации.
    Соответственно для информационных систем было предло- жено рассматривать три основных вида угроз:
    · Угроза нарушения конфиденциальности
    реализуется в том случае, если информация становится известной лицу, не располагающему полномочиями доступа к ней. Угро- за нарушения конфиденциальности имеет место всякий раз, когда получен доступ к некоторой секретной инфор- мации, хранящейся в информационной системе или пе- редаваемой от одной системы к другой. Иногда в связи с угрозой нарушения конфиденциальности использует- ся термин «утечка».
    · Угроза нарушения целостности
    реализуется при несанкци- онированном изменении информации, хранящейся в ин- формационной системе или передаваемой из одной си- стемы в другую. Когда злоумышленники преднамеренно

    71 4.2. Классификация угроз информационной безопасности изменяют информацию, говорится, что целостность ин- формации нарушена. Целостность также будет наруше- на, если к несанкционированному изменению приводит случайная ошибка программного или аппаратного обе- спечения. Санкционированными изменениями являются те, которые сделаны уполномоченными лицами с обосно- ванной целью (например, санкционированным измене- нием является периодическая запланированная коррек- ция некоторой базы данных).
    · Угроза нарушения доступности
    (отказа служб) реализуется, когда в результате преднамеренных действий, предпри- нимаемых другим пользователем или злоумышленником, блокируется доступ к некоторому ресурсу вычислитель- ной системы. Блокирование может быть постоянным — запрашиваемый ресурс никогда не будет получен, или мо- жет вызывать только задержку запрашиваемого ресурса.
    Данные виды угроз можно считать первичными, или непо- средственными, т. к. если рассматривать понятие угрозы как некоторой потенциальной опасности, реализация которой на- носит ущерб информационной системе, то реализация вышепе- речисленных угроз приведет к непосредственному воздействию на защищаемую информацию. В то же время непосредственное воздействие на информацию возможно для атакующей сторо- ны в том случае, если система, в которой циркулирует инфор- мация, для нее «прозрачна», т. е. не существует никаких си- стем защиты или других препятствий. Описанные выше угрозы были сформулированы в 1960-х гг. применительно к открытым
    UNIX-подобным системам, для которых не предусматривались меры по защите информации.
    На современном этапе развития информационных техно- логий подсистемы или функции защиты являются неотъемле- мой частью комплексов по обработке информации. Информа- ция не представляется «в чистом виде», на пути к ней имеется хотя бы какая-нибудь система защиты, и поэтому, чтобы угро-

    72 4. Угрозы информационной безопасности жать, атакующая сторона должна преодолеть эту систему. По- скольку преодоление защиты также представляет собой угро- зу, для защищенных систем будем рассматривать ее четвертый вид — угрозу раскрытия параметров системы, включающей в себя
    систему защиты
    . На практике любое проводимое мероприя- тие предваряется этапом разведки, в ходе которой определяют- ся основные параметры системы, ее характеристики и т. п. Ре- зультатом разведки является уточнение поставленной задачи, а также выбор наиболее оптимального технического средства.
    Угрозу раскрытия параметров системы можно рассматривать как опосредованную. Последствия ее реализации не причиня- ют какой-либо ущерб обрабатываемой информации, но дают возможность реализоваться первичным, или непосредствен- ным, угрозам, перечисленным выше. Введение данного вида угроз позволяет описывать с отличия защищенных информа- ционных систем от открытых. Для последних угроза разведки параметров системы считается реализованной.
    4.3. Основные направления и методы реализации угроз
    К
    1   2   3   4   5   6   7   8   9


    написать администратору сайта