Пиши Дома Нужные Работы

Обратная связь

Категории:
Археология
Архитектура
Биология
Ботаника
Бухгалтерский учет
Генетика
География
Государство
Информатика
История
Кулинария
Культура
Литература
Маркетинг
Математика
Машиностроение
Медицина
Менеджмент
Металлургия
Механика
Охрана Труда
Педагогика
Политология
Правоотношение
Промышленность
Психология
Разное
Социология
Статистика
Технологии
Физика
Философия
Финансы
Химия
Экология
Экономика

Классификация угроз информационной безопасности. Основные методы защиты от угроз информационной безопасности

 

Под угрозой безопасности информации в компьютерной системе (КС) понимают событие или действие, которое может вызвать изменение функционирования КС, связанное с нарушением защищенности обрабатываемой информации.

Уязвимость информации – это возможность возникновения на каком – либо этапе жизненного цикла КС такого ее состояния, при котором создаются условия для реализации угроз безопасности информации.

Атакой на КС называют действие, предпринимаемое нарушителем, которое заключается в поиске и использовании той или иной уязвимости. Иначе говоря, атака на КС является реализацией угрозы безопасности информации в ней.

Угрозы информационной безопасности могут быть разделены на угрозы, не зависящие от деятельности человека (естественные угрозы физических воздействий на информацию стихийных природных явлений), и угрозы, вызванные человеческой деятельностью (искусственные угрозы), которые являются гораздо более опасными.

Искусственные угрозы исходя из их мотивов разделяются на непреднамеренные (случайные) и преднамеренные (умышленные).

К непреднамеренным угрозам относятся:

· ошибки в проектирование КС;

· ошибки в разработке программных средств КС;

· случайные сбои в работе аппаратных средств КС, линий связи, энергоснабжения;

· ошибки пользователей КС;

· воздействие на аппаратные средства КС физических полей других электронных устройств (при несоблюдении условий их электромагнитной совместимости) и др.

К умышленным угрозам относятся:

· несанкционированные действия обслуживающего персонала КС (например, ослабление политики безопасности администратором, отвечающим за безопасность КС);



· несанкционированный доступ к ресурсам КС со стороны пользователей КС и посторонних лиц, ущерб от которого определяется полученными нарушителем полномочиями.

В зависимости от целей преднамеренных угроз безопасности информации в КС угрозы могут быть разделены на три основные группы:

· угроза нарушения целостности, т.е. преднамеренного воздействия на информацию, хранящуюся в КС или передаваемую между КС;

· угроза нарушения доступности информации, т.е. отказа в обслуживании, вызванного преднамеренными действиями одного из пользователей КС (нарушителя), при котором блокируется доступ к некоторому ресурсу КС со стороны других пользователей КС (постоянно или на больший период времени).

Поскольку наиболее опасные угрозы информационной безопасности вызваны преднамеренными действиями нарушителя, которые в общем случае являются неформальными, проблема защиты информации относится к формально не определенным проблемам. Отсюда следуют два основных вывода:

· надежная защита информации в КС не может быть обеспечена только формальными методами (например, только программными и аппаратными средствами);

· защита информации в КС не может быть абсолютной.

При решении задачи защиты информации в КС необходимо применять так называемый системно – концептуальный подход. В соответствии с ним решение задачи должно подразумевать:

· целевую системность, при которой защищенность информации рассматривается как составная неотъемлемая часть ее качества;

· пространственную системность, предполагающую взаимосвязанность защиты информации во всех элементах КС;

· организационную системность, предполагающую единство организации всех работ по защите информации в КС и управление ими.

Концептуальность подхода к решению задачи защиты информации в КС предусматривает ее решение на основе единой концепции (совокупности научно обоснованных решений, необходимых и достаточных для оптимальной организации защиты информации в КС).

Обеспечение информационной безопасности КС является непрерывным процессом, целенаправленно проводимым на всех этапах ее жизненного цикла с комплексным применением всех имеющихся методов и средств.

Существующие методы и средства защиты информации можно подразделить на четыре основные группы:

· методы и средства организационно – правовой защиты информации;

· методы и средства инженерно – технической защиты информации;

· криптографические методы и средства защиты информации;

· программно – аппаратные методы и средства защиты информации.

 

Организационно – правовое обеспечение информационной безопасности

 

К методам и средствам организационной защиты информации относятся организационно – технические и организационно – правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.

Основные свойства методов и средств организационной защиты:

· обеспечение полного или частичного перекрытия значительной части каналов утечки информации (например, хищения или копирования носителей информации);

· объединение всех используемых в КС средств в целостный механизм защиты информации.

Методы и средства организационной защиты информации включают в себя:

· ограничение физического доступа к объектам КС и реализация режимных мер;

· ограничение возможности перехвата побочных электромагнитных излучений и наводок;

· разграничение доступа к информационным ресурсам и процессам КС (установка правил разграничения доступа, шифрование информации при ее хранении и передаче, обнаружение и уничтожение аппаратных и программных закладок);

· резервное копирование наиболее важных с точки зрения утраты массивов документов;

· профилактику заражения компьютерными вирусами.

Перечислим основные виды мероприятий, которые должны проводиться на различных этапах жизненного цикла КС:

1) на этапе создания КС: при разработке ее общего проекта и проектов отдельных структурных элементов – анализ возможных угроз и методов их нейтрализации; при строительстве и переоборудовании помещений – приобретение сертифицированного оборудования, выбор лицензированных организаций; при разработке математического, программного, информационного и лингвистического обеспечения – использование сертифицированных программных и инструментальных средств; при монтаже и наладке оборудования – контроль за работой технического персонала; при испытаниях и приемке в эксплуатацию – включение в состав аттестационных комиссий сертифицированных специалистов;

2) в процессе эксплуатации КС – организация пропускного режима, определение технологии автоматизированной обработки документов, организация работы обслуживающего персонала, распределение реквизитов разграничения доступа пользователей к элементам КС (паролей, ключей, карт и т.п.), организация ведения протоколов работы КС, контроль выполнения требований служебных инструкций и т.п.;

3) мероприятия общего характера – подбор и подготовка кадров, организация плановых и предупреждающих проверок средств защиты информации, планирование мероприятий по защите информации, обучение персонала, участие в семинарах, конференциях и выставках по проблемам безопасности информации и т.п.

Основой проведения организационных мероприятий является использование и подготовка законодательных и нормативных документах в области ИБ, которые на правовом уровне должны регулировать доступ к информации со стороны потребителей. В российском законодательстве позже, чем в законодательстве других развитых стран, появились необходимые правовые акты.

Можно выделить четыре уровня правового обеспечения ИБ. Первый уровень образуют международные договоры, к которым присоединилась Российская Федерация, и федеральные законы России:

· международные (всемирные) конференции об охране промышленной собственности, охране интеллектуальной собственности, авторском праве;

· Конституция РФ (ст. 23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);

· Гражданский кодекс РФ (в ст. 139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);

· Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 – создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 – за нарушение правил эксплуатации ЭВМ, систем и сетей);

· Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 № 24 – ФЗ (ст. 10 устанавливает разнесение информационных ресурсов по категориям доступа: открытая информация, государственная тайна, конфиденциальная информация, ст. 21 определяет порядок защиты информации);

· Федеральный закон «О государственной тайне» от 21.07.93 № 5485 – 1 (ст. 5 устанавливает перечень сведений, составляющих государственную тайну; ст. 8 – степени секретности сведений и грифы секретности их носителей; «особой важности», «совершенно секретно» и «секретно»; ст. 20 – органы по защите государственной тайны для координации деятельности этих органов; ст. 28 – порядок сертификации средств защиты информации, относящейся к государственной тайне);

· Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128 – ФЗ, «О связи» от 16.02.95 № 15 – ФЗ, «Об электронной цифровой подписи» от 10.01.02 № 1 – ФЗ, «Об авторском праве и смежных правах» от 09.07.93 № 5351 – 1, «О правовой охране программ для ЭВМ и баз данных» от 23.09.92 № 3523 – 1.

Второй уровень правового обеспечения ИБ составляют подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ.

Третий уровень правового обеспечения ИБ составляют государственные стандарты в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами.

Четвертый уровень правового обеспечения ИБ образуют локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации в КС конкретной организации. К таким нормативным документам относятся:

· приказ об утверждении перечня сведений, составляющих коммерческую тайну предприятия;

· трудовые и гражданско – правовые договоры (подряда, поручения, комиссии и т.п.), в которые включены пункты об обязанности возмещения ущерба за разглашение сведений, составляющих коммерческую тайну предприятия и др.

 




 
ТОП 5 статей:
Экономическая сущность инвестиций - Экономическая сущность инвестиций – долгосрочные вложения экономических ресурсов сроком более 1 года для получения прибыли путем...
Тема: Федеральный закон от 26.07.2006 N 135-ФЗ - На основании изучения ФЗ № 135, дайте максимально короткое определение следующих понятий с указанием статей и пунктов закона...
Сущность, функции и виды управления в телекоммуникациях - Цели достигаются с помощью различных принципов, функций и методов социально-экономического менеджмента...
Схема построения базисных индексов - Индекс (лат. INDEX – указатель, показатель) - относительная величина, показывающая, во сколько раз уровень изучаемого явления...
Тема 11. Международное космическое право - Правовой режим космического пространства и небесных тел. Принципы деятельности государств по исследованию...



©2015- 2024 pdnr.ru Все права принадлежат авторам размещенных материалов.