WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!


Pages:     | 1 || 3 | 4 |   ...   | 10 |

- Уничтожение информации направлено, как правило, на целостность информации и приводит к ее полному разрушению. Нарушение целостности информации заключается в утере информации. При утере информации она пропадает безвозвратно и не может быть восстановле на никакими средствами. Утеря может произойти из-за разрушения или уничтожения носителя информации или его пропажи, из-за стирания информации на носителях с многократной записью, из-за пропадания питания в устройствах с энергозависимой памятью. При уничтожении информации нарушается также свойство доступности информации.

- Блокирование информации приводит к потере доступа к ней, т.е. к недоступности информации. Доступность информации заключается в том, что субъект, имеющей право на ее использование, должен иметь возможность на своевременное ее получение в удобном для него виде. При потере доступа к информации она по-прежнему существует, но воспользоваться ею нельзя. Т.е. субъект не может с ней ознакомиться, скопировать, передать другому субъекту или представить в виде удобном для использования. Потеря доступа может быть связана с отсутствием или неисправностью некоторого оборудования автоматизированных систем (АС), отсутствием какого-либо специалиста или недостаточной его квалификацией, отсутствием или неработоспособностью какого-то программного средства, использованием ресурсов АС для обработки посторонней информации, выходом из строя систем обеспечения АС и др. Так как информация не утеряна, то доступ к ней может быть получен после устранения причин потери доступа.

Перечисленные угрозы информации могут проявляться в виде комплекса последовательных и параллельных реализаций. Реализация угроз информации, связанная с нарушением свойств информации приводит к нарушению режима управления и в конечном итоге к моральным и (или) материальным потерям.

Перечисленные выше угрозы информации могут быть классифицированы по следующим направлениям рис.4.:

Классификация угроз информации Угрозы информации по объектам: по ущербу: по -персонал - предельный вероятности -мат. и фин. -значительный возникновения ценности -несуществен. - от 0 до -информация по причинам по отношению по характеру появления к объекту действия -стихийные -внутренние -активные -преднамер. -внешние -пассивные Рис. Источники информационных угроз могут быть как внутренними, так и внешними. Чаще всего такое деление происходит по территориальному признаку и по признаку принадлежности к объекту информационной защиты рис. 5.

Источники информационных угроз Объект информационной защиты Источники внешней Источники внутренней опасности: опасности:

-разведка сотрудники - конкуренты - с корыстными - полит. противники целями - преступники - с преступными - лица с нарушенной целями психикой - "любители" - стихийные бедствия - безответственные Рис. Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:

- 82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;

- 17% угроз совершается извне — внешние угрозы;

- 1% угроз совершается случайными лицами.

Информационные угрозы имеют векторный характер, т.е. всегда преследуют определенные цели и направлены на конкретные объекты.

Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.

К наиболее важным объектам обеспечения информационной безопасности в правоохранительной и судебной сферах относятся:

- информационные ресурсы федеральных органов исполнительной власти, реализующих правоохранительные функции, судебных органов, их информационно-вычислительных центров, научно-исследовательских учреждений и учебных заведений, содержащие специальные сведения и оперативные данные служебного характера;

- информационно-вычислительные центры, их информационное, техническое, программное и нормативное обеспечение;

- информационная инфраструктура (информационно-вычислительные сети, пункты управления, узлы и линии связи).

2.4. Угрозы конфиденциальной информации.

Для систем информационного общения существует одно общее положение, очень важное для понимания информационной безопасности в целом. Информация всегда адресна и всегда имеет владельца. Более того, адресность не произвольна, а определяется собственником информации. Если это право подчеркивается в сообщении (указывается гриф секретности), то информация становится конфиденциальной. Получая данную информацию, пользователь не может произвольно ею распоряжаться, она ему не принадлежит (если не было передачи права собственности).

Право собственности определяется действующим в стране законодательством. В зависимости от вида собственности, конфиденциальная информация может быть отнесена к информации государственной, коммерческой, личной. Такое соотнесение делается соподчинено, с нисходящей иерархией.

Перечень сведений составляющих государственную тайну формирует государство в лице его институтов и учреждений. Эти сведения являются обязательной тайной для отдельных, нижестоящих по рангу, юридических и физических лиц страны.

Перечень сведений определяющих коммерческую тайну, формирует коммерческое предприятие. Оно же обеспечивает их сохранность и защиту.

Личную тайну определяет физическое лицо. Естественно, что сохранность и защита этих сведений – его забота, хотя правовая защита за государством.

Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям Рис. Действия, приводящие к незаконному овладению кон. информацией Разглашение Утечка НСД Рис. 1. Разглашение — это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним.



Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с конфиденциальной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации.

К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и др.).

Неформальные коммуникации включают личное общение, выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.).

Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов.

Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства.

2. Утечка — это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она доверена по техническим каналам утечки информации.

Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая (звук), либо электромагнитное излучение, либо лист бумаги и др.

С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации световые лучи, звуковые волны, электромагнитные волны, материалы и вещества.

Соответственно этому классифицируются и каналы утечки информации на визуальнооптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям.

Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

3. Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам.

Для реализации этих действий злоумышленнику приходится проникать на объект защиты, используя различные технические средства. С развитием компьютерных технологий стал доступен дистанционный несанкционированный доступ к охраняемой информации или, иначе говоря - компьютерный взлом.

С учетом изложенного остается рассмотреть вопрос, какие условия способствуют неправомерному овладению конфиденциальной информацией:

- Разглашение (излишняя болтливость сотрудников) - 32% - Несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок - 24% - Отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности - 14%;

- Традиционный обмен производственным опытом - 12%;

- Бесконтрольное использование информационных систем - 10%;

- Наличие предпосылок возникновения среди сотрудников конфликтов - 8%;

2.5. Направления защиты информации С учетом сложившейся практики обеспечения информационной безопасности выделяют следующие направления защиты информации:

1. Правовая защита - это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;

2. Организационная защита - это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

3. Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.

Для реализации защиты информации создается система безопасности.

Под Системой безопасности будем понимать организационную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятий, государства от внутренних и внешних угроз.

В рамках системы безопасности присутствует система защиты информации.

Система защиты информации (СЗИ) – это организованная совокупность специальных органов средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.





2.6. Концептуальная модель защиты информации Рассмотрев такие понятия как «Информация», «Угрозы информации», «Система защиты информации», можно вышесказанное представить концептуальной моделью защиты информации рис. 9.

Концептуальная модель ЗИ Инф.

Конфиден.

Доступность Достоверность Целостность Направления защиты Система Безопасности внешние и внутренние источники угроз Рис. службы, средства ознакомление, модификация способы, мероприятия уничтожение, блокирование Цели 3. Направления обеспечения информационной безопасности Информатизация любых сфер жизнедеятельности человека, в настоящее время невозможна без использования информационных технологий на основе современных средств вычислительной техники и связи. Увеличение объема информации вызывает нарастающее использование средств вычислительной техники во всех информационных процессах. Многие операции становятся автоматическими, развивается удаленный доступ пользователей не только к информационным ресурсам, но и к управлению организацией информационных процессов. Все вышеперечисленное дает повод к развитию и совершенствованию качественно новых сценариев реализации информационных угроз. Для выявления, предотвращения и т.д. необходима система, объединяющая совокупность органов, служб, средств, методов и мероприятий, обеспечивающая защиту создания, развития и функционирования новых информационных технологий.

Такая система называется системой безопасности. В основе построения системы безопасности лежат: правовое, организационное и инженерное – техническое обеспечения.

3.1. Правовое обеспечение информационной безопасности Правовая защита - это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;

Право – совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий (организаций) и населения.

Правовая защита информации как ресурса признана на международном, государственном уровне и регулируется соответствующими законодательными и правовыми актами Рис. 9.

Правовая защита информации специальные правовые акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе Международное Внутригосударственное право право Д о г о в о р ы, к о н в е н ц и и, Государственные декларации Патенты Конституция Ведомственные Авторские права З а к о н ы Лицензии (Кодексы) Приказы Указы Руководства Постановления Положения Инструкции Рис. Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и правовых актов РФ.

Существует следующая структура правовых актов, ориентированных на правовую защиту информации:

- Международные акты информационного законодательства - Информационно - правовые нормы Конституции Российской Федерации (ст. 2, 23, 24, 29, 33, 41, 42, 44 Конституции РФ) - Отрасли законодательства, акты которых целиком посвящены вопросам информационного законодательства.

- Отрасли законодательства, акты которых включают отдельные информационно - правовые нормы.

Специальное законодательство в области безопасности информационной деятельности может быть представлено совокупностью законов:

ФЕДЕРАЛЬНЫЙ ЗАКОН от 20.02.1995 N 24-ФЗ "ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ" (принят ГД ФС РФ 25.01.1995).

В этом законе определен правовой режим информатизации, правила, процедуры и распределение ответственности в области защиты информации в системах ее обработки, установлен порядок правовой защиты и гарантии реализации прав и ответственности субъектов информационных взаимоотношений.

Наиболее существенными в законе являются:

Статья 3. Обязанности государства в сфере формирования информационных ресурсов и информатизации:

* обеспечение условий для развития и защиты всех форм собственности на информационные ресурсы;

* формирование и защита государственных информационных ресурсов;

* обеспечение национальной безопасности в сфере информатизации;

* развитие законодательства в сфере информатизации и защиты информации.

Статья 6. Информационные ресурсы как элемент состава имущества государства, организаций, общественных объединений и отдельных граждан:

* государство имеет право выкупа документированной информации у физических и юридических лиц в случае отнесения ее к гостайне;

* собственник информационных ресурсов, отнесенных к гостайне вправе распоряжаться ими только с разрешения соответствующих органов государственной власти;

* информационные ресурсы могут быть товаром, за исключением случаев, предусмотренных законодательством РФ.

Статья 10. Документированная информация с ограниченным доступом подразделяется на информацию, отнесенную к гостайне и конфиденциальную.

Не могут быть отнесены к информации с ограниченным доступом:

* законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, органов местного самоуправления, организаций, общественных объединений а также права, свободы и обязанности граждан и порядок их реализации;

* документы с информацией о чрезвычайных ситуациях угрожающих безопасности граждан и населения в целом;

* документы открытых фондов библиотек и архивов.

Pages:     | 1 || 3 | 4 |   ...   | 10 |










© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.