Основные концептуальные положения системы защиты информации (СЗИ).
Анализ состояния дел в области информационной безопасности показывает, что уже давно сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:
Весьма развитый потенциал программно – аппаратных средств защиты, производимых на промышленной основе.
Значительное число организаций специализирующихся на вопросах защиты информации.
Наличие значительного практического опыта в области информационной безопасности.
Система защиты информации (СЗИ) – это организованная совокупность специальных органов, средств, методов и мероприятий обеспечивающих защиту информации от внутренних и внешних угроз.
К СЗИ предъявляются определенные требования, защита должна быть:
Непрерывной
Целенаправленной (конкретной)
Надежной
Универсальной
Комплексной
СЗИ должна удовлетворять определенными условиям эксплуатации:
Охватывать весь технологический комплекс информационной деятельности.
Быть открытой для изменения и дополнения мерами обеспечения безопасности информации.
Быть не стандартной, разнообразной.
Быть простой для техобслуживания и удобной для эксплуатации пользователем.
Быть комплексной, т.е. обладать целостностью, в которой не одна из её частей не может быть изъята без ущерба для всей системы.
К СЗИ в области информационных технологий предъявляется ряд дополнительных требований:
Четкость определения прав и полномочий пользователей на доступ к ресурсам.
Предоставление пользователю минимальных полномочий необходимых ему для работы.
Сведение к минимуму числа общих для нескольких пользователей средств защиты.
Учет случаев и попыток несанкционированного доступа (НСД) к информационным ресурсам.
Обеспечение оценки степени конфиденциальности информации.
Обеспечение контроля работоспособности средств защиты и немедленное реагирование на выход их из строя.
СЗИ имеет определенные виды собственного обеспечения. Сюда входят:
Правовое обеспечение – нормативные и законодательные документы, инструкции, руководства, требования которых являются обязательными в сфере их действия
Организационное обеспечение – организация защиты информации должна осуществляться специальными организационными единицами.
Аппаратное обеспечение.
Информационное обеспечение – это различные сведения, данные, показатели, лежащие в основе решения задач обеспечивающее функционирование СЗИ в целом.
Программное обеспечение. Расчетные, статистические, информационные программы, которые обеспечивают оценку наличия и опасности различных угроз.
Математическое обеспечение.
Лингвистическое обеспечение.
Нормативно – методическое обеспечение.
17.02.12
Концептуальная модель информационной безопасности.
Компонентами концептуальной модели информационной безопасности являются следующие элементы:
Объекты угроз – сведения о составе, состоянии и деятельности объекта защиты (персонал, материальные, финансовые и информационные ресурсы)
Угрозы информации – выражаются в нарушении конфиденциальности, целостности и доступности информации.
Источники угроз – конкуренты, злоумышленники, административно-управленческий персонал.
Цели угроз – это ознакомление с охраняемыми сведениями, модификация информации в корыстных целях и её уничтожение для нанесения прямого материального ущерба.
Способы доступа – возможны за счет разглашения источниками сведений, за счет утечки информации по техническим каналам и за счет несанкционированного доступа к охраняемым сведениям.
Источники информации – это люди, документы, публикации, технические носители, технические средства производства, продукция и отходы производства.
Направления защиты информации являются правовая защита (законодательный уровень), организационная защита (административно процедурный уровень), инженерно техническая защита (программно аппаратный уровень).
Способы защиты информации – это всевозможные меры, пути, способы, действия, обеспечивающие предупреждение противоправных действий, их пресечение и противодействие любым угрозам.
Средства защиты информации – являются физические, аппаратные, программные средства и криптографические методы.
Угрозы конфиденциальной информации.
Это потенциальные или реально возможные действия по отношению к информационным ресурсам приводящие к их неправомерному овладению.
Такими действиями являются:
Ознакомление с информацией различными путями и способами без нарушения её целостности
Модификация информации в криминальных целях как частичное или значительное изменения состава и содержания.
Разрушение информации с целью нанесения материального и морального ущерба.
Угрозы классифицируются по следующим группам:
По величине нанесенного ущерба:
Предельный
Значительный
Незначительный
По вероятности возникновения
Весьма вероятная угроза
Вероятная угроза
Маловероятная угроза
По причинам появления
Преднамеренные действия
Стихийные бедствия
Аварии
По характеру ущерба
Материальный
Моральный
По отношению к объекту защиты
Внутренние угрозы
Внешние угрозы
Способы доступа:
Разглашение информации – это умышленные или неосторожные действия с конфиденциальными сведениями приведшие к ознакомлению с ними лиц не имеющим право доступа. Разглашение выражается в сообщении, передаче, предоставлении, опубликовании, утере и других формах обмена и действий с деловой и научной информацией. Реализуется по формальным и не формальным каналам распространения информации. К формальным относятся деловые встречи, совещания, переговоры и прочие подобные формы общения. Неформальные каналы включают личное общение, встречи, переписку и т.д. Причиной разглашения является недостаточное знания сотрудниками правил защиты или непонимание необходимости их тщательного соблюдения. Субъектом в этом процессе выступает владелец охраняемых сведений.
Утечка информации – это бесконтрольный выход информации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различным техническим каналам. Под каналом утечки информации понимают физический путь от источника информации, к противоположной стороне по средствам которого она может получить доступ к охраняемым сведениям. Для образования канала утечки необходимо определенное сочетание пространственных, энергетических временных условий, а так же наличие на другой стороне аппаратуры приёма, обработки и фиксации информации. С учетом физической природы возможны следующие виды утечки информации по коммуникационным каналам:
Визуально оптические
Акустические
Электромагнитные
Материально-вещественные канал утечки
Несанкционированный доступ – это противоправное, преднамеренное овладение конфиденциальной информации лицом, не имеющим полномочий доступа к объекту защиты.