Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Классификация угроз информационной безопасности.




Угроза в уголовном праве - намерение нанести физический, материальный или иной вред отдельному лицу или общественным интересам, выраженное словесно, письменно, действиями либо другим способом.

Применительно к информационной системе угроза - событие, которое потенциально может нанести вред корпорации путем раскрытия, модификации или разрушения критической информации, или отказа в обслуживании критическими сервисами. Виды угроз:

Естественные угрозы – это угрозы, вызванные воздействиями на элементы информационной системы объективных физических процессов или стихийных природных явлений, не зависящих от человека, такие как стихийные бедствия (пожар, молния, ураган, землетрясение, наводнение, электромагнитные и ионизирующие излучения, военные действия и др.).

Искусственные угрозы – это угрозы, порожденные человеческой деятельностью, и могут быть преднамеренные и непреднамеренные.

К непреднамеренным (пассивным) угрозам относятся:

- утечка информации при текучке специалистов;

- некомпетентная эксплуатация информационной системы и средств ее защиты;

- недостатки в проектировании и сооружении зданий, помещений, систем вентиляции, отопления и др., создающие каналы утечки информации;

-ошибки проектирования и производства изделий, вычислительной техники и оргтехники;

-ошибки проектирования, производства, прокладки и установки средств связи и коммуникаций;

- ошибки разработки и применения программного обеспечения;

- использование неучтенного программного обеспечения;

- ошибки процессов подготовки, ввода, обработки и вывода информации;

- сбои, отказы в работе аппаратуры, приводящие к искажению или уничтожению информации.

Преднамеренными (активными) угрозами являются преднамеренные действия людей с целью нанесения вреда (ущерба), например:

- физическое разрушение информационной системы или вывод из строя ее наиболее важных компонент;

- утечка информации при целенаправленной миграции специалистов для передачи определенных сведений;

- внедрение в систему агентов и вербовка сотрудников;

- контактный доступ к служебным разговорам и просмотру документов с целью передачи их содержания;

- фотографирование, хищение, искажение иди уничтожение документов, фотографий, чертежей, описаний изобретений, новых технологий и др.;

- визуально-оптические способы получения информации;

- бесконтактное подслушивание служебных разговоров с помощью технических средств;

-несанкционированный доступ к ресурсам ЭВМ и компьютерных сетей, средствам связи и оргтехники;

- доступ к сменным машинным носителям информации (хищение, копирование, модификация);

- разработка и использование бесконтрольных программ для искажения или уничтожения информации на машинных носителях;

- перехват данных в процессе информационного обмена;

- возможность фиксации электромагнитных и акустических излучений от ЭВМ, сигналов, наводимых в токопроводящих коммуникациях, радиосигналов и сигналов спутниковой связи.

Вероятность проявления и ущерб от реализации той или иной угрозы в зависимости от типа информационной системы могут быть различными. Наличие самой угрозы еще не означает, что она нанесет вред. Когда появляется слабое место в средствах обеспечения безопасности системы и система становится «видима»из внешнего мира, возникает риск.

Риск - это ситуация, когда угроза, использующая слабое место в защите, может нанести вред информационной системе.

Вероятность проявления угроз информационной безопасности напрямую зависит от различных факторов: глобальных, региональных и локальных.

Глобальные факторы угроз – зависят от пере­распределения национальных интересов отдельных государств. В пер­вую очередь они связаны с переделом зон влияния и рынков сбыта. К ним можно отнести: недружественную политику иностранных госу­дарств в области глобального информационного мониторинга; деятель­ность иностранных разведывательных и специальных служб; преступ­ные действия международных групп.

Многие западные эксперты подчеркивают, что ведущим контекстом проблемы информационной безопасности в современном мире является национальная безопасность в экономической сфере. Отсюда, четко прослеживается существующая и потенциальная уязвимость Республики Беларусь для невоенных инструментов силового давления, в том числе ее зависимость от поставок извне энергоресурсов, сырьевой продукции, современных технологий и т. д.

Региональные факторы угроз – это рост преступности в информационной сфере; отставание от развитых стран; несоответствие информационного обеспечения государственных и общественных ин­ститутов современным требованиям; зависимость технических средств и программного обеспечения от их зарубежных производителей и др.

Локальные факторы угроз – это действия отдельных физических и юридических лиц по причинам любознательности, неосторожности, гипертрофированного чувства мести, корыстных целей, а также не знания или не выполнения соответствующих законов, инструкций и правил работы с различными техническими средствами и программного обеспечения.

Методы защиты информации.

В общем случае методы защиты корпоративной информации подразделяются на:

организационно-административные;

организационно-технические.

Организационно-административные методы защиты информации регламентируют процессы создания и эксплуатации корпоративных информационных систем, а также взаимодействие пользователей и систем таким образом, что несанкционированный доступ к информации становится либо невозможным, либо существенно затрудняется.

К организационно-административным мероприятиям защиты информации относятся:

выделение специальных защищенных помещений для размещения ЭВМ, средств связи и хранения носителей информации;

выделение специальных ЭВМ для обработки конфиденциальной информации;

организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях;

использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях;

организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации;

организация регламентированного доступа пользователей к работе на ЭВМ, средствах связи и в хранилищах носителей конфиденциальной информации;

установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;

разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации;

постоянный контроль соблюдения установленных требований по защите информации.

Организационно-технические методы защиты информации охватывают все структурные элементы корпоративных информационных систем на всех этапах их жизненного цикла и состоят из следующих мероприятий:

ограничение доступа посторонних лиц внутрь корпуса оборудования за счет установки механических запорных устройств или замков;

отключение ЭВМ от локальной вычислительной сети или сети удаленною доступа (региональные и глобальные вычислительные сети) при обработке на ней конфиденциальной информации, кроме необходимых случаев передачи этой информации по каналам связи;

использование для отображения конфиденциальной информации жидкокристаллических или плазменных дисплеев, а для печати – струйных принтеров или термопечати с целью снижения утечки информации по электромагнитному каналу;

установка клавиатуры и печатающих устройств на мягкие прокладки с целью снижения утечки информации по акустическому каналу;

размещение оборудования для обработки конфиденциальной информации на расстоянии не менее 2,5 метров от устройств освещения, кондиционирования, связи, металлических труб, теле- и радиоаппаратуры;

организация электропитания ЭВМ от отдельного блока питания (с защитой от побочных электромагнитных излучений);

использование бесперебойных источников питания (БИП) для силовых электрических сетей с неустойчивым напряжением и плавающей частотой, которые могут поддерживать работу компьютера после исчезновения напряжения в электрической сети.





Рекомендуемые страницы:

Воспользуйтесь поиском по сайту:



©2015- 2021 megalektsii.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав.