Читайте также:
|
Разглашение конфиденциальной информации может привести к убыткам, повлечь за собой предусмотренную законодательством ответственность, а также повредить репутации за счет публикаций в СМИ и широкой общественной огласки. Угроза - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.
Согласно статистике применительно к этим угрозам, можно привести следующие данные (по результатам исследований, проведённых в России компанией InfoWath), представленные на рис. 1.
Рисунок 1 - Угрозы информационной безопасности в России
Как видно, из приведенных данных, наиболее распространены кража информации и вредоносное ПО.
Ценность информации, при угрозе её утечки, определяется на основании таких критериев, как:
Основными источниками конфиденциальной информации являются:
Наиболее опасным источником угроз является человек. Он может производить широкий спектр различных негативных воздействий на информацию как преднамеренных, так и непреднамеренных (случайных). В том числе, наиболее распространенной причиной реализации угроз информационной безопасности российских работодателей является безответственность их персонала. Она проявляется в нарушении сотрудниками действующих на предприятии требований по обеспечению информационной безопасности, что приводит к утечке конфиденциальных сведений в самых различных формах.
Для предотвращения угрозы утечки конфиденциальной информации, рекомендуется при приеме на работу проводить анкетирование, с помощью которого можно сделать выводы об уровне интеллекта, получить общее представление о кандидате как разносторонней личности, определить морально-психологический уровень, выявить возможные преступные наклонности и т.д.
В случае успешного прохождения кандидатом проверки и признания его соответствующим должности осуществляется заключение (подписание) двух документов:
а) трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию и соблюдать меры безопасности;
б) договора (обязательства) о неразглашении конфиденциальной информации, представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы на предприятии, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).
Для предотвращения утечки конфиденциальной информации с помощью средств вычислительной техники, необходима техническая защита информации – защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащих защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.
Разнообразие технических средств защиты информации огромно. К средствам технической защиты информации, помимо средств контроля, относятся также средства защиты информации от непреднамеренного уничтожения или искажения. Примеры технических средств защиты информации:
Программные – персональные и корпоративные файрволы; антивирусы; системы обнаружения сетевых атак; системы разграничения доступа к данным и т.д.
Программно-аппаратные – маршрутизаторы и файрволы Cisco, Juniper и т.п.; комплексные решения по обнаружению сетевых аномалий; системы предотвращения утечек данных; комплекты резервного копирования и архивирования данных, и другие.
Аппаратные – устройства обнаружения и ликвидации прослушивающей аппаратуры; сканеры радиоизлучения; генераторы радиопомех, устройства бесперебойного питания, и другие.
Решение проблем защиты электронной информации базируется, в том числе и на использовании криптографических методов. Суть криптографической защиты в том, чтобы информация в процессе передачи была защищена от искажения или от перехвата, или от того и другого сразу.
Обеспечение конфиденциальности при передаче сообщений по незащищенным каналам связи – традиционная задача криптографии. В общем случае данная задача решается при помощи криптографических преобразований, заранее согласованных между всеми легитимными участниками информационного обмена. Отправитель сообщения выполняет шифрование, получатели выполняют обратное преобразование – расшифровку. Ключевая информация (ключи шифрования) либо доставляется по защищенному каналу связи, либо совместно генерируется участниками. Злоумышленник, если он контролирует среду, по которой передается сообщение, даже в случае полного перехвата не сможет ознакомиться с его содержанием.
Современные методы криптографического преобразования сохраняют исходную производительность автоматизированной системы, что является немаловажным. Это является наиболее эффективным способом, обеспечивающим конфиденциальность данных, их целостность и подлинность.
Использование криптографических методов в совокупности с техническими и организационными мероприятиями обеспечивают надежную защиту от широкого спектра угроз.
Несанкционированное получение злоумышленником конфиденциальной информации также может привести к значительному ущербу. Так, например, получив информацию, идентифицирующую пользователя; автоматизированной системы при входе в нее, злоумышленник получает право доступа к системе. При этом он становится обладателем всех прав санкционированного пользователя, т. е. пользователя, которому разрешена работа в данной системе. Также злоумышленник может перехватить информацию, которой обмениваются клиент и банковская система, и затем, используя эти сведения, осуществить кражу денег со счета данного клиента. Существует большое множество подобных примеров, когда утечка конфиденциальной информации наносила непоправимый урон ее собственнику.
Дата добавления: 2015-09-05; просмотров: 696 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Понятие конфиденциальности и виды конфиденциальной информации. | | | Организация систем защиты конфиденциальной информации |