Читайте также:
|
Контроль за использованием ценной информации, в том числе секретной можно эффек- тивно осуществлять через соответствующие системы лицензирования, а за качеством системы обработки и защиты информации — через системы сертификации. Системы лицензирования и сертификации в области защиты информации являются важной составной частью государ- ственной системы защиты информации.
Под лицензированием в области защиты информации понимают деятельность, связанную с
передачей или получением прав на проведение работ в области защиты информации.
Лицензия в области защиты информации — оформленное соответствующим образом разре- шение на проведение указанных в разрешении работ в области защиты информации.
Лицензиат — сторона, получившая право на проведение работ в области защиты информа-
ции.
Система государственного лицензирования создаёт правовые условия для проведения со- ответствующих работ по защите информации для субъектов, имеющих на этот вид деятельности соответствующее разрешение. Порядок и правила лицензирования в области защиты информации существенно зависят от вида ценной информации, которая может быть отнесена к государственной тайне или к конфиденциальной информации. В этой связи созданы и функционируют несколько систем лицензирования. Как правило, в лицензировании задействованы прежде всего Федеральная служба технического и экспортного контроля (ФСТЭК), Федеральная служба безопасности РФ (ФСБ), Федеральная служба охраны (ФСО) и некоторые другие службы.
Сертификация средств защиты информации — это комплекс организационно-технических мероприятий, в результате которых посредством специального документа (сертификата) под- тверждается соответствие средств защиты информации требованиям нормативных документов об информационной безопасности и государственным стандартам.
Примечание: обязательной сертификации подлежат все средства зашиты информации, пред- назначенные для зашиты сведений, составляющих гостайну.
Кроме лицензирования и сертификации важную роль в вопросах защиты информации иг- рают аттестации объектов информатизации по требованиям безопасности информации и контроль состояния зашиты информации.
Под объектами информатизации понимают автоматизированные системы обработки ин- формации различного уровня и назначения, совместно с помещениями, в которых они распо- ложены, а так же отдельные помещения, предназначенные для проведения закрытых (конфи- денциальных) мероприятий информационного характера.
Под аттестацией объектов информатизации понимается комплекс соответствующих органи-
зационно-технических мероприятий, в результате которых проверяется соответствие объекта требованиям нормативно-технических документов по аттестации объекта. В итоге аттестации выдаётся документ — аттестат соответствия.
Наличие на объекте информатизации действующего аттестата соответствия даёт право об- работки ценной информации на период времени, указанный в аттестате.
Примечание: обязательной аттестации подлежат объекты информатизации, предназначен- ные для обработки информации, составляющей гостайну.
Аттестация всегда предшествует началу обработки этой информации и вызвана необходи- мостью официального подтверждения эффективности комплекса средств защиты информации, используемого на данном объекте.
Основные понятия определения информационных угроз
Информация — это сведения о фактах, событиях, процессах и явлениях, воспринимаемых непосредственно человеком или специальным техническим устройством, и используемые для решения конкретных прикладных задач, в соответствующей предметной области.
Информация в общем случае существует в различных формах в виде, например, некоторых знаков, сингалов, символов на носителях различных типов. Можно отметить, что в настоящее время значительные объём ценной информации хранятся и обрабатываются в автоматизирован- ных системах, использующих современные средства вычислительной техники и коммуникации. Под автоматизированной системы обработки информации (далее — системой) понимает-
ся организационно-техническая система, включающая совокупность четырёх взаимосвязанных компонентов:
1. Технические средства обработки информации (hardware)
2. Методы и алгоритмы обработки информации, представленные с помощью соответствую- щего ПО (software)
3. Информация на различных носителях (входная, выходная, промежуточная)
4. Персонал и пользователи системы
Информационная безопасность системы — это состояние системы, при котором она с од- ной стороны способна противодействовать деструктивному фактору со стороны внешних и внутренних информационных угроз, а с другой — функционирование самой системы не создаёт информационных угроз для себя и для внешней среды.
Угрозой информационной безопасности называется возможность реализации воздей-
ствия на информацию, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а так же возможность воздействия на компоненты системы, приводя- щего к нарушению её функционирования.
В настоящее время можно указать достаточно широкий перечень информационных угроз, насчитывающий сотни пунктов. Укажем наиболее значимые направления реализации таких угроз:
1. Несанкционированное копирование ценной информацииНеосторожные действия приводящие к разглашению ценной информации
2. Игнорирование организационных ограничений и установленных правил пользователями и персоналом при работе с системой
Знание информационных угроз необходимо для выработки прежде всего политики на кон- кретном объекте защиты.
Классификация информационных угроз может быть выполнена по ряду базовых признаков:
1. По природе возникновения
(a) Естественные угрозы, вызванные воздействием на систему и её компоненты объек- тивных физических процессов или стихийных являений не зависящих от человека
(b) Искуственные угрозы, вызванные деятельностью человека
2. По степени преднамеренности проявления
(a) Угрозы случайного действия (например, сбои программно-аппаратных средств, неком- петентное использование персоналом оборудования, и т.д.)
(b) Угрозы преднамеренного действия (например, угроза действий злоумышленника для хищения информации)
3. По непосредственному источнику угроз
(a) Угрозы, источником которых является природная среда (стихийные бедствия, маг- нитные бури, и.т.д)
(b) Угрозы, источником которых является природная человек (вербовка персонала)
(c) Угрозы, источником которых являются санкционированные программно-аппаратные средства
(d) Угрозы, источником которых являются несанкционированные программно-аппаратные средства
4. По положению источника угроз
(a) Угрозы, источник которых расположен вне контролируемой зоны расположения си- стемы
(b) Угрозы, источник которых расположен в пределах контролируемой зоны расположе- ния системы
(c) Угрозы, источник которых имеет доступ к периферийным устройствам системы
(d) Угрозы, источник которых расположен непосредственно в системе (например, угроза связанная с использованием некорректного программно-аппаратного обеспечения)
5. По степени зависимости от активности системы
(a) Угрозы, которые могут проявляться вне зависимости от активности системы
(b) Угрозы, которые могут проявляться только в режиме активности системы
6. По степени воздействия на систему
(a) Пассивные угрозы, при реализации которых не изменяется структура и содержание системы (например, угроза копирования ценной информации)
(b) Активные угрозы, при реализации которых могут вноситься изменения как в струк- туру, так и в содержание системы (например, внедрение программно-аппаратных закладок)
7. По этапам доступа пользователей или программ к ресурсам системы
(a) Угрозы, которые могут проявляться только на этапе доступа к ресурсам системы (угрозы несанкционированного доступа к системе)
(b) Угрозы, которые могут проявляться после разрешения доступа к ресурсам системы (угроза несанкционированного или некорректного использования ресурсов системы)
8. По способу доступа к ресурсам системы
(a) Угрозы, направленные на использование стандартного доступа к ресурсам (угрозы незаконного получения пароля с последующей маскировкой под санкционированного пользователя)
(b) Угрозы, направленные на использование скрытого доступа к ресурсам (вход в си- стему, минуя средства защиты,п использование недокументированных возможностей ОС)
9. По текущему месту расположения (ценной) информации в системе
(a) Угрозы доступа к информации на внешних носителях (несанкционированное копи- рование информации с жёсткого диска)
(b) Угрозы доступа к информации в оперативной памяти (чтение остаточной информации из ОЗУ)
(c) Угрозы доступа к информации циркулирующей в линиях связи (незаконное подклю- чение к линиям связи)
(d) Угрозы доступа к информации отображаемой на терминалах ввода/вывода (считыва- ние с дисплея)
Для обеспечения работоспособности системы в условиях информационных угроз информа- ция и система её обработки должны обладать следующими свойствами:
1. Конфиденциальность информации — субъективно определяемое свойство информации, ука- зывающее на необходимость введения ограничений на круг субъектов, имеющих к ней доступ
2. Целостность информации — свойство информации, определяющее её существование в некотором оригинальном виде
3. Доступность информации1 — свойство системы, в которой циркулирует информации, опре- деляющее своевременный доступ санкционированных субъектов к интересующей их ин- формации
Принято считать, что информационная безопасность в системе обеспечена если для любых информационных ресурсов в системе поддерживается необходимый уровень конфиденциально- сти, целостности и доступности. В этой связи можно рассмотреть три базовых вида угроз:
1. Угроза нарушения конфиденциальности (при её реализации информация становится из- вестной субъекту, не имеющему права доступа к ней)
2. Угроза нарушения целостности (при реализации этой угрозы происходит несанкциониро- ванное изменение содержания информации)
3. Угроза отказа служб (возникает всякий раз, когда в результате преднамеренных или слу- чайных событий блокируется доступ к информационным ресурсам. Такое блокирование может быть как постоянным, когда запрашиваемый ресурс никогда не будет получен, так и временным).
Указанные виды угроз принято считать первичными, поскольку их реализация приводит к непосредственному деструктивному воздействию на информацию. В то же время непосред- ственное воздействие на информацию возможно для атакующей стороны, если в системе отсут- ствует механизм защиты. В современных системах обработки информации как правило всегда присутствуют механизмы защиты информации, не позволяющие атакующей стороне непосред- ственно воздействовать на информацию.
Необходимо учитывать, что не существует абсолютно стойкой системы защиты. Вопрос лишь во времени и средствах на преодоление защиты. Поскольку преодоление зашиты так же предоставляет собой угрозу, для защищённых систем можно рассмотреть четвёртый вид угроз:
1. Угроза разведки параметров механизма защиты
Данную угрозу можно рассматривать как опосредованную, поскольку её реализация на первой стадии не причиняет непосредственный ущерб защищаемой информации, но создаёт возмож- ность для реализации выше рассмотренных непосредственных угроз. Учёт данного вида угроз позволяет вводить различия между защищёнными и незащищёнными информационными систе- мами. Для незащищённых угрозы разведки параметров системы считается реализованной.
Дата добавления: 2015-08-09; просмотров: 71 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Цели защиты информации | | | Основные положения и принципы обеспечения информа- ционной безопасности в системах |