Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Лицензирование и сертификация в области защиты ин- формации

Читайте также:
  1. C)В области среднего носового хода и располагается выше ее дна
  2. II. Порядок выдачи средств индивидуальной защиты
  3. III. Порядок пользования средствами индивидуальной защиты
  4. III. Социальные гарантии в области профессиональной ориентации
  5. А) Холецистоэктомия. Холедохолитотомия. Дренирование холедоха и подпеченочной области.
  6. Автоматизированные информационные системы в области права.
  7. Автомобильный: По территории Одесской области проходят: автомагистраль E 58; автомагистраль E 87; автомагистраль E 95.

Контроль за использованием ценной информации, в том числе секретной можно эффек- тивно осуществлять через соответствующие системы лицензирования, а за качеством системы обработки и защиты информации — через системы сертификации. Системы лицензирования и сертификации в области защиты информации являются важной составной частью государ- ственной системы защиты информации.

Под лицензированием в области защиты информации понимают деятельность, связанную с

передачей или получением прав на проведение работ в области защиты информации.

Лицензия в области защиты информации — оформленное соответствующим образом разре- шение на проведение указанных в разрешении работ в области защиты информации.

Лицензиат — сторона, получившая право на проведение работ в области защиты информа-

ции.

Система государственного лицензирования создаёт правовые условия для проведения со- ответствующих работ по защите информации для субъектов, имеющих на этот вид деятельности соответствующее разрешение. Порядок и правила лицензирования в области защиты информации существенно зависят от вида ценной информации, которая может быть отнесена к государственной тайне или к конфиденциальной информации. В этой связи созданы и функционируют несколько систем лицензирования. Как правило, в лицензировании задействованы прежде всего Федеральная служба технического и экспортного контроля (ФСТЭК), Федеральная служба безопасности РФ (ФСБ), Федеральная служба охраны (ФСО) и некоторые другие службы.

Сертификация средств защиты информации — это комплекс организационно-технических мероприятий, в результате которых посредством специального документа (сертификата) под- тверждается соответствие средств защиты информации требованиям нормативных документов об информационной безопасности и государственным стандартам.

Примечание: обязательной сертификации подлежат все средства зашиты информации, пред- назначенные для зашиты сведений, составляющих гостайну.

Кроме лицензирования и сертификации важную роль в вопросах защиты информации иг- рают аттестации объектов информатизации по требованиям безопасности информации и контроль состояния зашиты информации.

Под объектами информатизации понимают автоматизированные системы обработки ин- формации различного уровня и назначения, совместно с помещениями, в которых они распо- ложены, а так же отдельные помещения, предназначенные для проведения закрытых (конфи- денциальных) мероприятий информационного характера.

Под аттестацией объектов информатизации понимается комплекс соответствующих органи-

зационно-технических мероприятий, в результате которых проверяется соответствие объекта требованиям нормативно-технических документов по аттестации объекта. В итоге аттестации выдаётся документ — аттестат соответствия.

Наличие на объекте информатизации действующего аттестата соответствия даёт право об- работки ценной информации на период времени, указанный в аттестате.

Примечание: обязательной аттестации подлежат объекты информатизации, предназначен- ные для обработки информации, составляющей гостайну.

Аттестация всегда предшествует началу обработки этой информации и вызвана необходи- мостью официального подтверждения эффективности комплекса средств защиты информации, используемого на данном объекте.

Основные понятия определения информационных угроз

Информация — это сведения о фактах, событиях, процессах и явлениях, воспринимаемых непосредственно человеком или специальным техническим устройством, и используемые для решения конкретных прикладных задач, в соответствующей предметной области.

Информация в общем случае существует в различных формах в виде, например, некоторых знаков, сингалов, символов на носителях различных типов. Можно отметить, что в настоящее время значительные объём ценной информации хранятся и обрабатываются в автоматизирован- ных системах, использующих современные средства вычислительной техники и коммуникации. Под автоматизированной системы обработки информации (далее — системой) понимает-

ся организационно-техническая система, включающая совокупность четырёх взаимосвязанных компонентов:

1. Технические средства обработки информации (hardware)

2. Методы и алгоритмы обработки информации, представленные с помощью соответствую- щего ПО (software)

3. Информация на различных носителях (входная, выходная, промежуточная)

4. Персонал и пользователи системы

Информационная безопасность системы — это состояние системы, при котором она с од- ной стороны способна противодействовать деструктивному фактору со стороны внешних и внутренних информационных угроз, а с другой — функционирование самой системы не создаёт информационных угроз для себя и для внешней среды.

Угрозой информационной безопасности называется возможность реализации воздей-

ствия на информацию, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а так же возможность воздействия на компоненты системы, приводя- щего к нарушению её функционирования.

В настоящее время можно указать достаточно широкий перечень информационных угроз, насчитывающий сотни пунктов. Укажем наиболее значимые направления реализации таких угроз:

1. Несанкционированное копирование ценной информацииНеосторожные действия приводящие к разглашению ценной информации

2. Игнорирование организационных ограничений и установленных правил пользователями и персоналом при работе с системой

Знание информационных угроз необходимо для выработки прежде всего политики на кон- кретном объекте защиты.

Классификация информационных угроз может быть выполнена по ряду базовых признаков:

1. По природе возникновения

(a) Естественные угрозы, вызванные воздействием на систему и её компоненты объек- тивных физических процессов или стихийных являений не зависящих от человека

(b) Искуственные угрозы, вызванные деятельностью человека

2. По степени преднамеренности проявления

(a) Угрозы случайного действия (например, сбои программно-аппаратных средств, неком- петентное использование персоналом оборудования, и т.д.)

(b) Угрозы преднамеренного действия (например, угроза действий злоумышленника для хищения информации)

3. По непосредственному источнику угроз

(a) Угрозы, источником которых является природная среда (стихийные бедствия, маг- нитные бури, и.т.д)

(b) Угрозы, источником которых является природная человек (вербовка персонала)

(c) Угрозы, источником которых являются санкционированные программно-аппаратные средства

(d) Угрозы, источником которых являются несанкционированные программно-аппаратные средства

4. По положению источника угроз

(a) Угрозы, источник которых расположен вне контролируемой зоны расположения си- стемы

(b) Угрозы, источник которых расположен в пределах контролируемой зоны расположе- ния системы

(c) Угрозы, источник которых имеет доступ к периферийным устройствам системы

(d) Угрозы, источник которых расположен непосредственно в системе (например, угроза связанная с использованием некорректного программно-аппаратного обеспечения)

5. По степени зависимости от активности системы

(a) Угрозы, которые могут проявляться вне зависимости от активности системы

(b) Угрозы, которые могут проявляться только в режиме активности системы

6. По степени воздействия на систему

(a) Пассивные угрозы, при реализации которых не изменяется структура и содержание системы (например, угроза копирования ценной информации)

(b) Активные угрозы, при реализации которых могут вноситься изменения как в струк- туру, так и в содержание системы (например, внедрение программно-аппаратных закладок)

7. По этапам доступа пользователей или программ к ресурсам системы

(a) Угрозы, которые могут проявляться только на этапе доступа к ресурсам системы (угрозы несанкционированного доступа к системе)

(b) Угрозы, которые могут проявляться после разрешения доступа к ресурсам системы (угроза несанкционированного или некорректного использования ресурсов системы)

8. По способу доступа к ресурсам системы

(a) Угрозы, направленные на использование стандартного доступа к ресурсам (угрозы незаконного получения пароля с последующей маскировкой под санкционированного пользователя)

(b) Угрозы, направленные на использование скрытого доступа к ресурсам (вход в си- стему, минуя средства защиты,п использование недокументированных возможностей ОС)

9. По текущему месту расположения (ценной) информации в системе

(a) Угрозы доступа к информации на внешних носителях (несанкционированное копи- рование информации с жёсткого диска)

(b) Угрозы доступа к информации в оперативной памяти (чтение остаточной информации из ОЗУ)

(c) Угрозы доступа к информации циркулирующей в линиях связи (незаконное подклю- чение к линиям связи)

(d) Угрозы доступа к информации отображаемой на терминалах ввода/вывода (считыва- ние с дисплея)

Для обеспечения работоспособности системы в условиях информационных угроз информа- ция и система её обработки должны обладать следующими свойствами:

1. Конфиденциальность информации — субъективно определяемое свойство информации, ука- зывающее на необходимость введения ограничений на круг субъектов, имеющих к ней доступ

2. Целостность информации — свойство информации, определяющее её существование в некотором оригинальном виде

3. Доступность информации1 — свойство системы, в которой циркулирует информации, опре- деляющее своевременный доступ санкционированных субъектов к интересующей их ин- формации

Принято считать, что информационная безопасность в системе обеспечена если для любых информационных ресурсов в системе поддерживается необходимый уровень конфиденциально- сти, целостности и доступности. В этой связи можно рассмотреть три базовых вида угроз:

1. Угроза нарушения конфиденциальности (при её реализации информация становится из- вестной субъекту, не имеющему права доступа к ней)

2. Угроза нарушения целостности (при реализации этой угрозы происходит несанкциониро- ванное изменение содержания информации)

3. Угроза отказа служб (возникает всякий раз, когда в результате преднамеренных или слу- чайных событий блокируется доступ к информационным ресурсам. Такое блокирование может быть как постоянным, когда запрашиваемый ресурс никогда не будет получен, так и временным).

Указанные виды угроз принято считать первичными, поскольку их реализация приводит к непосредственному деструктивному воздействию на информацию. В то же время непосред- ственное воздействие на информацию возможно для атакующей стороны, если в системе отсут- ствует механизм защиты. В современных системах обработки информации как правило всегда присутствуют механизмы защиты информации, не позволяющие атакующей стороне непосред- ственно воздействовать на информацию.

Необходимо учитывать, что не существует абсолютно стойкой системы защиты. Вопрос лишь во времени и средствах на преодоление защиты. Поскольку преодоление зашиты так же предоставляет собой угрозу, для защищённых систем можно рассмотреть четвёртый вид угроз:

1. Угроза разведки параметров механизма защиты

Данную угрозу можно рассматривать как опосредованную, поскольку её реализация на первой стадии не причиняет непосредственный ущерб защищаемой информации, но создаёт возмож- ность для реализации выше рассмотренных непосредственных угроз. Учёт данного вида угроз позволяет вводить различия между защищёнными и незащищёнными информационными систе- мами. Для незащищённых угрозы разведки параметров системы считается реализованной.


Дата добавления: 2015-08-09; просмотров: 71 | Нарушение авторских прав


Читайте в этой же книге: Утечка информации. Каналы утечки информации и их виды | Основные механизмы защиты компьютерных систем | Основные механизмы реализации моделей доступа | Правила назначения меток безопасности иерархическим объектам доступа |
<== предыдущая страница | следующая страница ==>
Цели защиты информации| Основные положения и принципы обеспечения информа- ционной безопасности в системах

mybiblioteka.su - 2015-2024 год. (0.011 сек.)