Файл: Виды и состав угроз информационной безопасности (Основные виды защищаемой информации).pdf

Объектами авторского права являются:

- Литературные произведения (включая программы для ЭВМ);

- Драматические и музыкально-драматические произведения, сценарные произведения;

- Хореографические произведения и пантомимы;

- Музыкальные произведения с текстом и без текста;

- Аудиовизуальные произведения (кино-, теле- и видеофильмы, слайдфильмы, диафильмы и другие кино- и телепроизведения);

- Произведения живописи, скульптуры, графики, дизайна, графические рассказы, комиксы и другие произведения изобразительного искусства;

- Произведения декоративно-прикладного и сценографического искусства;

- Произведения архитектуры, градостроительства и садово-паркового искусства;

- Фотографические произведения и произведения, полученные способами, аналогичными фотографии;

- Географические, геологические и другие карты, планы, эскизы и пластические произведения, относящиеся к географии, топографии и другим наукам;

- Другие произведения.

Не являются объектами авторского права:

- Официальные документы (законы, судебные решения, иные тексты законодательного, административного и судебного характера), а также их официальные переводы;

- Государственные символы и знаки (флаги, гербы, ордена, денежные знаки и иные государственные символы и знаки);

- Произведения народного творчества;

- Сообщения о событиях и фактах, имеющие информационный характер.

Глава 1.2. Виды и состав угроз информационной безопасности

Угроза безопасности информации — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Фактор, воздействующий на защищаемую информацию — явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

Источник угрозы безопасности информации — субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

Уязвимость информационной системы (брешь) — свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Вышеперечисленные угрозы информационным ресурсам реализуются следующими способами:

1. Через имеющиеся агентурные источники в органах государственного управления и коммерческих структурах , имеющих возможность получения конфиденциальной информации (суды, налоговые органы, коммерческие банки и т. д.);

2. Путем подкупа лиц, непосредственно работающих в организации или структурах, напрямую связанных с ее деятельностью;

3. Путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной технике с помощью технических средств разведки и съема информации;

4. Путем прослушивания конфиденциальных переговоров и другими способами несанкционированного доступа к источникам конфиденциальной информации.

С позиции обеспечения безопасности информации в компьютерных системах (КС) все множество потенциальных угроз безопасности информации в КС может быть разделено на два класса.

Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными.

Стихийные бедствия и аварии чреваты наиболее разрушительными последствиями для информации, так как носители подвергаются физическому разрушению, информация утрачивается или доступ к ней становится невозможен.

Сбои и отказы сложных систем неизбежны. В результате сбоев и отказов нарушается работоспособность технических средств, уничтожаются и искажаются данные и программы, нарушается алгоритм работы устройств. Нарушения алгоритмов работы отдельных узлов и устройств могут также привести к нарушению конфиденциальности информации.

Ошибки при разработке КС, алгоритмические и программные ошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств. Кроме того, такие ошибки могут быть использованы злоумышленниками для воздействия на ресурсы КС. Особую опасность представляют ошибки в ОС и в программных средствах защиты информации.

Ошибки пользователей и обслуживающего персонала — согласно статистике, 65% случаев нарушения безопасности информации происходит благодаря этим ошибкам. Некомпетентное, небрежное и невнимательное выполнение функциональных обязанностей сотрудниками приводят к уничтожению, нарушению целостности и конфиденциальности информации, а также компрометации механизмов защиты.

Преднамеренно создаваемые угрозы — второй класс угроз безопасности информации, могут быть распределены по пяти группам:

- Традиционный или универсальный шпионаж и диверсии;

- Несанкционированный доступ к информации;

- Электромагнитные излучения и наводки;

- Модификация структур;

- Вредоносные программы.

Средства шпионажа по-прежнему актуальны в качестве методов несанкционированного добывания и уничтожения информации. Они также эффективны и в условиях применения компьютерных систем.

По отношению к отдельной организации существуют следующие виды внешних угроз:

- Недобросовестные конкуренты;

- Криминальные группы и формирования;

- Противозаконные действия отдельных лиц и организаций административного аппарата, в том числе и налоговых служб;

- Нарушение установленного регламента сбора, обработки и передачи информации.

Основные виды внутренних угроз:

- Преднамеренные преступные действия собственного персонала организации;

- Непреднамеренные действия и ошибки сотрудников;

- Отказ оборудования и технических средств;

- Сбои программного обеспечения средств обработки информации.

Объектами различных угроз в коммерческой деятельности являются:

- Человеческие ресурсы (персонал, сотрудники, компаньоны и др.), включая трудовые и кадровые ресурсы;

- Материальные ресурсы;

- Финансовые ресурсы;

- Временные ресурсы;

- Информационные ресурсы, включая интеллектуальные ресурсы (патенты, ноу-хау, программные продукты и т. д.).

Наиболее опасным источником угроз предприятия выступают собственные сотрудники. Мотивами в этом случае являются безответственность, некомпетентность (низкая квалификация), личные побуждения (самоутверждение, корыстные интересы).

Оценка возможных потерь предполагает знание видов потерь и умение вычислять вероятность их возникновение. Существуют следующие виды потерь:

- Материальные — непредусмотренные проектом дополнительные затраты или прямые потери оборудования, сырья, энергии и т. д.;

- Трудовые — потери рабочего времени, вызванные непредвиденными обстоятельствами; измеряется в часах рабочего времени;

- Кадровые — потери профессиональных работников, необходимых предприятию;

- Финансовые — прямой денежный ущерб, связанный с непредусмотренными платежами, штрафами, выплатой налогов, а также потерей денежных средств и ценных бумаг;

- Временные — происходят, когда процесс идет медленнее намеченного срока. Оценка осуществляется в часах, днях, неделях, месяцах запаздывания в получении запланированного результата;

- Информационные потери — одни из самых серьезных потерь в бизнесе, способные привести к краху всей организации;

- Особые виды потерь проявляются в нанесении ущерба здоровью и жизни людей, окружающей среде, престижу предпринимателя, а также вследствие других неблагоприятных социальных и морально-психологических последствий.

Одной из самых серьезных угроз коммерческой деятельности является промышленный шпионаж. Его сущность состоит в стремлении к овладению конфиденциальной информацией конкурентов с целью получения максимальной коммерческой выгоды. Ведется различными средствами, включая использование особых технических средств и подкуп должностных лиц.

Основными каналами утечки информации являются:

- Открытые источники;

- Субъекты-носители информации;

- Технические средства разведки.

К открытым источникам относятся каналы, по которым информацию можно почерпнуть без нарушения каких-либо ограничений или запретов — из книг, газет, научных и технических изданий и особенно из рекламных каталогов и брошюр.

Использование субъектов — наиболее распространенный метод промышленного шпионажа. При определенных условиях люди способны воровать, скрывать, продавать информацию и совершать прочие криминальные действия.

Технические средства применяются в случае невозможности использования агентурных средств.

Глава 2. Методы защиты информации

С учетом устоявшейся практики обеспечения информационной безопасности выделяют следующие виды защиты информации:

- Правовая защита информации — защита информации правовыми методами, включая в себя разработку законодательных и нормативных документов, а также надзор и контроль за их исполнением;

- Техническая защита информации — заключается в обеспечении безопасности информации некриптографическими методами безопасности с применением технических, программных и программно-технических средств;

- Криптографическая защита информации — защита информации с помощью средств криптографии (методом шифрования);

- Физическая защита информации — защита путем организации мероприятий и совокупности средств, создающих препятствия для доступа неуполномоченных физических лиц к объекту защиты;

- Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты. При этом к объектам защиты могут быть отнесены охраняемая территория, здание, помещение, информация и/или информационные ресурсы объекта информатизации.

Организационная защита информации — это регламентация деятельности предприятия и взаимоотношений персонала на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Только комплексное применение всех видов защиты информации обеспечивает необходимый и достаточный уровень информационной безопасности предприятия.

Глава 2.1. Правовые основы защиты информации

Правовая защита информации — защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

Основные функции правовой базы:

- Разработка основных принципов отнесения сведений, имеющих конфиденциальный характер, к защищаемой информации;

- Определение системы органов и должностных лиц, ответственных за обеспечение информационной безопасности в стране и порядка регулирования деятельности предприятий и организации в этой области;

- Создание полного комплекса нормативно-правовых руководящих и методических материалов (документов), регламентирующих вопросы обеспечения информационной безопасности как в стране в целом, так и на конкретном объекте;

- Определение мер ответственности за нарушение правил защиты;

- Определение порядка разрешения спорных и конфликтных ситуаций по вопросам защиты информации.

В настоящее время основополагающее значение в области информационного права имеют следующие законодательные акты:

- Гражданский кодекс Российской Федерации.

- Кодекс Российской Федерации об административных правонарушениях.

- Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. № Пр-1895.

- Федеральный закон № 149-ФЗ от 27 июля 2006 г. «Об инфор­мации, информационных технологиях и защите информации»;

- Федеральный закон от 28 декабря 2010 г. № 390-ФЗ «О безопасности»

- Федеральный закон № 17-ФЗ от 3 февраля 1996 г. «О банках и банковской деятельности»;

- Федеральный закон № 63-ФЗ от 6 апреля 2011 г. «Об электрон­ной подписи»;

- Федеральный закон № 152-ФЗ от 27 июля 2006 г. «О персональных данных»;