Видыугрозинформационнойбезопасности

Под угрозой информационной безопасности принято понимать потенциально возможные действия, явления или процессы, способные оказать нежелательное воздействие на систему или на хранящуюся в ней информацию.

Такие угрозы, воздействуя на ресурсы, могут привести к искажению данных, копированию, несанкционированному распространению, ограничению или блокированию к ним доступа. В настоящее время известно достаточно большое количество угроз, которые классифицируют по различным признакам.

По природе возникновения различают естественные и искусственные угрозы. К первой группе относятся те, что вызваны воздействием на компьютерную систему объективных физических процессов или стихийных природных явлений. Вторая группа – те угрозы, которые обусловлены деятельностью человека.

По степени преднамеренности проявления, угрозы разделяют на случайные и преднамеренные.

Также есть разделение в зависимости от их непосредственного источника, в качестве которого может выступать природная среда (например, стихийные бедствия), человек (разглашение конфиденциальных данных), программно-аппаратные средства: санкционированные (ошибка в работе операционной системы) и несанкционированные (заражение системы вирусами).

Источник угроз может иметь разное положение. В зависимости от этого фактора также выделяют три группы:

- Угрозы, источник которых находятся вне контролируемой группы компьютерной системы (пример – перехват данных, передаваемых по каналам связи)

- Угрозы, источник которых – в пределах контролируемой зоны системы (это может быть хищение носителей информации)

- Угрозы, находящиеся непосредственно в самой системе (например, некорректное использование ресурсов).

Угрозы способны по-разному воздействовать на компьютерную систему. Это могут быть пассивные воздействия, реализация которых не влечет за собой изменение структуры данных (например, копирование). Активные угрозы — это такие, которые, наоборот, меняют структуру и содержание компьютерной системы (внедрение специальных программ).

В соответствии с разделением угроз по этапам доступа пользователей или программ к ресурсам системы существуют такие опасности, которые проявляются на этапе доступа к компьютеру и обнаружимые после разрешения доступа (несанкционированное использование ресурсов).

ИНФОРМАЦИОННЫЕ ПРОТИВОБОРСТВА

Важнейшими задачами обеспечения информационной безопасности Российской Федерации являются:

· реализация конституционных прав и свобод граждан Российской Федерации в сфере информационной деятельности;

· совершенствование и защита отечественной информационной инфраструктуры, интеграция России в мировое информационное пространство;

противодействие угрозе развязывания противоборства в информационной сфере. ^[1][ Информационное противоборство — соперничество социальных систем в информационно-психологической сфере с целью усиления влияния на те или иные сферы социальных отношений и установления контроля над источниками стратегических ресурсов, в результате которого одни участники соперничества получают преимущества, необходимые им для дальнейшего развития, а другие их утрачивают.^[3][4]

Под информационным противоборством понимается борьба в информационной сфере, которая предполагает комплексное деструктивное воздействие на информацию, информационные системы и информационную инфраструктуру противоборствующей стороны с одновременной защитой собственной информации, информационных систем и информационной инфраструктуры от подобного воздействия. Конечной целью информационного противоборства является завоевание и удержание информационного превосходства над противоборствующей стороной.^[5] Объектом информационного противоборства является любой объект, в отношении которого возможно осуществление информационного воздействия (в том числе — применение информационного оружия) либо иного воздействия (силового, политического, экономического и т. д.), результатом которого будет модификация его свойств как информационной системы. Объектом информационного противоборства может стать любой компонент или сегмент информационно-психологического пространства, в том числе — следующие виды^[6]: массовое и индивидуальное сознание граждан; социально-политические системы и процессы; информационная инфраструктура; информационные и психологические ресурсы.

К субъектам информационного противоборства относят: государства, их союзы и коалиции; международные организации; негосударственные незаконные (в том числе — незаконные международные) вооруженные формирования и организации террористической, экстремистской, радикальной политической, радикальной религиозной направленности; транснациональные корпорации; виртуальные социальные сообщества; медиа-корпорации (контролирующие средства массовой информации и массовой коммуникации — СМИ и МК); виртуальные коалиции.

Компьютерная безопасность

Компью́терная безопа́сность — меры безопасности, применяемые для защиты вычислительных устройств (компьютеры, смартфоны и другие), а также компьютерных сетей (частных и публичных сетей, включая Интернет). Поле деятельности системных администраторов охватывает все процессы и механизмы, с помощью которых цифровое оборудование, информационное поле и услуги защищаются от случайного или несанкционированного доступа, изменения или уничтожения данных, и приобретает всё большее значение в связи с растущей зависимостью от компьютерных систем в развитом сообществе^[1].

Кибербезопасность — процесс использования мер безопасности для обеспечения конфиденциальности, целостности и доступности данных. Системный администратор обеспечивает защиту активов, включая данные локальной сети компьютеров, серверов. Кроме того, под охрану берутся непосредственно здания и, самое главное, персонал. Целью обеспечения кибербезопасности является защита данных (как в процессе передачи и/или обмена так и находящихся на хранении). В целях обеспечения безопасности данных могут быть применены и контрмеры. Некоторые из этих мер включают (но не ограничиваются) контроль доступа, обучение персонала, аудит и отчётность, оценку вероятных рисков, тестирование на проникновение и требование авторизации[2]. Классы безопасности

"Критерии..." Министерства обороны США открыли путь к ранжированию информационных систем по степени доверия безопасности.

В " Оранжевой книге " определяется четыре уровня доверия - D, C, B и A. Уровень D предназначен для систем, признанных неудовлетворительными. По мере перехода от уровня C к A к системам предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием степени доверия.

Всего имеется шесть классов безопасности - C1, C2, B1, B2, B3, A1. Чтобы в результате процедуры сертификации систему можно было отнести к некоторому классу, ее политика безопасности и уровень гарантированности должны удовлетворять заданным требованиям, из которых мы упомянем лишь важнейшие.

Класс C1:

· доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам;

· пользователи должны идентифицировать себя, прежде чем выполнять какие-либо иные действия, контролируемые доверенной вычислительной базой. Для аутентификации должен использоваться какой-либо защитный механизм, например пароли. Аутентификационная информация должна быть защищена от несанкционированного доступа;

· доверенная вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий (в частности, от изменения команд и/или данных) и от попыток слежения за ходом работы;

· должны быть в наличии аппаратные и/или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы;

· защитные механизмы должны быть протестированы на предмет соответствия их поведения системной документации. Тестирование должно подтвердить, что у неавторизованного пользователя нет очевидных способов обойти или разрушить средства защиты доверенной вычислительной базы;

· должны быть описаны подходы к безопасности, используемые производителем, и применение этих подходов при реализациидоверенной вычислительной базы.

Класс C2 (в дополнение к C1):

· права доступа должны гранулироваться с точностью до пользователя. Все объекты должны подвергаться контролю доступа;

· при выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо ликвидировать все следы его использования;

· каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем;

· доверенная вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой;

· тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.

Класс B1 (в дополнение к C2):

· доверенная вычислительная база должна управлять метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом;

· доверенная вычислительная база должна обеспечить реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам;

· доверенная вычислительная база должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств;

· группа специалистов, полностью понимающих реализацию доверенной вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анализу и тестированию;

· должна существовать неформальная или формальная модель политики безопасности, поддерживаемой доверенной вычислительной базой.

Класс B2 (в дополнение к B1):

· снабжаться метками должны все ресурсы системы (например, ПЗУ), прямо или косвенно доступные субъектам;

· к доверенной вычислительной базе должен поддерживаться доверенный коммуникационный путь для пользователя, выполняющего операции начальной идентификации и аутентификации;

· должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью;

· доверенная вычислительная база должна быть внутренне структурирована на хорошо определенные, относительно независимые модули;

· системный архитектор должен тщательно проанализировать возможности организации тайных каналов обмена с памятью и оценить максимальную пропускную способность каждого выявленного канала;

· должна быть продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения;

· модель политики безопасности должна быть формальной. Для доверенной вычислительной базы должны существовать описательные спецификации верхнего уровня, точно и полно определяющие ее интерфейс;

· в процессе разработки и сопровождения доверенной вычислительной базы должна использоваться система конфигурационного управления, обеспечивающая контроль изменений в описательных спецификациях верхнего уровня, иных архитектурных данных, реализационной документации, исходных текстах, работающей версии объектного кода, тестовых данных и документации;

· тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации.

Класс B3 (в дополнение к B2):

· для произвольного управления доступом должны обязательно использоваться списки управления доступом с указанием разрешенных режимов;

· для произвольного управления доступом должны обязательно использоваться списки управления доступом с указанием разрешенных режимов;

· должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике безопасностисистемы. Администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом;

· доверенная вычислительная база должна быть спроектирована и структурирована таким образом, чтобы использовать полный и концептуально простой защитный механизм с точно определенной семантикой;

· процедура анализа должна быть выполнена для временных тайных каналов;

· должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности можно только после выполнения явных, протоколируемых действий;

· должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты;

· должна быть продемонстрирована устойчивость доверенной вычислительной базы к попыткам проникновения.

Класс A1 (в дополнение к B3):

· тестирование должно продемонстрировать, что реализация доверенной вычислительной базы соответствует формальным спецификациям верхнего уровня;

· помимо описательных, должны быть представлены формальные спецификации верхнего уровня. Необходимо использовать современные методы формальной спецификации и верификации систем;

· механизм конфигурационного управления должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности;

· должно быть описано соответствие между формальными спецификациями верхнего уровня и исходными текстами.

Такова классификация, введенная в " Оранжевой книге ". Коротко ее можно сформулировать так:

· уровень C - произвольное управление доступом;

· уровень B - принудительное управление доступом;

· уровень A - верифицируемая безопасность.

Конечно, в адрес "Критериев..." можно высказать целый ряд серьезных замечаний (таких, например, как полное игнорирование проблем, возникающих в распределенных системах). Тем не менее, следует подчеркнуть, что публикация " Оранжевой книги " без всякого преувеличения стала эпохальным событием в области информационной безопасности. Появился общепризнанный понятийный базис, без которого даже обсуждение проблем ИБ было бы затруднительным.

Отметим, что огромный идейный потенциал " Оранжевой книги " пока во многом остается невостребованным. Прежде всего это касается концепции технологической гарантированности, охватывающей весь жизненный цикл системы - от выработки спецификаций до фазы эксплуатации. При современной технологии программирования результирующая система не содержит информации, присутствующей в исходных спецификациях, теряется информация о семантике программ. Важность данного обстоятельства мы планируем продемонстрировать далее, в лекции об управлении доступом.

Электронное правительство России

Электронное правительство (англ. e-Government) — способ предоставления информации и оказания уже сформировавшегося наборагосударственных услуг

Электронное правительство — система электронного документооборота государственного управления, основанная на автоматизации всей совокупности управленческих процессов в масштабах страны и служащая цели существенного повышения эффективности государственного управления и снижения издержек социальных коммуникаций для каждого члена общества. Создание электронного правительства предполагает построение общегосударственной распределенной системы общественного управления, реализующей решение полного спектра задач, связанных с управлением документами и процессами их обработки^[1].

Электронное правительство является частью электронной экономики.

Электронное правительство:

1. создание новых форм взаимодействия госорганов;

2. оптимизация предоставления правительственных услуг населению и бизнесу;

3. поддержка и расширение возможностей самообслуживания граждан;

4. рост технологической осведомленности и квалификации граждан;

5. повышение степени участия всех избирателей в процессах руководства и управления страной;

6. снижение воздействия фактора географического местоположения;

Электронное правительство обеспечивает:

· эффективное и менее затратное администрирование;

· кардинальное изменение взаимоотношений между обществом и правительством;

· совершенствование демократии и повышение ответственности власти перед народом.

В условиях развития информационно-коммуникационных технологий все сферы деятельности государственных органов в электронном виде являются востребованными гражданами и организациями различных форм собственности. Актуальность данного направления подчеркивается динамичностью развития таких сфер как, социальная (ФСС, Пенсионный Фонд, ФМС), юридическая (адвокатура, нотариат, судопроизводство), экономическая (бюджет, финансы, налоги), культурная (наука, образование), медицинская, муниципальная сфера (ЖКХ) и т. д.

«Проектное управление» — это разработка, формирование, внедрение, координация и реализация проектов, стратегий, программ информатизации и связи в исполнительные органы государственной власти и подведомственные им организации в целях обеспечения потребности населения, государственных органов, органов местного самоуправления и организаций в доступе к услугам связи, информационным ресурсам и информационном взаимодействии.

Основные задачи менеджера проектов:

· реализации программ развития информатизации и связи, в том числе системы «электронное правительство»;

· координирует и продвигает работу по внедрению новейших технологий в части информатизации и связи в исполнительных органах государственной власти;

· оптимизация и регламентирование процессов планирования, контроля, корректировки планов проектов;

· отслеживание хода выполнения целевых программ, реализуемых Министерством;

· аналитика результатов и формирование отчетности по факту реализации мероприятий в области развития информатизации и связи;

· подготовка проектной документации для участия в федеральных конкурсах.