Полезное:
Как сделать разговор полезным и приятным
Как сделать объемную звезду своими руками
Как сделать то, что делать не хочется?
Как сделать погремушку
Как сделать так чтобы женщины сами знакомились с вами
Как сделать идею коммерческой
Как сделать хорошую растяжку ног?
Как сделать наш разум здоровым?
Как сделать, чтобы люди обманывали меньше
Вопрос 4. Как сделать так, чтобы вас уважали и ценили?
Как сделать лучше себе и другим людям
Как сделать свидание интересным?
Категории:
АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника
|
Информация как ценность; Информационные угрозы (угрозы конфиденциальности, целостности, доступности); классификация угроз, ущерб, уровень риска, стратегии управления рисками
Под безопасностью информации будем понимать такое ее состояние, при котором исключается возможность ознакомления с этой информацией, ее изменения или уничтожения лицами, не имеющими на это права, а также утечки за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники. Под защитой информации понимается совокупность мероприятий, направленных на обеспечение целостности и конфиденциальности обрабатываемой в АСУ информации, а также доступности информации для органов управления. Целью защиты информации в АСУ является сведение к минимуму потерь в управлении, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей. Объект - совокупность зданий или помещений с размещенными в них техническими средствами обработки, передачи и хранения информации, объединенная едиными информационными потоками. Охраняемая зона объекта - ограниченная территория, имеющая обозначенный периметр, на которой принимаются меры по предотвращению проникновения на объект нарушителей, способных причинить ущерб информационным ресурсам. Рубежи защиты - созданные на объекте при помощи организационных и технических мер различные процедуры, препятствующие несанкционированному доступу к информации. Главным критерием в выборе средств защиты интеллектуальной собственности следует считать ее ценность (реальную или потенциальную). Эта ценность должна определяться в первую очередь приносимым доходом, а также компенсацией возможных затрат на ее защиту. Для конкурентов же эта ценность должна компенсировать риск, связанный с ее получением (добыванием). Для того чтобы обеспечить эффективную защиту интеллектуальной собственности, необходимо провести ее анализ и оценить ценность и уязвимость. Ценность интеллектуальной собственности позволяет установить возможный ущерб от овладения информацией конкурентами. Уязвимость дает возможность выявить характерные особенности и недостатки объекта защиты, которые могут облегчить проникновение злоумышленника к охраняемым сведениям. Утечка — это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Несанкционированный доступ — совокупность приемов и порядок действий с целью получения (добывания) охраняемых сведений незаконным, противоправным путем. Злоумышленник преследует три цели, осуществляя несанкционированный доступ к источникам конфиденциальной информации: · получить необходимую информацию в требуемом для конкурентной борьбы объеме и ассортименте; · иметь возможность вносить изменения в информационные потоки конкурента в соответствии со своими интересами; · нанести ущерб конкуренту путем уничтожения материальных и информационных ценностей. По виду НСД угрозы делятся на: · Угрозы, приводящие к нарушению конфиденциальности информации (копирование, распространение) · Угрозы, приводящие к несанкционированному, в том числе случайному воздействию на информацию (нарушение целостности) · Угрозы, приводящие к несанкционированному, в том числе случайному воздействию на программно-аппаратные элементы ИСПДН (нарушение доступности) Угрозы с применением программно-аппатартных средств приводят к несанкционированному доступу в результате которого осуществляется нарушение целостности, конфиденциальности и доступности информации. · Угрозы проникновения в ОС компьютера при помощи штатного ПО (непосредственный доступ, удаленный доступ) · Угрозы создания нештатных режимов работы программных средств за счет изменения служебных данных · Угрозы внедрения вредоносных программ По степени преднамеренности действий: · Случайные (неумышленные действия, например, сбои в работе систем, стихийные бедствия). · Преднамеренные (умышленные действия, например, шпионаж и диверсии). По расположению источника угроз: · Внутренние (источники угроз располагаются внутри системы). · Внешние (источники угроз находятся вне системы). По размерам наносимого ущерба: · Общие (нанесение ущерба объекту безопасности в целом, причинение значительного ущерба). · Локальные (причинение вреда отдельным частям объекта безопасности). · Частные (причинение вреда отдельным свойствам элементов объекта безопасности). По степени воздействия на информационную систему: · Пассивные (структура и содержание системы не изменяются). · Активные (структура и содержание системы подвергается изменениям). Источники угроз: · Нарушитель (внешний, внутренний) · Носитель вредоносной программы · Аппаратная закладка Одно из ключевых понятий в оценке эффективности проявления угроз объекту информационной безопасности — ущерб, наносимый этому объекту (предприятию) в результате воздействия угроз. Прямой ущерб информационной безопасности предприятия возникает вследствие утечки конфиденциальной информации. Косвенный ущерб — потери, которые несет предприятие в связи с ограничениями на распространение информации, в установленном порядке, отнесенной к категории конфиденциальной (это издержки на защиту информации). Описание ущерба, наносимого предприятию в результате утечки конфиденциальной информации, основывается на его количественных и качественных показателях, которые базируются на одном из принципов засекречивания информации (отнесения ее к категории конфиденциальной) — принципе обоснованности. Он заключается в установлении (путем экспертных оценок) целесообразности засекречивания конкретных сведений (отнесения содержащейся в них информации к категории конфиденциальной), а также вероятных последствий этих действий, с учетом решаемых предприятием задач и поставленных целей. Введение ограничений на распространение информации (в связи с ее засекречиванием или отнесением к категории конфиденциальной) приводит и к позитивным, и к негативным последствиям. К основным позитивным последствиям следует отнести предотвращение возможного прямого ущерба информационной безопасности предприятия из-за утечки защищаемой информации. Негативные последствия связаны с наличием (вероятным возрастанием) косвенного ущерба или издержек в виде затрат на защиту информации и величины упущенной выгоды, которая может быть получена при ее открытом распространении. Общий ущерб безопасности предприятия от утечки конфиденциальной информации определяют следующим образом. Ущерб – физическое повреждение или другой вред здоровью людей, имуществу (активам) или окружающей среде. Количественная величина ущерба не всегда поддается оценке. В этих случаях для оценки ущерба может использоваться качественное описание. Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПД. Он возникает за счет незаконного использования (в том числе распространения) ПД или за счет несанкционированной модификации этих данных и может проявляться в виде: · нанесения вреда здоровью субъекта ПД; · незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта; · потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПД; · нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то согласия (например – рассылка персонифицированных рекламных предложений и т.п.). Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПД. Отечественный ГОСТ Р 51898 – 2002 определяет, что «безопасность – отсутствие недопустимого риска». То есть определяет через другое понятие «риска», которое более емко, чем просто понятие «опасности». К тому же упоминается не просто риск, а недопустимый риск. На этом понятие остановимся подробнее. Информационный риск (ИТ - риск) — реальные или потенциально возможные действия или условия, приводящие к изменению или уничтожению информации в информационной системе, а также к прямым материальным убыткам за счет воздействия на материальные ресурсы. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи. С информационным риском наиболее связаны операционный риск и риск информационной безопасности. Уязвимым является каждый компонент информационной системы. Старая система, подвергшаяся небольшим модификациям, может быть проанализирована только с точки зрения оценки влияния новых элементов на безопасность всей системы. Основные этапы: Ø Выбор методики оценки рисков: приемлемы ли существующие риски, и если нет, то какие защитные средства экономически выгодно использовать. Управление рисками - типичная оптимизационная задача, и существует довольно много программных средств, способных помочь в ее решении. Ø Анализ угроз и их последствий. Первый шаг в анализе угроз - их идентификация. Анализируемые виды угроз следует выбрать из соображений здравого смысла, но в пределах выбранных видов провести максимально полное рассмотрение. Целесообразно выявлять не только сами угрозы, но и источники их возникновения. После идентификации угрозы необходимо оценить вероятность ее осуществления. Ø Оценка рисков (виды потерь). После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Это возможно с помощью различных инструментальных средств, а также с использованием различных методов моделирования процессов защиты информации. Информационный ущерб может рассматриваться и с точки зрения потерь, приводящих к какой-либо убыточности, в частности, в тех случаях, когда они могут быть оценены. Потери, связанные с материальным ущербом. Речь идет о компенсации или размещении утраченных или похищенных материальных средств. К этой сумме может добавиться целый ряд других, может быть даже более значительных: o стоимость компенсации, возмещение другого косвенно утраченного имущества; o стоимость ремонтно-восстановительных работ; o расходы на анализ и исследование причин и величины ущерба; расходы на восстановление информации, связанные с возобновлением работы сети по сбору, хранению, обработке к контролю данных. потери, связанные со снижением общего потенциала предприятия, вызываемого следующими причинами: o снижение банковского доверия; o уменьшение размеров прибыли; o потеря клиентуры; o снижение доходов предприятия и др. Ø Выбор защитных мер. Выбирая защитные меры, приходится учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, на обучение и переподготовку персонала. Выбирая подходящий способ защиты, целесообразно учитывать возможность экранирования одним сервисом безопасности сразу нескольких прикладных сервисов. Ø Реализация и проверка выбранных мер. Реализацию и проверку новых регуляторов безопасности следует предварительно распланировать. В плане необходимо учесть наличие финансовых средств, сроки обучения персонала. Нужно составить план тестирования (автономного и комплексного), если речь идет о программно-техническом механизме защиты. Ø Оценка остаточного риска Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, то можно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками. Ответы: Архитектура ЭВМ. Date: 2016-06-06; view: 1096; Нарушение авторских прав |