Обладателем такой информации введен режим коммерческой тайны, предусматривающий меры установленные законом.

⇐ ПредыдущаяСтр 3 из 5Следующая ⇒

Отнесение информации к информации, составляющей коммерческую тайну. Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений закона о коммерческой тайне.

Права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении такой информации режима коммерческой тайны.

Правовой статус коммерческой тайны закрепляется в «Перечне информации, составляющей коммерческую тайну организации». Перечень информации, составляющей коммерческую тайну, утверждается руководителем организации и вводится в действие его приказом.

Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений (ст.5. закона о коммерческой тайне):

1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности;

3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7) о нарушениях законодательства РФ и фактах привлечения к ответственности за совершение этих нарушений;

8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

11) обязательность раскрытия которых или недопустимость ограничения доступа к которым, установлена иными федеральными законами.

В законодательстве РФ сегодня нет исчерпывающего перечня основных объектов коммерческой тайны (что было бы нереально в силу многообразия субъектов и универсальности объекта правоотношений), есть лишь отдельные указания на это. Так, в Федеральном законе «О бухгалтерском учете» (п. 4 ст. 10) установлено, что содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности является коммерческой тайной.

На материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, наносится гриф «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Защита коммерческой тайны в организации осуществляется установлением режима коммерческой тайны.

Режим коммерческой тайны включает, и считается установленным после принятия обладателем информации, составляющей коммерческую тайну, следующих мер:

1) определение перечня информации, составляющей коммерческую тайну;

2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

5) нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Наряду с указанными мерами, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству России меры.

30 Персональные данные

Проблема защиты персональных данных в развитых странах стала актуальной в 70-х годах прошлого столетия, по мере развития автоматизированных систем обработки информации. Хотя это и послужило толчком для развития соответствующего законодательства, но основной внутренней причиной явилась необходимость дальнейшего совершенствования системы юридической защиты основных прав и свобод человека и гражданина. Поэтому персональные данные рассматриваются как особый институт права на «неприкосновенность частной жизни», «личную и семейную тайны», декларируемые Конституцией РФ. Часто такие данные называют «конфиденциальной информацией персонального характера» или «личной тайной».

Федеральный закон РФ «О персональных данных» приводит четыре правовые категории персональных данных, относительно которых регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации или без использования таких средств.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Специальные категории персональных данных. Они касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обработка специальных категорий персональных данных допускается только в отдельных случаях установленных законом.

Биометрические персональные данные. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Грифа конфиденциальности для персональных данных законодательством не установлено.

Субъектами права в отношении персональных данных выступают:

а) субъекты персональных данных - лица, к которым относятся соответствующие данные, и их наследники (собственники);

б) операторы (держатели персональных данных) - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Конфиденциальность и обеспечение безопасности информационных систем персональных данных. Персональные данные охраняются в режиме информации ограниченного доступа (конфиденциальной информации).

Правовой статус персональных данных как информации ограниченного доступа обязан установить оператор. Этот статус закрепляется перечнем персональных данных подлежащих защите.

Требования по обеспечению безопасности информационных систем персональных данных определяются Правительством России.

Федеральные органы, уполномоченные в области безопасности (ФСБ России) и в области технической защиты информации и противодействия техническим разведкам (ФСТЭК России) осуществляют контроль и надзор за выполнением требований по обеспечению безопасности ПД.

Контроль осуществляется на основе нормативно-методических документов утверждаемых Правительством РФ.

31 Служебная тайна

В Советском Союзе, в своё время сложилась определённая система защиты информации с ограниченным доступом, в которой выделяли три вида такой информации: государственная тайна (информация с грифами «особой важности», «совершенно секретно»), служебная тайна (информация с грифом «секретно») и информация «для служебного пользования». С принятием в 1993 году закона РФ «О государственной тайне» гриф «секретно» был отнесён к сведениям, составляющим государственную тайну, а новый правовой институт служебной тайны остался не определённым.

В настоящее время регулирование вопросов связанных с отнесением информации к служебной тайне осуществляется на основе «Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» утверждённом Постановлением Правительства РФ от 3 ноября 1994 г. № 1233.

Служебная тайна – сведения о сферах деятельности государственных органов, доступ к которым ограничивается служебной необходимостью и разглашение или утрата которых может нанести ущерб государственным органам или государству.

Служебная тайна имеет три основы образования.

Во-первых, к служебной тайне могут быть отнесены сведения, содержащие служебную информацию о деятельности государственных органов, подведомственных им предприятий, учреждений и организаций, ограничения на распространение которых, установлены законом. К такой служебной информации относятся:

- тайна следствия (данные предварительного расследования либо следствия);

- судебная тайна (тайну совещания судей, содержание дискуссий и результатов голосования закрытого совещания Конституционного Суда РФ, материалы закрытого судебного заседания, тайну совещания присяжных заседателей);

- тайна о мерах безопасности (судьи, участников уголовного процесса, должностного лица правоохранительного или контролирующего органа);

- тайна усыновления;

- военная тайна.

Во - вторых, к служебной тайне могут быть отнесены сведения, содержащие служебную информацию о деятельности государственных органов, подведомственных им предприятий, учреждений и организаций, ограничения на распространение которых, диктуются служебной необходимостью.

В - третьих, к служебной тайне, могут быть отнесены сведения, являющиеся конфиденциальной информацией других лиц (собственников), но ставшие известными представителям государственных органов и органов местного самоуправления в силу исполнения ими служебных обязанностей.

К такой конфиденциальной информации относятся:

- коммерческая тайна;

- профессиональная тайна;

- банковская тайна;

- налоговая тайна;

- персональные данные.

Для служебной тайны используется гриф конфиденциальности (пометка) - для служебного пользования.

В действующем законодательстве приводится перечень сведений, которые не могут быть отнесены к служебной информации ограниченного распространения (постановление Правительства РФ от 3 ноября 1994г.№1233). По основному содержанию он совпадает с перечнем определённым в законе «Об информации, информационных технологиях и о защите информации».

Разновидностью служебной тайны является налоговая тайна, поскольку по основным признакам она совпадает с признаками служебной тайны. Состав сведений, отнесённых к налоговой тайне, закреплён в Налоговом Кодексе. По своему содержанию эти сведения в своей основе представляют персональные данные налогоплательщика.

Правовой статус служебной тайны закрепляется в «Перечне сведений ограниченного доступа» разрабатываемого на уровне органа государственной власти (министерства, ведомства), для государственной организации, предприятия, учреждения - при необходимости, и утверждается его (её) руководителем. Перечни сведений подведомственных организаций не должны противоречить ведомственным перечням, а лишь дополнять их с учётом специфики деятельности.

32 Профессиональная тайна

В современном законодательстве РФ не дано четкого определения профессиональной тайны. В то же время в Декларации прав и свобод человека и гражданина (1991 г.) прямо указывается, что охрана профессиональной тайны по закону может ограничивать право на поиск, получение и свободное распространение информации.

С учётом международной практики и положений законодательства РФ можно выделить следующие признаки отнесения информации к профессиональной тайне (критерии охраноспособности):

- доверена добровольно доверителем или стала известна лицу лишь в силу исполнения им своих профессиональных обязанностей;

- лицо, которому доверена информация, не состоит на государственной или муниципальной службе (в противном случае информация считается служебной тайной);

- запрет на распространение доверенной или ставшей известной информации, которое может нанести ущерб правам и законным интересам доверителя, установлен федеральным законом;

- информация не относится к сведениям, составляющим государственную и коммерческую тайну.

Таким образом, под профессиональной тайной можно понимать следующее:

профессиональная тайна - защищаемая по закону информация, доверенная или ставшая известной лицу (держателю) исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, распространение которой может нанести ущерб правам и законным интересам другого лица (доверителя), доверившего эти сведения, и не являющаяся государственной или коммерческой тайной.

В соответствии с этими критериями можно выделить следующие подвиды профессиональной тайны, которые установлены законодательством РФ.

1. Врачебная тайна - информация, содержащая факты обращения за медицинской помощью, результаты обследования лица, о состоянии здоровья, диагнозе заболевания и иные сведения в медицинских документах гражданина.

2. Тайна связи - тайна переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.

3. Нотариальная тайна - сведения, доверенные нотариусу в связи с совершением нотариальных действий.

4. Адвокатская тайна - сведения, сообщенные адвокату гражданином в связи с оказанием ему юридической помощи.

5. Тайна усыновления - сведения об усыновлении ребенка, доверенные на законном основании иным лицам, кроме судей, вынесших решение об усыновлении, и должностных лиц, осуществляющих государственную регистрацию этого усыновления.

6 Тайна страхования - сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц, полученные страховщиком в результате своей профессиональной деятельности.

7. Тайна исповеди - сведения, доверенные священнослужителю гражданином на исповеди.

8. Аудиторская тайна - сведения об операциях аудируемых лиц и лиц, которым оказывались сопутствующие аудиту услуги аудиторскими организациями и индивидуальными аудиторами.

Разновидностью профессиональной тайны является банковская тайна, которая имеет свой собственный правовой институт - институт банковской тайны.

Банковская тайна - защищаемые банками и иными кредитными организациями сведения о вкладах и счетах своих клиентов и корреспондентов, банковских операциях по счетам и сделкам в интересах клиентов, а также сведения о клиентах, разглашение которых может нарушить право последних на неприкосновенность частной жизни.

К сведениям, составляющим банковскую тайну отнесены:

- тайна банковского вклада (депозита);

- тайна банковского счета;

- тайна операций по банковскому счету;

- тайна частной жизни клиента.

Степеней конфиденциальности и грифов конфиденциальности носителей для профессиональной тайны, включая банковскую тайну, не установлено.

33 Понятие угрозы безопасности информации

Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба, чьим - либо интересам.

Применительно к безопасности информации понятие угрозы может быть сформулировано следующим образом:

- угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации, или (что равнозначно),

- угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.

Очевидно, что нарушение безопасности информации (конфиденциальности, целостности, доступности) в результате утечки информации и/или несанкционированных и/или непреднамеренных воздействий на нее, может привести к нанесению ущерба её собственнику, владельцу или пользователю.

34 Взаимосвязь угроз безопасности информации с источниками, уязвимостью и рисками

Угрозы безопасности информации не возникают сами по себе. Они всегда обусловлены уязвимостью информации, проявляющуюся через уязвимость носителей информации, уязвимость информационной системы в которой защищаемая информация обрабатывается и наличием источника угрозы (от чего или от кого угроза исходит).

Уязвимость (информационной системы); брешь - свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации. Если уязвимость соответствует угрозе, то существует риск.

Источник угрозы безопасности информации - субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

На основе анализа угроз безопасности информации выполняется анализ и оценка степени риска, для принятия решения о том, какие контрмеры (функции защиты) применить для предотвращения угроз и противодействия дестабилизирующим воздействиям.

Риск - ожидаемые потери или возможный результат реализации угрозы при наличии уязвимости и определенных обстоятельств или событий, приводящих к реализации угрозы. Возможность того, что определенная угроза реализуется вследствие наличия определенной уязвимости системы.

Оценка степени риска отвечает на вопрос «сколько средств нужно затратить на систему защиты» и сопоставить стоимость системы защиты со стоимостью (ценой, важностью) защищаемой информацией для нахождения оптимального в экономическом отношении решения.

Существует ряд подходов к измерению рисков. В зарубежных методиках, рассчитанных на более высокие требования, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери.

35 Структурно-логическая схема угрозы безопасности информации

Анализ негативных последствий реализации угроз в отношении информационной системы или другого технического средства обработки информации на объекте информатизации, предполагает обязательную идентификацию: уязвимостей, способствующих появлению и реализации угроз; возможных источников угроз; самих угроз, выражаемых через способы реализации угроз, связанных со злоумышленными действиями людей, или через каналы (среду) реализации способа, или результат воздействия.

Исходя из этого, можно представить общую структурно-логическую схему угрозы.

Угрозы, связанные со злоумышленными действиями людей всегда включают способ и средство реализации, а также канал (среду) через который осуществляется воздействие. С учётом этого все взаимосвязанные с такой угрозой элементы могут быть представлены в виде определённого профиля угрозы, представляющего собой кортеж: источник угрозы, способ реализации, канал реализации, уязвимость, риск.

Использование такой схемы угрозы позволяет производить достаточно полный анализ возможных угроз информации применительно к системам её хранения и обработки на объекте информатизации, разрабатывать модели угроз и на этой основе вырабатывать контрмеры и проектировать системы защиты информации.

36 Общая классификация угроз безопасности информации

В современной защите информации существует несколько подходов к классификации угроз безопасности информации. Классификация всегда проводится по определённым классифицирующим признакам.

С учётом классификаций используемых в нормативно-методических документах, стандартах по защите информации, угрозы могут быть классифицированы по следующим признакам:

- по источнику угрозы: объективные (естественные), субъективные (искусственные);

- по отношению к объекту: внутренние, внешние;

- по степени преднамеренности (для субъективных угроз): преднамеренные, непреднамеренные;

- по цели действия: угрозы конфиденциальности, угрозы целостности, угрозы доступности, угрозы праву собственности (для объектов интеллектуальной собственности);

- по характеру воздействия: активные, пассивные;

- по характеру нанесённого ущерба: материальный (экономический), моральный (политический).

Общая классификация угроз безопасности информации и их краткая характеристика приводится в таблице.

Признак класса	Вид угрозы	Характеристика
По источнику угрозы	Объективные (Естественные)	угрозы, вызванные воздействиями на системы обработки информации и ее компоненты объективных физических процессов или стихийных природных явлений, независящих от человека.
Субъективные (Искусственные)	угрозы, вызванные умышленными или неумышленными действия ми человека
По отношению к объекту защиты	Внутренние	источник которых, расположен в пределах контролируемой зоны (территории, помещения)
Внешние	источник которых, расположен вне контролируемой зоны (территории, помещения)
По степени преднамеренности (для субъективных)	Случайные	вызванные ошибками или халатностью персонала (непреднамеренные воздействия)
Преднамеренные	вызванные целенаправленными действиями людей
По цели действия	Угроза конфиденциальности	разглашение, НСД, получение разведка-
Угроза целостности	искажение (модификация), уничтожение,
копирование
Угроза доступности	блокирование доступа к информации или носителю
Угроза праву собственности на информацию	несанкционированное тиражирование и распространение объектов интеллектуальной собственности
По характеру воздействия	Активные (атаки)	которые, при воздействии, вносят изменения в структуру и содержание АС («троянский конь» и др.)
Пассивные	которые при реализации ничего не меняют в структуре и содержании АС (угроза копирования секретных данных)
По характеру нанесённого ущерба	Материальный	потеря упущенной выгоды в результате разглашения коммерческой тайны, утраты интернет - ресурса.
Моральный	(политический, личный, общественный)

Объективные (естественные) угрозы безопасности информации - это угрозы, источником которых являются объективные физических процессы (сбои и отказы оборудования ) или стихийные природные явления, независящие от человека (наводнение, ураган, землетрясение, пожар и т.п.).

Субъективные (искусственные) угрозы безопасности информации - это угрозы, источником которых является деятельность человека. Среди них, исходя из мотивации действий, можно выделить: непреднамеренные т.е. неумышленные (случайные) и преднамеренные (умышленные) угрозы.

По отношению к объекту защиты угрозы могут быть внешними или внутренними. Источники внешних угроз - это источники, которые расположены вне контролируемой зоны. Контролируемая зона определяется периметром, в пределах которого невозможно неконтролируемое пребывание посторонних лиц (территория организации, этаж, периметр помещения объекта информатизации). Внутренние источники расположены внутри контролируемой зоны и разделяются на субъективные и объективные. К внутренним, субъективным источникам относится персонал организации.

В зависимости от целей действия злоумышленника выделяют четыре класса угроз:

- угрозы нарушения конфиденциальности информации;

- угрозы нарушения целостности данных и программного обеспечения (искажение, модификация, и т.д.);

- угрозы нарушения доступности информации;

- угрозы праву собственности на информацию (для объектов интеллектуальной собственности используемых в ИС).

Угроза нарушения конфиденциальности информации заключается в том, что информация становится известной тому, кто не располагает правом и полномочиями доступа к ней через разглашение, несанкционированный доступ, а также получение её разведками.

На современном этапе развития информационных технологий подсистемы или функции защиты являются неотъемлемой частью информационных систем. Информация не представляется «в чистом виде», на пути к ней имеется хотя бы какая-нибудь система защиты, и поэтому, чтобы угрожать, скажем, нарушением конфиденциальности, атакующая сторона должна преодолеть эту систему. Однако, не существует абсолютно стойкой системы защиты, вопрос лишь во времени и средствах, требующихся на ее преодоление. Исходя из данных условий, примем следующую модель: защита информационной системы считается преодоленной, если в ходе ее исследования определены все уязвимости системы. Поскольку преодоление защиты также представляет собой угрозу, для защищенных систем необходимо в рамках угроз конфиденциальности рассматривать угрозы раскрытия параметров ИС и её системы защиты.

С точки зрения практики любое проводимое мероприятие предваряется этапом разведки, в ходе которого определяются основные параметры системы, ее характеристики и т.п. Результатом этого этапа является уточнение поставленной задачи, а также выбор наиболее оптимального технического средства.

Угрозу раскрытия можно рассматривать как опосредованную. Последствия ее реализации не причиняют какой-либо ущерб обрабатываемой информации, но дают возможность реализоваться первичным или непосредственным угрозам нарушения конфиденциальности, целостности или доступности информации в ИС.

Угроза нарушения целостности информации включает в себя любое умышленное изменение информации, хранящейся в информационной системе или передаваемой из одной системы в другую. Когда злоумышленники преднамеренно изменяют информацию, говорится, что целостность информации нарушена. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка программного или аппаратного обеспечения. Санкционированными изменениями являются те, которые сделаны уполномоченными лицами с обоснованной целью (например, санкционированным изменением является периодическая запланированная коррекция некоторой базы данных).

Угроза нарушения доступности возникает всякий раз, когда в результате преднамеренных действий, предпринимаемых другим пользователем или злоумышленником, блокируется доступ к некоторому ресурсу информационной системы. Реально блокирование может быть постоянным - запрашиваемый ресурс никогда не будет получен, или оно может вызывать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В этих случаях говорят, что ресурс исчерпан.

37 Цели и задачи оценки угроз безопасности информации

Оценка угроз защищаемой информации является одним из этапов проектирования системы защиты объекта информатизации и комплексной системы защиты информации на предприятии в целом. Ей предшествует обследование объекта информатизации и оценка состава, категорий и ценности защищаемой информации, а также систем хранения обработки и передачи информации.

В общем случае оценка угроз защищаемой информации и системам её обработки представляет собой анализ рисков - процесс определения угроз, уязвимостей, возможного ущерба, а также контрмер. Для этого разрабатывается модель угроз безопасности информации.

Модель угроз (безопасности информации) - физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

При моделировании угроз используются как формальные методы оценки, так и неформальные. При этом анализируются все составляющие угрозы и решаются частные задачи.

Частными задачами при моделировании и оценке угроз являются:

- обоснование (выбор) системы показателей, необходимых для оценки уязвимости информации;

- выбор (разработка) методики для проведения исследований и определения состава угроз;

- определение и анализ множества видов уязвимости информации, носителей и систем её обработки;

- определение и анализ источников угроз и дестабилизирующих факторов;

- определение и анализ множества каналов несанкционированного воздействия на информацию и системы её обработки (каналов утечки информации и несанкционированного доступа );

- определение возможных способов реализации угроз и способов атак на системы обработки (АС);

- определение относительно полного множества реальных угроз и рисков, которые будут положены в основу для определения требований к системе защиты информации, с целью уменьшить или исключить риски.

38 Источники угроз безопасности информации

Основной причиной существования и реализации угроз безопасности информации являются источники угроз. В качестве источников угроз безопасности информации могут выступать как физические лица (группа физических лиц), так и объективные проявления: явления природного и техногенного характера, и процессы хранения, обработки и передачи информации. Источники угроз безопасности информации разделяются на два класса: объективные, субъективные. Каждый класс, включает два подкласса: внешние источники, внутренние источники.

Классификация источников угроз безопасности информации приведена на рисунке

39 Объективные источники угроз безопасности информации

Объективные внутренние источники угроз. Подкласс этих источников угроз включает одну группу - источники техногенного характера. Источниками являются некачественные технические средства обработки информации, некачественное программное обеспечение, системы обеспечения ОИ (охраны, сигнализации, телефонии). Недостаточное качество (дефекты) могут привести к сбоям, отказам, авариям.

Дефекты, сбои, отказы, аварии технических средств и систем объекта информатизации. Исключить полностью эти явления достаточно сложно. Однако на случай проявления таких факторов должны быть предусмотрены специальные меры службами безопасности предприятия. Другим немаловажным средством предотвращения таких явлений является использование надёжных (сертифицированных) средств обработки и обеспечения ОИ. Результатом проявления этих факторов может быть утрата информации (потеря целостности, блокирование доступа к ней, выход из строя носителей информации).

Дефекты, сбои и отказы программного обеспечения объекта информатизации. Сбои программного обеспечения иногда более опасны, чем аварии ТС и систем ОИ, так как в результате информация может быть полностью уничтожена.

Объективные внешние источники угроз. Этот подкласс источников угроз включает явления техногенного и стихийного (природного) характера.

Стихийные источники угроз относятся к случайным, непреднамеренным источникам. Результатом воздействия является утрата (уничтожение или разрушение носителей ЗИ или блокирование доступа к ней). Они непосредственно не зависят от действия людей. В то же время предотвращение этих воздействий возлагается на специалистов организации, в рамках которой функционирует объект информатизации. Для предотвращения угроз вызванных этими источниками существуют определённые средства и методы (громоотводы, заземления, противопожарные системы и т.п.).

Предупреждение воздействия этих факторов является традиционным и связано не только с информационной безопасностью объекта, но и в целом с безопасностью организации.

40 Субъективные источники угроз безопасности информации.

Субъективные источники угроз безопасности информации разделяются на два подкласса: внутренние и внешние.

Субъективные внутренние источники включают группы:

- персонал, допущенный к защищаемой информации;

- лица, допущенные на ОИ, обслуживанию систем и средств обеспечения ОИ.

Под класс	Труппа	Подгруппа
Внутренние	Персонал допущенный к защищаемой информации (нарушители и злоумышленники)	- основной персонал (пользователи, программисты, разработчики) - представители службы защиты информации
Лица, допущенные на ОИ, обслуживанию систем и средств обеспечения ОИ (нарушители и злоумышленники)	- вспомогательный персонал (уборщики, охрана) технический персонал (жизнеобеспечение, эксплуатация)
Внешние	Нарушители и злоумышленники	- иностранные разведки - конкуренты и их службы разведки (недобросовестные партнеры) - криминальные элементы (структуры) - потенциальные преступники и хакеры (компьютерные взломщики) и т.д. - технический персонал поставщиков телематических услуг - представители надзорных организаций и аварийных служб - представители силовых структур - самоутверждающиеся личности

Субъективные внешние источники угроз безопасности информации. Этот подкласс, включает группы нарушителей и злоумышленников.

41 Виды угроз безопасности информации и способы их реализации со стороны субъективных источников

Основным вариантом классификации угроз безопасности информации и способов их реализации со стороны субъективных источников (субъективные угрозы) для объекта информатизации, следует считать вариант составленный на основе факторов воздействующих на информацию, приведенных в ГОСТ Р 51275-2006 Объект информатизации. Факторы, воздействующие на информацию. Класс субъективных угроз включает два подкласса: внутренние и внешние.

Видами субъективных, внутренних угроз безопасности информации на объекте информатизации следует считать:

- разглашение конфиденциальной информации лицами, имеющими к ней право доступа;

- неправомерные действия со стороны лиц, имеющих право доступа к защищаемой (конфиденциальной и иной);

- несанкционированный доступ к защищаемой информации;

- блокирование доступа к защищаемой информации.

⇐ Предыдущая 1 234 5 Следующая ⇒