Виды умышленных угроз безопасности информации
Защита информации в ИС и технологиях управленческой деятельности
План лекции
6.1. Виды умышленных угроз безопасности информации
6.2. Методы и средства зашиты информации
6.3. Криптографические методы зашиты информации
Умышленные угрозы подразделяются на пассивные и активные угрозы; внутренние и внешние.
Пассивные угрозы направлены на несанкционированное использование информационных ресурсов ИС без нарушения ее функционирования. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т.п.
Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в базе данных, разрушение программных средств, нарушение работы каналов связи. Источником активных угроз могут быть действия взломщиков, вредоносные программы и т.п.
Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом. Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, стихийными бедствиями).
Особое место среди умышленных угроз занимает промышленный шпионаж. Он связан с незаконным сбором, присвоением и передачей сведений, составляющих коммерческую тайну.
По своему существу умышленные угрозы подразделяются на следующие виды:
- утечка конфиденциальной информации;
- компрометация информации;
- несанкционированное использование информационных ресурсов;
- ошибочное использование информационных ресурсов;
- несанкционированный обмен информацией между абонентами;
- отказ от информации;
- нарушение информационного обслуживания;
- незаконное использование привилегий.
К методам защиты информации относятся:препятствие,управление доступом,механизмы шифрования,регламентация,принуждение,побуждение.
Препятствие – методы физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
Управление доступом – методы защиты информации с применением регулирования использования всех ресурсов ИС и ИТ.
Механизмы шифрования – методы защиты информации с применением специальных методовшифрования. Наиболее эффективным методом является криптографический метод.
Регламентация – создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.
Принуждение – метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение – метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.
Средства зашиты информации подразделяются на: технические, программные,законодательные средства
Вся совокупность технических средств подразделяется на аппаратные и физические,программные,организационные,морально-этические средства.
Аппаратные средства – устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.
Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, а также информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.
Программные средства – это специальные программы и программные комплексы, предназначенные для защиты информации в ИС.
Организационные средства осуществляют регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий.
Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
Морально-этические средства защиты включают традиционные и специально разрабатываемые нормы поведения сотрудников, работающих с ИС и ИТ.