- возможность несанкционированной (случайной или злоумышленной) модификации;
- опасность несанкционированного (случайного и преднамеренного) получения информации лицами, для которых она не предназначалась.
Кроме этого, информационным технологиям присуща подверженность различным видам воздействий, снижающих информационную безопасность (см. рис.7). Эти воздействия принято называть угрозами безопасности информации и информационной безопасности. Вполне очевидно, что понятия таких угроз формируются с учетом соответствующих понятий безопасности. Наиболее общие понятия безопасности и угроз сформулированы в Законе Российской Федерации «О безопасности».
УГРОЗЫ БЕЗОПАСНОСТИ
По природе возникновения
По ориентации на ресурсы
Стихийные бедствия природного, техногенного и социального характера
Угрозы персоналу
Несчастные случаи
Угрозы материальным ресурсам
Ошибки обслуживающего персонала, пользователей
Угрозы финансовым ресурсам
Злоупотребления персонала, пользователей
Угрозы информации
Противоправные действия со стороны злоумышленников
Угрозы информационным ресурсам
Сбои и отказы в программном обеспечении и оборудовании
Угрозы информационным системам
Другие
Рис. 7. Виды угроз безопасности
Безопасность - состояние защищенности жизненно важных интересов личности, общества, государства от внешних и внутренних угроз.
Угроза безопасности - совокупность условий, факторов, создающих опасность жизненно важным интересам личности, общества и государства.
Таким образом, независимо от вида объекта безопасности, угроза безопасности представляет совокупность факторов, явлений, условий и действий, создающих опасность для нормального функционирования объектов, реализующих определенные цели и задачи. С учетом этих понятий, для ТСОИ можно представить следующее определение угрозы.
Угроза информационной безопасности - реальные или потенциально возможные действия или условия, приводящие к овладению, хищению, искажению, изменению, уничтожению информации, обрабатываемой в ТСОИ, и сведений о самой системе, а также к прямым материальным убыткам.
Подсистемы защиты информации должны преследовать достижение следующих целей Петров В.А., Пискарев А.С., Шеин А.В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах: Учебное пособие. Изд. 2-е, испр. - М.: МИФИ, 1995..
1) обеспечение физической целостности защищаемой информации, т.е. заданной синтаксической ее структуры;
2) обеспечение логической целостности, т.е. семантических характеристик информации и установленных взаимосвязей между ее элементами;
3) обеспечение доверия к информации в прагматическом плане, т.е. предупреждения несанкционированной ее модификации с изменением или без изменения синтаксических или семантических характеристик;
4) предупреждение несанкционированного получения защищаемой информации лицами или программами (процессами), не имеющими на это специальных полномочий, т.е. обеспечения установленного статуса ее секретности (конфиденциальности);
5) предупреждение несанкционированного копирования (размножения) информации, объявленной чьей-либо собственностью;
6) защита от демаскирования, т.е. скрытия назначения, архитектуры, технологии и самого факта функционирования системы обработки информации;
7) защита личности, общества, государства, в т.ч. их информационных ресурсов, информации, информационных систем от воздействия информации, наносящей ущерб, внешних и внутренних угроз.
Для достижения рассмотренных целей комплексной защиты информации необходимо предусмотреть адекватные по содержанию и достаточные по количеству способы и средства защиты, как отдельных образцов ТСОИ и в целом любой системы обработки информации.
Проблему защиты информации усугубляет бурное развитие мобильных технологий. Исследования аналитиков в области информационной безопасности говорят о безответственности людей в обращении со своими мобильными устройствами. Именно этот тип утечек приводит к серьезным убыткам пользователей гаджетов Gadget (англ.) - техническое устройство..
Благодаря высоким коммуникационным возможностям современные мобильные устройства получают все большее распространение.
Функции почты, управление контактами, Интернет, создание документации делает современные портативные устройства незаменимыми помощниками. Наличие bluetooth, IrDA, Wi-Fi - все это идеально подходит для массового использования. Вследствие резкого роста «мобильного потенциала» общества существенно повышается риск утечки информации. Подавляющее большинство (более 70%) пользователей хранят на мобильном устройстве конфиденциальные данные, причем как свои, так и своего работодателя. И при этом 17% пользователей хотя бы раз теряли мобильный телефон, карманный персональный компьютер (КПК), смартфон, а то и ноутбук. Организации, служащие которых применяют мобильные устройства, входят в группу повышенного риска.
Около 90% компаний сегодня не в состоянии предотвратить неавторизованное подключение мобильных накопителей к корпоративной сети, при этом только половина компаний осознает существующий риск утечек. Инциденты по утечке корпоративной информации случаются все чаще и чаще, носят глобальный характер. От потери данных страдают банки, сотовые операторы, хостинг-провайдеры, малый бизнес и большие корпорации, коммерческие фирмы и государственные учреждения - все эти организации зафиксировали массу утечек в 2006 году. Многие из этих компаний теперь могут стать жертвой мошенников, лишиться всех сбережений и навсегда испортить кредитную историю.
Из года в год убытки от утечек конфиденциальной информации растут на 20-25%, по оценкам специалистов по ИБ в 2006 году только в США потеряли более 60-65 млрд. долларов вследствие утечек приватных сведений. По прогнозам, совокупные потери мировой экономики из-за кражи коммерческих секретов достигнут в 2008 году 1 трлн. долларов.
Нельзя не отметить и то, что в последнее время недобросовестные конкуренты стали прибегать к услугам должностных лиц правоохранительных и контролирующих органов, которые, используя имеющиеся у них властные полномочия и оперативно-технические возможности, получают информацию о деятельности коммерческих структур. Так, в Калининграде было возбуждено уголовное дело в отношении сотрудника уголовного розыска и работника таможни, которые пытались передать коммерческой организации электронную базу конфиденциальных данных Калининградской таможни Витвитская С.А. Охотники за чужими головами //Щит и меч. 13.10.2005..Фактам тайного хищения информации, совершенных при разных обстоятельствах, сопутствует лишь одно общее обстоятельство - «отсутствие свободного доступа на законном основании», которое собственник должен обеспечивать самостоятельно, организуя защиту информации «от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации». При этом выбор способов осуществляется с учетом обеспечения рассмотренных выше целей комплексной защиты информации или защиты системы от воздействий разрушающей информации. К таким способам можно отнести:
- препятствие - создание на пути возникновения или распространения дестабилизирующего фактора определенного барьера, не позволяющего соответствующему фактору принять опасные размеры;
- управление, определение и выработка на каждом шагу функционирования системы обработки информации управляющих воздействий на элементы системы, в результате которых будет обеспечено решение одной или нескольких задач защиты информации;
- маскировка преобразования информации, исключающая или существенно затрудняющая доступ к ней злоумышленников;
- регламентация - способ защиты информации, состоящий в разработке и реализации в процессе функционирования системы обработки информации комплекса мероприятий, создающих условия обработки информации, существенно затрудняющих проявление и воздействие дестабилизирующих факторов;
- принуждение - способ защиты, обеспечивающий соблюдение пользователями и обслуживающим персоналом правил и условий обработки информации под угрозой материальной, административной или уголовной ответственности;
- побуждение - способ защиты информации, при котором пользователи и обслуживающий персонал систем обработки информации побуждаются (материально, морально, этически, психологически) к соблюдению всех правил ее обработки.
Как правило, перечисленные способы предотвращения угроз реализуются следующими видами защит:
- организационно-правовой защитой, основывающейся на реализации системы общегосударственных законодательных актов, нормативно-правовых актов отдельных министерств и ведомств, органов управления, а также на системе разработанных на их базе организационных, организационно-технических и иных мероприятий, используемых для защиты информации;
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29
