|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ. Крадіжка — здійснення з корисливою метою протиправного безоплатного вилучення і (або) обіг чужого майна на користь винного або інших осібІ Крадіжка — здійснення з корисливою метою протиправного безоплатного вилучення і (або) обіг чужого майна на користь винного або інших осіб, що спричинили збитки власникові майна. Копіювання комп'ютерної інформації — повторювання та стійке збереження інформації на машинному або іншому носієві. Знищення — зовнішній вплив на майно, у результаті якого воно припиняє своє існування або приходить у повну непридатність для використання по цільовому призначенню. Знищене майно не може бути відновлене шляхом ремонту або реставрації та повністю виводиться з господарського обігу. Знищення комп'ютерної інформації — стирання її у пам'яті ЕОМ. Ушкодження — змінювання властивостей майна, при якому суттєво погіршується його стан, втрачається значна частина його корисних властивостей і воно стає повністю або частково непридатним для цільового використання. Модифікація комп'ютерної інформації — внесення будь-яких змін, окрім пов'язаних з адаптацією програми для ЕОМ або баз даних. Блокування комп'ютерної інформації — штучне ускладнення доступу користувачів до інформації, не пов'язане з її знищенням. Несанкціоноване знищення, блокування, модифікація, копіювання інформації — будь-які не дозволені законом, власником або компетентним користувачем вказаних дій з інформацією. Обман (заперечення автентичності, нав'язування хибної інформації) — умисне спотворення або приховування істини з метою введення в оману особу, у веденні якої знаходиться майно, і таким чином домагатися від неї добровільної передачі майна, а також повідомлення з цією метою свідомо неправдивих відомостей. Якщо розглядати як суб'єкт, що спричинив збитки, будь-яке природне або техногенне явище під збитками можна розуміти невигідні для власника майнові наслідки, викликані цими явищами, і які можуть бути компенсовані за рахунок третьої сторони (страхування ризиків настання події) або за рахунок власних засобів власника інформації. Наприклад, страхування представляє собою відносини із захисту майнових інтересів фізичних і юридичних осіб при настанні певних подій (страхових випадків) за рахунок грошових фондів, які формуються зі сплачуваних ним страхових внесків. 7.1.3. Класифікація загроз безпеці інформації Виходячи з попередніх міркувань можна виділити три основні види загроз безпеці інформації: загрози безпеці інформації при забезпеченні конфіденційності, доступності та цілісності (рис. 7.2). Загрози безпеці інформації при забезпеченні-конфіденцій-ності: • крадіжка (копіювання) інформації та засобів її оброблення; • втрата (неумисна втрата, витік) інформації та засобів її об Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ Загрози безпеці інформації при забезпеченні доступності: блокування інформації; знищення інформації та засобів її оброблення. Загрози безпеці інформації при забезпеченні цілісності: модифікація (спотворення) інформації; заперечення автентичності інформації; нав'язування фальшивої інформації. 7.1.4. Класифікація джерел загроз Носіями загроз безпеці інформації є джерела загроз. Джерелами загроз можуть бути як суб'єкти (особистість), так і об'єктивні прояви. Причому джерела загроз можуть знаходитися як усередині організації — внутрішні джерела, так і ззовні її — зовнішні джерела. Поділ джерел на суб'єктивні та об'єктивні виправдане виходячи з попередніх міркувань стосовно вини або ризику збитку інформації. А поділ на внутрішні та зовнішні джерела виправданий тому, що для однієї й тієї ж загрози методи відбивання для внутрішніх і зовнішніх загроз можуть бути різними. Усі джерела загроз безпеці інформації можна розділити на три групи (рис. 7.3): • обумовлені діями суб'єкта (антропогенні джерела загроз); • обумовлені технічними засобами (техногенні джерела загроз); • обумовлені стихійними джерелами. дії яких можуть бути кваліфіковані як умисні або випадкові злочини. Тільки в цьому випадку можна говорити про заподіяння збитку. Ця група джерел загроз найбільш численна та представляє найбільший інтерес із точки зору організації захисту, так як дії суб'єкта завжди можна оцінити, спрогнозувати та прийняти адекватні заходи. Методи протидії у цьому випадку керовані й прямо залежать від волі організаторів захисту інформації. Антропогенним джерелом загроз можна вважати суб'єкта, що має доступ (санкціонований або несанкціонований) до роботи зі штатними засобами об'єкта, що підлягає захисту. Суб'єкти
Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ (джерела), дії яких можуть привести до порушення безпеки інформації, можуть бути як зовнішніми, так і внутрішніми. Зовнішні джерела можуть бути випадковими або навмисними та мати різний рівень кваліфікації. Внутрішні суб'єкти (джерела), як правило, становлять собою висококваліфікованих спеціалістів у галузі розробки та експлуатації програмного забезпечення та технічних засобів, знайомі зі специфікою завдань, що вирішуються, структурою та основними функціями та принципами роботи програмно-апаратних засобів захисту інформації, мають можливість використання штатного обладнання та технічних засобів мережі. Необхідно враховувати також, що особливу групу внутрішніх антропогенних джерел складають особи з порушеною психікою та спеціально впроваджені та завербовані агенти, які можуть бути з числа основного, допоміжного та технічного персоналу, а також представників служби захисту інформації. Дана група розглядається у складі перелічених вище джерел загроз, але методи протидії загрозам для цієї групи джерел можуть мати свої відмінності. Слід відзначити, що кваліфікація антропогенних джерел загроз безпеці інформації відіграє важливу роль для оцінки їхнього впливу та враховується при ранжируванні джерел загроз. Друга група містить джерела загроз, що визначаються технократичною діяльністю людини та розвитком цивілізації. Проте наслідки, викликані такою діяльністю, вийшли з-під контролю людини та діють самі по собі. Людство дійсно стає все більше залежним від техніки, і джерела загроз, які безпосередньо залежать від властивостей техніки, менше прогнозовані і тому потребують особливої уваги. Даний клас джерел загроз безпеці інформації є особливо актуальних у сучасних умовах, так як очікується різке зростання числа техногенних катастроф, викликаних фізичним та моральним застаріванням існуючого обладнання, а також відсутністю коштів на його оновлення. Технічні засоби, що є джерелами потенційних загроз безпеці інформації, також можуть бути зовнішніми та внутрішніми. Розділ 7. Основи безпеки інформаційних ресурсів Третя група джерел загроз об'єднує обставини, що становлять непереборну силу, тобто такі обставини, які мають об'єктивний і абсолютний характер, що поширюється на всіх. До непереборної сили в законодавстві та договірній практиці відносять стихійні лиха або інші обставини, які неможливо передбачити або їм запобігти або можливо передбачити, але не можливо запобігти їм при сучасному рівні знань і можливостей людини. Такі джерела загроз абсолютно не піддаються прогнозуванню, і тому заходи захисту від них повинні застосовуватися завжди. Стихійні джерела потенційних загроз інформаційній безпеці, як правило, є зовнішніми по відношенню до об'єкта захисту. Під ними розуміють, насамперед, природні катаклізми. 7.1.5. Ранжирування джерел загроз Усі джерела загроз мають різну міру небезпеки [measure of danger], яку можна оцінити, якщо провести їхнє ранжирування. При цьому оцінка міри небезпеки здійснюється за непрямими показниками. Критеріями порівняння (показників) пропонується, наприклад, вибрати: • можливість виникнення джерела (Kj),-, що визначає міру до • готовність джерела (K2)j, що визначає міру кваліфікації та • фатальність (К3),, що визначає міру непереборності наслідків Кожний показник оцінюється експертно-аналітичним мето-Дом за п'ятибальною системою. Причому 1 відповідає мінімальній мірі впливу показника, який оцінюється на небезпеку використання джерела, а 5 — максимальній. Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ (Kdan)i Для окремого джерела можна визначити як відношення добутку наведених вище показників до максимального значення (125). Міра доступності до об'єкта, що підлягає захисту, може бути класифікована за наступною шкалою: • висока ступінь доступності — антропогенне джерело загроз • перша середня ступінь доступності — антропогенне джере • друга середня ступінь доступності — антропогенне джерело • низька ступінь доступності — антропогенне джерело загроз • відсутність доступності — антропогенне джерело загроз не Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.009 сек.) |