Автор работы: Пользователь скрыл имя, 15 Ноября 2013 в 10:24, контрольная работа
Примечательная особенность нынешнего периода - переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество и которое при необходимости могут быть использованы для достижения конкретной цели хозяйственной деятельности. Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому. Но вот появилось понятие "информационные ресурсы", и хотя оно узаконено, но осознано пока еще недостаточно
математическое обеспечение.
Предполагает использование математических
методов для различных
лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;
нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.
Удовлетворить современные требования по обеспечению безопасности предприятия и защиты его конфиденциаль-ной информации может только система безопасности. Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.
Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согла-совываются по месту и времени в зависимости от условий.
1.2. Концептуальная
модель информационной
Понимая информационную безопасность как "состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организа-ций", правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом, естественно, следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.
Практика показала, что для анализа такого значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется как бы "заместитель" реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она проще. Модель должна быть достаточно об-щей, чтобы описывать реальные действия с учетом их сложности.
Можно предложить следующие компоненты модели информационной безопасности на первом уровне декомпозиции.
По нашему мнению, такими компонентами концептуальной модели безопасности информации могут быть следующие:
объекты угроз;
угрозы;
источники угроз;
цели угроз со стороны злоумышленников;
источники информации;
способы неправомерного овладения конфиденциальной информацией (способы доступа);
направления защиты информации;
способы защиты информации;
средства защиты информации.
Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).
Угрозы информации выражаются
в нарушении ее целостности, кон-фиденциальности,
полноты и доступности. Источниками
угроз выступают конкуренты, преступники,
коррупционеры, административно-управленческие
органы. Источники угроз преследуют
при этом следующие цели: ознаком-ление
с охраняемыми сведениями, их модификация
в корыстных целях и
Неправомерное овладение конфиденциальной информацией возмож-но за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкциониро-ванного доступа к охраняемым сведениям.
Источниками конфиденциальной
информации являются люди, доку-менты,
публикации, технические носители информации,
техниче-ские средства обеспечения
производственной и трудовой деятель-ности,
продукция и отходы производства.
Основными направлениями защиты
информации являются правовая, организационная
и инженерно-техническая защиты
информации как выразители комплексного
подхода к обеспечению
Средствами защиты информации
являются физические средства, аппаратные
средства, программные средства и
криптографические методы. Последние
могут быть реализованы как аппаратно,
программ-но, так и смешанно-программно-
В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие не-санкционированному доступу. В обобщенном виде рассмотренные компоненты в виде концептуаль-ной модели безопасности информации приведены на следующей схеме.
Основные элементы концептуальной модели будут рассмотрены более подробно в следующих разделах книги. Концепция безопасности является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних угроз.
1.3. Угрозы конфиденциальной информации
Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладе-нию охраняемыми сведениями. Такими действиями являются:
ознакомление с
модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;
разрушение (уничтожение) информации
как акт вандализма с целью
прямого нанесения
В конечном итоге противоправные действия с информацией приво-дят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально - значитель-но или хотя бы частично. Но и это удается далеко не всегда.
С учетом этого угрозы могут быть классифицированы по следующим кластерам :
по величине принесенного ущерба:
предельный, после которого фирма может стать банкротом;
значительный, но не приводящий к банкротству;
незначительный, который фирма за какое-то время может ком-пенсировать и др.;
по вероятности возникновения:
весьма вероятная угроза;
вероятная угроза;
маловероятная угроза;
по причинам появления:
стихийные бедствия;
преднамеренные действия;
по характеру нанесенного ущерба:
материальный;
моральный;
по характеру воздействия:
активные;
пассивные;
по отношению к объекту:
внутренние;
внешние.
Источниками внешних угроз являются:
недобросовестные конкуренты;
преступные группировки и формирования;
отдельные лица и организации
административно-управленческо-
Источниками внутренних угроз могут быть:
администрация предприятия;
персонал;
технические средства обеспечения производственной и трудовой деятельности.
Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:
82% угроз совершается
17% угроз совершается извне - внешние угрозы;
1% угроз совершается случайными лицами.
Угроза - это потенциальные или реальные действия, приводящие к моральному или материальному ущербу.
1.4. Действия, приводящие
к неправомерному овладению
Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями. В этом случае возможны такие ситуации:
владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;
источник информации строго
соблюдает меры информационной безопасности,
тогда злоумышленнику приходится прилагать
значи-тельные усилия к осуществлению
доступа к охраняемым сведениям,
используя для этого всю
промежуточная ситуация - это утечка информации по техниче-ским каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.
В общем, факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разгла-шение сведений и несанкционированный доступ к конфиденциаль-ной информации .
Разглашение - это умышленные
или неосторожные действия с конфиденциальными
сведениями, приведшие к ознакомлению
с ними лиц, не допущенных к ним. Разглашение
выражается в сообщении, передаче, предоставлении,
пересылке, опубликовании, утере и
в других формах обмена и дей-ствий
с деловой и научной
Утечка - это бесконтрольный выход конфиденциальной инфор-мации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или пере-дается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (напи-санный текст) и др. С учетом этого можно утверждать, что по фи-зической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материа-лы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электро-магнитные и материально-вещественные. Под каналом утечки ин-формации принято понимать физический путь от источника конфи-денциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.
Несанкционированный доступ
- это противоправное преднаме-ренное
овладение конфиденциальной информацией
лицом, не имею-щим права доступа
к охраняемым секретам. Несанкционированный
доступ к источникам конфиденциальной
информации реализуется различными
способами: от инициативного сотрудничества,
выражающегося в активном стремлении
"продать" секреты, до использования
различных средств
С учетом изложенного остается рассмотреть вопрос, какие условия способствуют неправомерному овладению конфиденциальной ин-формацией. Указываются следующие условия:
разглашение (излишняя болтливость сотрудников) - 32%;