- •Сущность и задачи комплексной системы защиты информации.
- •Принципы организации комплексной системы защиты информации.
- •Определение и нормативное закрепление состава защищаемой информации.
- •Выявления состава носителей защищаемой информации при организации ксзи.
- •Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию при организации ксзи.
- •Методика выявления способов воздействия на информацию
- •Выявление каналов нсд к и.
- •Определение компонентов комплексной системы защиты информации.
- •Назначение и структура технического задания на проектирование ксзи.
- •Назначение и структура технико-экономического обоснования на проектирование ксзи.
- •Изучение объекта защиты сводится к сбору и анализу следующей информации:
- •Организационное построение комплексной системы защиты информации: характеристика технического проекта.
- •Организационное построение ксзи: характеристика рабочего проекта.
- •Стадия эксплуатации
- •Кадровое обеспечение функционирования ксзи: определение кадрового состава.
- •Материально-техническое обеспечение ксзи: определение состава материально-технического обеспечения.
- •Нормативно-методическое обеспечение комплексной зи: состав нормативно-методических документов по обеспечению функционирования ксзи.
- •Нормативно-методическое обеспечение ксзи: порядок разработки и внедрения документов.
- •Понятие и цели управления ксзи.
- •Сущность процессов и принципы управления ксзи.
- •Способы и стадии планирования.
- •Структура и общее содержание планов организации и функционирования ксзи.
- •Методы сбора, обработки и изучения информации для планирования ксзи.
- •Признаки чс:
- •Информационная поддержка принятых решений
- •Подготовка мероприятий по комплексной зи на случай возникновения чрезвычайных ситуаций.
- •Классификация подходов по оценке эффективности ксзи и их сравнительный анализ.
- •Характеристика оценочного подхода (на основе формирования требований к защищенности объекта) по оценке эффективности ксзи.
- •Модели оценки эффективности:
- •Метод оценки уровня безопасности и аналитические модели определения базовых и обобщенных показателей уязвимости в ксзи.
- •Методы оценки эффективности ксзи: метод оценки на основе структурных вопросников.
Методика выявления способов воздействия на информацию
В зависимости от источника и вида воздействия оно может быть непосредственным на защищаемую информацию либо опосредованным, через другой источник воздействия.
Со стороны людей возможны следующие виды воздействия: (непосредственное воздействие на носители защищаемой информации; несанкционированное распространение конфиденциальной информации; вывод из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи тд.)
Способами непосредственного воздействия на носители защищаемой информации могут быть: (физическое разрушение носителя (поломка, разрушение и др.); создание аварийных ситуаций для носителей (поджог, искусственное затопление, взрыв и т. д.); удаление информации с носителей; внесение фальсифицированной информации в носители.)
Несанкционированное распространение конфиденциальной информации (словесной передачи (сообщения) информации; передачи копий (снимков) носителей информации; показа носителей информации; ввода информации в вычислительные сети; опубликования информации в открытой печати; использование информации в открытых публичных)
вывода из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи : (поломку (разрушение) средств, в том числе разрыв (повреждение) кабельных линий связи; создание аварийных ситуаций для средств (поджог, искусственное затопление, взрыв и др.); отключение средств от сетей питания; вывод из строя или нарушение режима работы систем обеспечения функционирования средств;)
нарушения режима работы технических средств отображения, хранения, обработки, воспроизведения, передачи информации, средств связи и технологии обработки информации : (повреждение отдельных элементов средств; нарушение правил эксплуатации средств; выдача неправильных программных команд; превышение расчетного числа запросов и тд)
К видам дестабилизирующего воздействия на защищаемую информацию со стороны второго источника воздействия — технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи относятся:
Вывод средств из строя;
Сбои в работе средств;
Создание электромагнитных излучений.
Источником дестабилизирующего воздействия на информацию — природные явления , включает стихийные бедствия и атмосферные явления (колебания). К стихийным бедствиям и одновременно видам воздействия следует отнести: землетрясение, наводнение, ураган (смерч), шторм, оползни, лавины, извержения вулканов; к атмосферным явлениям (видам воздействия): грозу, дождь снег, перепады температуры и влажности воздуха, магнитные бури. Способами воздействия со стороны и стихийных бедствий, и атмосферных явлений могут быть разрушение (поломка), землетрясение, сожжение носителей информации, средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи, систем обеспечения функционирования этих средств, нарушение режима работы средств и систем, а также технологии обработки информации, создание паразитных наводок (грозовые разряды)
Результаты дестабилизирующего воздействия: Уничтожение, искажение, блокирование, разглашение, хищение.
Определение потенциальных каналов и методов несанкционированного доступа к информации при организации КСЗИ.
Потенциальные каналы утечки информации и уязвимости
Утечка информации – бесконтрольный или неправомерный выход КИ за пределы организации или круга лиц, которым она доверена по службе или стала известна в процессе производства.
Канал утечки информации – любой способ, позволяющий злоумышленнику получить доступ к КИ.
Технический канал утечки информации – физический путь от источника КИ к злоумышленнику
Основные каналы утечки информации:
1. Разглашение – умышленные или неосторожные действия должностных лиц, результатом которых явилось неправомерное оглашение КИ и, как следствие, ознакомление с ними сторонних лиц, не допущенных к этим сведениям.
Основные пути разглашения:
- cообщение, оглашение, представление (деловые встречи, совещания, переговоры) публикации в печати, отчеты, реклама;
- неформальное общение (личные встречи, семинары, симпозиумы, выставки);
- при взаимодействии с государственными и муниципальными структурами;
- утрата, утеря документов;
- бесконтрольный документооборот
К факторам, способствующим разглашению информации, относятся:
- недостаточное знание сотрудниками правил и требований по защите информации и непонимание или недопонимание необходимости их тщательного выполнения;
- слабый контроль за соблюдением правил работы со сведениями конфиденциального характера;
- отсутствие или недостаточность мероприятий по блокированию каналов разглашения.
Следует отметить, что разглашение КИ персоналом предприятия – самый канал утечки информации. По различным оценкам персонал предприятия ответственен за 70-80% ущерба в результате утечки информации.
Несанкционированный доступ (НСД ) - противоправное преднамеренное овладение КИ лицом, не имеющим права доступа к охраняемым секретам.
Другое определение – совокупность приемов, позволяющих злоумышленнику получить охраняемую КИ.
Способы несанкционированного доступа:
1) Инициативное сотрудничество - противоправные действия сотрудников по разглашению КИ по различным побуждениям, мотивам и причинам.
2) Склонение к сотрудничеству (вербовка методом убеждения или насильственным путем: запугивание, шантаж, подкуп).
Выведывание (игра на легкомыслии, болтливости, тщеславии и тп.)
4) Подслушивание (прямое восприятие речевой информации или с помощью технических средств).
5) Наблюдение (разведка деятельности противника методом визуального наблюдения, с помощью оптических приборов, видеокамер).
6) Хищение (имущества, денег, материалов, продукции, носителей информации).
7) Копирование, фотографирование.
8) Подделка (модификация, фальсификация).
9) Уничтожение.
10) Негласное ознакомление.
В основе технического канала утечки лежит неконтролируемый перенос информации посредством физических полей и материальных объектов.
Технические каналы утечки информации классифицируют следующим образом:
- визуально-оптический;
- акустический (включая акустико-преобразовательный);
- электромагнитный (включая магнитный и электрический;
- материально-вещественный.
Угрозы, направленные против объекта защиты, проявляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности информации на конкретном объекте информатизации.
Уязвимости безопасности информации могут быть: объективные, субъективные, случайные.
Объективные уязвимости (зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте): Сопутствующие техническим средствам излучения: электромагнитные, электрические, звуковые; Активизируемые: аппаратные закладки, программные закладки; Определяемые особенностями элементов: элементы, обладающие электроакустическими преобразованиями, элементы, подверженные воздействию ЭМ поля; Определяемые особенностями защищаемого объекта: местоположением объекта, организацией каналов обмена информацией.
Субъективные уязвимости (зависят от действия сотрудников и, в основном, устраняются организационными и программно-аппаратными методами):
Ошибки (халатность): при подготовке и использовании ПО, при эксплуатации технических средств, некомпетентные действия, неумышленные действия;
Нарушения: режима охраны и защиты, режима эксплуатации технических средств и ПО, использования информации;
Психогенные: психологические, психические, физиологические.
Случайные уязвимости (зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств): Сбои и отказы: отказы и неисправности технических средств, старение и размагничивание носителей информации, сбои программного обеспечения, сбои электроснабжения.