Вопросы для контроля

1. Какие элементы данных могут быть включены в список защищаемых ?

2. Каковы цели инвентаризации элементов информационной системы ?

3. Какие способы инвентаризации элементов информационной системы можно использовать ?

4. В каком виде оформляются результаты инвентаризации ?

2. Классификация элементов информационной системы

2.1 Аспекты информационной безопасности

Современное понимание информационной безопасности включает три аспекта: «Доступность», «Целостность», «Конфиденциальность» [1]. Доступность – авторизация доступа со стороны лиц, имеющих соответствующие полномочия в санкционированных местах, на технических средствах, в нужное время. Иначе, доступность это свойство данных, обеспечивающее возможность их своевременного использования при решении задачи («в нужное время, в нужном месте, в приемлемом виде»). Целостность - возможность внесения изменений в данные только лицами, имеющими соответствующие полномочия. Иначе, целостность это свойство данных сохранять своё исходное состояние в период актуальности. Полномочия – право пользователя технических средств или любого другого элемента ИС осуществлять те или иные процедуры над защищаемыми данными.

Конфиденциальность - статус, представленный данным и определяющий степень их защиты от раскрытия. Учитывается ценность сведений, содержащихся в данных, возможный вред лицам, заинтересованным в её нераспространении, или лицам, неосведомлённым о том, что существует информация, получение которой тем или иным лицам способно привести к причинению этими лицами ущерба. Например, уровни государственной секретности: «особой важности», «совершенно секретно», «секретно». Оценивается тяжесть ущерба, который может быть нанесён государственной безопасности вследствие распространения сведений.

Вредоносные воздействия на ИС может заключаться в целенаправленном или случайном влиянии на какой-либо аспект безопасности (возможно под влиянием могут оказаться два и даже все аспекты).

Целью классификации объектов ИС является выявление элементов, в обязательном порядке требующих защиты. При классификации анализируется предполагаемый (при наиболее неблагоприятных стечениях обстоятельств вредоносного воздействия) ущерб. При построении ИС нужно руководствоваться принципом экономичности механизма : на защиту информации можно потратить средств не свыше «Риска» (суммы риска):

РИСК = Вероятность происшествия * ПРЕДПОЛАГАЕМЫЙ УЩЕРБ . ( 1 )

Для определения «Предполагаемого ущерба» суммируются прогнозируемые (или ранее определенные на практике) затраты на устранение последствий негативного воздействия:

• Затраты на устранение последствий от задержки или невозможности решения задачи (штрафные санкции, утраченная выгода, дополнительные затраты на диагностику и поиск причин, дополнительные затраты, связанные с временным изменением условий решения задачи), нарушение Доступности;

• Затраты на восстановление работоспособности системы (ремонт технических средств, восстановление баз данных и документов) – восстановление Доступности;

• Затраты на устранение последствий использования недостоверных данных (поддельных, утративших актуальность, подвергшихся несанкционированной модификации или случайному воздействию) - нарушение Целостности;

• Затраты на ликвидацию последствий от нарушения Целостности: операции «отката», повторные замеры, повторные просчеты, проверка адекватности данных. Восстановление Целостности;

• Затраты на устранение последствий разглашения конфиденциальных данных: штрафные санкции (судебные издержки), утраченная выгода, возмещение морального ущерба, страхование рисков. Нарушение Конфиденциальности.