1. Угрозы со стороны злоумышленника:

1.1. Ознакомление с содержанием переданного сообщения. 1.2. Навязывание получателю ложного сообщения – как полная его фабрикация, так и внесение искажений в действительно переданное сообщение. 1.3. Изъятие переданного отправителем сообщения из системы таким образом, чтобы получатель не узнал о факте передачи сообщения. 1.4. Создание помех для нормальной работы канала передачи связи, то есть нарушение работоспособности канала связи.

2. Угрозы со стороны законного отправителя сообщения:

2.1. Разглашение переданного сообщения.

2.2. Отказ от авторства в действительности переданного им сообщения.

2.3. Утверждение, что некоторое сообщение отправлено получателю, когда в действительности отправка не производилась.

3. Угрозы со стороны законного получателя сообщения:

3.1. Разглашение полученного сообщения.

3.2. Отказ от факта получения некоторого сообщения, когда в действительности оно было им получено.

3.3. Утверждение, что некоторое сообщение получено от отправителя, когда в действительности предъявленное сообщение сфабриковано самим получателем.

26. Организационные меры защиты информационных ресурсов.

Под системой защиты АС понимают единую совокупность правовых и морально-этических норм, административно-организационных мер, физических и программно-технических средств, направленных на противодействие угрозам АС с целью свести к минимуму возможности ущерба.

Процесс построения системы защиты включает следующие этапы:

1анализ возможных угроз;

2планирование системы защиты;

3реализация системы защиты;

4сопровождение системы защиты.

Этап анализа возможных угроз необходим для фиксации состояния АС (конфигурации аппаратных и программных средств, технологии обработки информации) и выявление воздействий на компоненты системы. Практически невозможно обеспечить защиту АС от всех воздействий, поскольку невозможно полностью установить все угрозы и способы их реализаций. Поэтому из всего множества вероятных воздействий выбирают только такие воздействия, которые могут реально произойти и нанести серьезный ущерб.

На этапе планирования формулируется система защиты как единая совокупность мер противодействия угрозам различной природы.

По способам осуществления все меры обеспечения компьютерных систем подразделяются на:

1правовые (законодательные);

2морально-этические;

3административные;

4физические;

5аппаратно-программные.

Перечисленные меры безопасности можно рассматривать как последовательность барьеров или рубежей защиты информации.

Первый рубеж защиты, встающий на пути человека, пытающегося осуществить НСД к информации является чисто правовым. Этот аспект защиты информации связан с необходимостью соблюдения юридических норм при передаче и обработке информации. К правовым мерам защиты информации относятся действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией ограниченного использования и ответственности за их нарушение. Этим они препятствуют несанкционированному использованию информации и являются сдерживающим фактором для потенциальных нарушителей.

В Уголовном Кодексе России имеется несколько статей, посвященных преступлениям в сфере компьютерной информации (статья 272 – неправомерный доступ к компьютерной информации (штраф или до 5лет); статья 273 – создание, использование и распространение вредоносных программ для ЭВМ (штраф или до 7 лет); статья 274 – нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (до 4 лет лишения свободы).

В Административном кодексе также предусмотрены административные наказания, в том числе имеется статья 13.12 – нарушение правил защиты информации.

Этический момент в соблюдении требований защиты имеет весьма большое значение. Очень важно, чтобы люди, имеющие доступ к компьютерам, работали в здоровом морально-этическом климате. К морально-этическим мерам противодействия относятся всевозможные нормы поведения, которые традиционно сложились в обществе по мере распространения компьютеров. Эти нормы большей частью не являются обязательными, как законодательно утвержденные, но их несоблюдение обычно ведет к падению престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаными (нормы честности, патриотизма и т.д.), так и оформленными в некий свод правил или предписаний. Например, "Кодекс профессионального поведения членов ассоциации пользователей ЭВМ США" рассматривает как неэтичные действия, которые умышленно или неумышленно:

1нарушают нормальную работу компьютерных систем;

2вызывают неоправданные затраты ресурсов (машинного времени, памяти, каналов связи и т.п.);

3нарушают целостность хранимой и обрабатываемой информации;

4нарушают интересы других законных пользователей.

Административные меры защиты регламентируют:

1процессы функционирования АС;

2использование ресурсов АС;

3деятельность персонала;

4порядок взаимодействия пользователей с системой.

Административные меры включают:

1Разработку правил обработки информации.

2Совокупность действий при чрезвычайных ситуациях (пожар, наводнение, землетрясение...).

3Подбор и подготовку персонала (проверка новых сотрудников, ознакомление их с инструкциями, с мерами за нарушение правил обработки информации).

4Создание условий, при которых персоналу невыгодно допускать злоупотребления.

5Организация надежного пропускного режима.

6Организация учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией.

7Распределение реквизитов разграничения доступа.

8Организация скрытого контроля за работой пользователей и персонала.

9Использование сертифицированного оборудования и программных средств

10Строгое рассмотрение и утверждение всех изменений и проверка на удовлетворение требованиям защиты, документальная фиксация изменений.

Пока не реализованы действенные меры административной защиты, прочие меры неэффективны. Административно-организационные меры скучны и рутинны, однако они представляют мощный барьер на пути незаконного использования информации и надежную базу для других уровней защиты.