
- •§ 11 Методологические подходы к защите информации
- •Определение требований к защищенности информации
- •2.Факторы, влияющие на требуемый уровень защиты информации.
- •1 Перечень объективных факторов, воздействующих на безопасность защищаемой информации
- •2 Перечень субъективных факторов, воздействующих на безопасность защищаемой информации
- •§ 12. Классификация объектов информатизации
- •1. Понятие объекта информатизации
- •2. Показатели классификации ои
- •3. Типовые ои
§ 11 Методологические подходы к защите информации
Определение требований к защищенности информации
Любой отдельный функционально законченный документ (некоторую совокупность знаков), содержащий определенные сведения, вне зависимости от вида носителя, на котором он находится, будем называть информационным пакетом.
К одному типу будем относить информационные пакеты (типовые документы), имеющие сходство по некоторым признакам (по структуре, технологии обработки, типу сведений и т.п.).
Задача состоит в определении реальных уровней заинтересованности (высокая, средняя, низкая, отсутствует) субъектов в обеспечении требований к защищенности каждого из свойств различных типов информационных пакетов, циркулирующих в АС.
Примерный порядок определения требований к защищенности циркулирующей в системе информации представлен ниже:
1. Составляется перечень типов информационных пакетов (документов, таблиц и т.п.). Для этого с учетом предметной области системы пакеты информации разделяются на типы по тематике, функциональному назначению, сходности технологии обработки и т.п. признакам.
На последующих этапах первоначальное разбиение информации (данных) на типы пакетов может уточняться с учетом требований к их защищенности.
2. Затем для каждого типа пакетов, выделенного на первом шаге, и каждого критического свойства информации (доступности, целостности, конфиденциальности) определяются (например, методом экспертных оценок):
• перечень и важность (значимость по отдельной шкале) субъектов, интересы которых затрагиваются при нарушении данного свойства информации;
• уровень наносимого им при этом ущерба (незначительный, малый, средний, большой, очень большой и т.п.) и соответствующий уровень требований к защищенности.
При определении уровня наносимого ущерба необходимо учитывать:
• стоимость возможных потерь при получении информации конкурентом;
• стоимость восстановления информации при ее утрате;
• затраты на восстановление нормального процесса функционирования АС и т.д.
3. Для каждого типа информационных пакетов с учетом значимости субъектов и уровней наносимого им ущерба устанавливается степень необходимой защищенности по каждому из свойств информации (при равенстве значимости субъектов выбирается максимальное значение уровня).
Пример оценки требований к защищенности некоторого типа информационных пакетов приведен в таблице.
2.Факторы, влияющие на требуемый уровень защиты информации.
Систематизированы в ГОСТ Р 51275-2006.
Факторы, которые воздействуют или могут воздействовать на безопасность защищаемой информации и подлежащие учету при организации защиты информации, по признаку отношения к природе возникновения подразделяют на классы: объективные и субъективные.
1 Перечень объективных факторов, воздействующих на безопасность защищаемой информации
Внутренние факторы
1. Передача сигналов:
а) по проводным линиям связи;
б) по оптико-волоконным линиям связи;
в) в диапазоне радиоволн и в оптическом диапазоне длин волн.
2. Излучения сигналов, функционально присущие техническим средствам [устройствам] (далее -ТС) ОИ:
излучения акустических сигналов:
1)сопутствующие работе технических средств [устройств] обработки и передачи информации (далее - ТС ОП И);
2) сопутствующие произносимой или воспроизводимой ТС речи;
электромагнитные излучения и поля:
1) излучения в радиодиапазоне;
2) излучения в оптическом диапазоне.
3. Побочные электромагнитные излучения:
а) элементов (устройств) ТС ОПИ;
б) на частотах работы высокочастотных генераторов устройств, входящих в состав ТС ОПИ:
модуляция побочных электромагнитных излучений информативным сигналом, сопровождающим работу ТС ОПИ;
модуляция побочных электромагнитных излучений акустическим сигналом, сопровождающим работу ТС ОПИ;
в) на частотах самовозбуждения усилителей, входящих в состав ТС ОПИ.
4. Паразитное электромагнитное излучение: модуляция паразитного электромагнитного излучения информационными /акустическими сигналами;
5. Наводка:
а) в электрических цепях ТС, имеющих выход за пределы ОИ;
б) в линиях связи:
вызванная побочными и (или) паразитными электромагнитными излучениями, несущими информацию;
вызванная внутренними емкостными и (или) индуктивными связями;
в) в цепях электропитания:
вызванная побочными и (или) паразитными электромагнитными излучениями, несущими информацию;
вызванная внутренними емкостными и (или) индуктивными связями;
через блоки питания ТС ОИ;
г) в цепях заземления:
вызванная побочными и (или) паразитными электромагнитными излучениями, несущими информацию;
вызванная внутренними емкостными и (или) индуктивными связями;
обусловленная гальванической связью схемной (рабочей) «земли» узлов и бло-ков ТС ОИ;
д) в технических средствах, проводах, кабелях и иных токопроводящих коммуникациях и конструкциях, гальванически не связанных с ТС ОИ, вызванная побочными и (или) паразитными электромагнитными излучениями, несущими информацию.
6. Наличие акустоэлектрических преобразователей в элементах ТС ОИ.
7. Дефекты, сбои и отказы, аварии ТС и систем ОИ.
8. Дефекты, сбои и отказы программного обеспечения ОИ.
Внешние факторы
1. Явления техногенного характера:
непреднамеренные электромагнитные облучения ОИ;
радиационные облучения ОИ;
сбои, отказы и аварии систем обеспечения ОИ.
2. Природные явления, стихийные бедствия:
термические факторы (пожары и т.д.);
климатические факторы (наводнения и т.д.);
механические факторы (землетрясения и т.д.);
электромагнитные факторы (грозовые разряды и т.д.);
биологические факторы (микробы, грызуны и т.д.);
химические факторы (химически агрессивные среды и т.д.).