Методологические основы обеспечения информационной безопасности объекта
Реализация плана защиты
На данном этапе проводятся мероприятия, описанные в плане защиты, включая разработку необходимых документов, заключение договоров с поставщиками, монтаж и настройку оборудования и т.д.
3. Информационные системы как объект защиты
Исходя из того, что речь идет о безопасности информационных систем, именно с их анализа необходимо на чинать разработку системы защиты информации.
Информационная система — это организационно упорядоченная совокупность информационных ресур сов, технических средств, технологий, реализующих информационные процессы в традиционном или авто матизированном режиме для удовлетворения информационных потребностей пользователей (рис.1). Важ нейшим компонентом информационных систем являются люди – основной источник компьютерных наруше ний.
С точки зрения степени участия предприятия и конкурентов в информационном процессе с противополож ными интересами можно рассматривать внутренние и внешние факторы, которые могут привести к утрате охраняемых сведений.
Внутренние факторы или действия по тем или иным причинам или условиям инициируются персоналом пред приятия, внешние — конкурентами, что обусловлено активными действиями, направленными на добывание коммерческих секретов.
К таким действиям относятся:
•разглашение конфиденциальной информации ее обладателем;
•утечка информации по различным, главным образом техническим, каналам;
•несанкционированный доступ к конфиденциальной информации различными способами (рис.2).
Утечка — это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена по службе или стала известна в процессе работы.
Несанкционированный доступ — совокупность приемов и порядок действий с целью получения (добывания) охраняемых сведений незаконным, противоправным путем.
Злоумышленник преследует три цели, осуществляя несанкционированный доступ к источникам конфиден циальной информации:
•получить необходимую информацию в требуемом для конкурентной борьбы объеме и ассортименте;
•иметь возможность вносить изменения в информационные потоки конкурента в соответствии со своими интересами;
•нанести ущерб конкуренту путем уничтожения материальных и информационных ценностей.
От целей зависит как выбор способов действий, так и количественный и качественный состав привлекаемых сил и средств посягательства на чужие секреты.
Полный объем сведений о деятельности конкурента не может быть получен только каким нибудь одним из возможных способов доступа к информации.
Даже беглый обзор позволяет заключить, что к определенным источникам применяются и определенные спо собы. Как разнообразны источники, так и разнообразны способы несанкционированного доступа к ним. Имея формальный набор источников и способов НСД к ним можно построить формальную модель взаимосвязи источников и способов на качественном уровне с определенной степенью условности. Такую модель можно было бы назвать обобщенной моделью способов несанкционированного доступа к источникам конфиденци альной информации. Вариант такой модели приведен в таблице 2.
Не вдаваясь в сущность каждого способа видно, что значительная их часть применима к таким источникам как люди, технические средства АСОД и документы. Другие, как бы менее применяемые по количеству охва тываемых источников, никак нельзя отнести к менее опасным. Степень опасности проникновения определя ется не количеством, а принесенным ущербом.
Многообразие способов несанкционированного доступа к источникам конфиденциальной информации вы зывает вопрос: каково их соотношение в практике деятельности спецслужб?
В зарубежных материалах приводятся отдельные показатели соотношения способов НСД, приведенные в таб лице 3.
Анализ приведенных данных показывает, что последние три группы реализуются в криминальной практике посредством использования тех или иных технических средств и составляют в общем составе 47% от общего их числа. Это лишний раз подтверждает опасность технических каналов утечки информации в практике ве дения предпринимательской деятельности. Однако не отстает и человеческий фактор – 43%. Такая статисти ка приводит к необходимости рассмотрения социально психологических факторов при построении модели нарушителя.
4.7
Методологические основы обеспечения информационной безопасности объекта
4. Технические решения ООО “Конфидент” по созданию систем информационной безопасности.
Специалисты ООО “Конфидент” готовы провести обследование любой организационной структуры на пред мет информационной безопасности ее информационных ресурсов, составить отчет о произведенном обсле довании и предложить вариант построения системы информационной безопасности.
Заключение. Ваш следующий шаг
Методологические основы обеспечения информационной безопасности являются достаточно общими реко мендациями, базирующимися на мировом опыте создания подобных систем. Задача каждого специалиста по защите информации преломить абстрактные положения к своей конкретной предметной области (предпри ятию, организации, банку), в которых всегда найдутся свои особенности и тонкости этого не простого ремес ла.
Таблица 2. Обобщенная модель способов несанкционированного доступа к источникам конфиденциальной информации
Таблица 3.
4.8
СТРУКТУРА ИНФОРМАЦИОННЫХ СИСТЕМ
9.4
ПОЛЬЗОВАТЕЛИ
(потребители)
Пользователь " субъект, обращающийся к информационной системе за получением необходимой ему информации
|
ИНФОРМАЦИОННЫЕ |
|
|
|
|
НОСИТЕЛИ |
|
|
|
|
|
|
|
||
|
РЕСУРСЫ |
|
|
|
|
ИНФОРМАЦИИ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Документы и массивы |
1. |
На бумажной основе |
|||||
документов в разных |
2. |
Звуконосители |
|||||
формах и видах |
3. |
Фотоносители |
|||||
(библиотеки, архивы, |
4. |
Видеоносители |
|||||
фонды, базы данных, |
5. |
Магнитные носители |
|||||
базы знаний, а равно и |
6. |
Специальные |
|||||
другие формы |
|
технические носители |
|||||
организации хранения |
|
|
|
|
|
||
и поиска информации), содержащие информацию по всем направлениям жизнидеятельности общества
|
СРЕДСТВА СБОРА, |
|
|
|
СРЕДСТВА |
|
|
|
|
|
|
||
|
ХРАНЕНИЯ И |
|
|
|
|
|
|
|
|
|
ПЕРЕДАЧИ |
|
|
|
ОБРАБОТКИ |
|
|
|
|
|
|
|
|
|
ИНФОРМАЦИИ |
|
|
|
ИНФОРМАЦИИ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1. Традиционные |
1 .Проводные |
|||||
|
технические |
2. Радио |
||||
|
средства: |
3. Волоконно" |
||||
" телефон |
|
|
оптические |
|||
" радио |
|
|
|
|
||
"звукоусилительные
системы
"полиграфия
2. Автоматизированные системы сбора и обработки информации
Рис.1 Структура информационной системы
объекта безопасности информационной обеспечения основы Методологические
РАЗГЛАШЕНИЕ
ИНФОРМАЦИИ ЕЕ ВЛАДЕЛЬЦЕМ ИЛИ ОБЛАДАТЕЛЕМ
Умышленные или неосторожные действия должностных лиц и граждан, которым соответствующие сведения в установленном порядке были доверены по службе или работе, приведшие к ознакомлению с ними лиц, не допущенных к этим сведениям
10.4
ВЫРАЖАЕТСЯ В
"сообщении
"передаче
"представлении
"пересылке
"опубликовании
"утере
"любыми иными способами
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
УТЕЧКА |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
НЕСАНКЦИОНИРОВАН" |
|
||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ИНОФОРМАЦИИ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
НЫЙ ДОСТУП |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Бесконтрольный выход |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Противоправное преднамеренное |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
конфиденциальной информации за |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
овладение конфиденциальной |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
пределы организации или круга лиц, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
информацией лицом, не имеющим |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|
которым эта информация была доврена |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
права доступа к охраняемым сведениям |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ВОЗМОЖНА ПО РАЗЛИЧНЫМ КАНАЛАМ УТЕЧКИ
Визуально"оптическим каналам акустическим каналам электромагнитным каналам материально"вещественным каналам
РЕАЛИЗУЕТСЯ СПОСОБАМИ
"инициативное сотрудничество
"склонение к сотрудничеству
"выпытывание
"наблюдение
"хищение
"копирование
"подделка (модификация)
"уничтожение (порча, разрушение)
"незаконное подключение
"перехват
"негласное ознакомление
"фотографирование
"сбор и аналитическая обработка
Рис 2. Действия, приводящие к овладению информацией
объекта безопасности информационной обеспечения основы Методологические