Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ответы КСЗИ пачти.doc
Скачиваний:
10
Добавлен:
09.12.2018
Размер:
353.79 Кб
Скачать

Вопрос 12. Оценки потенциального ущерба от дестабилизирующего воздействия на и.

Написать на экзамене вот это:

1.     Моральный и материальный ущерб деловой репутации организации. 2.     Моральный, физический или материальный ущерб, связанный с разглашением КИ. 3.     Материальный ущерб от необходимости восстановления нарушенных ИР. 4.     Материальный ущерб от невозможности выполнения взятых на себя обязательств перед з-й стороной. 5.     Моральный и материальный ущерб от дезорганизации деятельности предприятия.

Для общего развития(можно не писать):

Размер ущерба удобно оценивать по трехуровневой шкале как низкий, умеренный или высокий

Потенциальный ущерб для организации оценивается как низкий, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал. Ограниченность вредоносного воздействия означает, что:

  • организация остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается заметно сниженной;

  • активам организации наносится незначительный ущерб;

  • организация несет незначительные финансовые потери;

  • персоналу наносится незначительный вред.

Потенциальный ущерб для компании оценивается как умеренный, если потеря доступности, конфиденциальности и/или целостности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал. Серьезность вредоносного воздействия означает, что:

  • компания остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается существенно сниженной;

  • активам организации причиняется значительный ущерб;

  • компания несет значительные финансовые потери;

  • персоналу наносится значительный вред, не создающий угрозы жизни или здоровью.

Потенциальный ущерб для организации оценивается как высокий, если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое или катастрофически вредоносное воздействие на деятельность организации, ее активы и персонал, то есть:

  • компания теряет способность выполнять все или некоторые из своих основных функций;

  • активам организации причиняется крупный ущерб;

  • организация несет крупные финансовые потери;

  • персоналу наносится тяжелый или катастрофический вред, создающий возможную угрозу жизни или здоровью.

13. Потенциальные каналы утечки информации и уязвимости

Утечка информации – бесконтрольный или неправомерный выход КИ за пределы организации или круга лиц, которым она доверена по службе или стала известна в процессе производства.

Канал утечки информации – любой способ, позволяющий злоумышленнику получить доступ к КИ.

Технический канал утечки информации – физический путь от источника КИ к злоумышленнику

Основные каналы утечки информации:

1. Разглашение – умышленные или неосторожные действия должностных лиц, результатом которых явилось неправомерное оглашение КИ и, как следствие, ознакомление с ними сторонних лиц, не допущенных к этим сведениям.

Основные пути разглашения:

- cообщение, оглашение, представление (деловые встречи, совещания, переговоры) публикации в печати, отчеты, реклама;

- неформальное общение (личные встречи, семинары, симпозиумы, выставки);

- при взаимодействии с государственными и муниципальными структурами;

- утрата, утеря документов;

- бесконтрольный документооборот

К факторам, способствующим разглашению информации, относятся:

- недостаточное знание сотрудниками правил и требований по защите информации и непонимание или недопонимание необходимости их тщательного выполнения;

- слабый контроль за соблюдением правил работы со сведениями конфиденциального характера;

- отсутствие или недостаточность мероприятий по блокированию каналов разглашения.

Следует отметить, что разглашение КИ персоналом предприятия – самый канал утечки информации.

По различным оценкам персонал предприятия ответственен за 70-80% ущерба в результате утечки информации.

Несанкционированный доступ (НСД ) - противоправное преднамеренное овладение КИ лицом, не имеющим права доступа к охраняемым секретам.

Другое определение – совокупность приемов, позволяющих злоумышленнику получить охраняемую КИ.

Способы несанкционированного доступа:

1) Инициативное сотрудничество - противоправные действия сотрудников по разглашению КИ по различным побуждениям, мотивам и причинам.

2) Склонение к сотрудничеству (вербовка методом убеждения или насильственным путем: запугивание, шантаж, подкуп).

Выведывание (игра на легкомыслии, болтливости, тщеславии и тп.)

4) Подслушивание (прямое восприятие речевой информации или с помощью технических средств).

5) Наблюдение (разведка деятельности противника методом визуального наблюдения, с помощью оптических приборов, видеокамер).

6) Хищение (имущества, денег, материалов, продукции, носителей информации).

7) Копирование, фотографирование.

8) Подделка (модификация, фальсификация).

9) Уничтожение.

10) Негласное ознакомление.

В основе технического канала утечки лежит неконтролируемый перенос информации посредством физических полей и материальных объектов.

Технические каналы утечки информации классифицируют следующим образом:

- визуально-оптический;

- акустический (включая акустико-преобразовательный);

- электромагнитный (включая магнитный и электрический;

- материально-вещественный.

Угрозы, направленные против объекта защиты, проявляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности информации на конкретном объекте информатизации.

Уязвимости безопасности информации могут быть: объективные, субъективные, случайные.

Объективные уязвимости (зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте): Сопутствующие техническим средствам излучения: электромагнитные, электрические, звуковые; Активизируемые: аппаратные закладки, программные закладки; Определяемые особенностями элементов: элементы, обладающие электроакустическими преобразованиями, элементы, подверженные воздействию ЭМ поля; Определяемые особенностями защищаемого объекта: местоположением объекта, организацией каналов обмена информацией.

Субъективные уязвимости (зависят от действия сотрудников и, в основном, устраняются организационными и программно-аппаратными методами):

Ошибки (халатность): при подготовке и использовании ПО, при эксплуатации технических средств, некомпетентные действия, неумышленные действия;

Нарушения: режима охраны и защиты, режима эксплуатации технических средств и ПО, использования информации;

Психогенные: психологические, психические, физиологические.

Случайные уязвимости (зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств):

Сбои и отказы: отказы и неисправности технических средств, старение и размагничивание носителей информации, сбои программного обеспечения, сбои электроснабжения.

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.