- •Правовые основы защиты информации конституция россии
- •Права и обязанности обладателя информации
- •Федеральный закон № 1-фз "Об электронной цифровой подписи» от 10.01.2002
- •Гражданский кодекс рф об использовании эцп
- •Гражданский кодекс рф. Часть 1. Глава 28. Статья 434. Форма договора
- •Объекты и субъекты правоотношений
- •Угрозы информационной безопасности
- •Каналы реализации угроз информационной безопасности
Объекты и субъекты правоотношений
В заключении рассмотрения правовых основ защиты информации отметим, что положения федеральных законов, постановлений правительства РФ, указов президента РФ имеют юридический статус только в случае, если последние регламентированы и применяются организацией к конкретным защищаемым информационным ресурсам (активам) и к конкретным субъектам доступа. В правовом поле они определяются как объекты и субъекты правоотношений.
В соответствии с положением ст.5 ФЗ № 149 которая определяет информацию как объект правовых отношений.
В частности п.1 ст.5 ФЗ № 149: - информация может являться объектом публичных, гражданских и иных правовых отношений.
При этом обладателю информации предоставляется право самостоятельно, в пределах своей компетенции, устанавливать режим защиты ИР и доступа к ним (ФЗ № 149 ст.5, 16).
При этом степень (режим) защиты информации определяется обладателем.
Ответственность за выполнение мер защиты лежит как на обладателе информации, так и операторе информационной системы.
Для правильного распределения ответственности и функций по обеспечению безопасности ИР, отвечающих действующему законодательству Российской Федерации, а также для выбора уровня защищенности ИС, необходимо установить границы информации, как объекта права.
Границы информации, как объекта правовых отношений, определяются:
-
отношением к праву обладания информацией (информационными ресурсами);
-
степенью ограничения доступа к информации (информационным ресурсам);
-
возможностью фиксирования информации для последующей её идентификации.
Угрозы информационной безопасности
1. Понятие угрозы информационной безопасности
Понятие угрозы информационной безопасности раскрыто в целом ряде законодательных актов РФ, Стандартов (ГОСТ) РФ и руководящих документах ФСБ РФ и ФСТЭК России. Вот некоторые определения угроз.
Угроза безопасности – совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.
(Закон Российской Федерации «О безопасности»)
Угроза (threat): Потенциальная причина инцидента, который может нанести ущерб системе или организации.
(ГОСТ Р ИСО/МЭК ТО 13335-1)
Угроза (безопасности информации): совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
(ГОСТ Р 50922-2006)
Все эти определения в той или иной мере характеризуют возможность негативного воздействия на защищаемую информацию в контексте тех документов в которых они представлены. Рассмотрение данных определений позволяет сформировать полное и правильное понимание угрозы информационной безопасности.
Для организации банковской системы РФ более полным, удовлетворяющим требованиям законодательства РФ, требованиям руководящих документов ФСБ РФ, ФСТЭК России и других регуляторов в сфере информационной безопасности, а так же требованиям принятой к исполнению политики информационной безопасности Банка, является определение угрозы информационной безопасности в соответствии с Государственным Стандартом РФ ГОСТ Р 51624-2000.
В соответствии с данным Стандартом угроза безопасности информации (читаем, как аналог – термина угроза информационной безопасности) определяется следующим образом: «Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации, и/или несанкционированными и/или непреднамеренными воздействиями на нее».
2. Уровни представления угроз информационной безопасности в информационной системе организации
Деятельность любой организации поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию бизнес технологий и может быть представлена в виде иерархии следующих основных уровней:
•Уровень бизнес процессы организации;
•Уровень технологических процессов и приложений;
•Уровень систем управления базами данных;
•Уровень сетевых приложений и сервисов;
•Уровень сетевые аппаратных средств;
•Физический уровень (линии связи, передачи данных и т.д.).
3. Основные причины проявления угроз информационной безопасности
Проявление угроз безопасности может быть связано, как с непреднамеренными действиями персонала информационной системы, либо потребителей ее услуг, так и со специально осуществляемыми неправомерными действиями иностранных государств, криминальных сообществ, отдельных организаций и граждан, а также иными источниками угроз.
В качестве основных причин их проявления в информационных системах можно выделить следующие:
отсутствие гарантированного уровня обеспечения конфиденциальности и целостности информации;
недостаточный уровень проверки (аутентификации) участников информационного процесса;
недостаточная реализация или некорректная разработка и использование политик информационной безопасности;
отсутствие или недостаточный уровень защиты от несанкционированного доступа и других деструктивных воздействий;
существующие уязвимости, используемых операционных систем, прикладного программного обеспечения, СУБД, веб-систем и сетевых протоколов;
непрофессиональное и слабое администрирование, используемых систем и средств обработки, хранения и передачи информации;
проблемы в системе менеджмента информационной безопасности;
сбои и отказы в работе компонентов компьютерных системы, их низкая производительность;
уязвимости в процедурах управления бизнес и технологическими процессами.
4. Формы представления угроз
Немаловажным вопросом при формализации (описании) угроз информационной безопасности банковской организации является выбор формы представления (описания) угрозы. При этом форма представления должна быть ясной, понятной и обеспечивать возможность ее использования для любой потенциально возможной угрозы.
В соответствии с положениями руководящих документов ФСБ РФ и ФСТЭК России, например нормативно-методическим документом «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» рекомендованными формами представления (описания) угроз являются:
•форма представления угрозы утечки информации по техническим каналам и
•форма представления угрозы несанкционированного доступа.
Форма представления угрозы утечки информации по техническим каналам
Угрозы утечки информации по техническим каналам описываются характеристиками источника информации, среды распространения и приемника информативного сигнала, то есть определяются характеристиками технического канала утечки информации.
источник угрозы (приемник информативного сигнала)
угроза утечки по техническим каналам: = среда распространения информационного сигнала
источник (носитель) информации.
Основными элементами канала реализации угрозы утечки информации являются:
•источник угрозы - субъект, материальный объект или физическое явление, приемник информационного сигнала;
•среда (путь) распространения информации или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) информации;
•носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обобщенная схема канала реализации угроз безопасности персональных данных
Форма представления угрозы несанкционированного доступа
Угрозы, связанные с НСД, описываются характеристиками источника угрозы, используемых уязвимостей, способа реализации, объектов воздействия (носителей защищаемой информации) и возможных последствий деструктивных действий.
источник угрозы
уязвимость объекта воздействия
угроза НСД: = способ реализации угрозы
объект воздействия (носитель информации)
последствия деструктивных воздействий
Взаимосвязанная совокупность (цепочка) – «Источник угрозы - Используемая уязвимость - Способ реализации» определяет форма реализации угрозы, получившей более широкое название, как атака или несанкционированное воздействие на информацию. При этом под несанкционированным воздействием на информацию понимается: «Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящие к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации».
(см. ГОСТ Р 50922-2006)
Термин «атака» определяется, как целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого.
(см. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации)
Виды каналов реализации угроз
Угрозы информационной безопасности могут быть реализованы через каналы, возникающие за счет использования технических средств съема (добывания) информации, обрабатываемой средствами информационных систем, в том числе и вспомогательных технических средств и систем (технические каналы утечки информации) и за счет несанкционированного доступа к информационным ресурсам с использованием штатного программного обеспечения информационных систем или специально разрабатываемого программного обеспечения.