Объекты и субъекты правоотношений

В заключении рассмотрения правовых основ защиты информации отметим, что положения федеральных законов, постановлений правительства РФ, указов президента РФ имеют юридический статус только в случае, если последние регламентированы и применяются организацией к конкретным защищаемым информационным ресурсам (активам) и к конкретным субъектам доступа. В правовом поле они определяются как объекты и субъекты правоотношений.

В соответствии с положением ст.5 ФЗ № 149 которая определяет информацию как объект правовых отношений.

В частности п.1 ст.5 ФЗ № 149: - информация может являться объектом публичных, гражданских и иных правовых отношений.

При этом обладателю информации предоставляется право самостоятельно, в пределах своей компетенции, устанавливать режим защиты ИР и доступа к ним (ФЗ № 149 ст.5, 16).

При этом степень (режим) защиты информации определяется обладателем.

Ответственность за выполнение мер защиты лежит как на обладателе информации, так и операторе информационной системы.

Для правильного распределения ответственности и функций по обеспечению безопасности ИР, отвечающих действующему законодательству Российской Федерации, а также для выбора уровня защищенности ИС, необходимо установить границы информации, как объекта права.

Границы информации, как объекта правовых отношений, определяются:

• отношением к праву обладания информацией (информационными ресурсами);

• степенью ограничения доступа к информации (информационным ресурсам);

• возможностью фиксирования информации для последующей её идентификации.

Угрозы информационной безопасности

1. Понятие угрозы информационной безопасности

Понятие угрозы информационной безопасности раскрыто в целом ряде законодательных актов РФ, Стандартов (ГОСТ) РФ и руководящих документах ФСБ РФ и ФСТЭК России. Вот некоторые определения угроз.

Угроза безопасности – совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.  

(Закон Российской Федерации «О безопасности»)

Угроза (threat): Потенциальная причина инцидента, который может нанести ущерб системе или организации.

(ГОСТ Р ИСО/МЭК ТО 13335-1)

Угроза (безопасности информации): совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

(ГОСТ Р 50922-2006)

Все эти определения в той или иной мере характеризуют возможность негативного воздействия на защищаемую информацию в контексте тех документов в которых они представлены. Рассмотрение данных определений позволяет сформировать полное и правильное понимание угрозы информационной безопасности.

Для организации банковской системы РФ более полным, удовлетворяющим требованиям законодательства РФ, требованиям руководящих документов ФСБ РФ, ФСТЭК России и других регуляторов в сфере информационной безопасности, а так же требованиям принятой к исполнению политики информационной безопасности Банка, является определение угрозы информационной безопасности в соответствии с Государственным Стандартом РФ ГОСТ Р 51624-2000.

В соответствии с данным Стандартом угроза безопасности информации (читаем, как аналог – термина угроза информационной безопасности) определяется следующим образом: «Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации, и/или несанкционированными и/или непреднамеренными воздействиями на нее».

2. Уровни представления угроз информационной безопасности в информационной системе организации

Деятельность любой организации поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию бизнес технологий и может быть представлена в виде иерархии следующих основных уровней:

•Уровень бизнес процессы организации;

•Уровень технологических процессов и приложений;

•Уровень систем управления базами данных;

•Уровень сетевых приложений и сервисов;

•Уровень сетевые аппаратных средств;

•Физический уровень (линии связи, передачи данных и т.д.).

3. Основные причины проявления угроз информационной безопасности

Проявление угроз безопасности может быть связано, как с непреднамеренными действиями персонала информационной системы, либо потребителей ее услуг, так и со специально осуществляемыми неправомерными действиями иностранных государств, криминальных сообществ, отдельных организаций и граждан, а также иными источниками угроз.

В качестве основных причин их проявления в информационных системах можно выделить следующие:

отсутствие гарантированного уровня обеспечения конфиденциальности и целостности информации;

недостаточный уровень проверки (аутентификации) участников информационного процесса;

недостаточная реализация или некорректная разработка и использование политик информационной безопасности;

отсутствие или недостаточный уровень защиты от несанкционированного доступа и других деструктивных воздействий;

существующие уязвимости, используемых операционных систем, прикладного программного обеспечения, СУБД, веб-систем и сетевых протоколов;

непрофессиональное и слабое администрирование, используемых систем и средств обработки, хранения и передачи информации;

проблемы в системе менеджмента информационной безопасности;

сбои и отказы в работе компонентов компьютерных системы, их низкая производительность;

уязвимости в процедурах управления бизнес и технологическими процессами.

4. Формы представления угроз

Немаловажным вопросом при формализации (описании) угроз информационной безопасности банковской организации является выбор формы представления (описания) угрозы. При этом форма представления должна быть ясной, понятной и обеспечивать возможность ее использования для любой потенциально возможной угрозы.

В соответствии с положениями руководящих документов ФСБ РФ и ФСТЭК России, например нормативно-методическим документом «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» рекомендованными формами представления (описания) угроз являются:

•форма представления угрозы утечки информации по техническим каналам и

•форма представления угрозы несанкционированного доступа.

Форма представления угрозы утечки информации по техническим каналам

Угрозы утечки информации по техническим каналам описываются характеристиками источника информации, среды распространения и приемника информативного сигнала, то есть определяются характеристиками технического канала утечки информации.

источник угрозы (приемник информативного сигнала)

угроза утечки по техническим каналам: = среда распространения информационного сигнала

источник (носитель) информации.

Основными элементами канала реализации угрозы утечки информации являются:

•источник угрозы - субъект, материальный объект или физическое явление, приемник информационного сигнала;

•среда (путь) распространения информации или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) информации;

•носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обобщенная схема канала реализации угроз безопасности персональных данных

Форма представления угрозы несанкционированного доступа

Угрозы, связанные с НСД, описываются характеристиками источника угрозы, используемых уязвимостей, способа реализации, объектов воздействия (носителей защищаемой информации) и возможных последствий деструктивных действий.

источник угрозы

уязвимость объекта воздействия

угроза НСД: = способ реализации угрозы

объект воздействия (носитель информации)

последствия деструктивных воздействий

Взаимосвязанная совокупность (цепочка) – «Источник угрозы - Используемая уязвимость - Способ реализации» определяет форма реализации угрозы, получившей более широкое название, как атака или несанкционированное воздействие на информацию. При этом под несанкционированным воздействием на информацию понимается: «Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящие к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации».

(см. ГОСТ Р 50922-2006)

Термин «атака» определяется, как целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого.

(см. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации)

Виды каналов реализации угроз

Угрозы информационной безопасности могут быть реализованы через каналы, возникающие за счет использования технических средств съема (добывания) информации, обрабатываемой средствами информационных систем, в том числе и вспомогательных технических средств и систем (технические каналы утечки информации) и за счет несанкционированного доступа к информационным ресурсам с использованием штатного программного обеспечения информационных систем или специально разрабатываемого программного обеспечения.