Утечки информации

В соответствии с ГОСТом P50922-96 рассматриваются три вида утечки информации:

1. Разглашение

2. НСД

3. Получение защищаемой информации разведками.

Под утечкой понимается бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, к которым она доверена.

1. Под разглашением информации понимается несанкционированные доведение защищаемой информации до потребителей, не имеющих права доступа к ней; это умышленное или неосторожное действие должностных лиц или граждан, которым соответствующие сведения были доверены в установленном порядке.

Разглашение выражается в сообщении, передаче, опубликовании, утере и тому подобное, и, в основном, реализуется по каналам распространения и СМИ.

2. Под НСД понимается получение защищаемой информации заинтересованным субъектам с нарушением правил доступа к защищаемой информации. …

3. Получение защищаемой информации разведками может осуществляться с помощью технических средств или агентурной разведкой.

Таким образом, канал утечки информации – это совокупность источника информации, материального носителя или средства распространения несущего указанную информацию сигнала, и средства выделения информации из сигнала или носителя (т.е. источник, носитель-сигнал, средства снятия информации с носителя).

Угрозы иб в рф

Среди угроз, как в мире, так и в РФ, 80-85% угроз, реализуемых и приносящих ущерб, составляют внутренние угрозы. Угрозы сводятся к нанесению того или иного вида ущерба (материальный, моральный, незначительный, критичный, катастрофический и так далее).

Наиболее опасными являются:

1. Кража информации – 65%

2. Халатность сотрудников – 55%

3. Вредоносные программы – 42%

4. Саботаж – 35%

5. Хакерские атаки – 24%

6. Финансовое мошенничество – 20%

7. Спам – 20%

8. Аппаратные и программные сбои – 15%

9. Кража оборудования – 9%

25.02.2012

Таким образом, доминирующими являются инсайдеры, которые превалируют (превышают) над вирусами, хакерами и спамом.

При рассмотрении структуры инсайдерских рисков в РФ:

1. самой опасной угрозой является нарушение конфиденциальности информации (70%).

2. Искажение информации (около 40%)

3. Саботаж (25%)

4. Мошенничество (20%)

5. Утрата информации

6. Сбои в работе ИС (15%)

7. Кража оборудования (10%)

8. И так далее (менее 10%).

Среди самых распространенных каналов утечки информации выделяют:

1. Мобильные устройства (более 80%)

2. Электронная почта

3. Интернет

4. Печатные устройства – 60%

Общие критерии безопасности.

К настоящему времени сложилась общепринятая точка зрения на концептуальные основы ИБ.

Суть заключается в том, что подход к обеспечению ИБ должен быть комплексным, сочетающим меры нескольких уровней:

1. Административный

2. Процедурный

3. Законодательный

При обеспечении ИБ существует два аспекта:

1. Формальный - определение критериев, которым должны соответствовать защищаемые элементы системы

2. Практический – определение конкретного комплекса мер безопасности применительно к рассматриваемой системе.

Критерии являются объектом стандартизации.

В каждой стране существуют свои стандарты: в Европе – критерий оценки безопасности ИТ (ITSEC); в США – федеральный критерий для оценки безопасности ИТ (FC).

В середине 90х годов 20го века начался разрабатывать общий критерий оценки безопасности ИТ. Из действующих стандартов, в настоящее время распространены «Оранжевая книга» (TCSEC), рекомендации X-800, «концепция защиты от НСД» создана гостехкомиссии при президенте РФ.

В соответствии с критериями оценки надежности компьютерных систем, надежной определяется система, использующая достаточные аппаратные и программные средства для обеспечения одновременной обработки информации разной степени секретности группой пользователей без нарушения прав доступа.

Для характеристики безопасности системы используют два критерия:

1. Политика безопасности – набор законов, правил и норм поведения, регламентирующих процессы обработки, защиты и распространения информации. Это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия. … можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Чем надежней система, тем строже и однообразнее должна быть политика безопасности.

2. Гарантированность – мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность может проистекать как из тестирования, так и из проверки общего замысла и исполнения системы в целом и её компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность можно считать пассивным компонентом защиты.

Понятия защиты информации, абстрактные понятия защиты.

Защита информации – это, в самом лучшем случае, создание и поддержание организованной совокупности средств, способов, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения и несанкционированного использования информации.

Система обеспечения ИБ организации включает в себя сбор, классификацию, анализ, оценку, защиту и распространение актуальной информации для обеспечения защиты ресурсов организации с целью оптимальной реализации её цели и интересов.

К способам защиты относят препятствия, управление доступом, регламентация, маскировка, принуждение, побуждение.

В соответствии с способами выделяют средства: физические средства; аппаратные средства; программные средства; организационные (административные); законодательные; морально-этические средства.

Модели:

1. Biba (1977 год) – согласно этой модели, все субъекты и объекты предварительно разделяются по нескольким уровням доступа, а затем на их взаимодействие накладываются следующие ограничения:

   1. Субъект не может вызывать на исполнение субъекта с более низким уровнем доступа

   2. Субъект не может модифицировать объекты с более высоким уровнем доступа

2. Модель Gognen-Meseguer (1982) – основана на теории автоматов – согласно ей, система может при каждом действии переходить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной модели разбиваются на группы – домены; переход системы из одного состояния в другое выполняется только в соответствии с так называемой таблицей разрешений, в которой указано какие операции может выполнять субъект из одного домена над объектом из другого. В данной модели, при переходе системы из одного разрешенного состояния в другое, что обеспечивает общую целостность системы.

3. Сазерлендская модель (Sutherland) (1986 год). Данная модель делает акцент на взаимодействие субъектов и потоков информации. Также как и во второй модели используется машина состояний со множеством разрешенных комбинаций состояний и некоторым набором начальных позиций. В данной модели исследуется поведение множественных композиций, в основе – функции перехода из одного состояния в другое.

4. Модель Кларка-Вильсона (1987 – основана, модифицирована -1989). Данная модель основана на повсеместном использовании транзакций и тщательном оформлении прав доступа субъектов к объектам. В этой модели впервые исследована проблема защищенности третьей стороны, то есть стороны, поддерживающей всю систему безопасности. Эту роль в ИС исполняет программа super visor. Кроме того, в данной модели транзакции впервые были построены по методу верификации. То есть идентификация субъектов производилась не только перед выполнением команды, но и повторно после выполнения. Это позволило снять проблему подмены автора в момент между его идентификацией и, собственно, командой. Модель Кларка-Вильсона считается одной из самых совершенных в отношении поддержания целостности ИС

Направления обеспечения безопасности.

1. Правовая защита – специальные законы и другие нормативно-правовые акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе

2. Организационная (административная) защита – это регламентация производственной деятельности и взаимоотношений исполнительной на нормативно-правовой основе, исключающая или ослабляющая нанесение ущерба

3. ИТЗ (инженерно-техническая защита) – использование различных технических средств и приемов, препятствующих нанесению ущерба