|
|
@@ -0,0 +1,53 @@
|
|
|
+# Представление моделей объектов информационной безопасности
|
|
|
+
|
|
|
+Сметодологической точки зрения при анализе проблем информационной безопасности необходимо выявить субъекты информационных отношений и их интересы, связанные с использованием информационных систем, определить цели защиты информации, основные угрозы безопасности и возможные уязвимости системы. Таким образом, необходима многомерная модель информационной безопасности. В литературе по защите информации описаны различные варианты моделей,
|
|
|
+
|
|
|
+сразной степенью точности отражающие все многообразие форм воздействия на информацию.
|
|
|
+
|
|
|
+Сточки зрения правовых отношений структурную модель информационной безопасности компьютерных систем можно представить
|
|
|
+
|
|
|
+ввиде схемы, представленной на рисунке 1.4.1.
|
|
|
+
|
|
|
+Основными структурными элементами информационной безопасности компьютерных систем в данной модели являются:
|
|
|
+
|
|
|
+1.Цели защиты информации.
|
|
|
+
|
|
|
+2.Субъекты, участвующие в процессах информационного обмена.
|
|
|
+
|
|
|
+3.Угрозы безопасности информационных систем.
|
|
|
+
|
|
|
+4.Уровни уязвимости информации и информационной инфраструктуры.
|
|
|
+
|
|
|
+Обеспечение безопасности состоит в достижении трех взаимосвязанных целей: конфиденциальность, целостность и доступность.
|
|
|
+
|
|
|
+Обеспечение конфиденциальности состоит в защите информации в процессе ее создания, хранения, обработки и обмена по каналам связи от ознакомления с ней лицами, не имеющими права доступа. Кроме того, авторизованные пользователи системы должны иметь доступ к информации в соответствии с установленными правами.
|
|
|
+Обеспечение целостности состоит в защите от преднамеренного или непреднамеренного изменения информации и алгоритмов ее обработки лицами, не имеющими на то права.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+Обеспечение доступности состоит в предоставлении авторизованным пользователям всей имеющейся в системе информации в соответствии с установленными правами доступа.
|
|
|
+
|
|
|
+Основными субъектами в информационных процессах являются: авторы (собственники) информационных ресурсов, владельцы информации, авторизованные пользователи, неавторизованные пользователи, разработчики информационной системы, обслуживающий персонал, обеспечивающий работоспособность программно-технических средств и средств защиты, а также персонал, занимающийся наполнением системы информацией.
|
|
|
+
|
|
|
+Владельцы информации обязаны построить систему защиты, которая должна обеспечивать соблюдение авторских прав собственникам информации и предоставлять доступ к информации только авторизованным пользователям в соответствии с их правами. Неавторизованные пользователи стремятся получить несанкционированный доступ к информационной системе.
|
|
|
+
|
|
|
+Кроме того, возможны каналы утечки информации, заложенные разработчиками информационной системы, и известные только им (недокументированные возможности).
|
|
|
+
|
|
|
+Персонал, занимающийся сопровождением программнотехнических средств, администрированием сети, обеспечением защиты и информационным наполнением, также представляет определенную угрозу несанкционированных утечек информации, а потому является важным субъектом информационных процессов. Как правило, обслуживающий персонал не всегда имеет полноправный доступ к информации в системе, но имеет практически неограниченный доступ к аппаратно-программным средствам и телекоммуникациям, обеспечивающим функционирование всей информационной системы.
|
|
|
+
|
|
|
+
|
|
|
+Под угрозой безопасности информационным системам понимается потенциально возможное действие, событие или процесс, которые посредством воздействия на информацию и другие компоненты системы могут нанести ущерб интересам субъектов. Прежде всего, по результатам воздействия угрозы бывают пассивные и активные.
|
|
|
+
|
|
|
+Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов сети, не оказывая при этом влияния на ее функционирование и информационное наполнение.
|
|
|
+
|
|
|
+Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в базах данных, разрушение программного обеспечения, нарушение работы линий связи и т.д. Источником активных угроз, как правило, являются действия злоумышленников.
|
|
|
+
|
|
|
+Активные угрозы безопасности могут быть разделены на естественные и искусственные.
|
|
|
+
|
|
|
+Естественные угрозы – это угрозы, вызванные воздействием на информационные системы объективных физических процессов или стихийных природных явлений, не зависящих от человека. Естественными угрозами безопасности являются, например, стихийные бедствия, аварии, внезапные отключения электропитания, поломки технических средств и другие, не зависящие от человека воздействия. Эти угрозы совершенно не поддаются прогнозированию, и поэтому меры их парирования должны применяться всегда. Стихийные источники, составляющие потенциальные угрозы информационной безопасности, как правило, являются внешними по отношению к рассматриваемому объекту, и под ними понимаются, прежде всего, природные катаклизмы. Эти угрозы опасны для всех элементов информационной системы и могут привести к нарушениям
|
|
|
+нормальной работы, разрушению системы, уничтожению информации, разрушению аппаратно-программных средств и линий связи.
|
|
|
+Искусственные угрозы вызваны действиями человека (антропогенные) и подразделяются на непреднамеренные (случайные) и преднамеренные. Данная группа угроз самая обширная. Она представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия этим угрозам управляемы и в основном зависят от организаторов защиты информации.
|
|
|
+
|
|
|
+Непреднамеренные угрозы связаны с людьми, непосредственно работающими с компьютерной системой (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, но без злого умысла). Они вызваны случайными действиями пользователей, ошибками операторов, программистов, управленческого персонала, сотрудников архивной службы и службы безопасности и ведут к искажению или уничтожению информации, нарушению функционирования, управления и безопасности системы. Часто такие угрозы являются следствием невыполнения персоналом организационно-технологических правил и требований внутренних нормативных документов.
|
|
|
+
|
|
|
+Преднамеренные искусственные угрозы делятся на внутренние (со стороны персонала организации) и внешние (от посторонних лиц и организаций). По зарубежной и отечественной статистике до 70-80% всех компьютерных преступлений связано с внутренними нарушениями, т.е. осуществляются сотрудниками своей компании. Это обусловлено тем, что свой сотрудник может реально оценить стоимость той или иной информации. Кроме того, некоторые сотрудники обладают привилегиями по доступу к информации (либо аппаратно-программным средствам и средствам защиты) и могут их использовать в корыстных интересах.
|
