Інформаційна
безпека h2>
Вступ h2>
Примітна
особливість нинішнього періоду - перехід від індустріального суспільства до
інформаційного, в якому інформація стає більш важливим ресурсом, ніж
матеріальні або енергійно ресурси. Ресурсами, як відомо, називають
елементи економічного потенціалу, якими володіє суспільство і яка при
необхідності можуть бути використані для досягнення конкретної мети
господарської діяльності. Давно стали звичними і загальновживаними такі
категорії, як матеріальні, фінансові, трудові, природні ресурси, які
залучаються в господарський оборот, і їх призначення зрозуміло кожному. Але ось
з'явилося поняття "інформаційні ресурси", і хоча воно узаконено, але
усвідомлено поки ще недостатньо. Інформаційні ресурси - окремі документи і
окремі масиви, документів в інформаційних системах (бібліотеках, архівах,
фондах, банках даних, інших інформаційних системах). Інформаційні ресурси
є власністю, знаходяться у віданні відповідних органів і
організацій, підлягають обліку і захисту, оскільки інформацію можна використовувати не
тільки для товарів і послуг, але й перетворити її у готівку, продавши
кому-небудь, або, що ще гірше, знищити. Власна інформація для
виробника представляє значну цінність, так як нерідко отримання
(створення) такої інформації - досить трудомісткий і дорогий процес.
Очевидно, що цінність інформації (реальна або потенційна) визначається в
першу чергу приносяться доходами. p>
Особливе місце
відводиться інформаційних ресурсів в умовах ринкової економіки. p>
Найважливішим
фактором ринкової економіки виступає конкуренція. Перемагає той, хто кращий,
якісніше, дешевше і оперативніше (ВРЕМЯ-ДЕНЬГИ!!!) виробляє і продає. У
суті це універсальне правило ринку. І в цих умовах основним виступає
правило: хто володіє інформацією, той володіє світом. p>
У конкурентній
боротьби широко поширені різноманітні дії, спрямовані на отримання
(добування, придбання) конфіденційної інформації найрізноманітнішими
способами, аж до прямого промислового шпигунства з використанням
сучасних технічних засобів розвідки. Встановлено, що 47% охоронюваних
відомостей видобувається за допомогою технічних засобів промислового шпигунства. p>
У цих умовах
захист інформації від неправомірного оволодіння нею відводиться далеко не останнє
місце. При цьому "цілями захисту інформації є: запобігання
розголошення, витоку і несанкціонованого доступу до охоронюваним відомостями;
запобігання протиправних дій по знищенню, модифікації, перекручення,
копіювання, блокування інформації; запобігання інших форм незаконного
втручання в інформаційні ресурси та інформаційні системи; забезпечення правового
режиму документованої інформації як об'єкта власності; захист
конституційних прав громадян на збереження особистої таємниці та конфіденційності
персональних даних, що є в інформаційних системах; збереження
державної таємниці, конфіденційності документованої інформації
відповідність до законодавства, забезпечення прав суб'єктів в інформаційних
процесах при розробці, виробництві та застосуванні інформаційних систем,
технології та засобів їх забезпечення ". p>
Як видно з
цього визначення цілей захисту, інформаційна безпека - досить ємна і
багатогранна проблема, яка охоплює не тільки визначення необхідності захисту
інформації, але і те, як її захищати, від чого захищати, коли захищати, ніж
захищати і якою має бути ця захист. p>
Основне
увага приділяється захисту конфіденційної інформації, з якої здебільшого
зустрічаються підприємці недержавного сектора економіки. p>
Люди усвідомлюють і
усвідомлюють складність проблеми захисту інформації взагалі, і за допомогою
технічних засобів зокрема. Проте погляд на цю проблему викладається
на цьому Web-сайті, вважається, що цим охоплюється не всі аспекти складної
проблеми, а лише окремі її частини. p>
Концепція
інформаційної безпеки h2>
1.
Основні концептуальні положення системи захисту інформації p>
2.
Концептуальна модель інформаційної безпеки p>
3.
Загрози конфіденційної інформації p>
4.
Дії, що призводять до неправомірного оволодіння конфіденційною інформацією p>
"ІНФОРМАЦІЙНА
БЕЗПЕКА - це стан захищеності інформації посеред громади,
забезпечує її формування, використання і розвиток в інтересах громадян,
організацій, держав "(Закон РФ" Про участь у міжнародному
інформаційному обміні "). p>
Постулати p>
Інформація --
це загальна властивість матерії. p>
Будь-яке
взаємодія в природі і суспільстві, грунтується на інформації. p>
Всякий процес
здійснення роботи є процес інформаційної взаємодії. p>
Інформація --
продукт відображення дійсності. p>
Дійсність
відображається у просторі та часі. p>
Нічого не
відбувається з нічого. p>
Інформація
зберігає значення в незмінному вигляді до тих пір, поки залишається в незмінному
вигляді носій інформації - ПАМ'ЯТЬ. p>
Ніщо не
зникає просто так. p>
Поняття
"інформація" сьогодні вживається досить широко і різнобічно.
Важко знайти таку галузь знань, де б воно не використовувалося. Величезні
інформаційні потоки буквально зашкалюють людей. Обсяг наукових знань,
наприклад, за оцінкою фахівців, подвоюється, кожні п'ять років. Такий стан
приводить до висновку, що XXI століття буде століттям торжества теорії та практики
ІНФОРМАЦІЇ - інформаційним століттям. p>
правомірно
задати питання: що ж таке інформація? В літературі дається таке визначення:
інформація - відомості про осіб, предмети, факти, події, явища і процеси
незалежно від форми їх подання. Відомо, що інформація може мати
різну форму, включаючи дані, закладені в комп'ютерах, "синьки",
кальки, листа або пам'ятні записки, досьє, формули, креслення, діаграми, моделі
продукції і прототипи, дисертації, судові документи та ін p>
Як і всякий
продукт, інформація має споживачів, мають потребу-трудящих в ній, і тому має
певними споживчими якостями, а також має і своїх володарів
або виробників. p>
З точки зору
споживача якість використовуваної інформації дозволяє отримувати додатковий
економічний або моральний ефект. p>
З точки зору
володаря - збереження в таємниці комерційно важливої інформації дозволяє успішно
конкурувати на ринку виробництва, і збуту товарів і послуг. Це, природно,
вимагає певних дій, спрямованих на захист конфіденційної
інформації. p>
Розуміючи під
безпекою стан захищеності життєво важливих інтересів особистості,
підприємства, держави від внутрен-них і зовнішніх загроз, можна виділити і
компоненти безпеки - такі, як персонал, матеріальні та фінансові
засоби й інформацію. p>
1.1 Основні
концептуальні положення системи захисту інформації. h2>
Аналіз
стану справ у сфері захисту інформації показує, що вже склалася цілком сформованою
концепція і структура захисту, основу якої складають: p>
досить розвинений
арсенал технічних засобів захисту інформації, вироблених на промисловій
основі; p>
значне
число фірм, що спеціалізуються на вирішенні питань захисту інформації; p>
достатньо
чітко окреслена система поглядів на цю проблему; p>
наявність
значного практичного досвіду та ін p>
І, тим не
менше, як свідчить вітчизняна і закордонна преса, злочинні
дії над інформацією не тільки не зменшуються, але й мають досить
стійку тенденцію до зростання. Досвід показує, що для боротьби з цією тенденцією
необхідна струнка і цілеспрямована організація процесу захисту
інформаційних ресурсів. Причому в цьому повинні брати активну участь
професійні фахівці, адміністрація, співробітники і користувачі, що і
визначає підвищену значимість організаційної сторони питання. p>
Досвід також
показує, що: p>
забезпечення
безпеки інформації не може бути одноразовим актом. Це безперервний
процес, що полягає в обгрунтуванні і реалізації найбільш раціональних
методів, способів і шляхів вдосконалення та розвитку системи захисту,
безперервному контролі її стану, виявленні її вузьких і слабких місць та
протиправних дій; p>
безпека
інформації може бути забезпечена лише при комплексному використанні всього
арсеналу наявних засобів захисту у всіх структурних елементах
виробничої системи і на всіх етапах технологічного циклу обробки
інформації. Найбільший ефект досягається тоді, коли всі використовувані
засоби, методи і заходи об'єднуються в єдиний цілісний механізм - систему
захисту інформації (СЗІ). При цьому функціонування системи має
контролюватися, оновлюватися та доповнюватися в залежності від зміни зовнішніх
і внутрішніх умов; p>
ніяка СЗІ НЕ
може забезпечити необхідного рівня безпеки інформації без належної
підготовки користувачів і дотримання ними всіх встановлених правил,
спрямованих на її захист. p>
З урахуванням
накопиченого досвіду можна визначити систему захисту інформації як організовану
сукупність спеціальних органів, засобів, методів і заходів,
що забезпечують захист інформації від внутрішніх і зовнішніх загроз. p>
З позицій
системного підходу до захисту інформації пред'являються певні вимоги.
Захист інформації повинна бути: p>
безперервної.
Ця вимога випливає з того, що зловмисники тільки й шукають
можливість, як би обійти захист їх цікавить; p>
плановою.
Планування здійснюється шляхом розробки кожною службою детальних планів
захисту інформації в сфері її компетенції з урахуванням загальної мети підприємства
(організації); p>
цілеспрямованою.
Захищається те, що має захищатися в інтересах конкретної мети, а не всі
підряд; p>
конкретною.
Захисту підлягають конкретні дані, об'єктивно що підлягають охороні, втрата яких
може заподіяти організації певних збитків; p>
активною.
Захищати інформацію необхідно з достатнім ступенем наполегливості; p>
надійною.
Методи і форми захисту повинні надійно перекривати можливі шляхи неправомірного
доступу до охоронюваним секретів, незалежно від форми їх подання, мови
висловлю-вання та види фізичного носія, на якому вони закріплені; p>
універсальною.
Вважається, що в залежності від виду каналу витоку або способу
несанкціонованого доступу його необхідно перекривати, де б він не
проявився, розумними і достатніми засобами, незалежно від характеру, форми
та виду інформації; p>
комплексної.
Для захисту інформації у всьому різноманітті структурних елементів повинні
застосовуватися всі види та форми захисту в повному обсязі. Неприпустимо застосовувати лише
окремі форми або технічні засоби. p>
Комплексний
характер захисту виникає з того, що захист - це специфічне явище,
що являє собою складну систему нерозривно взаємопов'язаних і
взаємозалежних процесів, кожен з яких у свою чергу має безліч
різних взаімообусловлівающіх один одного сторін, властивостей, тенденцій. p>
Зарубіжний і
вітчизняний досвід показує, що для забезпечення виконання такої
багатогранних вимог безпеки система захисту інформації повинна задовольняти
певним умовам: p>
охоплювати весь
технологічний комплекс інформаційної діяльності; p>
бути
різноманітної по використовуваних засобів, багаторівневої з ієрархічною
послідовністю доступу; p>
бути відкритою
для зміни і доповнення заходів забезпечення безпеки інформації; p>
бути
нестандартною, різноманітною. При виборі засобів захисту не можна розраховувати на
необізнаність зловмисників щодо її можливостей; p>
бути простою
для технічного обслуговування і зручною для експлуатації користувачами; p>
бути надійною.
Будь-які поломки технічних засобів є причиною появи неконтрольованих
каналів витоку інформації; p>
бути
комплексною, володіти цілісністю, що означає, що жодна її частина не може
бути вилучена без шкоди для всієї системи. До системи безпеки інформації
пред'являються також певні вимоги: p>
чіткість
визначення повноваженні і прав користувачів на доступ до певних видів
інформації; p>
надання
користувачеві мінімальних повноважень, необхідних йому для виконання дорученої
роботи; p>
зведення до
мінімуму числа загальних для декількох користувачів засобів захисту; p>
облік випадків і
спроб несанкціонованого доступу до конфіденційної інформації; p>
забезпечення
оцінки ступеня конфіденційної інформації; p>
забезпечення
контролю цілісності засобів захисту і негайне реагування на їх вихід з
ладу. Система захисту інформації як будь-яка система повинна мати певні
види власного забезпечення, спираючись на які вона буде виконувати свою
цільову функцію. З урахуванням цього СЗІ може мати: p>
правове
забезпечення. Сюди входять нормативні документи, положення, інструкції,
керівництва, вимоги яких є обов'язковими в рамках сфери їх
дій; p>
організаційне
забезпечення. Мається на увазі, що реалізація захисту інформації здійснюється
певними структурними одиницями - такими, як служба захисту документів;
служба режиму, допуску, охорони; служба захисту інформації технічними
засобами; інформаційно-аналітична діяльність та ін; p>
апаратне
забезпечення. Передбачається широке використання технічних засобів, як для
захисту інформації, так і для забезпечення діяльності власне СЗІ; p>
інформаційне
забезпечення. Воно включає в себе відомості, дані, показники, параметри,
що лежать в основі вирішення завдань, що забезпечують функціонування системи. Сюди
можуть входити як показники доступу, обліку, зберігання, так і системи
інфор-онного забезпечення розрахункових завдань різного характеру, пов'язаний-них з
діяльністю служби забезпечення безпеки; p>
програмне
забезпечення. До нього відносяться різні інформаційні, облікові, статистичні
розрахункові та програми, що забезпечують оцінку наявності та небезпеки різних
каналів витоку і шляхів несанкціонованого проникнення до джерел
конфі-денціальной інформації; p>
математичне
забезпечення. Передбачає використання математичних методів для різних
розрахунків, пов'язаних з оцінкою небезпеки технічних засобів зловмисників,
зон і норм необхідного захисту; p>
лінгвістичне
забезпечення. Сукупність спеціальних мовних засобів спілкування фахівців і
користувачів у сфері захисту інформації; p>
нормативно-методичне
забезпечення. Сюди входять норми і регламенти діяльності органів, служб,
засобів, що реалізують функції захисту інформації, різного роду методики,
забезпечують діяльність користувачів при виконанні своєї роботи в
умовах жорстких вимог захисту інформації. p>
Задовольнити
сучасні вимоги щодо забезпечення безпеки підприємства та захисту його
конфіденціаль-ної інформації може тільки система безпеки. Під системою
безпеки будемо розуміти організовану сукупність спеціальних органів,
служб, засобів, методів і заходів, що забезпечують захист життєво важливих
інтересів особистості, підприємства і держави від внутрішніх і зовнішніх загроз. p>
Як і будь-яка
система, система інформаційної безпеки має свої цілі, завдання, методи і
засоби діяльності, які злагоди-совиваются по місцю і часу в
залежно від умов. p>
1.2.
Концептуальна модель інформаційної безпеки. h2>
Розуміючи
інформаційну безпеку як "стан захищеності інформаційної
середовища суспільства, що забезпечує її формування, використання і розвиток в
інтересах громадян, організа-цій ", правомірно визначити загрози
безпеки інформації, джерела цих загроз, способи їх реалізації та цілі, а
також інші умови та дії, що порушують безпеку. При цьому, природно,
слід розглядати і заходи захисту інформації від неправомірних дій,
що призводять до нанесення шкоди. p>
Практика
показала, що для аналізу такого значного набору джерел, об'єктів і
дій доцільно використовувати методи моделювання, при яких
формується як би "заступник" реальних ситуацій. При цьому следует
враховувати, що модель не копіює оригінал, вона простіше. Модель повинна бути
достатньо об-щей, щоб описувати реальні дії з урахуванням їх складності. p>
Можна
запропонувати наступні компоненти моделі інформаційної безпеки на першу
рівні декомпозиції. p>
На нашу
думку, такими компонентами концептуальної моделі безпеки інформації можуть
бути наступні: p>
об'єкти загроз; p>
загрози; p>
джерела
загроз; p>
мети погроз з
боку зловмисників; p>
джерела
інформації; p>
способи
неправомірного оволодіння конфіденційною інформацією (способи доступу); p>
напрямки
захисту інформації; p>
способи захисту
інформації; p>
засоби захисту
інформації. p>
Об'єктом загроз
інформаційної безпеки виступають відомості про склад, стан і
діяльності об'єкта захисту (персоналу, матеріальних і фінансових цінностей,
інформаційних ресурсів). p>
Загрози інформації
виражаються в порушенні її цілісності, кон-фіденціальності, повноти і
доступності. Джерелами загроз виступають конкуренти, злочинці,
корупціонери, адміністративно-управлінські органи. Джерела загроз
переслідують при цьому наступні цілі: ознаки-ня з охороняються відомостями, їх
модифікація в корисливих цілях і знищення для нанесення прямих матеріальних
збитку. p>
Неправомірне
оволодіння конфіденційною інформацією можли-но за рахунок її розголошення
джерелами відомостей, за рахунок витоку інформації через технічні кошти і за
рахунок несанкціоніро-ного доступу до охоронюваним відомостями. p>
Джерелами
конфіденційної інформації є люди, доку-менти, публікації, технічні
носії інформації, техніч-ські засоби забезпечення виробничої та
трудової діяль-ності, продукція і відходи виробництва. Основними
напрямками захисту інформації є правова, організаційна та
інженерно-технічна захисту інформації як виразники комплексного підходу до
забезпечення інформаційної безпеки. p>
Засобами
захисту інформації є фізичні засоби, апаратні засоби,
програмні засоби та криптографічні методи. Останні можуть бути
реалізовані як апаратно, програм-но, так і змішано-програмно-апаратними
засобами. p>
Як
способів захисту виступають всілякі заходи, шляхи, способи і дії,
забезпечують попередження протиправних дій, їх запобігання,
припинення та протидія не-санкціонованою доступу. В узагальненому вигляді
розглянуті компоненти у вигляді концептуальних ної моделі безпеки інформації
наведені на наступною схемою. p>
Основні
елементи концептуальної моделі будуть розглянуті більш детально в наступних
розділах книги. Концепція безпеки є основним правовим документом,
визначальним захищеність підприємства від внутрішніх і зовнішніх загроз. p>
1.3. Загрози
конфіденційної інформації h2>
Під погрозами
конфіденційної інформації прийнято розуміти потенційні чи реально
можливі дії по відношенню до інформаційних ресурсів, що призводять до
неправомірному опанувавши-нію охороняються відомостями. Такими діями є: p>
ознайомлення з
конфіденційною інформацією різними шляхами і способами без порушення її
цілісності; p>
модифікація
інформації у кримінальних цілях як часткове або значна зміна
складу і змісту відомостей; p>
руйнування
(знищення) інформації як акт вандалізму з метою прямого нанесення
матеріального збитку. p>
У кінцевому
підсумку протиправні дії з інформацією прива-дят до порушення її
конфіденційності, повноти, достовірності і доступності, що в свою чергу
призводить до порушення як режиму управління, так і її якості в умовах
помилкової або неповної інформації. Кожна загроза тягне за собою певний
шкоди - моральної чи матеріальної, а захист і протидія загрозі покликане
знизити його величину, в ідеалі - повністю, реально - значною але чи хоча б
частково. Але й це вдається далеко не завжди. p>
З урахуванням цього
загрози можуть бути класифіковані за наступними кластерів: p>
за величиною
граничний,
після якого фірма може стати банкрутом; p>
значний,
але не призводить до банкрутства; p>
незначний,
який фірма за якийсь час може ком-пенсіровать та ін; p>
за ймовірністю
виникнення: p>
вельми
ймовірна загроза; p>
ймовірна
загроза; p>
малоймовірна
загроза; p>
з причин
появи: p>
стихійні
лиха; p>
навмисні
дії; p>
за характером
нанесеного збитку: p>
матеріал; p>
моральний; p>
за характером
впливу: p>
активні; p>
пасивні; p>
по відношенню до
об'єкту: p>
внутрішні; p>
зовнішні. p>
Джерелами
зовнішніх загроз є: p>
несумлінні
конкуренти; p>
злочинні
угруповання і формування; p>
окремі особи
і організації адміністративно-управлінсько-го апарату. p>
Джерелами
внутрішніх загроз можуть бути: p>
адміністрація
підприємства; p>
персонал; p>
технічні
засоби забезпечення виробничої та трудової діяльності. p>
Співвідношення
зовнішніх і внутрішніх загроз на усереднений рівні можна охарактеризувати так: p>
82% погроз
здійснюється власними співробітниками фірми або при їх прямому або
опосередкованому участю; p>
17% погроз
здійснюється ззовні - зовнішні загрози; p>
1% загроз
здійснюється випадковими особами. p>
Загроза - це
потенційні або реальні дії, що призводять до морального або матеріального
збитку. p>
1.4.
Дії, що призводять до неправомірного оволодіння конфіденційною інформацією. h2>
Ставлення
об'єкта (фірма, організація) і суб'єкта (конкурент, зловмисник) в
інформаційному процесі з протилежними інтересами можна розглядати з
позиції активності в діях, що призводять до оволодіння конфіденційною інформацією.
У цьому випадку можливі такі ситуації: p>
власник
(джерело) не приймає ніяких заходів до збереження конфіденційної інформації,
що дозволяє зловмисникові легко отримати цікаві для нього відомості; p>
джерело
інформації суворо дотримується заходи інформаційної безпеки, тоді
зловмисникові доводиться докладати значну зусилля до здійснення
доступу до охоронюваним відомостями, використовуючи для цього всю сукупність способів
несанкціонованого проникнення: легальне або нелегальне, заходовое або
беззаходовое; p>
проміжна
ситуація - це витік інформації по техніч-ським каналах, при якій джерело
ще не знає про це (інакше він прийняв би заходи захисту), а зловмисник легко,
без особливих зусиль може їх використовувати у своїх інтересах. p>
Загалом, факт
отримання охоронюваних відомостей зловмисниками або конкурентами називають
витоком. Проте одночасно з цим в значній частині законодавчих актів,
законів, кодексів, офіційних матеріалів використовуються і такі поняття, як
разгла-шеніе відомостей і несанкціонований доступ до конфіденціаль-ної
інформації. p>
Розголошення --
це навмисні або необережні дії з конфіденційною інформацією,
що привели до ознайомлення з ними осіб, що не допущені до них. Розголошення
виражається в повідомленні, передачі, наданні, пересилання, оприлюднення,
втраті та в інших формах обміну і дей-наслідком з діловою і науковою інформацією.
Реалізується розголошення за формальними і неформальними каналами розповсюдження
інфор-мації. До формальних комунікацій відносяться ділові зустрічі, наради,
переговори і тому подібні форми спілкування: обмін офіційними та діловими
науковими документами засобами пе-редачі офіційної інформації (пошта,
телефон, телеграф та ін.) Неформальні комунікації включають особисте спілкування
(зустрічі, листування та ін); виставки, семінари, конференції та інші мас-совие
заходи, а також засоби масової інформації (преса, газети, інтерв'ю,
радіо, телебачення та ін.) Як правило, причиною розголошення конфіденційної
інформації є недостатність-ве знання співробітниками правил захисту
комерційних секретів і нерозуміння (або нерозуміння) необхідності їх
ретельного дотримання. Тут важливо відзначити, що суб'єктом в цьому процесі
виступає джерело (власник) охоронюваних секретів. Слід зазначити
інформаційні особливості цієї дії. Інформація змістовна,
осмислена, упорядкована, аргумен-тірованная, об'ємна і доводиться найчастіше в
реальному масштабі часу. Часто є можливість діалогу. Інформація
оріен-тірована в певної тематичної області і документована. Для
отримання інформації, що цікавить зловмисника послед-ний витрачає
практично мінімальні зусилля і використовує прості легальні технічні
кошти (диктофони, відео моніторинг). p>
Витік - це
безконтрольний вихід конфіденційної інфор-мації за межі організації або
кола осіб, яким вона була довірена. Витік інформації здійснюється за
різних технічних каналах. Відомо, що інформація взагалі переноситься або
пере-дається або енергією, або речовиною. Це або акустична хвиля (звук),
або електромагнітне випромінювання, або аркуш паперу (напи-санний текст) та ін З
урахуванням цього можна стверджувати, що за фі-зіческой природі можливі наступні
шляхи переносу інформації: світлові промені, звукові хвилі, електромагнітні хвилі,
матеріа-ли та речовини. Відповідно до цього класифікуються та канали витоку
інформації на візуально-оптичні, акустичні, електро-магнітні й
матеріально-речові. Під каналом витоку ін-формації прийнято розуміти
фізичний шлях від джерела конфі-денціальной інформації до зловмисникові,
за допомогою якого останній може отримати доступ до охоронюваним відомостями.
Для утворення каналу витоку інформації необхідні певні
просторові, енергетичні і тимчасові умови, а також наявність на
стороні зловмисника відповідної апаратури прийому, обробки та фіксації
інформації. p>
Несанкціонований
доступ - це протиправне преднаме-ренное оволодіння конфіденційної
інформацією особою, що не маю-щим права доступу до охоронюваним секретів. Несанкціонований
доступ до джерел конфіденційної інформації реалізується різними
способами: від ініціативного співробітництва, що виражається в активному прагненні
"продати" секрети, до використання різних засобів проникнення до
комерційних секретів. Для реалізації цих дій злоумиш-ленника доводиться
часто проникати на об'єкт або створювати поблизу нього спеціальні пости контролю
та спостереження - стаціонарних або в рухомому варіанті, обладнаних самими
сучасними технічними засобами. Якщо виходити з комплексного підходу до
забезпечення Інформаційним безпеки, то такий поділ орієнтує на
захист інформації як від розголошення, так і від витоку по технічних каналах і
від несанкціонованого доступу до неї з боку кон-курентов і зловмисників.
Такий підхід до класифікації дій, що сприяють неправо-мірному оволодіння
конфіденційною інформацією, показує багатогранність погроз і
багатоаспектність захисних заходів, необхідних для забезпечення комплексної
інформаційної без-небезпеки. p>
З урахуванням
викладеного залишається розглянути питання, які умови сприяють
неправомірному оволодінню конфіденційною ін-формацією. Вказуються наступні
умови: p>
розголошення
(зайва балакучість співробітників) - 32%; p>
несанкціонований
доступ шляхом підкупу і схиляння до співпраці з боку конкурентів і
злочинних угруповань - 24%; p>
відсутність на
фірмі належного контролю і жорстких умов забезпечення інформаційної
безпеки - 14%; p>
традиційний
обмін виробничим досвідом - 12%; p>
безконтрольне
використання інформаційних систем - 10%; p>
наявність
передумов виникнення серед співробітників конфліктних ситуацій 8%; p>
а також
відсутність високої трудової дисципліни, психологічна несумісність,
випадковий підбір кадрів, слабка робота кадрів по згуртуванню колективу. p>
Серед форм і
методів недобросовісної конкуренції знаходять найбільше розповсюдження: p>
економічний
придушення, що виражається у зриві угод та інших угод (48%), p>
паралізації
діяльності фірми (31%), p>
компрометації
фірми (11%), p>
шантажі
керівників фірми (10%); p>
фізична
придушення: p>
пограбування і
розбійні напади на офіси, склади, вантажі (73%), p>
загрози
фізичної розправи над керівниками фірми та провідними фахівцями (22%), p>
вбивства і
захоплення заручників (5%); p>
інформаційне
вплив: p>
підкуп
співробітників (43%), p>
копі-вання
інформації (24%), p>
проникнення в
бази даних (18%), p>
продаж
конфіденційних документів (10%), p>
підслуховування
телефонних переговорів і переговорів у приміщеннях (5%), p>
а також обмеження
доступу до інформації, дезінформація; p>
фінансове
придушення включає такі поняття, як інфляція, бюджетний дефіцит, корупція,
розкрадання фінансів, шахрайство; психічний тиск може виражатися у вигляді
хуліганських витівок, погрози і шантаж, енергоінформаційного впливу. p>
Основними
погрозами інформації є її розголошення, витік і несанкціонований
доступ до її джерел. Кожному з умов неправомірного оволодіння
конфіденційною інформацією можна поставити у відповідність певні
канали, визначені способи захисних дій і певні класи коштів
захисту або протидії. Сукупність визначень, каналів, способів і
коштів представляється у вигляді такої схеми. p>
Державний
стандарт РФ ГОСТ Р 50922 - 96 p>
ГОСТ Р 50922 --
96 p>
ДЕРЖАВНИЙ
СТАНДАРТ УКРАЇНИ h2>
Захист
інформації p>
Основні
терміни і визначення h2>
Дата введення
1.07.97 р. p>
1.
Область застосування p>
2.
Загальні положення p>
3
Стандартизовані терміни та їх визначення p>
3.1
Основні поняття p>
3.2
Організація захисту інформації p>
4.
Додаток А (довідковий) p>
1 ОБЛАСТЬ
ЗАСТОСУВАННЯ h2>
Справжній
стандарт установлює основні терміни та їх визначення в галузі захисту
інформації. p>
Терміни,
встановлені цим стандартом, обов'язкові для застосування у всіх видах
документації та літератури із захисту інформації. p>
Справжній
стандарт застосовується спільно з РВ ГОСТ 50170-92. p>
2 ЗАГАЛЬНІ
ПОЛОЖЕННЯ h2>
Встановлені в
стандарті терміни розташовані в систематизованому порядку, що відбиває систему
понять у цій галузі знання. p>
Для кожного
поняття встановлений один стандартизований термін. p>
Ув'язнена в
круглі дужки частина терміна може бути опущена при використанні терміну в
документи із стандартизації. p>
Наявність
квадратних дужок у термінологічній статті означає, що в неї включено два
(три, чотири тощо) терміну, що мають загальні терміноелементи. p>
Дозволяється,
при необхідності, уточнювати наведені визначення, вводячи додаткові
ознаки, що розкривають значення термінів, без спотворення сенсу визначення. p>
Терміни та визначення
загальнотехнічних понять, необхідні для розуміння тексту стандарту, приведені
у додатку А. p>
3
Стандартизована ТЕРМІНИ ТА ЇХ ВИЗНАЧЕННЯ h2>
3.1 Основні
поняття h2>
що захищається
інформація - інформація, що є предметом власності і підлягає захисту
відповідно до вимог правових документів або вимогами,
встановлюються власником інформації. p>
Примітка:
Власником інформації може бути - держава, юридична особа, група
фізичних осіб, окрема фізична особа. p>
Захист
інформації - захист інформації: Діяльність щодо запобігання витоку
захищається інформації, несанкціонованих і ненавмисних впливів на
захищається інформацію. p>
Захист
інформації від витоку - діяльність щодо запобігання неконтрольованого розповсюдження
захищається інформації від її розголошення, несанкціонованого доступу до
захищається інформації і від отримання захищається інформації [іноземними]
розвідками. p>
Захист
інформації від несанкціонованого впливу - захист інформації від НСВ: Діяльність
щодо запобігання впливу на захищається інформацію з порушенням
встановлених прав і/або правил на зміну інформації, що приводить до
спотворення, знищення, копіювання, блокування доступу до інформації, а також
до втрати, знищення або збою функціонування носія інформації. p>
Зашита
інформації від ненавмисного впливу - діяльність щодо запобігання
впливу на захищається інформацію ошіпліч користувача інформацією, збою
технічних і програмних засобів інформаційних систем, а також природних
явищ або інших не цілеспрямовано на зміну інформації впливів,
пов'язаних з функціонуванням технічних засобів, систем або з діяльністю
людей, що призводять до спотворення, знищення, копіювання, блокування доступу до
інформації, а також до втрати, знищення або збою функціонування носія
інформації. p>
Захист
інформації від розголошення - діяльність щодо запобігання несанкціонованого
доведення захищається інформації до неконтрольованого кількості одержувачів
інформації. p>
Захист
інформації від несанкціонованого доступу - захист інформації від несанкціонованого доступу:
Діяльність щодо запобігання отримання захищається інформації зацікавленим
суб'єктом з порушенням встановлених правовими документами або власником,
власником інформації прав або правил доступу до інформації, що захищається. p>
Примітка:
Зацікавленим суб'єктом, що здійснює несанкціонований доступ до
захищається інформації, може виступати: держава, юридична особа, група
фізичних осіб, в тому числі громадська організація, окрема фізична
особа. p>
Захист
інформації від [іноземній] розвідки - діяльність щодо запобігання отримання
захищається інформації [іноземній] розвідкою. p>
Захист
інформації від [іноземній] технічної розвідки - діяльність з
запобігання отримання захищається інформації [іноземній] розвідкою з
допомогою технічних засобів. p>
Захист
інформації від агентурної розвідки - діяльність щодо запобігання отримання
захищається інформації агентурної розвідкою. p>
Мета захисту
інформації - бажаний результат захисту інформації. p>
Примітка:
Метою захисту інформації може бути запобігання шкоди власнику,
власнику, користувачеві інформації в результаті можливого витоку інформації
та/або несанкціонованого і ненавмисного впливу на інформацію. p>
Ефективність
захисту інформації - ступінь відповідності результатів захисту інформації
поставленої мети. p>
Показник
ефективності захисту інформації - міра або характеристика для оцінки
ефективності захисту інформації. p>
Норми
ефективності захисту інформації - значення показників ефективності захисту
інформації, встановлені нормативними документами. p>
3.2
Організація захисту інформації h2>
Організація
захисту інформації - зміст та порядок дій щодо забезпечення захисту
інформації. p>
Система захисту
інформації - сукупність органів та/або виконавців, що використовується ними техніка
захисту інформації, а також об'єкти захисту, організовані і функціонують за
правилами, встановленими відповідними правовими,
організаційно-розпорядчими і нормативними документами по захисту
інформації. p>
Захід по
захист інформації - сукупність дій з розробки та/або практичного
застосування способів і засобів захисту інформації. p>
Захід по
контролю ефективності захисту і