litceysel.ru
добавить свой файл
  1 ... 3 4 5 6 7

Приложение 1

Основные виды угроз информационной безопасности


Основными видами угроз информационной безопасности ИСиР являются: противоправные действия третьих лиц, ошибочные действия пользователей и обслуживающего персонала, отказы и сбои программных средств, вредоносные программные воздействия на средства вычислительной техники и информацию, приводящие к ее модификации, блокированию, искажению или уничтожению, а также к утечке информации.

Кроме действий человека (умышленные, ошибочные или случайные) источниками угроз информационной безопасности ИСиР являются сбои и отказы программных и технических средств вычислительной техники, техногенные катастрофы, акты терроризма, стихийные бедствия и т.п.

Понятие утечка связано только с информацией ограниченного доступа (конфиденциальной информацией) и в общем случае трактуется как выход информации из сферы обращения. Под утечкой понимается несанкционированный доступ к информации, т.е. доступ в нарушение правил разграничения доступа к информации, которые устанавливает собственник информационного ресурса и / или информационной системы.

При этом рассматривается только доступ к информации посредством применяемых в АС информационных технологий (ИТ) и непосредственный доступ к носителям информации (не рассматривается утечка информации посредством ее распространения в различного вида физических полях – по так называемым техническим каналам, так как риск такого вида утечки конфиденциальной информации достаточно низок,).

В отличие от утечки информации блокирование, модификация, искажение и уничтожение объекта защиты может произойти как вследствие несанкционированного доступа человека к ресурсам АС, так и по причинам, не зависящим от человека. При этом искажение и уничтожение объекта защиты (например, изменение или замена программ управления вычислительным процессом) также может привести к утечке информации.

Несанкционированный доступ не всегда влечет за собой утечку, блокирование, искажение или уничтожение объекта защиты, что, в свою очередь, не всегда приводит к значимому ущербу. Тем не менее, несанкционированный доступ к ресурсам АС определяется как основополагающий фактор нарушения безопасности при рассмотрении проблем обеспечения защиты информации ИСиР, противодействия угрозам.


Угроза информационной безопасности может реализоваться только при наличии уязвимостей объекта защиты. Уязвимость это свойство ИСиР (АС) или компонентов АС, используя которое реализуются угрозы.

Уязвимость возникает в АС, в основном, из-за недоработок или ошибок, содержащихся в продуктах ИТ, а также вследствие ошибок при проектировании АС, которые могут привести к поведению АС неадекватному целям обеспечения ее безопасности. Кроме того, уязвимости могут появляться в результате неправильной эксплуатации АС.

Приложение 2
Меры по защите конфиденциальной информации


Обеспечение защиты ИСиР, соответствующей уровню информационной безопасности объекта защиты, содержащего конфиденциальную информацию должно предусматривать комплекс организационных, программных, технических, средств и мер по защите информации ограниченного доступа.

К основным мерам защиты информации с ограниченным доступом относятся:

  • выделение информации с ограниченным доступом, средств и систем защиты информации или их компонентов, подлежащих защите на основе ограничительных перечней сведений, разрабатываемых органами власти, на предприятиях и в организациях с учетом особенностей автоматизированной обработки информации, а также определение порядка отнесения информации к категории конфиденциальной;

  • реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации с ограниченным доступом;

  • ограничение доступа персонала и посторонних лиц в помещения, где размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация с ограниченным доступом, непосредственно к самим средствам информатизации и коммуникациям;
  • разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;


  • учет документов, информационных массивов, регистрация действий пользователей АС и обслуживающего персонала, контроль за санкционированным и несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;

  • надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену, изменение (модификацию) и уничтожение;

  • необходимое резервирование технических средств и дублирование массивов и носителей информации;

  • использование сертифицированных средств защиты информации при обработке информации ограниченного доступа;

  • использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;

  • проверка эффективности защиты технических средств и систем в реальных условиях их размещения и эксплуатации с целью определения достаточности мер защиты с учетом установленной категории;

  • физическая защита помещений и собственно технических средств АС с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей;

  • криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС);

  • исключение возможности визуального (в том числе, с использованием оптических средств наблюдения) несанкционированного просмотра обрабатываемой информации;

  • предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок;

  • использование волоконно-оптических линий связи для передачи информации с ограниченным доступом;

  • использование защищенных каналов связи.

В целях дифференцированного подхода к защите информации, осуществляемого в целях разработки и применения необходимых и достаточных средств защиты информации, а также обоснованных мер по достижению требуемого уровня информационной безопасности, проводится классификация автоматизированных систем, обрабатывающих информацию с ограниченным доступом либо разрабатываются Профили защиты (в соответствии с ГОСТ Р ИСО/МЭК 15408).


Классификации подлежат все действующие, но ранее не классифицированные, и разрабатываемые АС, предназначенные для обработки информации с ограниченным доступом.

Если АС, классифицированная ранее, включается в состав вычислительной сети или системы и соединяется с другими техническими средствами линиями связи различной физической природы, образуемая при этом АС более высокого уровня классифицируется в целом, а в отношении АС нижнего уровня классификация не производится.

Если объединяются АС различных классов защищенности, то интегрированная АС должна классифицироваться по высшему классу защищенности входящих в нее АС, за исключением случаев их объединения посредством межсетевого экрана, когда каждая из объединяющихся АС может сохранять свой класс защищенности. Требования к используемым при этом межсетевым экранам изложены в Руководящем документе "Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" (Утвержден решением Председателя Гостехкомиссии России от 25.07.97).



<< предыдущая страница   следующая страница >>