Примером  пассивной угрозы может служить  несанкционированное копирование  файлов с данными.

6. По способу доступа к ресурсам АС выделяют:

• Угрозы, использующие стандартный доступ. Пример такой угрозы – несанкционированное получение пароля путём подкупа, шантажа, угроз или физического насилия по отношению к законному обладателю.
• Угрозы, использующие нестандартный путь доступа. Пример такой угрозы – использование недекларированных возможностей средств защиты.

     Критерии  классификации угроз можно продолжать, однако на практике чаще всего используется следующая основная классификация угроз, основывающаяся на трёх введённых ранее базовых свойствах защищаемой информации:

1. Угрозы нарушения конфиденциальности информации, в результате реализации которых информация становится доступной субъекту, не располагающему полномочиями для ознакомления с ней.
2. Угрозы нарушения целостности информации, к которым относится любое злонамеренное искажение информации, обрабатываемой с использованием АС.
3. Угрозы нарушения доступности информации, возникающие в тех случаях, когда доступ к некоторому ресурсу АС для легальных пользователей блокируется.

     Отмечено, что реальные угрозы информационной безопасности далеко не всегда можно  строго отнести к какой-то одной  из перечисленных категорий. Так, например, угроза хищения носителей информации может быть при определённых условиях отнесена ко всем трём категориям.

     Замечено, что перечисление угроз, характерных  для той или иной автоматизированной системы, является важным этапом анализа  уязвимостей АС, проводимого, например, в рамках аудита информационной безопасности, и создаёт базу для последующего проведения анализа рисков. Выделяют два основных метода перечисления угроз:

1. Построение произвольных списков угроз. Возможные угрозы выявляются экспертным путём и фиксируются случайным и неструктурированным образом.

     Для данного подхода характерны неполнота  и противоречивость получаемых результатов.

2. Построение деревьев угроз. Угрозы описываются в виде одного или нескольких деревьев. Детализация угроз осуществляется сверху вниз, и в конечном итоге каждый лист дерева даёт описание конкретной угрозы. Между поддеревьями в случае необходимости могут быть организованы логические связи.

     Далее рассмотрено в качестве примера  дерево угрозы блокирования доступа  к сетевому приложению (см. рис. 2).

     Как видно из рисунка, блокирование доступа  к приложению может произойти  либо в результате реализации DoS-атаки на сетевой интерфейс, либо в результате завершения работы компьютера. В свою очередь, завершение работы компьютера может произойти либо вследствие несанкционированного физического доступа злоумышленника к компьютеру, либо в результате использования злоумышленником уязвимости, реализующей атаку на переполнение буфера. 
 
 
 

       

Рис. 2

Дерево  угроз 
 

1.3 Государственное регулирование обеспечения информационной безопасности

     Акты  федерального законодательства, регулирующие права и обязанности в сфере  информационной безопасности:

1. Международные договоры РФ.
2. Конституция РФ.
3. Законы федерального уровня (включая федеральные конституционные законы, кодексы).
4. Указы Президента РФ.
5. Постановления правительства РФ.
6. Нормативные правовые акты федеральных министерств и ведомств.
7. Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

     К нормативно-методическим документам можно  отнести

1. Методические документы государственных органов России:
• доктрина информационной безопасности РФ;
• руководящие документы ФСТЭК (Гостехкомиссии России);
• приказы ФСБ.
2. Стандарты информационной безопасности, из которых выделяют:
• международные стандарты;
• государственные (национальные) стандарты РФ;
• рекомендации по стандартизации;
• методические указания.

Органы (подразделения), обеспечивающие информационную безопасность

     В зависимости от приложения деятельности в области защиты информации (в  рамках государственных органов  власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

     Государственные органы РФ, контролирующие деятельность в области защиты информации:

1. Комитет Государственной думы по безопасности.
2. Совет безопасности России.
3. Федеральная служба по техническому и экспортному контролю (ФСТЭК России).
4. Федеральная служба безопасности Российской Федерации (ФСБ России).
5. Служба внешней разведки Российской Федерации (СВР России).
6. Министерство обороны Российской Федерации (Минобороны России).
7. Министерство внутренних дел Российской Федерации (МВД России).
8. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

     Службы, организующие защиту информации на уровне предприятия

1. Служба экономической безопасности.
2. Служба безопасности персонала (Режимный отдел).
3. Отдел кадров.
4. Служба информационной безопасности.

 

     Под информацией понимается всё то, что может быть представлено в символах конечного (например, бинарного) алфавита.

     На  практике информационная безопасность обычно рассматривается как совокупность следующих трёх базовых свойств защищаемой информации: конфиденциальность, целостность, доступность.

     В современном обществе защита информации занимает важную ступень. В законодательстве прописаны права и обязанности  граждан в сфере информационной безопасности. Кроме того, в правительстве  созданы специальные отделы, регулирующие правоотношение в описанной выше сфере.

     Исходя  из этого, можно говорить о большом  значении информационной безопасности в современном мире. 
 
 
 

2 МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

2.1 Приоритетные направления исследования и разработок в области защиты информации и компьютерной безопасности

     В области защиты информации и компьютерной безопасности в целом наиболее актуальными  являются три группы проблем:

1. нарушение конфиденциальности информации;
2. нарушение целостности информации;
3. нарушение работоспособности информационно-вычислительных систем.

      Приоритетными направлениями проводимых исследований и разработок, как у  нас в стране, так и за рубежом, являются:

• защита от несанкционированных действий (НСД) и разграничение доступа к данным в информационно-вычислительных системах коллективного пользования;
• идентификация и аутентификация пользователей и технических средств (в том числе «цифровая» подпись);
• обеспечение в системах связи и передачи данных защиты от появления дезинформации;
• создание технического и системного программного обеспечения высокого уровня надежности и использование стандартов (международных, национальных и корпоративных) по обеспечению безопасности данных;
• защита информации в телекоммуникационных сетях;
• разработка правовых аспектов компьютерной безопасности.

     В связи с интенсивным развитием  в нашей стране телекоммуникационной инфраструктуры и ее интеграции в  международные сети, особенно острой является проблема защиты от компьютерных вирусов. Сетевые вирусы (так называемые репликаторы) являются особым классом  вирусов, имеющих логику, обеспечивающую их рассылку по пользователям сети.

      В последнее время отмечается большая  международная активность в вопросе  стандартизации способов и методов  обеспечения безопасности данных в  телекоммуникационных системах.

      В США вопросами информационной безопасности занимается Форум по проблемам  безопасности национальной информационной инфраструктуры (National Information Infrastructure Security Issues Forum). Форум является частью Группы по информационной инфраструктуре (Information Infrastructure Task Force), образованной Вице-президентом США Гором для реализации политики президентской администрации в отношении национальной информационной инфраструктуры.

2.2 Методы обеспечения информационной безопасности

     Задача  обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т. д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны «знать» о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз.

     На  сегодняшний день существует большой  арсенал методов обеспечения  информационной безопасности:

1. Средства идентификации и аутентификации пользователей (так называемый комплекс 3А).

     Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации.

     Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".

2. Средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям.

     Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам.

     Задача  данного средства защиты - обеспечение  конфиденциальности. Основные требования, предъявляемые к системам шифрования - высокий уровень криптостойкости  и легальность использования  на территории России (или других государств).

3. Межсетевые экраны.

     Межсетевой  экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

     Основной  задачей сетевого экрана является защита компьютерных сетей или отдельных  узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

     Некоторые сетевые экраны также позволяют  осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

4. Виртуальные частные сети.

     VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрованию, аутентификации, инфраструктуры публичных ключей, средствам для защиты от повторов и изменения передаваемых по логической сети сообщений).