Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
ОСНОВИ МЕНЕДЖМЕНТУ У СФЕРІ ЗАХИСТУ ІНФОРМАЦІЄЮ
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
Не вказано
Кафедра:
Не вказано
Інформація про роботу
Рік:
2024
Тип роботи:
Конспект лекцій
Предмет:
Менеджмент
Частина тексту файла (без зображень, графіків і формул):
ОСНОВИ МЕНЕДЖМЕНТУ У СФЕРІ ЗАХИСТУ ІНФОРМАЦІЄЮ
(Конспект лекцій)
Стандарти менеджменту інформаційної безпеки та їх основні положення
Інформаційна безпека являє собою проблему високої складності. Забезпечення інформаційної безпеки потребує комплексного підходу до розробки засобів захисту як на технічному, так і на організаційному рівні, тобто управління інформаційною безпекою [information security management], що забезпечує механізм, який дозволяє реалізувати інформаційну безпеку.
Декілька років назад Британський Інститут Стандартів (BSI) при підтримці групи комерційних організацій приступив до розробки стандарту управління інформаційною безпекою, який потім одержав назву BS 7799. При розробці стандарту ставилося завдання забезпечення державних та комерційних організацій інструментом для створення ефективних систем інформаційної безпеки на основі сучасних методів менеджменту. У 2000 році цей стандарт був признаний міжнародним під назвою "International Standard ISO/IEC 17799. Information technology — Code of practice for information security management".
Стандарт ISO/IEC 17799 — це модель системи менеджменту, яка визначає загальну організацію, класифікацію даних, системи доступу, напрямки планування, відповідальність співробітників, використання оцінки ризику і т. ін. в контексті інформаційної безпеки. У процесі впровадження стандарту створюється так звана система менеджменту інформаційної безпеки, мета якої — скорочення матеріальних втрат, пов'язаних з порушенням інформаційної безпеки. Основна ідея стандарту — допомогти комерційним та державним господарським організаціям вирішити достатньо складне завдання: не тільки забезпечити надійний захист інформації, але також організувати ефективний доступ до даних та нормальну роботу з ними.
Структура стандарту дозволяє вибрати ті засоби управління, які мають відношення до конкретної організації або сфери відповідальності усередині організації. Зміст стандарту включає наступні розділи (рис. 1):
політика безпеки [security policy];
організація захисту [organizational security];
класифікація ресурсів та контроль [asset classification and control];
■ безпека персоналу [personnel security];
■ фізична безпека та безпека навколишнього середовища [physical and environmental security];
адміністрування комп'ютерних систем та обчислювальних мереж [computer and network management];
керування доступом до системи [system access control];
розробка та супроводження інформаційних систем [system development and maintenance];
планування безперервної роботи організації [business continuing planning];
виконання вимог (відповідність законодавству) [compliance].
У зв'язку з цим виділяється ряд ключових елементів управління, що подаються як фундаментальні:
політика з інформаційної безпеки;
розподіл відповідальності за інформаційну безпеку;
освіта та тренінг з інформаційної безпеки;
звітність за інциденти з безпеки;
захист від вірусів;
забезпечення безперервності роботи;
контроль копіювання ліцензованого програмного забезпечення;
захист архівної документації організації;
захист персональних даних;
реалізація політики з інформаційної безпеки.
Рис. 1. Структура стандарту ISO/IEC 17799
Як видно, поряд з елементами управління для комп'ютерів та комп'ютерних мереж, стандарт приділяє велику увагу питанням розробки політики безпеки, роботі з персоналом (прийом на роботу, навчання, звільнення з роботи), забезпеченню безперервності виробничого процесу, юридичним вимогам.
Безумовно, що не всі 109 пунктів стандарту можна застосовувати в умовах абсолютно кожної організації, тому авторами стандарту був вибраний підхід, при якому стандарт використовується як деяке "меню", з якого слід вибрати елементи, що можна застосувати для конкретних умов. Цей вибір здійснюється на основі оцінки ризику та ретельно обґрунтовується.
Ризик визначається як добуток показника можливих втрат на ймовірність того, що ця втрата відбудеться. Під втратами розуміють матеріальні втрати, пов'язані з порушенням наступних властивостей інформаційного ресурсу:
конфіденційність [confidentiality] — захищеність інформації від несанкціонованого доступу;
цілісність [integrity] — захищеність інформації від несанкціонованої зміни, забезпечення її точності та повноти;
доступності [availability] — можливість використання інформації, коли в цьому виникає необхідність, працездатність системи.
Стандарт не зосереджується тільки на забезпеченні конфіденційності. У комерційних організаціях, з точки зору матеріальних втрат, питання цілісності та доступності найчастіше більш критичні. У спрощеному вигляді аналіз ризику зводиться до відповідей на наступні питання:
Що може загрожувати інформаційним ресурсам?
Яка піддатливість цим загрозам, тобто, що може відбутися з тим чи іншим інформаційним ресурсом?
Якщо це відбудеться, то наскільки важкими будуть наслідки? Які можливі збитки?
Наскільки часто слід очікувати подібні випадки?
Для одержання сертифікату система менеджменту інформаційної безпеки підприємства оцінюється аудитором ISO 17799. Аудитор не може одночасно бути консультантом. Аудит по ISO 17799 складається з аналізу документації з системи менеджменту інформаційної безпеки, а також вибіркового контролю в організації, який дозволяє впевнитися, що реальна практика відповідає опису системи.
Акредитовану сертифікацію можуть здійснювати лише ті сертифікаційні товариства, які пройшли акредитацію ISO. Сертифікат, виданий такою організацією, признається на міжнародному рівні. Суттєве зростання сертифікації відповідно очікується у зв'язку з розвитком електронної комерції. Одночасно серйозний інтерес до ISO 17799 проявляється і з боку інших секторів державної та комерційної діяльності. До таких галузей відносяться: державні податкові органи та органи внутрішніх справ; банки, фінансові компанії, торгівельні фірми, телекомунікаційні компанії, медичні заклади, підприємства транспорту та туристичні фірми і т. ін. На теперішній час, у зв'язку з апробацією стандарту ISO 17799, іде широка полеміка з метою удосконалення стандарту та розробки його наступної версії.
2. Загрози безпеці інформації та інформаційних ресурсів
2.1. Загальні положення
На сьогодні вважають, що забезпечення безпеки інформації повинно носити комплексний характер. Усе більше фахівців пропонують свої рішення в галузі забезпечення безпеки інформаційних ресурсів як комплексні. Проте організація забезпечення безпеки інформації повинна носити не просто комплексний характер, але ще й засновуватися на всебічному аналізі можливих негативних наслідків, при якому важливо не упустити будь-які суттєві аспекти.
Насамперед заходи забезпечення інформаційної безпеки в організації спрямовуються тільки на те, щоб не допустити збитків від утрати конфіденційної інформації. Відповідно до цього, уже передбачається наявність цінної інформації, в разі втрати якої організація може понести збитки. А якщо є цінна інформація, то звичайно ж є можливість здійснення будь-яких дій, які можуть нанести шкоду цій інформації. Усі шкідливі дії можуть бути здійснені тільки при наявності будь-яких слабких місць (уразливостей) (рис. 2). А якщо є дії, то є найвища загроза їх здійснення, а також наявні джерела, з яких ці загрози можуть виходити.
Виникає наступний ланцюжок: джерело загрози— фактор (уразливість) — загроза (дія) — наслідки (атака).
Джерело загрози — це потенційні антропогенні, техногенні або стихійні носії загрози безпеці.
Загроза (дія) — це можлива небезпека (потенційна або така, що існує реально) вчинення будь-якого діяння (дії або бездіяльності), спрямованого проти об'єкта захисту (інформаційних ресурсів), яке наносить збиток власнику або користувачу, що проявляється як небезпека спотворення або втрати інформації.
Рис. 2. Механізм формування атаки
Фактор (уразливість) — це властиві об'єкту інформатизації причини, які призводять до порушення безпеки інформації на конкретному об'єкті та зумовлені вадами процесу функціонування об'єкта інформатизації, властивостями архітектури інформаційно-телекомунікаційної системи, протоколами обміну та інтерфейсами, що застосовуються, програмним забезпеченням і апаратними засобами, умовами експлуатації.
Наслідки (атака) — це можливі наслідки реалізації загрози (можливі дії) при взаємодії джерела загрози через наявні фактори (уразливості).
Атака — це завжди пара "джерело-фактор", що реалізує загрозу та приводить до збитків.
2.2. Збитки як категорія класифікації загроз
Прояви збитків можуть бути різноманітні:
моральні й матеріальні збитки ділової репутації організації;
моральні, фізичні або матеріальні збитки, пов'язані з розголошенням персональних даних окремих осіб;
матеріальні (фінансові) збитки від розголошення конфіденційної інформації;
матеріальні (фінансові) збитки від необхідності відновлення порушених інформаційних ресурсів;
матеріальні збитки (втрати) від неможливості виконання взятих на себе зобов'язань перед третьою стороною;
моральні та матеріальні збитки від дезорганізації діяльності організації;
■ матеріальні та моральні збитки від порушення міжнародних відносин.
Слід відзначити, що збитки можуть бути спричинені як будь-яким суб'єктом (у цьому випадку відбувається правопорушення), так і бути наслідком незалежного від суб'єкта прояву (наприклад, стихійних випадків, або інших впливів, таких як прояви техногенних властивостей цивілізації).
У першому випадку наявна вина суб'єкта, яка визначає спричинену шкоду як склад злочину, що здійснюється із злими намірами (навмисно) або по необережності, і спричинені збитки повинні класифікуватися як склад злочину, відповідно до кримінального права.
У другому випадку збитки носять імовірнісний характер і повинні бути співставлені як мінімум із тим ризиком, який обговорюється цивільним, адміністративним або арбітражним правом, як предмет розгляду. Визначення того, хто саме є причиною збитків, є другим за важливістю (після спроби цього не допустити) питанням для потерпілого.
В теорії права під збитками розуміють невигідні для власника майнові наслідки, що виникли внаслідок правопорушення. Збитки виражаються у зменшенні майна, або у недоодержанні прибутку, який був би одержаний при відсутності правопорушення (втрачена вигода).
Якщо розглядати в якості суб'єкта, що спричинив збитки, будь-яку особистість, то категорія "збитки" є справедливою тільки у тому випадку, коли можна довести, що вони спричинені, тобто діяння особистості необхідно кваліфікувати в термінах правових актів як склад злочину. Тому при класифікації загроз безпеці інформації у цьому випадку доцільно враховувати вимоги діючого кримінального права, які визначають склад злочину.
Для прикладу можна розглянути склади злочину, які визначаються кримінальними кодексами в багатьох державах.
Крадіжка — здійснення з корисливою метою протиправного безоплатного вилучення і (або) обіг чужого майна на користь винного або інших осіб, що спричинили збитки власникові майна.
Копіювання комп'ютерної інформації— це повторювання та стійке збереження інформації на машинному або іншому носієві.
Знищення — це зовнішній вплив на майно, у результаті якого воно припиняє своє існування або приходить у повну непридатність для використання по цільовому призначенню. Знищене майно не може бути відновлене шляхом ремонту або реставрації та повністю виводиться з господарського обігу.
Знищення комп'ютерної інформації — стирання її у пам'яті ЕОМ.
Пошкодження — змінювання властивостей майна, при якому суттєво погіршується його стан, втрачається значна частина його корисних властивостей і воно стає повністю або частково непридатним для цільового використання.
Модифікація комп'ютерної інформації— внесення будь-яких змін, окрім пов'язаних з адаптацією програми для ЕОМ або баз даних.
Блокування комп'ютерної інформації— штучне ускладнення доступу користувачів до інформації, не пов'язане з її знищенням.
Несанкціоноване знищення, блокування, модифікація, копіювання інформації— будь-які, не дозволені законом, власником або компетентним користувачем указаних дій з інформацією.
Обман (заперечення автентичності, нав'язування хибної інформації) — навмисне спотворення або приховування істини з метою введення в оману особи, у веденні якої знаходиться майно, і таким чином домогтися від неї добровільної передачі майна, а також повідомлення з цією метою свідомо неправдивих відомостей.
Якщо розглядати в якості суб'єкта, що спричинив збитки, будь-яке природне або техногенне явище, то під збитками можна розуміти невигідні для власника майнові наслідки, викликані цими явищами, які можуть бути компенсовані за рахунок третьої сторони (страхування ризиків настання події) або за рахунок власних засобів власника інформації.
Наприклад, страхування являє собою відносини із захисту майнових інтересів фізичних і юридичних осіб при настанні певних подій (страхових випадків) за рахунок грошових фондів, які формуються зі сплачуваних ним страхових внесків.
2.3. Класифікація загроз безпеці інформації
Виходячи з попередніх міркувань, можна виділити три основні види загроз безпеці інформації: загрози безпеці інформації при забезпеченні конфіденційності, доступності та цілісності (рис. 3).
Загрози безпеці інформації при забезпеченні конфіденційності:
крадіжка (копіювання) інформації та засобів її обробки;
втрата (ненавмисна втрата, витік) інформації та засобів її обробки.
Загрози безпеці інформації при забезпеченні доступності:
блокування інформації;
знищення інформації та засобів її обробки.
Загрози безпеці інформації при забезпеченні цілісності:
модифікація (спотворення) інформації;
заперечення автентичності інформації;
нав'язування фальшивої інформації.
2.4. Класифікація джерел загроз
Носіями загроз безпеці інформації є джерела загроз. Джерелами загроз можуть бути як суб'єкти (особистість), так і об'єктивні прояви. Причому джерела загроз можуть знаходитися як усередині організації — внутрішні джерела, так і ззовні її — зовнішні джерела. Поділ джерел на суб'єктивні та об'єктивні виправдане, виходячи з попередніх міркувань стосовно вини або ризику збитку інформації, а поділ на внутрішні та зовнішні джерела виправданий тому, що для однієї й тієї ж загрози методи відбиття для внутрішніх і зовнішніх загроз можуть бути різними.
Рис. 3. Класифікація загроз безпеці інформації
Усі джерела загроз безпеці інформації можна розділити на три групи (рис. 4):
обумовлені діями суб'єкта (антропогенні джерела загроз);
обумовлені технічними засобами (техногенні джерела загроз);
обумовлені стихійними джерелами.
Антропогенними джерелами загроз виступають суб'єкти, дії яких можуть бути кваліфіковані як навмисні або випадкові злочини. Тільки в цьому випадку можна говорити про заподіяння збитку. Ця група джерел загроз найбільш численна та представляє найбільший інтерес з точки зору організації захисту, оскільки дії суб'єкта завжди можна оцінити, спрогнозувати та прийняти адекватні заходи. Методи протидії у цьому випадку керовані й напряму залежать від волі організаторів захисту інформації. Антропогенним джерелом загроз можна вважати суб'єкта, що має доступ (санкціонований або несанкціонований) до роботи зі штатними засобами об'єкта, що підлягає захисту. Суб'єкти (джерела), дії яких можуть призвести до порушення безпеки інформації, можуть бути як зовнішніми, так і внутрішніми. Зовнішні джерела можуть бути випадковими або навмисними та мати різний рівень кваліфікації. Внутрішні суб'єкти (джерела), як правило, являють собою висококваліфікованих спеціалістів у галузі розробки та експлуатації програмного забезпечення та технічних засобів, знайомих із специфікою завдань, що вирішуються, структурою та основними функціями та принципами роботи програмно-апаратних засобів захисту інформації, які мають можливість використання штатного обладнання та технічних засобів мережі.
Рис. 4. Класифікація джерел загрозбезпеці інформації
Необхідно враховувати також, що особливу групу внутрішніх антропогенних джерел складають особи з порушеною психікою та спеціально впроваджені та завербовані агенти, які можуть бути з числа основного, допоміжного та технічного персоналу, а також представників служби захисту інформації. Дана група розглядається у складі перелічених вище джерел загроз, але методи протидії загрозам для цієї групи джерел можуть мати свої відмінності. Слід відзначити, що кваліфікація антропогенних джерел загроз безпеці інформації відіграє важливу роль для оцінки їхнього впливу та враховується при ранжируванні джерел загроз.
Друга група містить джерела загроз, що визначаються технократичною діяльністю людини та розвитком цивілізації. Проте наслідки, викликані такою діяльністю, вийшли з-під контролю людини та діють самі по собі. Людство дійсно стає все більше залежним від техніки, і джерела загроз, які безпосередньо залежать від властивостей техніки, менше прогнозовані і тому потребують особливої уваги. Даний клас джерел загроз безпеці інформації є особливо актуальним у сучасних умовах, оскільки очікується різке зростання числа техногенних катастроф, викликаних фізичним та моральним застаріванням існуючого обладнання, а також відсутністю коштів на його оновлення. Технічні засоби, що є джерелами потенційних загроз безпеці інформації, також можуть бути зовнішніми та внутрішніми.
Третя група джерел загроз об'єднує обставини, що складають непереборну силу, тобто такі обставини, які носять об'єктивний і абсолютний характер, що розповсюджується на всіх. До непереборної сили в законодавстві та договірній практиці відносять стихійні лиха або інші обставини, які неможливо передбачити або їм запобігти або можливо передбачити, але не можливо запобігти їм при сучасному рівні знань і можливостей людини. Такі джерела загроз абсолютно не піддаються прогнозуванню, і тому заходи захисту від них повинні застосовуватися завжди. Стихійні джерела потенційних загроз інформаційній безпеці, як правило, є зовнішніми по відношенню до об'єкта захисту. Під ними розуміють, насамперед, природні катаклізми.
2.5. Ранжирування джерел загроз
Усі джерела загроз мають різну міру небезпеки [measure of danger], яку можна оцінити, якщо провести їхнє ранжирування. При цьому, оцінка міри небезпеки здійснюється за непрямими показниками. Критеріями порівняння (показників) пропонується, наприклад, вибрати:
можливість виникнення джерела EMBED Equation.3 , що визначає міру доступності до можливості використати фактор (уразливість) (для антропогенних джерел), віддаленість від фактора (уразливості) (для техногенних джерел) або особливості обстановки (для випадкових джерел);
готовність джерела EMBED Equation.3 , що визначає міру кваліфікації та привабливість здійснення діяння з боку джерела загрози (для антропогенних джерел) або наявність необхідних умов (для техногенних та стихійних джерел);
фатальність EMBED Equation.3 , що визначає міру непереборності наслідків реалізації загрози.
Кожний показник оцінюється експертно-аналітичним методом за п'ятибальною системою. Причому, 1 відповідає мінімальній мірі впливу показника, який оцінюється на небезпеку використання джерела, а 5 — максимальній. Коефіцієнт EMBED Equation.3 для окремого джерела можна визначити як відношення добутку наведених вище показників до максимального значення 125:
EMBED Equation.3
Міра доступності до об'єкта, що підлягає захисту, може бути класифікована за наступною шкалою:
висока ступінь доступності — антропогенне джерело загроз має повний доступ до технічних і програмних засобів обробки інформації, що підлягає захисту (характерно для внутрішніх антропогенних джерел, що наділені максимальним правом доступу, наприклад, представники служб безпеки інформації, адміністратори);
перша середня ступінь доступності — антропогенне джерело загроз має можливість опосередкованого, не визначеного функціональними обов'язками (за рахунок побічних каналів витоку інформації, використання можливості доступу до привілейованих робочим місць), доступу до технічних і програмних засобів обробки інформації, що підлягає захисту (характерно);
друга середня ступінь доступності — антропогенне джерело загроз має обмежену можливість доступу до програмних засобів у силу введених обмежень при використанні технічних засобів, функціональних обов'язків або за видом своєї діяльності (характерно для внутрішніх антропогенних джерел із звичайними правами доступу (наприклад, користувачі) або зовнішніх антропогенних джерел, що мають право доступу до засобів обробки та передачі інформації, що підлягає захисту (наприклад хакери, персонал постачальників телематичних послуг);
низька ступінь доступності — антропогенне джерело загроз має дуже обмежену можливість доступу до технічних засобів і програм, які обробляють інформацію, що підлягає захисту (характерно для зовнішніх антропогенних джерел);
відсутність доступності — антропогенне джерело загроз не має доступу до технічних засобів і програм, які обробляють інформацію, що підлягає захисту.
Міру віддаленості від об'єкта захисту можна характеризувати наступними параметрами:
співпадаючі об'єкти — об'єкти захисту самі містять джерела техногенних загроз і їхній територіальний поділ неможливий;
близько розташовані об'єкти — об'єкти захисту розташовані в безпосередній близькості від джерел техногенних загроз, і будь-який прояв таких загроз може вчинити суттєвий вплив на об'єкт;
середньовіддалені об'єкти — об'єкти захисту розташовуються на віддалені від джерел техногенних загроз, на якому прояв впливу цих загроз може вчинити несуттєвий вплив на об'єкт захисту;
віддалено розташовані об'єкти — об'єкт захисту розташовується на віддаленні від джерела техногенних загроз, що виключає його прямий вплив;
вельми віддалені об'єкти — об'єкт захисту розташовується на значному віддаленні від джерела техногенних загроз, що повністю виключає будь-які впливи на об'єкт захисту, в тому числі і за вторинними проявами.
Особливості обстановки характеризуються розташуванням об'єктів захисту в різноманітних природних, кліматичних, сейсмологічних, гідрографічних та інших умовах. Особливості обстановки можна оцінювати за наступною шкалою:
дуже небезпечні умови — об'єкт захисту розташований в зоні дії природних катаклізмів;
небезпечні умови — об'єкт захисту розташований у зоні, в якій багаторічні спостереження показують можливість прояву природних катаклізмів;
помірно небезпечні умови — об'єкт захисту розташований у зоні, в якій за проведеними спостереженнями протягом тривалого періоду відсутні прояви природних катаклізмів, але існують передумови виникнення стихійних джерел загроз на самому об'єкті;
слабо небезпечні умови — об'єкт захисту розташований поза межами зони дії природних катаклізмів, і на об'єкті існують передумови виникнення стихійних джерел загроз;
■ безпечні умови — об'єкт захисту розташований поза межами зони дії природних катаклізмів, і на об'єкті відсутні передумови виникнення стихійних джерел загроз.
Класифікація антропогенних джерел відіграє важливу роль у визначенні їхніх можливостей щодо здійснення протиправних дій. Прийнята наступна класифікація по можливості (мірі) взаємодії з мережею, що підлягає захисту:
■ нульовий рівень — визначається відсутністю можливості будь-якого використання програм;
■ перший рівень — обмежується можливістю запуску задач/програм із фіксованого набору, призначеного для обробки інформації, яка підлягає захисту (рівень некваліфікованого користувача);
другий рівень — враховує можливість створення й запуску користувачем власних програм із новими функціями з обробки інформації (рівень кваліфікованого користувача, програміста);
третій рівень — визначається можливістю керування функціонуванням мережі, тобто впливом на базове програмне забезпечення, його склад і конфігурацію (рівень системного адміністратора);
■ четвертий рівень — визначається повним обсягом можливостей суб'єктів, що здійснюють проектування й ремонт технічних засобів, аж до включення до складу мережі власних технічних засобів із новими функціями з обробки інформації (рівень розробника та адміністратора).
Нульовий рівень є найнижчим рівнем можливостей з ведення діалогу джерела загроз із мережею, що підлягає захисту. При оцінці можливостей антропогенних джерел передбачається, що суб'єкт, який здійснює протиправні дії, або має, або може скористатися правами відповідного рівня.
Привабливість здійснення діяння з боку джерела загроз установлюється наступним чином:
особливо привабливий рівень — інформаційні ресурси, які підлягають захисту, містять інформацію, яка може нанести непоправні збитки та привести до краху організації, що здійснює захист;
привабливий рівень — інформаційні ресурси, що підлягають захисту, містять інформацію, яка може бути використана для одержання вигоди на користь джерела загрози або третіх осіб;
помірно привабливий рівень — інформаційні ресурси, що підлягають захисту, містять інформацію, розголошення якої може нанести збитки окремим особистостям;
слабо привабливий рівень — інформаційні ресурси, що підлягають захисту, містять інформацію, яка при її накопиченні та узагальненні протягом певного періоду може спричинити збитки організації, що здійснює захист;
непривабливий рівень — інформація не представляє інтересу для джерела загрози.
Необхідні умови готовності джерела визначаються, виходячи з можливості реалізації тієї чи іншої загрози в конкретних умовах розташування об'єкта. При цьому передбачається:
■ загроза реалізована — тобто умови сприятливі або можуть бути сприятливими для реалізації загрози;
загроза помірно реалізована — тобто умови сприятливі для реалізації загрози, проте довгострокові спостереження не припускають можливості її активізації у період існування й активної діяльності об'єкта захисту;
загроза слабо реалізована — тобто існують об'єктивні причини на самому об'єкті або в його оточенні, що перешкоджають реалізації загрози;
загроза не реалізована — тобто відсутні передумови для реалізації передбачуваної подій.
Міра непереборності наслідків загрози (фатальність) визначається за наступною шкалою:
непереборні наслідки — результати прояву загрози можуть призвести до повного руйнування (знищення, втрати) об'єкта захисту і, як наслідок, до непоправних втрат і виключення можливості доступу до інформаційних ресурсів, що підлягають захисту;
практично непереборні наслідки — результати прояву загрози можуть призвести до руйнування (знищення, втрати) об'єкта та до значних витрат (матеріальних, часу і т. ін.) на відновлення, які порівнянні з витратами на створення нового об'єкта, та суттєвого обмеження часу доступу до інформаційних ресурсів, що підлягають захисту;
частково переборні наслідки — результати прояву загрози можуть призвести до часткового руйнування і, як наслідок, до значних витрат на відновлення, обмеження часу доступу до інформаційних ресурсів, що підлягають захисту;
переборні наслідки — результати прояву загрози можуть призвести до часткового руйнування (знищення, втрати) об'єкта захисту, що не потребує великих витрат на його відновлення і, практично не впливає на обмеження часу доступу до інформаційних ресурсів, які підлягають захисту;
відсутність наслідків — результати прояву загрози не можуть вплинути на діяльність об'єкта захисту.
Результати проведеного ранжирування відносно конкретного об'єкта захисту можна звести в таблицю, яка дозволяє визначити найбільш небезпечні для даного об'єкта джерела загроз безпеці інформації.
При виборі припустимого рівня джерела загроз передбачається, що джерела загроз, які мають коефіцієнт EMBED Equation.3 менше 0,1...0,2, можуть у подальшому не враховуватися як малоймовірні.
Визначення актуальних (найбільш небезпечних) загроз здійснюється на основі аналізу розташування об'єктів захисту та структури побудови системи, а також інформаційних ресурсів, що підлягають захисту.
2.6. Класифікація уразливостей безпеці
Загрози, як можливі небезпечності здійснення будь-якої дії, спрямованої проти об'єкта захисту, проявляються не самі по собі, а через уразливості (фактори), що призводять до порушення безпеки інформації на конкретному об'єкті інформатизації.
Уразливості, властиві об'єкту інформатизації, невіддільні від нього та обумовлюються недоліками процесу функціонування, властивостями архітектури автоматизованих систем, протоколами обміну та інтерфейсами, програмним забезпеченням і апаратною платформою, умовами експлуатації та розташування.
Джерела загроз можуть використовувати уразливості для порушення безпеки інформації, одержання незаконної вигоди (нанесення збитків власникові, користувачеві інформації). Крім того, можливі не зловмисні дії джерел загроз з активізації тих чи інших уразливостей, що приносять шкоду.
Кожній загрозі можуть бути зіставлені різноманітні уразливості. Усунення або суттєве послаблення уразливостей впливає на можливість реалізації загроз безпеці інформації.
Для зручності аналізу уразливості поділені на класи (позначаються заголовними літерами), групи (позначаються римськими цифрами) та підгрупи (позначаються малими літерами). Уразливості безпеці інформації можуть бути: об'єктивними, суб'єктивними, випадковими (рис. 5).
Об'єктивні уразливості залежать від особливостей побудови та технічних характеристик обладнання, що застосовується на об'єкті захисту. Повне усунення цих уразливостей неможливе, але вони можуть суттєво послаблятися технічними та інженерно-технічними методами відбиття загроз безпеці інформації.
Суб'єктивні уразливості залежать від дій співробітників і, в основному, вилучаються організаційними та програмно-апаратними методами.
Випадкові уразливості залежать від особливостей середовища, яке оточує об'єкт захисту, та непередбачених обставин. Ці фактори, як правило, мало передбачувані і їх усунення можливе тільки при проведенні комплексу організаційних та інженерно-технічних заходів із протидії загрозам інформаційній безпеці.
2.7. Ранжирування уразливостей
Усі уразливості мають різну міру небезпеки EMBED Equation.3 , яку можна кількісно оцінити на основі ранжирування. При цьому критеріями порівняння (показниками) можна вибрати:
фатальність EMBED Equation.3 ,що визначає міру впливу уразливості на непереборність наслідків реалізації загрози; для об'єктивних уразливостей — це інформативність, тобто здатність уразливості повністю (без спотворення) передати корисний інформаційний сигнал;
доступність EMBED Equation.3 , що визначає зручність (можливість) використання уразливості джерелом загроз (масогабаритні розміри, складність, вартість необхідних засобів, можливість використання неспеціалізованої апаратури);
кількість EMBED Equation.3 , що визначає кількість елементів об'єкта, яким характерна та чи інша уразливість.
Коефіцієнт (Kdan)f для окремої уразливості можна визначити як відношення добутку наведених вище показників до максимального значення 125:
EMBED Equation.3
Кожний показник оцінюється експертно-аналітичним методом за п'ятибальною системою, причому 1 відповідає мінімальній мірі впливу оцінюваного показника на небезпеку використання уразливості, а 5 — максимальній.
Рис. 5. Класифікація уразливостей інформаційної безпеки
Для підгрупи дразливостей пг EMBED Equation.3 визначається як середнє арифметичне коефіцієнтів окремих уразливостей у підгрупі. Для зручності аналізу г EMBED Equation.3 для групи нормується відносно сукупності всіх коефіцієнтів підгруп у своєму класі, a к EMBED Equation.3 для класу визначається як сукупність коефіцієнтів підгруп класу, нормованих відносно всієї сукупності коефіцієнтів підгруп. Результати аналізу із зазначенням коефіцієнтів небезпеки кожної уразливості зводиться в таблицю.
2.8. Класифікація актуальних загроз
При проведенні актуальних загроз експертно-аналітичним методом визначаються об'єкти захисту, що піддаються впливу тієї чи іншої загрози, характерні джерела цих загроз і уразливості, що сприяють реалізації загроз.
Потім на основі аналізу складається таблиця взаємозв'язку джерел загроз і уразливостей, із яких визначаються можливі наслідки реалізації загроз (атаки) та обчислюється коефіцієнт небезпеки цих атак як добуток коефіцієнтів небезпеки відповідних загроз та джерел загроз, визначених раніше. При цьому передбачається, що атаки, які мають коефіцієнт небезпеки менше 0,1 (припущення експертів), в подальшому можуть не розглядатися з причини малої ймовірності їх здійснення на об'єкті захисту.
Така матриця складається окремо для кожної загрози, і вже після виявлення найбільш актуальних загроз приймаються заходи з вибору методів і засобів для їх відбиття.
3. Основні напрями забезпечення безпеки інформації та інформаційних ресурсів
3.1. Основні визначення
Напрями забезпечення безпеки інформації — це нормативно-правові категорії, орієнтовані на забезпечення комплексного захисту інформації від внутрішніх та зовнішніх загроз на державному рівні, на рівні підприємства абo організації, на рівні окремої особистості.
З урахуванням практики, що склалася на теперішній час, виділяють наступні напрями захисту інформації:
правовий захист — це спеціальні закони, інші нормативні акти, правила, процедури та заходи, що забезпечують захист інформації на правовій основі;
організаційний захист — це регламентація виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі, яка виключає або послаблює нанесення будь-яких збитків виконавцям;
інженерно-технічний захист — це використання різноманітних технічних засобів, що перешкоджають нанесенню збитків.
Крім того, заходи захисту, орієнтовані на забезпечення безпеки інформації, можуть бути охарактеризовані цілим рядом параметрів, що відображають, окрім напрямів, орієнтацію на об'єкти захисту, характер загроз, способи дій, їх розповсюдження, охоплення та масштабність.
Так, за характером загроз заходи захисту орієнтовані на захист інформації від розголошення, витоку та несанкціонованого доступу. За способом дії їх можна поділити на попередження, виявлення, припинення та відновлення збитків або інших утрат. За охопленням заходи захисту можуть розповсюджуватися на територію, будівлю, приміщення, апаратуру або окремі елементи апаратури. Масштабність заходів захисту характеризується як обєктовий, груповий або індивідуальний захист.
3.2. Правовий захист
Поняття права визначається як сукупність загальнообов'язкових правил і норм поведінки, які встановлені або санкціоновані державою, по відношенню до певних сфер життя та діяльності державних органів, підприємств (організацій) та населення (окремої особистості).
Правовий захист інформації як ресурсу признаний на міждержавному, державному рівні та визначається міждержавними договорами, конвенціями, деклараціями та реалізується патентами, авторським правом та ліцензіями на їхній захист. На державному рівні правовий захист регулюється державними та відомчими актами (рис. 6).
У нашій державі такими правилами (актами, нормами) є Конституція України, закони України, цивільне, адміністративне, кримінальне право, викладене у відповідних кодексах. Що стосується відомчих нормативних актів, то вони визначаються наказами, керівництвами, положеннями та інструкціями, які видаються відомствами, організаціями та підприємствами, що діють у межах певних структур.
Рис. 6. Правовий захист інформації
Сучасні умови вимагають і визначають необхідність комплексного підходу до формування законодавства із захисту інформації, його складу та змісту, співвіднесення його зі всією системою законів та правових актів України.
Вимоги інформаційної безпеки повинні органічно входити до усіх рівнів законодавства, у тому числі й у конституційне законодавство, основні загальні закони, закони з організації державної системи управління, спеціальні закони, відомчі правові акти і т. ін. Звичайно використовується наступна структура правових актів, які орієнтовані на правовий захист інформації.
Конституційне законодавство — норми, що стосуються питань інформатизації та захисту інформації, входять до нього як складові елементи.
Загальні закони, кодекси (про власність, про надра, про права громадян, про громадянство, про податки, про антимонопольну діяльність і т. ін.), які включають норми з питань інформатизації та інформаційної безпеки.
Закони про організацію управління стосовно окремих структур господарства, економіки, системи державних органів та визначення їхнього статусу. Такі закони включають окремі норми з питань захисту інформації. Поряд із загальними питаннями інформаційного забезпечення та захисту інформації конкретного органу ці норми повинні встановлювати його обов'язки з формування, актуалізації та безпеки інформації, що представляє загальнодержавний інтерес.
Спеціальні закони, які відносяться до конкретних сфер відносин, галузей господарства, процесів. До їхнього числа входять Закони України "Про інформацію", "Про захист інформації в автоматизованих системах" і т. ін. Власне склад і зміст цього блоку законів і створює спеціальне законодавство як основу правового забезпечення інформаційної безпеки.
Підзаконні нормативні акти із захисту інформації.
Правоохоронне законодавство України, яке містить норми про відповідальність за правопорушення у сфері інформатизації.
Спеціальне законодавство в галузі безпеки інформації може бути представлене сукупністю законів. В їхньому складі особливе місце займають Закони "Про інформацію" та "Про захист інформації в автоматизованих системах", які закладають основи правового визначення всіх найважливіших компонентів інформаційної діяльності:
інформації та інформаційних систем;
суб'єктів — учасників інформаційних процесів;
правовідносин виробників та споживачів інформаційної продукції;
власників (джерел) інформації — обробників та споживачів на основі відносин власності при забезпеченні гарантій інтересів громадян та держави.
Ці закони також визначають основи захисту інформації у системах обробки і при її використанні з урахуванням категорій доступу до відкритої інформації і до інформації з обмеженим доступом. Ці закони містять, крім того, загальні норми з організації та ведення інформаційних систем, включаючи банки даних державного призначення, порядок державної реєстрації, ліцензування, сертифікації, експертизи, а також загальні принципи захисту та гарантій прав учасників інформаційного процесу.
Питання правового режиму інформації з обмеженим доступом реалізуються у двох самостійних законах про державну та комерційну (проект) таємниці.
Таким чином, правовий захист інформації забезпечується нормативно-законодавчими актами, сукупність яких за рівнем представляє ієрархічну систему від Конституції України до функціональних обов'язків і контрактів конкретного виконавця, які визначають перелік відомостей, що підлягають охороні, і заходи відповідальності за їх розголошення.
Одним із нових напрямків правового захисту є страхове забезпечення. Воно призначене для захисту власної інформації та засобів її обробки як від традиційних загроз (крадіжки, стихійні лиха), так і від загроз, що виникають у ході роботи з інформацією. До них відносяться розголошення, витік та несанкціонований доступ до конфіденційної інформації.
Метою страхування є забезпечення страхового захисту фізичних та юридичних осіб від страхових ризиків у вигляді повного або часткового відшкодування збитків і втрат, які спричинені стихійними лихами, надзвичайними подіями в різних галузях діяльності, протиправними діями з боку конкурентів та зловмисників шляхом виплати грошової компенсація або надання сервісних послуг (ремонт, відновлення) при настанні страхової події.
Дії із захисту інформації від витоку технічними каналами регламентуються наступними документами:
ТР ЕОТ-95 "Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок";
ПЕМВН-95 "Тимчасові рекомендації з технічного захисту інформації від витоку каналами побічних електромагнітних випромінювань і наводок".
Дії із захисту інформації від несанкціонованого доступу регламентують:
Закон України "Про захист інформації в автоматизованих системах";
нормативні документи системи технічного захисту інформації в комп'ютерних (автоматизованих системах) від несанкціонованого доступу і т. ін.
Правовими документами є й державні та міжде...
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора