- Lektsia - бесплатные рефераты, доклады, курсовые работы, контрольные и дипломы для студентов - https://lektsia.info -

Информация как предмет защиты

Posted By Автор не известен On In Ж | No Comments


Билет № 1

Информация как предмет защиты

Научное знание начинается с определений и классификации. Прежде всего необходимо разобраться в сущности того, что и от чего необходимо защищать. Но отвечая на вопрос о том, что такое информация, можно легко зайти в тупик.

1. Информация– это вероятность выбора

2. Информация– это информация, а не вещество и не энергия(Н. Винер).

3. Информация определяется только вероятностными свойствами сообщений(К. Шеннон).

4. Информация– это сведения, которые снимают неопределенность, существующую до их получения.

5.Информация– это сведения(сообщения, данные) независимо от формы их представления(Федеральный закон от27.07.06 №149-ФЗ«Об информации, информационных технологиях и о защите информации»).

А вот с термином «информационная защита» следовало бы разобраться более тщательно, для чего следует определить объект преступных посягательств и источник угрозы.

Под определение «информационная защита» подходят три направления деятельности:

1) защита человека и человечества от опасной информации;

2) защита цивилизованного человека, живущего в демократическом государстве, от неинформированности;

3) защита собственника защищаемой информации от угроз конфиденциальности, целостности и доступности.

 

Билет № 2

Защита человека от опасной информации и от неинформированности

Защита от опасной информации

Информационные потоки захлестывают человечество, причем в этих потоках доминирует вовсе не та информация, которая дейст-вительно необходима для разумного выживания людей.

Исходя из предположения, что информация может быть опасной для человека, попытаемся дать крат-кую характеристику таких информационных угроз, но опасности перечислим в порядке их возраста-ния.

Первая и относительно безобидная категория опасностей обусловлена ограниченными возможностями человеческого разума по восприятию и обработке больших потоков поступающей информации, даже если она является для него полезной и необходимой.

Когда информационно перегруженные люди контролируют работу заводских конвейеров, управляют движением воздушного или железнодорожного транспорта, обеспечивают безопасность информационных систем и сетей, руководят государственными

структурами.

Давно замечено, что человек запоминает10 % того, что он слышит, 25–30 % того, что он видит, и80 % из того, что он делает (причем прерванное действие запоминается лучше, чем окончен-ное).

Следующая опасность, грозящая человечеству– все более возрастающая интенсивность бесполезной и в то же время часто недобросовестной информации. Вероятно, главным источником информационного мусора являются рек-лама и «спам».

Несомненную угрозу для людей представляет намеренно искаженная инфор-мация: дезинформация, обмана, блефа и др.

Защита от неинформированности

Право на беспрепятственное получение информации для конкретных властных структур и должностных лиц означает обязан-ность эту информацию предоставляь либо, по меньшей мере, не скрывать.

Потребность в гарантированном предоставлении определенной ин-формации вытекает из того, что информация представляет собой ценность.

На биологическом уровне ее ценность проявляется как врожденная потребность любого организма в поступлении новой информации, на социальном уровне — как средство общения и коммуникации, на поведенческом уровне— как основа для принятия решений.

Нормальный, физически здоровый человек, погруженный в такую ванну, где до него не доходят никакие акустические и световые раздражители и почти исключены осязательные и обонятельные ощущения, а также ощущения температуры, испытывает большие трудности в управлении своими мыслями, представлениями, теряет ориентировку в строении собственного тела, у него начинаются галлюцинации и кошмары.

Право на поиск информации декларировано в Конституции РФ. «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом…» – гласит статья 29 Конституции РФ.

В соответствии со статьей 8 Закона «Об информации, информационных технологиях и о защите информации» от27.06.2006 г. №

149-ФЗ не может быть ограничен доступ к:

─ нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина;

─ информации о состоянии окружающей среды;

─ информация о деятельности органов государственной власти и местного самоуправления;

─ информации, накапливаемой в открытых фондах библиотек, му-зеев и архивов, а также в государственных, муниципальных и иных информационных системах, предназначенных для обеспечения граждан.

 

Права вещной собственности: владения, пользования и распоряжения. Определение.

Объектом защиты признается не сама информация, а права собственности на нее. Действующее гражданское законодательство распространяет на информацию права вещной собственности: владения, пользования и распоряжения.

Право владения означает право знать содержание информации,

право пользования толкуется как право применять эту информацию для личных нужд

право распоряжаться информацией трактуется как возможность тиражировать и распространять ее, в том числе с целью извлечения прибыли.

Обладание теми или иными компонентами вещного права на информацию разделяет людей на три категории: собственников информации, владельцев и пользователей.

Собственник информации – это субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения.

Владелец информации обладает правами ее владения и использования.

Пользователь имеет право только пользоваться информацией с разрешения ее собственника или владельца.

В то же время в ФЗ «Об информации, информационных технологиях и о защите информации» упоминается только обладатель информации: физическое или юридическое лицо, Российская Федерация и ее субъекты, муниципальное образование, которые вправе полномочно распоряжаться созданной, законно полученной или приобретенной информацией.

Нельзя причислить ни к одной из указанных выше категорий персонал больницы или поликлиники, которому доступны истории болезней пациентов, сотрудника органов внутренних дел, ведущего электронную базу данных владельцев автотранспорта, и др.

В ФЗ «О персональных данных» такие лица обобщенно причислены к категории операторов по обработке персональных данных. Особые права, но не по распоряжению, а по защите информации возлагаются на администратора безопасности компьютерной сети.

ФЗ «О государственной тайне» относит к этому виду информации «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации».

Основная угроза – несанкционированное распространение защищаемой информации, которое можно толковать как любую форму передачи секретных сведений произвольному числу лиц, не являющихся ее собственниками.

 

Билет № 3

Ценность информации

Количество считанной или переданной информации практиче-ски не связано с реальной ее ценностью.

Ценность вовремя сказанного слова или поданного сигнала опасности порой равнозначна ценности многих человеческих жизней. В то же время можно передавать по каналам связи мегабайты пустой информации– от этого ее ценность не повысится.

Носители– это материальные объекты, обеспечивающие за-пись, хранение и передачу информации в пространстве и времени.

В число наиболее часто используемых носителей входят:

─ вещественные носители(бумага, фото- и кинопленка, машинные

носители информации, материалы и образцы технологии, отходы информационного производства);

─ электрические сигналы в виде напряжений и токов;

─ изменяющиеся во времени электромагнитные и акустические поля.

Носитель в первую очередь используется для хранения и передачи семантической информации.

Говоря о защите информации, мы в первую очередь имеем в виду именно семантическую информацию. Именно эта информация составляет суть большинства человеческих тайн, обеспечивает пре-успевание в бизнесе, позволяет манипулировать людьми.

Информацию представляет собой весьма сложный для исследования объект.

Для рассмотрения ее характеристик, имеющих отношение к

безопасности, информацию желательно представить в виде не-скольких уровней, к которым относятся:

─ уровень материальных носителей Вещественные носители;

─ уровень средств взаимодействия с носителями;

─ логический уровень;

─ синтаксический уровень;

─ семантический уровень;

─ прагматический уровень.

Отличительное свойство информации– возможность ее копи-рования, размножения без изменения оригинала.

Информация не существует вне материальных носителей. Первое правило информационной защиты можно сформулировать так: «Защита информации– это защита ее носителей»

Билет №4

Угроза – несанкционированное распространение защищаемой информации. Определение. Примеры.

Угроза конфиденциальности реализуется, если защищаемая информация, обладающая действующей или потенциальной ценностью в силу ее неизвестности третьим лицам, становится достоянием этих лиц (одного или многих).

- ознакомление с информацией – процесс ее восприятия в устной или письменной форме лицом, не имеющим на это права;

подслушивание – непосредственный или опосредованный (с помощью технических средств) прием вызываемых источником акустических колебаний;

разглашение – неправомерная передача сведений неопределенному кругу лиц, не являющихся собственниками;

─ хищение – противоправное и безвозмездное изъятие носителей информации из владения собственника и обращение информации в пользу виновного или иных лиц (в формах мошенничества, кражи, грабежа, разбоя);

копирование информации – процесс повторного и устойчивого ее запечатления на машинном или ином носителе, переноса ее с одного носителя на другой без изменения содержания или смысла;

утеря (утрата) носителя информации – выход носителя (документа) из владения уполномоченного лица помимо его воли в результате нарушения установленных правил обращения с носителем;

утечка – процесс несанкционированного переноса информации от источника к злоумышленнику;

─ перехват – несанкционированный прием сигналов энергетической природы (электромагнитных и акустических), несущих защищаемую информацию;

визуальное или техническое наблюдение – непосредственное или опосредованное получение и анализ изображения нужного объекта.

3. Дискреционная политика безопасности. Определение. Примеры (Win, UNIX). Достоинства и недостатки. Дискреционной политики безопасности.

Простейшая модель безопасности данных строится на основе дискреционного принципа разграничения, при котором доступ к объектам осуществляется на основе множества разрешенных отношений доступа в виде троек:

<субъект-доступа>- <тип_доступа>-<объект_доступа>.

Наглядным и распространенным способом формализованного представления дискреционного доступа является матрица доступа, устанавливающая перечень пользователей и перечень разрешенных операций по отношению к каждому объекту БД ( таблицы, запросы, формы, отчеты).

Важным аспектом моделей безопасности является управление доступом. Принято выделять два подхода :

добровольное управление доступом;

принудительное управление доступом;

Добровольное управление доступом базируется на понятии владения субъектами.

Как правило владельцами объектов являются те субъекты БД, процессы которых создали соответствующие объекты. . Добровольное управление доступом заключается в том, что права на доступ к объектам определяют их владельцы. Иначе говоря соответствующие ячейки матрицы доступа заполняются теми субъектами 9 пользователями , которые , которым принадлежат права владения над соответствующими объектами БД. В большинстве случаев права владения могут передаваться. В результате при добровольном управлении владением реализуется полностью децентрализованный принцип организации и управления процессом разграничения доступа.

Такой подход обеспечивает гибкость настраивания системы разграничения доступа в БД на конкретную совокупность пользователей и ресурсов , но достаточно сложный общий контроль и аудит состояния безопасности данных в ВС.

Принудительное управление доступом предусматривает введение единого централизованного администрирования доступом . в БД выделяется специальный доверенный субъект – ( администратор БД) , который определяет привилегии на доступ остальных пользователей. .к объектам БД. Иначе говоря, заполнять и изменять ячейки может только администратор. Принудительное управление

обеспечивает более жесткое управление доступом, вместе с тем оно является менее гибким и точным в плане настройки системы разграничения доступа. , так как наиболее полное представление о содержимом и конфиденциальности объектов( ресурсов БД) обычно имеют их владельцы.

На практике часто применяют комбинированную ( гибридную) схему, когда определенная часть привилегий устанавливается администратором, а часть – пользователями.

Вывод: дискреционная модель безопасности является достаточно гибкой и удобной для пользователя при децентрализованной управлении по сравнению с централизованном управ­лением или мандатной моделью. Вместе с тем это затрудняет централизованный контроль за безопасностью. При централи­зованном управ­лении теряется основной плюс данной модели – удобство пользователя и гибкость настроек.

 

Билет №5

1.Объясните следующие права a) право владения собственностью; б) право распоряжения ею; в) право ее использования +

Действующее гражданское законодательство распространяет на информацию права вещной собственности: владения, пользования и распоряжения.

Право владения означает право знать содержание информации, право пользования толкуется как право применять эту информацию для личных нужд. Наконец, право распоряжаться информацией трактуется как возможность тиражировать и распространять ее, в том числе с целью извлечения прибыли.

Обладание теми или иными компонентами вещного права на информацию разделяет людей на три категории:

· собственников информации,

· владельцев и

· пользователей.

Собственник информации – это субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения.

Владелец информации обладает правами ее владения и использования. Пользователь имеет право только пользоваться информацией с разрешения ее собственника или владельца.

 

Ролевая политика безопасности. Определение. Примеры (Win, UNIX). Достоинства и недостатки Ролевой политика безопасности.

Ролевая (матричной) модель (КДБР), характеризуется как компромиссная между дискреционной и мандатной моделью. Неформально в основу данной модели положено, что собственником всех данных является некоторая организация, а не пользователь, как в случае дискреционной и мандатной модели. ­Модель ориентирована на упрощение и обеспечение формальной ясности и технологии обеспечения безопасности ВС.

Управление правами доступа осуществляется как на основе матрицы доступа, так и на основе правил, регламентирующих поведение (роли) пользователя и их активацию во время сеансов. В системах КДБР пользователи не могут передавать права на доступ к информа­ции другим пользователям, что является фундаментальным отличием КДБР от диск­реционного доступа

Ролевая модель определяет особый тип политики, основанный на компромиссе между гибкостью управления доступом, характерной для дискреционных моделей, и жесткостью правил, характерных для мандатного доступа.В ролевой модели классическое понятие субъекта разделяется на две части 6 пользователь и роль.

Пользователь – это человек, работающий с системой и выполняющий определенные обязанности.

Роль- это активно действующая в системе абстракная сущность, с которой связан ряд ограничений, логически связанный набор привилегий, необходимых для осуществления определенной деятельности. Самым распространенным примером является рол администратора, который обладает специальными полномочиями и может использоваться несколькими пользователями.

КДБР принимает решение о доступе на основе информации о функции, которую пользователь выполняет внутри данной организации, — роли этого пользователя. Например, в госпитале роли могут быть следующими: доктор, хирург, медсестра, фармацевт и т. д. При этом фармацевт (пользователь, выполняющий роль фармацев­та) может получать доступ к информации о количестве выданного лекарства, но тип лекарства назначается доктором.

Присвоение роли пользователю и распределение полномочий роли в КДБР зави­сит от политики безопасности, принятой в системе. Роль можно понимать как мно­жество действий, которые пользователь или группа пользователей может исполнять в контексте вычислительной системы организации. Понятие роли включает описа­ние обязанностей, ответственности и квалификации субъекта. Функции распределя­ются по ролям администратором системы. Доступ пользователя к роли также опре­деляется администратором системы.

КДБР подразумевает непосредственное описание сущностей системы и правил контроля доступа в терминах, соответствующих представлению операций в вычис­лительной системе конкретной организации. Таким образом, КДБР оперирует с абст­ракциями более высокого уровня, чем дискреционный или мандатный контроль до­ступа. С одной стороны, это лишает его некоторой универсальности, присущей дру­гим механизмам контроля доступа. С другой стороны, если КДБР для организации однажды реализован, то его корректировка путем добавления и удаления ролей ста­новится несложным процессом.

Политики безопасности, основанные на КДБР, описываются в терминах пользо­вателей, ролей, операций и защищаемых объектов. Для того чтобы применить неко­торую операцию к защищаемому КДБР объекту, пользователь должен выполнять некоторую роль. До того, как пользователь может выполнять данную роль, он дол­жен быть авторизован для данной роли системным администратором. КДБР наделя­ет администратора способностью устанавливать ограничения на авторизацию в роли, активацию роли, выполнение операций. Данные ограничения могут иметь различ­ную форму.

Обычно КДБР реализуется на уровне приложений, а не на уровне операционной системы. Трудность поддержки на уровне операционной системы заключается в прак­тической невозможности выявления достаточно общих базовых конструкций КДБР, независимых от области применения и легко реализуемых

 

Билет №6

Модель 3У. Угроза информации. Определение, 3 группы угроз.Примеры.

Лица, преднамеренно реализующие угрозы (ЗУ), являются злоумышленниками

Угроза информации – это совокупность условий и факторов, которые потенциально могут нанести вред (ущерб) собственнику, владельцу путем раскрытия, модификации или разрушения информации либо отказа в обслуживании. Есть и иное определение: информационные угрозы – это потенциально возможные опасные

действия, приводящие к ущербу. Потенциальные угрозы чрезвычайно разнообразны, поэтому трудно дать даже их общую классификацию.

 

Пространство угроз можно разделить на три большие группы. К первой группе относятся угрозы конфиденциальности. Угроза конфиденциальности реализуется, если защищаемая информация, обладающая действующей или потенциальной ценностью в силу ее неизвестности третьим лицам, становится достоянием этих лиц.

 

Например:

─ ознакомление с информацией – процесс ее восприятия в устной или письменной форме лицом, не имеющим на это права;

─ подслушивание – непосредственный (с помощью органов слуха) или

опосредованный (с помощью технических средств) прием вызываемых источником акустических колебаний;

─ разглашение – неправомерная передача сведений неопределенному кругу лиц, не являющихся собственниками;

─ хищение – противоправное и безвозмездное изъятие носителей информации из владения

Вторая группа угроз – это угрозы целостности. В отношении они выражаются в ее несанкционированном или непреднамеренном видоизменении. Впрочем, видоизменение – не совсем удачное слово, поскольку под ним можно понимать изменение формы, а не содержания информации. Под угрозами целостности информации следует иметь в виду именно угрозы изменения ее содержания

Правомерен вопрос: какое количество информации необходимо изменить, чтобы наступила угроза целостности?

Это, безусловно, зависит от вида информации. Если защищаемая информация представляет собой текст, запись голоса, музыкальное произведение, рисунок, то порча или искажение ее части могут не привести к потере качества. В то же время искажение хотя бы одной значащей цифры в числе даст неверную интерпретацию количества. Искажение хотя бы одного бита в машинной команде приведет к тому, что центральный процессор воспримет ее как иную команду, и это вызовет либо ошибку в вычислениях, либо сбой в работе.

В связи с вышеуказанным под нарушением целостности понимают любое искажение информации. Как уже отмечалось ранее, при считывании сектора данных с дискового носителя или приеме по каналу связи сетевого пакета допускается вероятность ошибки,

не превышающая 0,00000001. Обеспечивается это с помощью уже упоминавшейся проверки избыточным циклическим кодом.

Нарушение целостности информации вредит двум ее прагматическим качествам – полноте и достоверности.

Третья группа угроз – это угрозы доступности. Выражаются они в том, что защищаемая информация оказывается заблокированной, т. е. в течение некоторого времени недоступной для ее соб-

Профессиональные тайны. Определение. Примеры

Профессиональные тайны (адвокатская, журналистская, врачебная, нотариальная тайны, тайна усыновления, страхования, связи, а также налоговая и банковская тайны в части персональной информации о клиентах).

Государственная служебная тайна – тайна, не связанная с персональными данными. Институт служебной тайны распространяется на систему органов государственной власти.

Статья 139 Гражданского кодекса РФ не делает различий между коммерческой и служебной тайнами. Но служебная тайна не должна быть объектом гражданского права и иметь коммерческую ценность. Она имеет такой же характер, что и государственная

тайна, и отличается от нее только величиной потенциального ущерба в случае ее несанкционированного распространения.

Процессуальная тайна. Это сведения, которые могут стать известными в ходе расследования преступлений и правонарушений, при проведении криминалистических

экспертиз, при заслушивании дел в суде.

3.MLS (мандатная) политика безопасности. Определение. Примеры ( Win, UNIX). Достоинтсва и недостатки MLS (мандатной)политики безопасности. +

 

Мандатная модель характерна для случая, когда есть один глобальный собстенник данных ( например государство). Поскольку государство, рассмат­риваемое с позиций системного анализа имеет сложную структуру, то применение дискреционного принципа теоретически возможно, но прак­тически затруднительно из-за сложной структуры реальных государственных структур.

Основная идея мандатной модели – приписывания объектам и субъектам доступа меток. Если метки объекта и субъекта в каком-то смысле соответствуют, то субъект получат право на доступ /действия , иначе нет. Очевидно, что это является абстракций так называемых «грифов/допусков». Если у субъекта есть допуск, то у него есть права на работу с документом. Дополнительными ограничениями может служить список лиц, допущенных к некоторым документам.

Таким образом в общем случае необходимы привилегии 2-х видов :

· уровень допуска

· вхождение в список, утвержденный офицером безопасности

В реляционной модели в качестве структуры , обладающей меткой естественно выбрать кортеж (строка/запись таблицы БД).Местом хранения меток может быть выбран только кортеж с данными. При этом соответствующий атрибут и домен из которого принимают значения метки доступа , должен обладать некоторыми особенностями . В частности , должен быть решен вопрос о технологии его( атрибута) заполнения и изменения.

Вывод: преимущества мандатной модели –простота и понятность для поль­зова­теля. Основной недостаток – громоздкость и жесткость(негибкость) модели по сравнению с дискреционной моделью.

Билет 7

Потенциальные угрозы (синонимы - веер возможностей, дерево угроз). Примеры.

Угроза информации– это совокупность условий и факторов, которые потенциально могут нанести вред (ущерб) собственнику, владельцу путем раскрытия, модификации или разрушения информации либо отказа в обслуживании. Есть и иное определение: ин-

формационные угрозы – это потенциально возможные опасные действия, приводящие к ущербу. Потенциальные угрозы чрезвычайно разнообразны, поэтому трудно дать даже их общую классификацию.

Пространство угроз можно разделить на три большие группы.

К первой группе относятся угрозы конфиденциальности. Конфиденциальный – это доверительный, не подлежащий огласке. Угроза конфиденциальности реализуется, если защищаемая информация, обладающая действующей или потенциальной ценностью в силу ее неизвестности третьим лицам, становится достоянием этих лиц (одного или многих). В русском языке существует достаточно много глаголов, означающих действия, связанные с угрозами конфиденциальности. Например:

─ ознакомление с информацией – процесс ее восприятия в устной или письменной форме лицом, не имеющим на это права;

─ подслушивание – непосредственный (с помощью органов слуха) или опосредованный (с помощью технических средств) прием вызываемых источником акустических колебаний;

─ разглашение – неправомерная передача сведений неопределенному кругу лиц, не являющихся собственниками;

─ хищение – противоправное и безвозмездное изъятие носителей информации из владения собственника и обращение информации в пользу виновного или иных лиц (в формах мошенничества, кражи, грабежа, разбоя);

─ копирование информации – процесс повторного и устойчивого ее запечатления на машинном или ином носителе, переноса ее с одного носителя на другой без изменения содержания или смысла;

─ утеря (утрата) носителя информации – выход носителя (документа) из владения уполномоченного лица помимо его воли в результате нарушения установленных правил обращения с носителем;

─ утечка – процесс несанкционированного переноса информации от источника к злоумышленнику;

─ перехват – несанкционированный прием сигналов энергетической природы (электромагнитных и акустических), несущих защищаемую информацию;

─ визуальное или техническое наблюдение – непосредственное или опосредованное получение и анализ изображения нужного объекта (человека, предмета, документа, области пространства).

Вторая группа угроз – это угрозы целостности.В отношенииинформации они выражаются в ее несанкционированном или непреднамеренном видоизменении.

Под угрозами целостности информации следует иметь в виду именно угрозы изменения ее содержания.

Если защищаемая информация представляет собой текст, запись голоса, музыкальное произведение, рисунок, то порча или искажение ее части могут не привести к потере качества. В то же время искажение хотя бы одной значащей цифры в числе даст неверную интерпретацию количества. Искажение хотя бы одного бита в машинной команде приведет к тому, что центральный процессор воспримет ее как иную команду, и это вызовет либо ошибку в вычислениях, либо сбой в работе.

Нарушение целостности информации вредит двум ее прагматическим качествам – полноте и достоверности.

Третья группа угроз – это угрозы доступности.Выражаются они в том, что защищаемая информация оказывается заблокированной, т. е. в течение некоторого времени недоступной для ее собственника, владельца или пользователя. При этом информация сохраняется в неизменном виде и не становится достоянием третьих лиц.

Блокирование информации может произойти по какой-либо из перечисленных ниже причин:

─ поломки ключа или замка от сейфа, в котором хранятся носители конфиденциальной информации;

─ забывчивости пользователя, приводящей к утрате пароля для расшифровывания электронного документа;

─ повреждения служебной области данных на магнитном или оптическом диске либо неисправности устройства считывания/записи данных (если поврежден участок носителя, где была записана защищаемая информация, следует говорить об угрозах целостности).

Например, страшные по своим возможным последствиям переключения на посторонние задачи компьютерных систем, управляющих ядерной реакцией или движением транспорта, тоже являются примерами угроз доступности информации.

Вот как, например, выглядят информационные угрозы с точки зрения предприятий, предоставляющих услуги телефонной связи:

─ незаконное подключение к абонентским линиям связи с целью бесплатного пользования ими;

─ незаконное подслушивание (запись) телефонных переговоров;

─ распространение данных о служебных телефонах и их пользователях;

─ сверхнормативное использование ресурсов за обычную абонентскую плату;

─ использование незарегистрированных оконечных устройств;

─ повреждение линий связи с целью хищения цветных металлов;

─ вандализм (повреждение таксофонов и др.);

─ подделка телефонных карточек и жетонов.

Данным угрозам можно противопоставить:

─ физическую охрану АТС, линий связи, распределительных устройств, таксофонов;

─ законодательные санкции за повреждение линий связи, подслушивание, незаконное подключение к каналам;

─ обеспечение конфиденциальности переговоров и регистрационных данных;

─ бдительность пользователей.

 

Государственная служебная тайна. Определение. Примеры

Собственник информации– это субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения.

Владелец информацииобладает правами ее владения и использования.

Пользовательимеет право только пользоваться информацией с разрешения ее собственника или владельца.

ФЗ «О государственной тайне» относит к этому виду информации «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности,

распространение которых может нанести ущерб безопасности Российской Федерации». Нормативно определен перечень сведений, относящихся к государственной тайне. Этот перечень раз в пять лет пересматривается Межведомственной комиссией по защите государственной тайны и утверждается Президентом России.

Государственная служебная тайна– тайна, не связанная с персональными данными. Институт служебной тайны распространяется на систему органов государственной власти.

Статья 139 Гражданского кодекса РФ не делает различий между коммерческой и служебной тайнами. Но служебная тайна не должна быть объектом гражданского права и иметь коммерческую ценность. Она имеет такой же характер, что и государственная

тайна, и отличается от нее только величиной потенциального ущерба в случае ее несанкционированного распространения.

Распространенным грифом на вещественных носителях служебной информации является пометка «Для служебного пользования».

 

Билет 8

Уязвимость. Определение. Примеры.

Процесс (угрозы) и результат (ущерб) связаны между собой. Угрозы становятся возможными по причине уязвимостейв информационной системе. Считается, что если нет уязвимостей, то нет и угроз. Уязвимостью называют некоторую неудачную характеристику системы.

Впрочем, практика показывает, что информационная уязвимость обычно является обратной стороной некоторой дополнительной (часто избыточной) функциональности, удобной для пользователей информационной системы. Тому можно привести массу примеров.

Вот некоторые из них:

─ создание длинных имен файлов с символами в виде пробела и точки в ОС Windows* обусловило возможность проведение ряда атак с запуском исполняемых вредоносных программ;

─ использование документов с интерпретируемым программным кодом вызвало появление вредоносных программ в виде макросов и скриптлетов;

─ стремление к более простым приемам программирования при построении ряда алгоритмических языков породило атаки на переполнение буфера памяти.

Для того, чтобы предотвратить угрозу, надо выявить уязвимость и «залатать» ее (в компьютерном сленге часто используют слово «патчить» от англ. patch заплатка).

Выявление уязвимостей должно быть прерогативой защищающейся стороны, но в силу того, что компьютерные технологии плохо документированы, а администраторы безопасности постоянно заняты «латанием дыр», в этой сфере доминирует нарушитель. У

него меньше обязанностей, больше свободного времени, а иногда и интеллекта. А поскольку «дыр» становится все больше, у защищающейся стороны все меньше времени и сил остается на предвидение новых угроз.

 

Билет 9

Ущерб. Определение. Примеры Расходы на защиту информации.

Ущерб– это реальный или прогнозируемый результат реализации угроз в натуральном или денежном выражении.

Один из важнейших вопросов защиты информации – определение объема расходов на ее организацию. Трудность решения этого вопроса часто объясняется тем, что реальные угрозы для конкретного объекта не вполне определены, а последствия воплощения

этих угроз (нанесенный ущерб) проявляются не всегда и не сразу. Можно исходить из утверждения, что безопасность стоит дорого, но она этого стоит, однако далеко не каждый собственник информации располагает средствами для того, чтобы свою информацию

надежно защитить, а если собственник информации не в состоянии защитить свое имущество и даже не может установить ему цену, то это сделает за него нарушитель или другой, более умелый и бережливый, хозяин.

Общепризнано, что затраты на охрану материальных ценностей должны как-то соотноситься и с характером угроз (вероятностью, ожидаемой частотой, уровнем угроз), и с вероятностью нанесения ущерба (финансового, информационного, морального, политического и др.), и с прогнозируемыми потерями. Это классическая ситуация из теории стратегических игр, связанная с построением платежной матрицы.

Оценить затраты можно как с позиции потенциального нарушителя, так и с позиции собственника информации.