Основные понятия информационной безопасности

Информационная безопасность – это – все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Рассмотрим основные понятия информационной безопасности.

Содержание:

Категории доступа к информации

Основная цель информационной безопасности – защита сети от угроз.

Объекты защиты информации:

Информация.
Носитель информации.
Информационный процесс (а так же системы, которые автоматизируют эти процессы).

Носитель защищаемой информации – это физическое лицо или материальный носитель (документ или флешка), в том числе физическое поле:

Электромагнитное поле.
Акустические устройства.
И еще кое-что интересное, до чего мы обязательно доберемся.

Документ – это информация на материальном носителе с реквизитами. Если на бумаге нет реквизитов, то это не документ. Материальный носитель – это объект, используемый для закрепления и хранения на нем информации.

Характеристики информации

Информационный процесс

создание;
сбор;
обработка;
накопление;
хранение;
поиск;
распространение;
использование.

Носитель информации

Информация

Свойства информации

конфиденциальность;
целостность;
доступность;
неотказуемость;
подотчётность;
аутентичность;
достоверность.

Безопасность информации — это состояние защищенности не только информации, но и информационных систем, обрабатывающих эту информацию.

Свойства информации, обеспечиваемые при её защите

Конфиденциальность — состояние информации, при котором доступ к ней осуществляют только те субъекты, которые имеют на это право. То есть — это когда информацию знают только те лица, которые имеют право ее знать. А все остальные ее не знают.

Целостность — изменять информацию могут только те субъекты, которые имеют на это право. То есть — это изменение информации только теми лицами, у которых есть на это право. Поэтому нарушение целостности – это когда изменяет или удаляет информацию то лицо, у которого нет на это прав.

Доступность — состояние информации при котором субъекты имеющие право доступа к информации могут осуществлять его беспрепятственно. То есть, у пользователя, который имеет право работать с информацией, пропадает доступ к ней (не приводит к какому-либо изменению информации). Речь идет о несанкционированном блокировании. Например, DDOS атаки, атаки направленные на отказ в обслуживании. Например когда оперативная память и процессор перегружаются. Информацию никто не изменял, но добраться до нее нельзя.

Неотказуемость — состояние информации, при котором субъект не может отказаться от того действия, которое имело место быть. Человек не может отказаться от действия или информации, которую он отправил (например, средство обеспечения неотказуемости: подпись документа, ЭЦП).

Подотчетность — свойство информации, состоящее в том, что все события и обращения к информационному ресурсу должны быть зарегистрированы (вести учет). То есть это свойство, состоящее в том, что все обращения и события, происходящие в защищаемой информационной системе (ресурсам) они идентифицируются и регистрируются. Ведется учет событий. Например, изменения файла с зарплатами.

Аутентичность — свойство, гарантирующее, что субъект или ресурс идентичны заявленным. То есть, нарушение аутентичности, например, заражение вирусом – система не идентична заявленным, появились новые свойства. Подмена сервера, перенаправление на свой сервер и вытягивание данных. По сути – когда нет подмены, принципы работы остаются теми же. Действительно ли информация не изменялась. Может быть нарушена на этапе эксплуатации.

Достоверность — свойство соответствия предусмотренному поведению и результатам работы. Речь идет об исходном соответствии заявленным функциям. Когда продавцы или разработчики говорят одно, а по факту система работает по другому. Классический термин – недекларируемые возможности. Какой-то код, который был вставлен и пользователь об этом ничего не знает. Обычно речь идет о том, что происходит сбор информации о системе без уведомления пользователя. Например, автопроизводители используют GPS и кучу датчиков, которые передают информацию, перечень информации нигде не указан. Устанавливая программу, ее поведение не соответствует заявленному – изначально работает не так, как нужно.

Категории доступа к информации

Категории доступа к информации:

Общедоступная информация. Может использоваться кем угодно, лишь бы соблюдались законы (например, противодействие терроризму и подобные). Обладатель общедоступной информации по просьбе первоисточника должен указывать ссылку на него.
Информация, доступ к которой ограничен.

Информация ограниченного доступа:

Секретная (гос. тайна). Ключевое определение гос тайны включает в себя направления по которым информация является секретной:
- Военная,
- Внешнеполитическая
- Экономическая,
- Разведывательная,
- Контрразведывательная,
- Розыскная деятельность.
Конфиденциальная.

Документ без реквизитов — это бумажка, а не документ.

Реквизиты на документе – гриф секретности:

Особой важности. Ущерб интересам Российской Федерации в одной из областей.
Совершенно секретно. Ущерб интересам министерства (ведомства) или отрасли экономики РФ.
Секретно. Ущерб, нанесенный интересам предприятия.

Штамп на документе: чья информация, уровень секретности и иные реквизиты, характеризующие документ. Ключевое слово – ущерб.

Сведения конфиденциального характера.

Конфиденциальная информация:

Персональные данные.
Тайна следствия и судопроизводства.
Служебная тайна.
Профессиональная тайна.
Коммерческая тайна.
Интеллектуальная собственность (до официальной публикации).

Классификация информации по категориям доступа

Служебная тайна – документы с грифом ДСП (для служебного пользования).

Профессиональная тайна – информация полученная градинами при исполнении своих обязанностей.

Банковская тайна (ФЗ №14 от 26.01.1996 г. «Гражданский Кодекс РФ» ) – тайна об операциях, счетах и вклада клиентов и корреспондентов.

Врачебная тайна (ФЗ №323 от 21.11.2011 «Об основах охраны здоровья граждан в российской Федерации») – информация о факте обращения за медицинской помощью, состояние здоровья, диагноз.

Адвокатская тайна (ФЗ №63 от 31 мая 2002 г. «Об адвокатской деятельности и адвокатуре в РФ») – любые сведения, связанные с оказанием юридической помощью своего доверителя.

Нотариальная тайна – любые сведения, которые стали известны нотариусу в связи с осуществлением своей деятельности.

Аудиторская тайна (ФЗ №307 от 30 декабря 2008 г. «Об аудиторской деятельности») – любые сведения, полученные в ходе профессиональной деятельности, за исключением: сведений о договоре и оплате, и разглашенных самим лицом.

Журналистская тайна (закон РФ №2124-1 от 27.12.1991 «О средствах массовой информации»)– не вправе разглашать сведения, кем-либо с условием сохранения их в тайне, не вправе называть лицо, предоставившее сведения с условием неразглашения его имени. Так же нельзя разглашать судебные и т.д. сведения о несовершеннолетних.

Налоговая тайна (ФЗ №146 от 31.07.1998 «Налоговый кодекс РФ. Часть 1»)– любые сведения, полученные налоговым органом, за исключением: ИНН и т.п.

Тайна связи (ФЗ №126 от 7 июля 2003 г. «О связи») – тайна переписки, телефонных разговоров и почтовых и иных отправлений. Тайна не распространяется на общественные места. Если предупрежден о том, что снимают на видео, то все ОК. Разговоры записываются в целях …

Тайна страхования (ФЗ №14 от 26.01.1996 «Гражданский кодекс РФ (часть 2)», ст. 946) – страховщик не вправе разглашать сведения о страхователе, об имущественном состоянии и состоянии здоровья застрахованных лиц.

Коммерческая тайна (ФЗ №98 от 29 июля 2004 г. «О коммерческой тайне»)– под коммерческую тайну можно подтянуть практически все.

Интеллектуальная собственность – вся интеллектуальная собственность до ее публикации.

Понятие «угроза информационной безопасности»

Рассмотрим, какие угрозы существуют, и на какие свойства информации они направлены. Свойства и краткие пояснения указаны в скобках.

Противоправные сбор и использование информации (нарушение конфиденциальности).
Нарушение технологии обработки информации (нарушение целостности, аутентичности).
Внедрение в аппаратные и программные изделия компонентов функций не предусмотренные документацией (нарушение достоверности).
Разработка и распространение программ нарушающих нормальное функционирование информационных систем и систем защиты информации (нарушение целостности).
Уничтожение, повреждение или разрушение средств и систем обработки информации (нарушение целостности).
Воздействие на парольно-ключевые системы защиты систем обработки информации (нарушение доступности – ввести несколько раз неправильно пароль, блокировка информации через систему защиты; отключение парольной защиты – нарушение целостности).
Компрометация ключей и средств криптографической защиты информации (угроза конфиденциальности, применительно к системе защиты информации).
Утечка информации по техническим каналам, например, акустическим (нарушение конфиденциальности информации).
Внедрение электронных устройств для перехвата информации в технические средства обработки информации «жучки» (нарушение целостностипомещения, системы).
Уничтожение, повреждение, разрушение носителей информации, хищение (угроза целостности).
Несанкционированный доступ к информации в БД (нарушение конфиденциальности).
Перехват информации в сетях, дешифрирование и передача ложной информации (нарушение конфиденциальности/целостности).
Использование несертифицированных средств защиты информации. Это не совсем угроза. Ну, приведу простое сравнение, например. Вы пришли в больницу, а почему я заболел – по тому, что таблетки не пили. Сертификация направлена на обнаружение недекларированных возможностей (нарушение достоверности).
Нарушение законных ограничений на распространение информации (нарушение доступности).

То есть, нарушение информационной безопасности – случайное или преднамеренное неправомерное действие вызывающее негативные последствия (ущерб/вред) для организации.

Теперь немного не связно, но по сути.

Событие – все, что фиксирует журнал событий.

Инцидент – событие, которое потенциально может нанести ущерб.

Случайно или преднамеренно – не суть, факт реализации угрозы.

Угроза – совокупность условий и факторов создающих потенциальную или реальную опасность нарушения информационной безопасности.

Как понять есть угроза или нет? Например, есть компьютер, не подключенный к сети. Вероятность угроз = 0. Если конструктивно система не позволяет реализовать угрозу. Актуальной не является.

Нужно сразу понимать, есть просто угроза или актуальная угроза. Угроза может существовать, но не являться актуальной. То есть, то, что с неба упадет метеорит – вероятность минимальная, но такая угроза существует.

Источник угрозы – физическое лицо, материальный объект или физическое явление, являющееся непосредственной причиной возникновения угрозы информационной безопасности.

Формы представления информации

Акустическая информация. Разговоры – передача акустической информации. Есть виброакустика, когда акустическая волна воздействует на стекло или трубу отопления (соответствующая поверхность вибрирует) можно попытаться снять вибрацию. Аналогично – электроакустика (через розетки). Двойные двери с тамбуром у начальников – решение, которое позволят уменьшить уровень акустического сигнала за пределами защищаемого помещения.

Побочное электромагнитное излучение. На определенной частоте в телевизоре можно было поймать сигнал соседей. То же самое качается розетки, в которой есть электричество.

Применительно к конфиденциальной информации не имеет смысла – проще купить информацию у сотрудника. Поэтому угроза считается не актуальной.

Информация обрабатываемая (циркулирующая) в ИСПДн.

Видовая информация в виде текста, изображений и т. д., например та информация, которая отображается в мониторе. Речь идет о канале, по которому может быть нарушена конфиденциальность + физический доступ. Мы можем посмотреть на бумажный документ, нарушив конфиденциальность (+ физическая нарушение целостности).

Информация в виде сигналов.

Классификация угроз по виду нарушаемого свойства

Угрозы конфиденциальности:

Утечка информации. Любое нарушение конфиденциальности можно назвать утечкой.
Разглашение информации. Является подмножеством утечки. Доведение защищаемой информации до лиц, не имеющих права доступа. Активным лицом является сотрудник знающий информацию. Т. Е. внутренний нарушитель.
Перехват. Активным лицом является злоумышленник. Перехват информации с помощью технических или иных средств. Подслушать и т.д.
Побочные элеткромагнитные излучения.
Наводка – наведение через конструктивный элемент.

Угрозы доступности:

Блокирование (затруднение) доступа к информации – прекращение возможности доступа к информации.

Способы реализации угроз

Способы реализации угроз утечки речевой и акустической информации:
- С использованием аппаратуры регистрирующей акустические (в воздухе) и виброакустические (в других средах) волны.
- С использованием специальных электронных устройств съема речевой информации внедренных в технические средства обработки информации. ВТСС – кондиционер, трубы отопления, телефон и т. д.
  - Регистрация волн за пределами помещения.
  - Внедрение жучков (средств негласного снятия информации).
Способы реализации угроз видовой информации:
- С помощью оптических устройств и средств съема информации с экранов вне помещений.
- С помощью специальных устройств съема внедренных в служебные помещения.
- Пример – на вахте есть видеонаблюдение и монитор вахтера стоит так что проходящие мимо люди могут его свободно просматривать. Можно понять с какого количества камер выводится изображение и где они установлены.
Способы реализации угроз по каналам ПЭМИН – при помощи соответствующей аппаратуры перехватить все, что подключается к розетке и обладает побочным электромагнитным излучением.
Способ реализации угрозы целостности на основе сигналов. Преднамеренное электромагнитное воздействие на информацию – несанкционированное воздействие на информацию путем электромагнитного воздействия.

Компьютерные атаки

Угрозы, реализуемые в ходе загрузки операционной системы (BIOS). Через BIOS можно установить устройство загрузки (приоритет), например флешка. Если у вас первым в очереди стоит USB порт, то при подключении «Вредоносной» флешки можно скопировать все нужные данные. Так же можно установить пароль на BIOS. Пароль на загрузку ОС.
Угрозы, реализуемые после загрузки ОС. Эксплойты, использующие известные уязвимости операционной системы и прикладного программного обеспечения.
Программное воздействие. Наличие в ОС вредоносных программ. Тут в целом все понятно и заучивать типовые определение не вижу смысла.
Программная закладка. По сути это недекларируемые возможности программного обеспечения.

Теперь вы знаете основные понятия информационной безопасности.