Основные понятия, используемые в информационной безопасности

Основные понятия информационной безопасности

Информационная безопасность – это – все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Рассмотрим основные понятия информационной безопасности.

Основная цель  информационной безопасности – защита сети от угроз.

Объекты защиты информации:

  1. Информация.
  2. Носитель информации.
  3. Информационный процесс (а так же системы, которые автоматизируют эти процессы).

Носитель защищаемой информации – это физическое лицо или материальный носитель (документ или флешка), в том числе физическое поле:

  • Электромагнитное поле.
  • Акустические устройства.
  • И еще кое-что интересное, до чего мы обязательно доберемся.

Документ – это информация на материальном носителе с реквизитами. Если на бумаге нет реквизитов, то это не документ. Материальный носитель – это объект, используемый для закрепления и хранения на нем информации.

Характеристики информации


Информационный процесс
  • создание;
  • сбор;
  • обработка;
  • накопление;
  • хранение;
  • поиск;
  • распространение;
  • использование.
Носитель информации

->

Информация
Свойства информации
  • конфиденциальность;
  • целостность;
  • доступность;
  • неотказуемость;
  • подотчётность;
  • аутентичность;
  • достоверность.

Безопасность информации — это состояние защищенности не только информации, но и информационных систем, обрабатывающих эту информацию.

Свойства информации, обеспечиваемые при её защите

Категории доступа к информации

Категории доступа к информации:

  • Общедоступная информация. Может использоваться кем угодно, лишь бы соблюдались законы (например, противодействие терроризму и подобные). Обладатель общедоступной информации по просьбе первоисточника должен указывать ссылку на него.
  • Информация, доступ к которой ограничен.

Информация ограниченного доступа:

  • Секретная (гос. тайна). Ключевое определение гос тайны включает в себя направления по которым информация является секретной:
    • Военная,
    • Внешнеполитическая
    • Экономическая,
    • Разведывательная,
    • Контрразведывательная,
    • Розыскная деятельность.
  • Конфиденциальная.

Документ без реквизитов — это бумажка, а не документ.

Реквизиты на документе – гриф секретности:

  • Особой важности. Ущерб интересам Российской Федерации в одной из областей.
  • Совершенно секретно. Ущерб интересам министерства (ведомства) или отрасли экономики РФ.
  • Секретно. Ущерб, нанесенный интересам предприятия.

Штамп на документе: чья информация, уровень секретности и иные реквизиты, характеризующие документ. Ключевое слово – ущерб.

Сведения конфиденциального характера.

Конфиденциальная информация:

  • Персональные данные.
  • Тайна следствия и судопроизводства.
  • Служебная тайна.
  • Профессиональная тайна.
  • Коммерческая тайна.
  • Интеллектуальная собственность (до официальной публикации).

Классификация информации по категориям доступа

Служебная тайна – документы с грифом ДСП (для служебного пользования).

Профессиональная тайна – информация полученная градинами при исполнении своих обязанностей.

Банковская тайна (ФЗ №14 от 26.01.1996 г. «Гражданский Кодекс РФ» ) – тайна об операциях, счетах и вклада клиентов и корреспондентов.

Врачебная тайна (ФЗ №323 от 21.11.2011 «Об основах охраны здоровья граждан в российской Федерации») – информация о факте обращения за медицинской  помощью, состояние здоровья, диагноз.

Адвокатская тайна (ФЗ №63 от 31 мая 2002 г. «Об адвокатской деятельности и адвокатуре в РФ») – любые сведения, связанные с оказанием юридической помощью своего доверителя.

Нотариальная тайна – любые сведения, которые стали известны нотариусу в связи с осуществлением своей деятельности.

Аудиторская тайна (ФЗ №307 от 30 декабря 2008 г. «Об аудиторской деятельности») – любые сведения, полученные в ходе профессиональной деятельности, за исключением: сведений о договоре и оплате, и разглашенных самим лицом.

Журналистская тайна (закон РФ №2124-1 от 27.12.1991 «О средствах массовой информации»)– не вправе разглашать сведения, кем-либо с условием сохранения их в тайне, не вправе называть лицо, предоставившее сведения с условием неразглашения его имени. Так же нельзя разглашать судебные и т.д. сведения о несовершеннолетних.

Налоговая тайна (ФЗ №146 от 31.07.1998 «Налоговый кодекс РФ. Часть 1»)– любые сведения, полученные налоговым органом, за исключением: ИНН и т.п.

Тайна связи (ФЗ №126 от 7 июля 2003 г. «О связи») – тайна переписки, телефонных разговоров и почтовых и иных отправлений. Тайна не распространяется на общественные места. Если предупрежден о том, что снимают на видео, то все ОК. Разговоры записываются в целях …

Тайна страхования (ФЗ №14 от 26.01.1996 «Гражданский кодекс РФ (часть 2)», ст. 946) – страховщик не вправе разглашать сведения о страхователе, об имущественном состоянии и состоянии здоровья застрахованных лиц.

Коммерческая тайна  (ФЗ №98 от 29 июля 2004 г. «О коммерческой тайне»)– под коммерческую тайну можно подтянуть практически все.

Интеллектуальная собственность – вся интеллектуальная собственность до ее публикации.

Понятие «угроза информационной безопасности»

Рассмотрим, какие угрозы существуют, и на какие свойства информации они направлены. Свойства и краткие пояснения указаны в скобках.

  • Противоправные сбор и использование информации (нарушение конфиденциальности).
  • Нарушение технологии обработки информации (нарушение целостности, аутентичности).
  • Внедрение в аппаратные и программные изделия компонентов функций не предусмотренные документацией (нарушение достоверности).
  • Разработка и распространение программ нарушающих нормальное функционирование информационных систем и систем защиты информации (нарушение целостности).
  • Уничтожение, повреждение или разрушение средств и систем обработки информации (нарушение целостности).
  • Воздействие на парольно-ключевые системы защиты систем обработки информации (нарушение доступности – ввести несколько раз неправильно пароль, блокировка информации через систему защиты; отключение парольной защиты – нарушение целостности).
  • Компрометация ключей и средств криптографической защиты информации (угроза конфиденциальности, применительно к системе защиты информации).
  • Утечка информации по техническим каналам, например, акустическим (нарушение конфиденциальности информации).
  • Внедрение электронных устройств для перехвата информации в технические средства обработки информации «жучки» (нарушение целостностипомещения, системы).
  • Уничтожение, повреждение, разрушение носителей информации, хищение (угроза целостности).
  • Несанкционированный доступ к информации в БД (нарушение конфиденциальности).
  • Перехват информации в сетях, дешифрирование и передача ложной информации (нарушение конфиденциальности/целостности).
  • Использование несертифицированных средств защиты информации. Это не совсем угроза. Ну, приведу простое сравнение, например. Вы пришли в больницу, а почему я заболел – по тому, что таблетки не пили. Сертификация направлена на обнаружение недекларированных возможностей (нарушение достоверности).
  • Нарушение законных ограничений на распространение информации (нарушение доступности).

То есть, нарушение информационной безопасности – случайное или преднамеренное неправомерное действие вызывающее негативные последствия (ущерб/вред) для организации.

Теперь немного не связно, но по сути.

Событие – все, что фиксирует журнал событий.

Инцидент – событие, которое потенциально может нанести ущерб.

Случайно или преднамеренно – не суть, факт реализации угрозы.

Угроза – совокупность условий и факторов создающих потенциальную или реальную опасность нарушения информационной безопасности.

Как понять есть угроза или нет? Например, есть компьютер, не подключенный к сети. Вероятность угроз = 0. Если конструктивно система не позволяет реализовать угрозу. Актуальной не является.

Нужно сразу понимать, есть просто угроза или актуальная угроза. Угроза может существовать, но не являться актуальной. То есть, то, что с неба упадет метеорит – вероятность минимальная, но такая угроза существует.

Источник угрозы – физическое лицо, материальный объект или физическое явление, являющееся непосредственной причиной возникновения угрозы информационной безопасности.

Формы представления информации

Акустическая информация. Разговоры – передача акустической информации. Есть виброакустика, когда акустическая волна воздействует на стекло или трубу отопления (соответствующая поверхность вибрирует) можно попытаться снять вибрацию. Аналогично – электроакустика (через розетки). Двойные двери с тамбуром у начальников – решение, которое позволят уменьшить уровень акустического сигнала за пределами защищаемого помещения.

Побочное электромагнитное излучение. На определенной частоте в телевизоре можно было поймать сигнал соседей. То же самое качается розетки, в которой есть электричество.

Применительно к конфиденциальной информации не имеет смысла – проще купить информацию у сотрудника. Поэтому угроза считается не актуальной.

Информация обрабатываемая (циркулирующая) в ИСПДн.

Видовая информация в виде текста, изображений и т. д., например та информация, которая отображается в мониторе. Речь идет о канале, по которому может быть нарушена конфиденциальность + физический доступ. Мы можем посмотреть на бумажный документ, нарушив конфиденциальность (+ физическая нарушение целостности).

Информация в виде сигналов.

Классификация угроз по виду нарушаемого свойства

Угрозы конфиденциальности:

  • Утечка информации. Любое нарушение конфиденциальности можно назвать утечкой.
  • Разглашение информации. Является подмножеством утечки. Доведение защищаемой информации до лиц, не имеющих права доступа. Активным лицом является сотрудник знающий информацию. Т. Е. внутренний нарушитель.
  • Перехват. Активным лицом является злоумышленник. Перехват информации с помощью технических или иных средств. Подслушать и т.д.
  • Побочные элеткромагнитные излучения.
  • Наводка – наведение через конструктивный элемент.

Угрозы доступности:

  • Блокирование (затруднение) доступа к информации – прекращение возможности доступа к информации.

Способы реализации угроз

  • Способы реализации угроз утечки речевой и акустической информации:
    • С использованием аппаратуры регистрирующей акустические (в воздухе) и виброакустические (в других средах) волны.
    • С использованием специальных электронных устройств съема речевой информации внедренных в технические средства обработки информации. ВТСС – кондиционер, трубы отопления, телефон и т. д.
      • Регистрация волн за пределами помещения.
      • Внедрение жучков (средств негласного снятия информации).
  • Способы реализации угроз видовой информации:
    • С помощью оптических устройств и средств съема информации с экранов вне помещений.
    • С помощью специальных устройств съема внедренных в служебные помещения.
    • Пример – на вахте есть видеонаблюдение и монитор вахтера стоит так что проходящие мимо люди могут его свободно просматривать. Можно понять с какого количества камер выводится изображение и где они установлены.
  • Способы реализации угроз по каналам ПЭМИН – при помощи соответствующей аппаратуры перехватить все, что подключается к розетке и обладает побочным электромагнитным излучением.
  • Способ реализации угрозы целостности на основе сигналов. Преднамеренное электромагнитное воздействие на информацию – несанкционированное воздействие на информацию путем электромагнитного воздействия.

Компьютерные атаки

  1. Угрозы, реализуемые в ходе загрузки операционной системы (BIOS). Через BIOS можно установить устройство загрузки (приоритет), например флешка. Если у вас первым в очереди стоит USB порт, то при подключении «Вредоносной» флешки можно скопировать все нужные данные. Так же можно установить пароль на BIOS. Пароль на загрузку ОС.
  2. Угрозы, реализуемые после загрузки ОС. Эксплойты, использующие известные уязвимости операционной системы и прикладного программного обеспечения.
  3. Программное воздействие. Наличие в ОС вредоносных программ. Тут в целом все понятно и заучивать типовые определение не вижу смысла.
  4. Программная закладка. По сути это недекларируемые возможности программного обеспечения.

Теперь вы знаете основные понятия информационной безопасности.


Анатолий Бузов
Анатолий Бузов / автор материала / об авторе / услуги / проекты

Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *