ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».
Выявление и оценка источников
Источники угроз преследуют следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.
Все действия, приводящие к незаконному овладению конфиденциальной информацией можно разбить на 3 группы: разглашение, утечка, несанкционированный доступ.
1. Разглашение – это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним.
Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере конфиденциальной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации.
К формальным каналам относятся деловые встречи, совещания, переговоры и тому подобные формы общения. Неформальные каналы включают личное общение, выставки, семинары, конференции, а также средства массовой информации. Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов. Субъектом в этом процессе выступает источник (владелец) охраняемых секретов. Злоумышленник при этом затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видеомониторинг).
2. Утечка – это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.
Утечка информации осуществляется по различным техническим каналам. Каналы утечки информации подразделяют на визуально-оптические, акустические, электромагнитные и материально-вещественные.
Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.
3. Несанкционированный доступ – это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам.
Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения — стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами.
Источниками конфиденциальной информации так же могут быть, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.
Возможны следующие ситуации:
- · владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;
- · источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения;
- · промежуточная ситуация — это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник без особых усилий может их использовать в своих интересах.
Условия, способствующие неправомерному овладению конфиденциальной информацией:
- · разглашение (излишняя болтливость сотрудников) – 32%;
- · несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок – 24%;
- · отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности – 14%;
- · традиционный обмен производственным опытом – 12%;
- · бесконтрольное использование информационных систем – 10%;
- · наличие предпосылок возникновения среди сотрудников конфликтных ситуаций –8%;
Источники
Рассмотрим источники дестабилизирующего воздействия на информацию.
· Люди.
· Технические средства отображения (фиксации), хранения, обработки, воспроизведения, передачи информации, средства связи;
· Системы обеспечения функционирования технических средств отображения, хранения, обработки, воспроизведения и передачи информации;
· Технологические процессы отдельных категорий промышленных объектов;
· Природные явления.
Виды дестабилизирующих воздействий на защищаемую информацию можно разбить на две группы: внешние и внутренние, каждая из которых, в свою очередь, делится на умышленные и случайные, которые могут быть явными и скрытыми.
Метод дестабилизирующего воздействия по сути в ГОСТе назван фактором!!!
Факторы, воздействующие на защищаемую информацию и подлежащие учету при организации защиты информации, по признаку отношения к природе возникновения делят на классы:
· объективные;
· субъективные
Объективные факторы:
Внутренние факторы
- Передача сигналов по проводным линиям связи.
- Передача сигналов по оптико-волоконным линиям связи.
- Излучения сигналов, функционально присущих ОИ.
- Излучения акустических сигналов.
- Излучения неречевых сигналов.
- Излучения речевых сигналов.
- Электромагнитные излучения и поля.
- Излучения в радиодиапазоне.
- Излучения в оптическом диапазоне.
- Излучения акустических сигналов.
- ПЭМИ
- Паразитное электромагнитное излучение.
- Наводки.
- Наводки в электрических цепях ТС, имеющих выход за пределы ОИ.
- Наводки на ТС, провода, кабели и иные токопроводящие коммуникации и кон¬струкции, гальванически не связанные с ТС ОИ, вызванные побочными и (или) паразитными электромагнитными излучениями, несущими информацию.
- 7 Акустоэлектрические преобразования в элементах ТС ОИ.
- 8 Дефекты, сбои, отказы, аварии ТС и систем ОИ.
- 9 Дефекты, сбои и отказы программного обеспечения ОИ.
- Внешние факторы
- Явления техногенного характера.
- Непреднамеренные электромагнитные облучения ОИ.
- Радиационные облучения ОИ.
- Сбои, отказы и аварии систем обеспечения ОИ.
- Природные явления, стихийные бедствия.
- Термические факторы (пожары и т. д.).
- Климатические факторы (наводнения и т. д.).
- Механические факторы (землетрясения и т. д.).
- Электромагнитные факторы (грозовые разряды и т. д.).
- Биологические факторы (микробы, грызуны и т. д.).
Субъективные факторы.
- Внутренние факторы:
- Разглашение защищаемой информации лицами, имеющими к ней право доступа.
- Разглашение информации лицам, не имеющим права доступа к защищаемой информации.
- Передача информации по открытым линиям связи.
- Обработка информации на незащищенных ТС обработки информации.
- Опубликование информации в открытой печати и других средствах массовой информации.
- Копирование информации на незарегистрированный носитель информации.
- Передача носителя информации лицу, не имеющему права доступа к ней.
- Утрата носителя с информацией.
- Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации.
- Несанкционированное изменение информации.
- Подключение к техническим средствам и системам ОИ.
- Использование закладочных устройств.
- Хищение носителя защищаемой информации.
- Нарушение функционирования ТС обработки информации.
- Несанкционированный доступ к защищаемой информации.
- Неправильное организационное обеспечение защиты информации.
- Ошибки обслуживающего персонала ОИ.
- Внешние факторы
- Доступ к защищаемой информации с применением технических средств.
- Доступ к защищаемой информации с применением технических средств разведки.
- Доступ к защищаемой информации с применением средств визуально-оптической разведки.
- Доступ к защищаемой информации с использованием эффекта «высокочастотного навязывания».
- Несанкционированный доступ к защищаемой информации.
- Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку.
- Действия криминальных групп и отдельных преступных субъектов.
Оценка угроз
Говорить о безопасности объекта (системы) можно, лишь подразумевая, что с помощью этого объекта или над этим объектом совершаются какие-то действия. В этом смысле, если объект бездействует, а именно не функционирует (не используется, не развивается и т.д.), или, говоря другими словами, не взаимодействует с внешней средой, то и рассматривать его безопасность бессмысленно. Следовательно, объект необходимо рассматривать в динамике и во взаимодействии с внешней средой.
В некоторых случаях можно говорить о безопасности системы при ее сохраняемости. Но даже при сохраняемости системы взаимодействие с внешней средой неизбежно.
При функционировании объекта всегда преследуются определенные цели. Совокупность действий, совершаемых объектом, для достижения некоторой цели реализуется в виде результатов, имеющих значение для самого объекта.
Если цель операции или совокупность целенаправленных действий достигнута, то безопасность информации, циркулирующей в системе, обеспечена.
Проблема исследования критических ситуаций и факторов, которые могут представлять определенную опасность для информации, а также поиска и обоснования мер и средств по их исключению или снижению, характеризуется следующими особенностями:
а) большим количеством факторов опасных ситуаций и необходимостью выявления источников и причин их возникновения.
б) необходимостью выявления и изучения полного спектра возможных мер и средств парирования опасных факторов с целью обеспечения безопасности.
С другой стороны, существует угроза защищаемой информации. В литературе определение угрозы сформулировано следующим образом: «Угроза защищаемой информации это есть совокупность явлений, факторов и условий, создающих опасность нарушения статуса информации». То есть угроза информации обусловлена вполне определенными факторами, совокупностью явлений и условий, которые могут сложиться в конкретной ситуации.
По отношению к информационной системе все множество угроз можно разбить на две группы: внешние и внутренние, каждая из которых, в свою очередь, делиться на умышленные и случайные угрозы, которые могут быть явными и скрытыми.
Выявления и анализ угроз защищаемой информации является ответственным этапом при построении системы защиты информации на предприятии. Большинство специалистов употребляют термин «угрозы безопасности информации». Но безопасность информации- это состояние защищенности информации от воздействий, нарушающих ее статус. Следовательно, безопасность информации означает, что информация находится в таком защищенном виде, который способен противостоять любым дестабилизирующим воздействиям.
Любая угроза не сводится к чему-то однозначному, она состоит из определенных взаимосвязанных компонентов, каждый из которых сам по себе не создает угрозу, но является неотъемлемой частью ее, угроза же возникает лишь при совокупном их взаимодействии.
Угрозы защищаемой информации связаны с ее уязвимостью, т.е. неспособностью информации самостоятельно противостоять дестабилизирующим воздействиям, нарушающим ее статус. Реализация угроз приводит, в зависимости от их характера, к одной или нескольким формам проявления уязвимости информации. При этом каждой из форм проявления уязвимости( или нескольким из них) присущи определенные, имеющие отношение только к ним угрозы с набором соответствующих компонентов, т.е. структура конкретной угрозы предопределяет конкретную форму. Однако должна существовать и общая, как бы типовая структура угроз, составляющая основу конкретных угроз. Эта общая структура должна базироваться на определенных признаках, характерных для угрозы защищаемой информации.