Информационная безопасность

Утечка - это бесконтрольный выход конфиденциальной инфор-мации  за пределы организации или круга  лиц, которым она была доверена. Утечка информации осуществляется по различным  техническим каналам. Известно, что  информация вообще переносится или  пере-дается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (напи-санный текст) и др. С учетом этого можно утверждать, что по фи-зической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материа-лы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электро-магнитные и  материально-вещественные. Под каналом  утечки ин-формации принято понимать физический путь от источника конфи-денциальной  информации к злоумышленнику, посредством  которого последний может получить доступ к охраняемым сведениям. Для  образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне  злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.  

Несанкционированный доступ - это противоправное преднаме-ренное овладение конфиденциальной информацией  лицом, не имею-щим права доступа  к охраняемым секретам. Несанкционированный  доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении "продать" секреты, до использования  различных средств проникновения  к коммерческим секретам. Для реализации этих действий злоумыш-леннику приходится часто проникать на объект или  создавать вблизи него специальные  посты контроля и наблюдения - стационарных или в подвижном варианте, оборудованных  самыми современными техническими средствами. Если исходить из комплексного подхода  к обеспечению инфор-мационной  безопасности, то такое деление ориентирует  на защиту информации как от разглашения, так и от утечки по техническим  каналам и от несанкционированного доступа к ней со стороны кон-курентов и злоумышленников. Такой подход к классификации действий, способствующих неправо-мерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения  комплексной информационной без-опасности.  

С учетом изложенного  остается рассмотреть вопрос, какие  условия способствуют неправомерному овладению конфиденциальной ин-формацией. Указываются следующие условия:  

разглашение (излишняя болтливость сотрудников) - 32%;  

несанкционированный доступ путем подкупа и склонения  к сотрудничеству со стороны конкурентов  и преступных группировок - 24%;  

отсутствие на фирме  надлежащего контроля и жестких  условий обеспечения информационной безопасности - 14%;  

традиционный обмен  производственным опытом - 12%;  

бесконтрольное использование  информационных систем - 10%;  

наличие предпосылок  возникновения среди сотрудников  конфликтных ситуаций 8%;  

а также отсутствие высокой трудовой дисциплины, психологическая  несовместимость, случайный подбор кадров, слабая работа кадров по сплочению  коллектива.  

Среди форм и методов  недобросовестной конкуренции находят  наибольшее распространение:  

экономическое подавление, выражающееся в срыве сделок и  иных соглашений (48%),  

парализации деятельности фирмы (31%),  

компрометации фирмы (11%),  

шантаже руководителей  фирмы (10%);  

физическое подавление:  

ограбления и разбойные  нападения на офисы, склады, грузы (73%),  

угрозы физической расправы над руководителями фирмы  и ведущими специалистами (22%),  

убийства и захват заложников (5%);  

информационное воздействие:  

подкуп сотрудников (43%),  

копи-рование информации (24%),  

проникновение в  базы данных (18%),  

продажа конфиденциальных документов (10%),  

подслушивание телефонных переговоров и переговоров в  помещениях (5%),  

а также ограничение  доступа к информации, дезинформация;  

финансовое подавление включает такие понятия, как инфляция, бюджетный дефицит, коррупция, хищение  финансов, мошенничество; психическое  давление может выражаться в виде хулиганских выходок, угрозы и шантажа, энергоинформационного воздействия.  

Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к  ее источникам. Каждому из условий  неправомерного овладения конфиденциальной информацией можно поставить  в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия. Совокупность определений, каналов, способов и средств представляется в виде следующей схемы.  

Государственный стандарт РФ ГОСТ Р 50922 - 96 

ГОСТ Р 50922 - 96

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ 

Защита информации

Основные термины  и определения 

Дата введения 1.07.97 г. 

1. Область применения  

2. Общие положения  

3 Стандартизованные  термины и их определения  

3.1 Основные понятия  

3.2 Организация защиты  информации  

4. Приложение А  (справочное)

1 ОБЛАСТЬ ПРИМЕНЕНИЯ  

Настоящий стандарт устанавливает основные термины  и их определения в области  защиты информации.  

Термины, установленные  настоящим стандартом, обязательны  для применения во всех видах документации и литературы по защите информации.  

Настоящий стандарт применяется совместно с ГОСТ РВ 50170-92.

2 ОБЩИЕ ПОЛОЖЕНИЯ  

Установленные в  стандарте термины расположены  в систематизированном порядке, отражающем систему понятий в  данной области знания.  

Для каждого понятия  установлен один стандартизованный  термин.  

Заключенная в круглые  скобки часть термина может быть опущена при использовании термина  в документах по стандартизации.  

Наличие квадратных скобок в терминологической статье означает, что в нее включены два (три, четыре и т.п.) термина, имеющие  общие терминоэлементы.  

Разрешается, при  необходимости, уточнять приведенные  определения, вводя дополнительные признаки, раскрывающие значения терминов, без искажения смысла определения.  

Термины и определения  общетехнических понятий, необходимые  для понимания текста стандарта, приведены в приложении А.

3 СТАНДАРТИЗОВАННЫЕ  ТЕРМИНЫ И ИХ ОПРЕДЕЛЕНИЯ 

3.1 Основные понятия  

Защищаемая информация - информация, являющаяся предметом  собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.  

Примечание: Собственником  информации может быть - государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.  

Защита информации - защита информации: Деятельность по предотвращению утечки защищаемой информации, несанкционированных  и непреднамеренных воздействий  на защищаемую информацию.  

Защита информации от утечки - деятельность по предотвращению неконтролируемого распространения  защищаемой информации от ее разглашения, несанкционированного доступа к  защищаемой информации и от получения  защищаемой информации [иностранными] разведками.  

Защита информации от несанкционированного воздействия - защита информации от НСВ: Деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных  прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа  к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.  

Зашита информации от непреднамеренного воздействия - деятельность по предотвращению воздействия  на защищаемую информацию ошибок пользователя информацией, сбоя технических и  программных средств информационных систем, а также природных явлений  или иных нецеленаправленных на изменение  информации воздействий, связанных  с функционированием технических  средств, систем или с деятельностью  людей, приводящих к искажению, уничтожению, копированию, блокированию доступа  к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.  

Защита информации от разглашения - деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.  

Защита информации от несанкционированного доступа - защита информации от НСД: Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных  правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.  

Примечание: Заинтересованным субъектом, осуществляющим несанкционированный  доступ к защищаемой информации, может  выступать: государство, юридическое  лицо, группа физических лиц, в том  числе общественная организация, отдельное  физическое лицо.  

Защита информации от [иностранной] разведки - деятельность по предотвращению получения защищаемой информации [иностранной] разведкой.  

Защита информации от [иностранной] технической разведки - деятельность по предотвращению получения  защищаемой информации [иностранной] разведкой  с помощью технических средств.  

Защита информации от агентурной разведки - деятельность по предотвращению получения защищаемой информации агентурной разведкой.  

Цель защиты информации - желаемый результат защиты информации.  

Примечание: Целью  защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной  утечки информации и/или несанкционированного и непреднамеренного воздействия  на информацию.  

Эффективность защиты информации - степень соответствия результатов защиты информации поставленной цели.  

Показатель эффективности  зашиты информации - мера или характеристика для оценки эффективности защиты информации.  

Нормы эффективности  защиты информации - значения показателей  эффективности защиты информации, установленные  нормативными документами.

3.2 Организация защиты  информации  

Организация защиты информации - содержание и порядок  действий по обеспечению защиты информации.  

Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие  по правилам, установленным соответствующими правовыми, организационно-распорядительными  и нормативными документами по защите информации.  

Мероприятие по защите информации - совокупность действий по разработке и/или практическому  применению способов и средств защиты информации.  

Мероприятие по контролю эффективности защиты информации- совокупность действий по разработке и/или практическому  применению методов [способов] и средств  контроля эффективности защиты информации.  

Техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные  для обеспечения защиты информации.  

Объект защиты - информация или носитель информации или информационный процесс, в отношении которых  необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.  

Способ защиты информации - порядок и правила применения определенных принципов и средств  защиты информации.  

Категорирование защищаемой информации [объекта защиты] - установление градаций важности защиты защищаемой информации [объекта защиты].