Основными угрозами информации являются : её разглашение, утечка и несанкционированный доступ.

Информация как коммерческая тайна

Понятие коммерческой тайны введено Законом о предприятии СССР от 1 января 1991 года.

Под коммерческой тайной предприятия понимается – не являющиеся государственными секретами сведения связанные с производством технологии, управлением финансами, разглашение которых могут нанести ущерб его интересу.

Состав и объем сведений, составляющих коммерческую, тайну определяется руководителем предприятия.

 

Сведения, которые могут быть коммерческой тайной

 

ü Сведения о финансовой деятельности:

1. Прибыль, кредиты. Товарооборот

2. Финансовые отчеты и прогноз

3. Коммерческие проекты

4. Фонд заработной платы

5. Стоимость основных оборотных средств

6. Кредитные условия платежа

7. Банковские счета

 

ü Информация о рынке:

1. Цены, скидки, условия договор, спецификация продукции

2. Объем, история, тенденция производства и прогноз

3. Рыночная политика и планы

4. Маркетинг и стратегия цен

5. Отношения с потребителями и репутация

6. Численность и размещение торговых агентов,

7. Каналы и методы сбыта

8. Программы реклам

 

ü Сведения о производстве и продукции:

1. Сведения о техническом уровне, техника экономических характеристик разрабатываемых изделий

2. Сведения о применяемых технологиях технологических процессах

3. Производственные мощности

4. планы развития производства

5. техническая спецификация существующей перспективной продукции

6. схемы и чертежи отдельных узлов и готовых изделий

7. сведения о состоянии программного и компьютерного обеспечения

8. способ упаковки и доставки

//комментировать каждую запись!!!!

 

ü Сведения о НИР (научно -исследовательские разработки)

ü Сведения о персонале предприятия:

1. численность сотрудников

2. лица принимающие решения

ü Сведения о принципах управления предприятием:

ü Сведения о применяемых и перспективных методах управления производством.

ü Сведения о фактах ведения переговоров.

ü Сведения о планах предприятия по расширению производства.

ü Условия продажи и слияния фирм.

Правовая защита информации – специальные правовые акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе. Включает в себя:

1. международное право:

ü - договор -соглашение двух или более лиц об установлении, изменении или прекращении гражданских прав и обязанностей.

ü Конвенции - разновидность международного договора, в котором прописанные нормы являются юридически-обязующими для сторон, подписавших эту конвенцию.

ü Декларации - официальное провозглашение государством, партией, международными, межгосударственными организациями основных принципов (например, декларация прав); объявление, заявление частного лица или организации.

- патен т - охранный документ, удостоверяющий исключительное право, авторство и приоритет изобретения, полезной модели либо промышленного образца

- авторские права - подотрасль гражданского права, регулирующая отношения, связанные с созданием и использованием (изданием, исполнением, показом и т. д.) произведений науки, литературы или искусства, то есть объективных результатов творческой деятельности людей в этих областях

- лицензии - документ (соглашение), дающий право на выполнение некоторых действий.

 

Внутригосударственное право:

- государственное – сюда относятся: конституция, законы, указы и постановления

- ведомственное – приказы руководства, положения, инструкции.

 

Организационная защита -

- это регламентация производственной деятельности и взаимоотношение исполнителей на нормативно-правовой основе, исключающий неправомерное овладение конфиденциальной информацией. Включает в себя:

1. организация режима и охраны (исключение возможности тайного проникновения на территорию, организация пропускного режима)

2. организация работы с сотрудниками (подбор персонала, обучение правилам работы с КИ, их ответственность)

3. организация работы с документами – разработка, использование, хранение, уничтожение

4. организация использования технических средств

5. Организация работы по анализу внутренних и внешних угроз.

Функции СБ (службы безопасности):

1. Охрана персонала, материальных и финансовых ценностей.

2. Обеспечение пропускного и внутри объектного режима.

3. Разработка документов, положений, инструкций.

4. Ведение учета и анализа нарушений.

5. Проведение служебных расследований по фактам разглашения сведений.

6. Руководство службами подразделений

7. Контроль помещений и технических средств (представителем СБ)

8. Поддержание контактов с правоохранительными органами.

 

 

Объекты угроз

в оборонной сфере. –инфраструктура –объединение видов вооружённых сил РФ. Информационные ресурсы аппарата министерства обороны, генерального штаба, главных штабов, видов вооруженных сил, научно-исследовательских учреждений, содержащих сведения и данные об оперативных и стратегических планах, подготовки ведения боевых действий, о составе и дислокации войск о мобилизационной готовности, тактика технических характеристик вооружения и военной техники.

· Информационные ресурсы предприятий оборонного комплекса, содержащие сведения о производственных потенциалах, об объемах поставок и запасах стратегических видов сырья и материала, об основных направлениях развития вооружения военной техники и боевых возможностях

· Системы связи и управления войсками и оружием, их информационное обеспечение

 

В условиях чрезвычайной ситуации (наиболее подвергаются):

· Система принятия решений по оперативным действиям на их развитие и ход ликвидации последствий

· Система сбора и обработки информации о возможном возникновении ЧС,

Особое значение для нормального функционирования этих объектов имеет разрушение информационной инфраструктуры, то есть центра сбора и анализа информации, технических средств обработки и передачи информации, систем коммуникации и каналов связи. Эти события, а так же задержка, искажения и разрушение оперативной информации, НСД отдельных лиц или групп может привести к тяжелым последствиям.

Особенностью информационного воздействия в условиях ЧС является – приведения в движение больших масс людей, испытывающих психический стресс, быстрое распространение панических слухов, ложной или недостоверной информации. Нередко в условиях ЧС имеет место сокрытие информации, приводящие к сложностям при ликвидации её последствий.

В политической сфере.

· Общественное сознание и политическая ориентация различных групп населения страны (печать, радио, телевидение)

· Система принятия политических решений существенно зависящая от качества и своевременности её информационного обеспечения

· Права политических организаций, партий, объединений на свободное выражение своих программ

· Система регулярного информирования населения органами государственной власти и управления о политической и экономической жизни через СМИ

В сфере экономики

· Системы государственной статистики

· Источники, поражающие информацию по коммерческой деятельности организации, о потребительских свойствах товара и услуг

· система сбора и обработки финансовой, биржевой, налоговой и таможенной информации

 

В области науки и техники

 

· результаты фундаментальных, поисковых и прикладных научных исследований, содержащие сведения, утрата которых может нанести ущерб национальным интересам и престижу РФ.

· Незапатентованные технологии, ноу-хау, промышленные образцы, модели и экспериментальное оборудование, для которых еще не определен статус конфиденциальности, и которые не попадают под действующие законодательство и могут быть проданы или переданы за рубеж.

· Объекты интеллектуальной собственности (открытия, патенты, изобретения, промышленные образцы, программные продукты), которые могут быть похищены и незаконно распространены и запущены.

· Системы управления сложными исследовательснкими комплексами (ядерными реакторами, колайдерами и т.д.)

Источники КИ

1. Люди (обслуживающий персонал, продавцы, клиенты).

2. Документы различного характера и назначения (он может быть представлен не только различным содержанием, но и разным формами). По направленности различают: Организационно- распорядительные,

Плановые

Статистические

Бухгалтерские

научно-технические

3. Публикации – доклады, статьи, интервью, проспекты, книги

4. Технические носители информации и документов

5. Технические средства обработки информации – телефонные аппараты, телеграфы, телевизионные и тд.

6. Выпускаемая продукция

7. Производственные, промышленные отходы

 

Уровни обеспечения ИБ

Методы защиты информации можно разделить на три класса:

Законодательные

2. Административные – это определение процедур доступа к защищаемой информации и установление контроля за их соблюдение (приказы и другие действия руководства, связанных с защищаемыми информационными системами)

3. Технические методы – призваны максимально избавиться от человеческого фактора

 

Административные меры -

- это действия общего характера, предпринимаемые руководством организации. Главная цель – сформировать программу работ в области ИБ и обеспечить её выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основные классы мер процедурного уровня:

1. Управление персоналом – разделение обязанностей и минимизация привилегий (нельзя все доверять одному)

2. Физическая защита – безопасность информационной системы (ИС) зависит от окружения в котором она функционирует, поэтому необходимо принять меры для защиты зданий, прилегающих территорий, вычислительной техники, носителей данных.

Направление физической защиты:

1) Физическое управление доступом (вход и выход сотрудников, посетителей). Контролироваться может все здание организации, а так же отдельные помещения, например серверные комнаты, или коммуникационная аппаратура.

2) Противопожарные меры

3) Защиты поддерживающей инфраструктуры

4) Защита от перехвата данных

5) Защита мобильных систем

3. Поддержание работоспособности – это мероприятия направленные на поддержания работоспособности ИС. Не чайные ошибки сисадминов или пользователей грозят повреждениям аппаратуры, разрушения программ данных, создают бреши в защиты, которые делают возможной реализацию угроз. Недооценка факторов безопасности в повседневной работе – это ахиллесова пята в многих организаций. Дорогие средства безопасности теряют смысл, если они плохо прокомментированы, конфликтуют с другим программным обеспечением, а пароль сиадмина не менялся с момента установки.

4. Реагирование на нарушение режима безопасности - программа безопасности принятая организацией должна предусматривать набор оперативных мероприятий, направленных на обнаружение и нейтрализацию нарушений режима нарушений ИБ.

Реакция на нарушение режима преследует три главных цели: локализация инцидента и уменьшение наносимого вреда, выявление нарушителя, предупреждение повторных нарушений. В организации должен быть человек доступный 24 часа в сутки, который отвечает за реакцию на нарушение.

5. Планирование восстановительных работ – ни одна организация не застрахована от серьезных аварий, вызванными естественными причинами, действиями злоумышленника, халатностью или некомпетентностью. Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме.

Процесс планирования можно разделить на следующие этапы:

I. Выявление критически важных функций организации, установление приоритетов.

II. Идентификация ресурсов необходимых для выполнения критически важных функций.

III. Определение перечня возможных аварий

IV. Разработка стратегии восстановительных работ

V. Проверка стратегии

 

Повседневная деятельность:

· Поддержка пользователей – консультирование и оказание помощи при решении разного рода проблем.

· Поддержка программного обеспечения – недопущение самодеятельности пользователей

· Конфигурационное управление – позволяет контролировать и фиксировать изменения, вносимые в программную конфигурацию, то есть необходимо застраховаться от случайных или непродуманных модификаций, возвращаться к прошлой работающей версии.

· Резервное копирование – необходимо для восстановления программ и данных после аварий. Нужно наладить размещение копий в безопасном месте, защищенном от НСД, пожаров, протечек. Целесообразно иметь несколько экземпляров резированных копий, часть из них хранить вне территории организации. Время от времени проверять возможность восстановления информации в копии.

· Управление носителей – защита от НСД, предохранения от вредного влияния окружающей среды (жара, холод, влага, магнетизм). От закупки до выведения из эксплуатации.

· Документирование – документация должна быть актуальной, отражала именно текущее состояние дел, причем в непротиворечивом виде.

· Регламентные работы – сотрудник, осуществляющий регламентные работы, получает исключительный доступ к системе и на практике очень трудно проследить какие именно действия он совершает. Здесь очень важна степень доверия к тем, кто выполняет такую работу.

Парольная аутентификация.

Совокупность идентификатора пароля и дополнительной информации о пользователе составляет учетную запись пользователя.

В зависимости от реализации системы пароль может быть многоразовым и одноразовым.

 

Рекомендации по паролям (чтобы снизить риск угроз):

1. Задание минимальной длины используемых паролей (не менее 6-8 символов)

2. Использование в пароле разных групп символов, то ест большие и маленькие буквы, цифры, специальные символы

3. Периодическая проверка администраторами качества паролей путем имитации атак, таких как подбор паролей по «словарю»

4. Установка максимального и минимального сроков жизни пароля, использование механизма принудительной смены старых паролей

5. Ограничение числа неудачных попыток ввода пароля (блокирование учетной записи после заданного числа неудачных попыток входа в систему)

6. Ведение журнала истории паролей, чтобы пользователи после принудительной смены пароля нее могли вновь выбрать себе старый возможно скомпрометированный пароль

 

Криптология.

Делится на два направления – криптографию и криптоанализ.

Задачи криптографии - обеспечить конфиденциальность (секретность) и аутентичность (подлинность) передаваемых сообщений.

Задачи криптоанализа – взломать систему защиты, разработанную криптологами.

Крипто аналитика занимается раскрытием зашифрованных текстов или выдачи поддельных сообщений за настоящие.

Различают два типа систем:

1. Симметричные одноключевые криптосистемы (с секретным ключом)

2. Ассиметричные двуключевые криптосистемы с (открытым ключом)

В соответствии со стандартом ГОСТ 129.149/89 под шифром понимают совокупность обратимых преобразований множество открытых данных на множество зашифрованных данных задаваемых ключом и алгоритмом криптографического преобразования.

Ключ – это контурное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающий выбор только одного варианта из всех возможных для данного алгоритма.

 

К шифрам предъявляется ряд требований -

1) Достаточная криптостойкость, то сеть надежность закрытия данных

2) Простота процедур шифрования и расшифрования

3) Незначительная избыточность информации за счет шифрования.

4) Нечувствительность к небольшим ошибкам шифрования

 

Виды шифров.

1. Шифрование с переустановкой – заключается в том что символы шифруемого текста переставляются по определенному правилу в пределах некоторого блока этого текста

2. Шифрование с заменой (подстановкой) – заключается в том что символы шифруемого текста заменяются символами того же или другого алфавита в соответствии с заранее обусловленной схемой замены

3. Шифрование гоммирования – символы шифруемого текста складываются с символами некоторой случайной последовательности именуемой гамма-шифром. Стойкость шифрования определяется в основном длиной (периодом) неповторяющейся части гаммы-шифра. Поскольку с помощью ЭВМ можно генерировать практически бесконечную гамму-шифра, то данный способ является основным для шифрования в АС

4. Шифрование аналитическим преобразованием – шифруемый текст преобразуется по некоторому аналитическому правилу или формуле, например можно использовать правило умножение вектора на матрицу, причем матрица является ключом шифрования, поэтому её размер и содержание должны храниться в секрете, а символами умножаемого вектора последовательно служат символы шифруемого текста.

Основной характеристикой шифра является криптостойкость, которая определяет его стойкость к раскрытию методами криптоанализа. Эта характеристика определяется интервалом времени необходимым для раскрытия шифра.

 

 

Метод перестановки.

Пусть будет так как мы хотели

а б в г д е ё ж з й к л м н о п р с т у ф х ц ч ш щ э ъ э ь ю я

1 2 3 4 5 6 7 8 9

А

Б

В

Г

Д

Е

Ё

Ж

З

И

Й

К

Л

М

Н

О

П

Р

С

Т

У

Ф

Х

Ц

Ч

Ш

Щ

ъ

ы

ь

э

ю

я

 

 

Рлзъ ёмэйз авбжу ийзавлу бжщлу жщэзбжз жюёщез, эыщыщлжфо иёщывещ – чтоб мудро жить знать надобно не мало. (смещение по алфавиту на 7)

Если в некотором слове заменить буквы на номера этих букв в алфавите, то получится число 2222122111121. Ответ: фуфайка.

 

Шыр-пир ю папужгы зэлэмъый гёсрыш – жил у бабушки серенький козлик.

 

Гриф-Мережа.

Комплекс позволяет создавать на базе ЛВС специализированную АС для обработки информации с ограниченным доступом и обеспечение защиты от целостности, конфиденциальности и доступности.

Комплекс реализует следующие функции:

1. Идентификация и аутентификация пользователей.

2. Блокировка устройств интерфейса пользователя на время его отсутствия (клавиатура, мышь)

3. Разграничение обязанностей пользователей и выделение нескольких ролей администратора (определение ресурсов, регистрация пользователей, назначение прав доступа, обработка протоколов аудита)

4. Разграничение доступа пользователей к выбранным каталогам и находящимся в них файлам, размещенных на рабочих станциях и серверах

5. Управление потоками информации и блокировка информации

6. Контроль за выводом информации на печать

7. Контроль за экспортом информации на съемные носители

8. Гарантированное удаление конфиденциальной информации, путем затирания содержимого

9. Контроль целостности прикладного ПО (контрольные суммы)

10. Контроль использования дискового пространства

11. Восстановление после сбоев

12. Неисправности регистрации, анализ и обработка событий

13. Немедленное оповещение администратора о нарушениях

14. Ведение архива зарегистрированных данных и аудита.

 

Подсистема регистрации и учета должна:

1. Регистрировать вход (выход) субъектов доступа в систему (из системы), либо регистрировать загрузку и инициализацию операционной системы и её программного останова. При том в параметрах регистрации указываются:

· Дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (остановы) системы

· Результат попытки входа – успешная или неуспешная

· Идентификатор (код или фамилия) субъекта, предъявляемый при попытке доступа

· Код или пароль, предъявляемый при неуспешной попытки

Регистрация входа из системы или останова не производиться в моменты аппаратурного отключения АС.

2. Регистрировать выдачу печатных (графических) документов на «твердую» копию. При этом в параметрах регистрации указываются:

· Дата и время выдачи (обращение к подсистеме вывода)

· Краткое содержание документа (наименование, вид, шифр, код) и уровень его конфиденциальности

· Спецификация устройств выдачи (логическое имя (номер) внешнего устройства)

· Идентификатор субъекта доступа, запросившего документ

3. Регистрировать запуск (завершение) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.

При этом в параметрах регистрации указывается:

· Дата и время запуска

· Имя (идентификатор) программы (процесса, задания)

· Идентификатор субъекта доступа, запросившего программу (процесс, задания)

· Результат запуска (успешный, неуспешный – несанкционированный)

4. Регистрировать попытки доступа, запросившего программу (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указывается:

· Идентификатор субъекта доступа

· Спецификация защищаемого файла

5. Регистрировать попытки доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. При этом в параметрах регистрации указывается:

· Дата и время попытки доступа к защищаемому файлу с указанием его результата: успешная или неуспешная, несанкционированная

· Идентификатор субъекта доступа

· Спецификация защищаемого объекта (логическое имя, номер)

6. Проводит учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку)

Основными угрозами информации являются: её разглашение, утечка и несанкционированный доступ.

Разглашение – это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним.

Разглашение выражается – в сообщении, передаче, предоставлении, пересылке и других формах обмена с деловой информацией. Реализуется по формальным и неформальным каналам распространения информации. К формальным относятся – деловые встречи, совещания, переговоры (средство передачи официальной информации – почта, телефон, телеграмм, факс ). Неформальные коммуникации включают - личное общение (встречи, переписка). Выставки, семинары, конференции, и др.. (средства массовой информации – газеты, печать, интервью, радио, телевидение).

Утечка – бесконтрольный выход КИ за пределы организации или круга лиц, которым она была доверена.

Утечка осуществляется по различным техническим каналам. Информация переноситься или передается либо энергией, либо веществом – это акустическая волна (звук), электромагнитное излучение, бумажные носители. Возможны следующие пути переноса информации: цветовые лучи, звуковые волны, электромагнитные волны, материалы и вещества.

Под каналом утечки информации принято понимать физический путь от источника КИ к злоумышленнику.

НСД (несанкционированный доступ) – это противоправная, преднамеренная овладение КИ лицом, немеющим прав доступа к охраняем секретам.

 

 

Угрозы персонала.

Правовое положение работника на предприятии определяется положениями конституцией РФ, трудового кодекса, а так же условиями контракта (трудового соглашения) и организационно – распорядительными документами. Работодатель обязан предпринять меры для защиты работника от возможных угроз его здоровью, жизни, интересам. Работник должен добросовестно выполнить все обязательства, взятые на себя по контракту, подписанному во время приема на работу.

Угрозы персоналу (человеку) – могут быть выражены явлениями и действиями, такими как:

1. Стихийные бедствия

2. Вредные условия труда

3. Попытки внесения изменений в технологические процессы производства с целью подготовки и совершения технологических аварий, техногенной аварии.

4. Психологический террор, угрозы, компромат, запугивание, шантаж, вымогательства.

5. Нападения с целью завладения денежными средствами, ценностями, сведениями конфиденциального характера и документами.

6. Внесение опасных для здоровья изменений в окружающую среду (радиоактивное, бактериологическое, химическое)

7. Убийство, сопровождаемое насилием, пытками.

Угрозы материальным ресурсам.

Хищение – совершенное с корыстной целью противоправное изъятие чужого имущества.

Повреждение – изменение свойств имущества, при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становиться полностью или частично непригодным для целевого использования.

Повреждения осуществляются с помощью – поджогов, взрывов, обстрелов из огнестрельного оружия, транспортных средств и тп…

Уничтожение – внешнее воздействие на имущество в результате которого оно прекращает свое физическое существование, либо приводиться в полную непригодность для использования по назначению.

Угрозы материальным ресурсам – пикетирование, блокирование входов, вторжение, захват.

 

Угрозы информационным ресурсам.

Классификация угроз по информационным ресурсам.

1. По цели реализации угроз:

1) Угрозы конфиденциальности (хищение, утрата)

2) Угроза доступности (блокирование, уничтожение)

3) Угроза целостности (модификация, искажение)

Обман – (отрицание подлинности, навязывание ненужной информации) - умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо (владельца имущества) и таким образом добиться от него добровольной передачи имущества.

Д/З: что такое навязывание ложной информации?

По принципу воздействия на носителя информации:

1. С использованием доступа нарушителя к объекту (в комнату переговоров, файлу данных, каналу связи)

2. С использованием скрытых каналов (применение ЗУ – закладных устройств)

По характеру воздействия на системы обработки и передачи информации:

- Активные – связанные с выполнением нарушителей каких либо действий (копирование, несанкционированные записи, доступ к программам, вскрытие пароля.

- пассивные – осуществляются путем наблюдения пользователем процессов движения информации и их анализам.

 

Условия и причины образования технических каналов утечки речевой информации.

Речевая информация - это информация, распространение которой осуществляется с помощью звуковых (акустических) вибрационных и электромагнитных сигналов.

 

1. Речь (полученный речевой сигнал характеризуется): отношением числа правильно понятых элементов речи (звуки, слоги, слова) к общему числу принятых элементов.

 

2. Реверберация звука – эффект наложения речевых отрезков друг на друга в результате отражения сигнала от поверхности конструкций

 

3. Ослабление звуковых колебаний – при прохождение звуковых сигналов через различные среды (бетон, кирпич, стекло, воздух, вода).

 

4. Присутствие шумов и помех.

 

Для образования утечек вокруг источника речевой информации в окружающей среде могут быть:

1. Акустические и вибро-акустические колебания

2. Радио, оптические и электрические сигналы, содержащие сведения в различных технических средствах обработки и передаче информации.

3. Наводки электромагнитных излучений на различные токоведущие цепи и конструкции

4. Различные ЗУ (закладные устройства)