Коллективная работа в сети

Предыдущая 2 3 4 5 6 7 8 9 10 111213 14 15 16 17 Следующая

Типовыми программными продуктами для компьютерных технических средств, обеспечивающих технологию коллективной работы в сети, являются: электронная почта, электронный календарь, аудиопочта, компьютерные и телеконференции и т. п.

Аудиопочта. Это почта для передачи сообщений голосом. Она напоминает электронную почту, за исключением того, что вместо набора сообщения на клавиатуре компьютера вы передаете его через телефон. Также по телефону вы получаете присланные сообщения. Система включает в себя специальное устройство для преобразования аудиосигналов в цифровой код и обратно, а также компьютер для хранения аудиосообщений в цифровой форме.

Почта для передачи аудиосообщений может успешно использоваться для группового решения проблем. Для этого посылающий сообщение должен дополнительно указать список лиц, которым данное сообщение предназначено. Система будет периодически обзванивать всех указанных сотрудников для передачи им сообщения.

Главным преимуществом аудиопочты по сравнению с электронной является то, что она проще, при ее использовании не нужно вводить данные с клавиатуры.

Электронный календарь.Он предоставляет еще одну возможность использовать сетевой вариант компьютера для хранения и манипулирования рабочим расписанием управленцев и других работников организации. Менеджер (или его секретарь) устанавливает дату и время встречи или другого мероприятия, просматривает получившееся расписание, вносит изменения при помощи клавиатуры. Техническое и программное обеспечение электронного календаря полностью соответствует аналогичным компонентам электронной почты. Более того, программное обеспечение календаря часто является составной частью программного обеспечения электронной почты.

Система дополнительно дает возможность получить доступ также и к календарям других менеджеров. Она может автоматически согласовать время встречи с их собственными расписаниями.

Использование электронного календаря оказывается особенно эффективным для менеджеров высших уровней управления, рабочие дни которых расписаны надолго вперед.

Компьютерные конференции и телеконференции. Компьютерные конференции используют компьютерные сети для обмена информацией между участниками группы, решающей определенную проблему. Естественно, круг лиц, имеющих доступ к этой технологии, ограничен. Количество участников компьютерной конференции может быть во много раз больше, чем аудио- и видеоконференций.

В литературе часто можно встретить термин телеконференция. Телеконференция включает в себя три типа конференций: аудио, видео и компьютерную.

Аудиоконференции. Они используют аудиосвязь для поддержания коммуникаций между территориально удаленными работниками или подразделениями фирмы. Наиболее простым техническим средством реализации аудиоконференции является телефонная связь, оснащенная дополнительными устройствами, дающими возможность участия в разговоре более чем двум участникам. Создание аудиоконференции не требует наличия компьютера, а лишь предполагает использование двухсторонней аудиосвязи между ее участниками.

Использование аудиоконференции облегчает принятие решений, оно дешево и удобно. Эффективность аудиоконференции повышается при выполнении следующих условий:

– работник, организующий аудиоконференцию, должен предварительно обеспечить возможность участия в ней всех заинтересованных лиц;

– количество участников конференции не должно быть слишком большим (обычно не более шести), чтобы удержать дискуссию в рамках обсуждаемой проблемы;

– программа конференции должна быть сообщена ее участникам заблаговременно, например с использованием факсимильной связи;

– перед тем как начать говорить, каждый участник должен представляться;

– должны быть организованы запись конференции и ее хранение;

– запись конференции должна быть распечатана и отправлена всем ее участникам.

Видеоконференции.Они предназначены для тех же целей, что и аудио-конференции, но с применением видеоаппаратуры. Их проведение также не требует компьютера. В процессе видеоконференции ее участники, удаленные друг от друга на значительное расстояние, могут видеть на телевизионном экране себя и других участников. Одновременно с телевизионным изображением передается звуковое сопровождение.

Хотя видеоконференции позволяют сократить транспортные и командировочные расходы, большинство фирм применяет их не только по этой причине – они видят в них возможность привлечь к решению проблем максимальное количество менеджеров и других работников, территориально удаленных от главного офиса.

Наиболее популярны три конфигурации построения видеоконференций:

– односторонняя видео- и аудиосвязь. Здесь видео- и аудиосигналы идут только в одном направлении, например от руководителя проекта к исполнителям;

– односторонняя видео- и двухсторонняя аудиосвязь. Двухсторонняя аудиосвязь дает возможность участникам конференции, принимающим видеоизображение, обмениваться аудиоинформацией с передающим видеосигнал участником;

– двухсторонняя видео- и аудиосвязь. В этой, наиболее дорогой конфигурации используется двухсторонняя видео- и аудиосвязь между всеми участниками конференции, обычно имеющими один и тот же статус.

Факсимильная связь. Эта связь основана на использовании факс-аппарата, способного читать документ на одном конце коммуникационного канала и воспроизводить его изображение на другом.

Факсимильная связь вносит свой вклад в принятие решений за счет быстрой и легкой рассылки документов участникам группы, решающей определенную проблему, независимо от их географического положения.

Возможности коллективной работы будут рассмотрены в [36] на примере программы NetMeeting.

Вывод информации из системы

Задачи ввода и вывода данных не являются равнозначными, так как не все устройства поддерживают режимы ввода и вывода. Например, некоторые накопители информации имеют возможность записи и считывания – магнитные диски, лазерные диски RW и др. Другие устройства (цифровая камера и принтер) выполняют только однозадачные функции. Кроме того, при вводе данных уже имеется или потенциально существует источник (носитель), на создание которого уже были израсходованы средства и поэтому затратную часть составляет процесс создания и осуществления санкционированной коммуникации данных источника в информационную систему.

При организации вывода необходимо следующее:

– защита от несанкционированного вывода требуемых данных;

– оптимальный расчет объема выводимых данных, с которым однозначно связан объем расходных материалов и средств;

– выбор средств вывода, поддерживающих оптимальное соотношение качества, скорости и стоимости;

– обоснование требуемого количества и производительности устройств вывода;

– наличие персонала, способного обеспечить вывод без дополнительных затрат и потерь;

– максимальная интеграция устройств с информационной системой.

С учетом данных факторов необходимо находить оптимальное решение. Примером может служить организация внутриофисной печати. Наиболее высокому уровню автоматизации чисто технически соответствует вывод всех документов организации на высокоскоростной сетевой принтер, поддерживающий различные режимы печати. Однако в крупном офисе, расположенном в многоэтажном здании или даже нескольких зданиях, уровень автоматизации снижается из-за необходимости обеспечения доставки бумажных документов к исполнителю. С другой стороны, установка индивидуальных принтеров приводит к невыполнению перечисленных требований.

ТЕМА 4. Технологии обеспечения безопасности

Информационных систем

8. Информационная безопасность, политика информационной
безопасности

8.1. Основные понятия информационной безопасности

Информация является важнейшим ресурсом и как новый вид ресурсов приобретает все большее значение в жизни общества, особенно в период перехода от постиндустриального к информационному обществу.

Однако процесс существования и развития общества не идеален, поэтому информационные ресурсы (политические, военные, экономические, интеллектуальные) могут быть использованы не по своему прямому назначению. Это, в свою очередь, может привести к негативным последствиям, наносящим вред отдельным лицам, группам людей, обществу в целом. Поэтому информационный ресурс требует защиты.

Проблема безопасности информации существует с момента появления средств передачи информации (языки, письменность, живопись, электрические, радио- и электронные средства, компьютерное информационное пространство). Ее масштабы и значимость также повышались в соответствии с развитием данных средств и ростом объема информационных ресурсов, начиная от необходимости сохранения отдельных секретов в древности до проблемы сохранения колоссальных объемов данных в настоящее время.

Информационная безопасность (ИБ)– состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства [41].

Применительно к компьютерным информационным технологиям под информационной безопасностью подразумевается состояние защищенности информации, обрабатываемой в информационно-вычислительной системе, от случайных или преднамеренных воздействий внутреннего или внешнего характера, которые могут нанести ущерб владельцам информационных ресурсов или пользователям информации [29].

Информационную безопасность образуют три основные составляющие:

– конфиденциальность – защита критической информации от несанкционированного доступа;

– целостность – защита точности и полноты информации и программного обеспечения;

– доступность – обеспечение доступности информации и основных услуг для пользователя в нужное для него время, а также предотвращение несанкционированного отказа в получении информации.

Под критической информацией (сервисами) понимают данные (сервисы), которые требуют защиты из-за наличия вероятности нанесения ущерба (наличия риска) определенной величины в том случае, если произойдет их случайное или умышленное раскрытие, изменение или разрушение. Этот термин включает в себя данные, чье неправильное использование или раскрытие может отрицательно отразиться на способности организации решать свои задачи.

Применительно к информационной системе целью информационной безопасности является обеспечение названных составляющих путем защиты процессов создания данных, их ввода, обработки, хранения и вывода.

Информационную безопасность обеспечивают меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Данные меры принимаются на различных уровнях (рис. 8.1).

Рис. 8.1

Степень безопасности информации в зависимости от ее важности регулируется нормативными правовыми актами.

В Республике Беларусь в законодательном порядке информация, которая подлежит защите, может составлять: государственную, служебную, коммерческую, профессиональную тайну, тайну личной жизни, объект интеллектуальной собственности и авторского права.

Государственные секреты подразделяются на две категории: государственную тайну и служебную тайну [12].

Государственная тайна – государственные секреты, разглашение или утрата которых могут повлечь тяжкие последствия для национальной безопасности Республики Беларусь, а также создать угрозу безопасности граждан либо их конституционным правам и свободам.

Служебная тайна – государственные секреты, разглашение или утрата которых могут причинить существенный вред национальной безопасности Республики Беларусь, а также конституционным правам и свободам граждан. Сведения, составляющие служебную тайну, имеют характер отдельных данных, входящих в состав сведений, составляющих государственную тайну и не раскрывающих ее в целом.

В зависимости от категории сведений, составляющих государственные секреты, характера и объема мер, необходимых для обеспечения их сохранности и защиты, устанавливаются три степени секретности сведений: особой важности, совершенно секретно, секретно.

Коммерческую тайну составляют преднамеренно скрываемые экономические интересы и информация о различных сторонах и сферах производственно-хозяйственной, управленческой, научно-технической, финансовой деятельности субъекта хозяйствования, охрана которых обусловлена интересами конкуренции и возможной угрозой экономической безопасности субъекта хозяйствования [19, 37].

Информация составляет служебную или коммерческую тайну в случае, когда она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, если к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности [3].

Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести ущерб его интересам [28].

Информация, составляющая коммерческую тайну, является собственностью субъекта хозяйствования либо находится в его владении, пользовании, распоряжении в пределах, установленных собственником и законодательными актами.

Информация, составляющая коммерческую тайну, должна соответствовать следующим требованиям:

– иметь действительную и потенциальную ценность для субъекта хозяйствования по коммерческим причинам;

– не являться общеизвестной или общедоступной согласно законодательству Республики Беларусь;

– обозначаться соответствующим образом с осуществлением субъектом хозяйствования надлежащих мер по сохранению ее конфиденциальности посредством системы классификации информации как коммерческой тайны, разработки внутренних правил засекречивания, введения соответствующей маркировки документов и иных носителей информации, организации секретного делопроизводства;

– не являться государственным секретом и не защищаться авторским и патентным правами;

– не касаться негативной деятельности субъекта хозяйствования, способной нанести ущерб интересам государства.

– Коммерческую тайну субъекта хозяйствования не могут составлять:

– учредительные документы, а также документы, дающие право на занятие предпринимательской деятельностью и отдельными видами хозяйственной деятельности;

– сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные данные, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей;

– документы о платежеспособности;

– сведения о численности и составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест.

Содержание и объем информации, составляющей коммерческую тайну, а также порядок ее защиты определяются руководителем субъекта хозяйствования, который доводит их до работников либо лиц, имеющих доступ к таким сведениям.

Работники субъекта хозяйствования и лица, заключившие гражданско-правовые договоры, имеющие доступ к коммерческой тайне субъекта хозяйствования, принимают обязательство сохранять коммерческую тайну и без разрешения, выданного в установленном порядке, не разглашать сведения, ее составляющие, при условии, что эта информация ранее не была известна работникам или иному лицу, получившему к ней доступ, либо не была получена от третьей стороны без обязательства соблюдать в отношении ее конфиденциальность.

Данное обязательство дается в письменной форме при приеме на работу, заключении гражданско-правового договора либо в процессе его исполнения.

Указанные лица вправе передать конфиденциальную информацию третьим лицам в случае привлечения их к деятельности, требующей знания такой информации, только в том объеме, который необходим для реализации целей и задач субъекта хозяйствования.

Передача информации, составляющей коммерческую тайну субъекта хозяйствования, может осуществляться иным лицам по решению либо с согласия руководителя субъекта хозяйствования безвозмездно или за плату.

Руководитель субъекта хозяйствования несет персональную ответственность за создание необходимых условий для обеспечения сохранности коммерческой тайны.

Нарушение руководителем установленного порядка охраны коммерческой тайны субъекта хозяйствования может повлечь ответственность в соответствии с законодательством.

Государственные органы, наделенные контролирующими функциями, имеют право в пределах своей компетенции знакомиться с информацией, составляющей коммерческую тайну субъекта хозяйствования. Должностные лица этих органов несут установленную законодательством ответственность за разглашение информации, составляющей коммерческую тайну субъекта хозяйствования.

Иные органы, организации, в том числе средства массовой информации, правом истребования у субъекта хозяйствования информации, составляющей коммерческую тайну, не обладают.

Защита коммерческой тайны субъекта хозяйствования осуществляется в судебном порядке. Государство гарантирует право субъекта хозяйствования на коммерческую тайну и ее защиту.

Профессиональная тайна – обязанность не разглашать того, что стало известно лицу в силу его профессии. К данному виду принадлежат: банковская, адвокатская, врачебная, журналистская тайны, тайна нотариального действия, тайна усыновления ребенка, тайна телефонных и других сообщений, тайна исповеди, тайна корреспонденции, совещаний присяжных заседателей и другие.

Банковская тайна [2]. Сведения о счетах и вкладах, в том числе сведения о наличии счета в данном банке, его владельце, номере и других реквизитах счета, размере средств, находящихся на счетах и во вкладах, а равно сведения о конкретных сделках, об операциях по счетам и вкладам, а также имуществе, находящемся на хранении в банке, являются банковской тайной и не подлежат разглашению.

Национальный банк и банки гарантируют соблюдение банковской тайны своих клиентов и банков-корреспондентов. Служащие Национального банка и банков обязаны хранить банковскую тайну, а также тайну об иных сведениях, устанавливаемых Национальным банком и банками, если это не противоречит законодательству Республики Беларусь [19].

За противоправное получение и разглашение банковской тайны физические лица, должностные лица и работники государственных органов, банков, аудиторских и иных организаций несут ответственность в порядке, установленном законодательством Республики Беларусь.

Адвокатская тайна [22]. Адвокат должен соблюдать профессиональную тайну и обеспечить клиенту возможность получения консультации наедине.

Адвокат не вправе:

– разглашать сведения, составляющие адвокатскую тайну (факт обращения клиента к нему, содержание бесед, изученных и составленных документов и иную информацию, касающуюся оказания юридической помощи, а также сведения о личной жизни клиента), в течение всего времени как во время оказания юридической помощи, так и после того, как отношения с клиентом прекращены;

– давать свидетельские показания и объяснения по вопросам, составляющим адвокатскую тайну;

– совершать какие-либо действия, создающие угрозу доверительным отношениям с клиентом.

Адвокат может раскрыть доверенную клиентом информацию в объеме, который он считает обоснованно необходимым [22].

Врачебная тайна [24]. Информация о факте обращения гражданина за медицинской помощью, состоянии его здоровья, диагнозе заболевания, результатах диагностических исследований и лечения, иные сведения, в том числе личного характера, полученные при его обследовании, лечении, а в случае смерти – о результатах патолого-анатомического вскрытия, составляют врачебную тайну.

Медицинские и фармацевтические работники обязаны сохранять врачебную тайну.

Информация, содержащаяся в медицинской документации, составляет врачебную тайну и может предоставляться без согласия пациента только по основаниям, предусмотренным законодательными актами.

Использование сведений, составляющих врачебную тайну, в учебном процессе, научной литературе допускается только с согласия пациента.

Предоставление сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя допускается в случаях, оговоренных в [24].

Обязанность сохранять врачебную тайну наравне с медицинскими и фармацевтическими работниками распространяется также на лиц, которым в установленном законом порядке стали известны сведения, составляющие врачебную тайну.

Организации здравоохранения обеспечивают хранение медицинской документации в соответствии с требованиями сохранения врачебной тайны.

За разглашение врачебной тайны медицинские и фармацевтические работники несут ответственность в соответствии с законодательством Республики Беларусь [37].

Журналистская тайна[27]. Не допускается использование средств массовой информации для раскрытия сведений, составляющих государственную либо иную специально охраняемую законом тайну.

В связи с осуществлением профессиональной обязанности журналист имеет право получать доступ к документам и материалам, за исключением тех, которые содержат сведения, составляющие государственную, коммерческую либо иную специально охраняемую законом тайну.

Тайна нотариального действия[20]. Нотариусы, уполномоченные должностные лица обязаны соблюдать тайну нотариального действия (служебную тайну).

Лицо, виновное в разглашении тайны нотариального действия, несет ответственность, предусмотренную законодательством.

Тайна усыновления ребенка [6]. Суд, вынесший решение об усыновлении ребенка, должностные лица, осуществившие государственную регистрацию усыновления, а также лица, иным образом осведомленные об усыновлении, обязаны сохранять тайну усыновления ребенка.

Лица, разгласившие тайну усыновления ребенка против воли его усыновителей, привлекаются к ответственности в порядке, установленном законодательством Республики Беларусь.

Усыновленный ребенок по достижении совершеннолетия вправе получить от органов, осуществляющих функции опеки и попечительства, а также от суда сведения, касающиеся его усыновления.

Тайна корреспонденции, телефонных и других сообщений [29]. Работники предприятий связи обязаны сохранять тайну переписки лиц, пользующихся услугами связи, не нарушать тайну телефонных разговоров, телеграфных и других сообщений, если иное не предусмотрено законом.

Работники предприятий связи, должностные и иные лица, допустившие нарушения указанных положений, привлекаются к ответственности в соответствии с законодательством Республики Беларусь.

Тайна личной жизни [14, 18, 37].

К составу документов, хранящихся в архивных учреждениях республики, к тайне личной жизни граждан могут быть отнесены сведения, использование которых без согласия заинтересованных лиц может нанести ущерб моральным и имущественным интересам граждан. Перечень таких документов представлен в [18].

Соблюдение установленного порядка доступа к документам, содержащим сведения о тайне личной жизни граждан, возлагается как на архивы, так и на пользователей архивных документов.

Должностные лица и граждане, виновные в разглашении информации, составляющей тайну личной жизни, несут ответственность в соответствии с действующим законодательством [37].

Объект интеллектуальной собственностивключает[3]:

результаты интеллектуальной деятельности:

– произведения науки, литературы и искусства;

– исполнения, фонограммы и передачи организаций вещания;

– изобретения, полезные модели, промышленные образцы;

– селекционные достижения;

– топологии интегральных микросхем;

– нераскрытую информацию, в том числе секреты производства (ноу-хау);

средства индивидуализации участников гражданского оборота, товаров, работ или услуг:

– фирменные наименования;

– товарные знаки (знаки обслуживания);

– наименования мест происхождения товаров;

другие результаты интеллектуальной деятельности и средства индивидуализации участников гражданского оборота, товаров, работ или услуг в случаях, предусмотренных законодательными актами.

Авторское право [13] распространяется на произведения науки, литературы и искусства, как обнародованные, так и не обнародованные, выраженные в любой объективной форме, независимо от назначения и достоинства произведения.

Авторское право распространяется на произведения науки, литературы и искусства, находящиеся в какой-либо объективной форме:

– письменной (рукопись, машинопись, нотная запись);

– электронной (компьютерная программа, электронная база данных);

– звуко- или видеозаписи (магнитной, оптической, электронной);

– изображения (картина, рисунок, кино-, теле-, видео-, фотокадр);

– объемно-пространственной (скульптура, макет, сооружение).

Компьютерная программа – упорядоченная совокупность команд и данных для получения определенного результата с помощью компьютера, записанная на материальном носителе, а также сопутствующая электронная документация.

Компьютерные программы охраняются как литературные произведения, и такая охрана распространяется на все виды программ, в том числе на прикладные программы и операционные системы, которые могут быть выражены на любом языке и в любой форме, включая исходный текст и объектный код.

Базы данных или компиляции иных материалов в любой форме, представляющие собой по подбору и расположению материалов результат интеллектуального творчества, охраняются как таковые. Такая охрана не распространяется непосредственно на сами данные или материалы и действует без ущерба какому-либо авторскому праву, к сфере распространения которого относятся такие данные или материалы.

Степень важности, а соответственно и уровень секретности информации определяются:

– в государстве: соответствующими органами государства, ведомства;

– в корпорации: руководством корпорации или соответствующего отдела (службы).

Уровень защиты объекта интеллектуальной собственности определяется его владельцем.

8.2. Виды и особенности угроз информационной безопасности

Факт разглашения (распространения) информации ограниченного доступа за пределами санкционированного круга лиц является утечкой информации.

Каналы утечки информации разделяют на четыре группы [4].

1-я группа – каналы, связанные с доступом к элементам системы обработки данных, но не требующие изменения компонентов системы. К этой группе относятся каналы, образующиеся за счет:

– дистанционного скрытого видеонаблюдения или фотографирования;

– применения подслушивающих устройств;

– перехвата электромагнитных излучений и наводок и т. д.

– 2-я группа – каналы, связанные с доступом к элементам системы и изменением структуры ее компонентов. К ней относятся:

– наблюдение за информацией в процессе обработки с целью ее запоминания;

– хищение носителей информации;

– сбор производственных отходов, содержащих обрабатываемую информацию;

– преднамеренное считывание данных из файлов других пользователей;

– чтение остаточной информации, т. е. данных, остающихся на магнитных носителях после выполнения заданий;

– копирование носителей информации;

– преднамеренное использование для доступа к информации терминалов зарегистрированных пользователей;

– маскировка под зарегистрированного пользователя путем похищения паролей и других реквизитов разграничения доступа к информации, используемой в системах обработки;

– использование для доступа к информации так называемых «люков», «дыр» и «лазеек», т. е. возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения.

– 3-я группа,которая включает:

– незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи (перехват модемной и факсимильной связи);

– злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации;

– злоумышленный вывод из строя механизмов защиты.

– 4-я группа,к которой относятся:

– несанкционированное получение информации путем подкупа или шантажа должностных лиц соответствующих служб;

– получение информации путем подкупа и шантажа сотрудников, знакомых, обслуживающего персонала или родственников, знающих о роде деятельности.

Потенциальное наличие в информационной системе каналов утечки информации создает угрозы для ее информационной безопасности.

Угроза в уголовном праве – намерение нанести физический, материальный или иной вред отдельному лицу или общественным интересам, выраженное словесно, письменно, действиями либо другим способом.

Применительно к информационной системе угроза – событие, которое потенциально может нанести вред организации путем раскрытия, модификации или разрушения критической информации, или отказа в обслуживании критическими сервисами. Классификация угроз представлена на рис. 8.2.

Естественные угрозы – это угрозы, вызванные воздействиями на элементы информационной системы объективных физических процессов или стихийных природных явлений, не зависящих от человека. Так, стихийные бедствия (пожар, молния, ураган, землетрясение, наводнение, электромагнитные и ионизирующие излучения, военные действия и др.) могут привести к утечке информации, исказить ее или полностью уничтожить.

Искусственные угрозы [4, 10] – это угрозы, порожденные человеческой деятельностью, поэтому они воздействуют наиболее интенсивно и являются для информационной системы более опасными, чем естественные угрозы.

К непреднамеренным (пассивным) угрозам относятся:

– утечка информации при текучке специалистов;

– некомпетентная эксплуатация информационной системы и средств ее защиты;

– недостатки в проектировании и сооружении зданий, помещений, систем вентиляции, отопления и др., способствующие утечке информации;

– ошибки проектирования и производства изделий, вычислительной техники и оргтехники;

– ошибки проектирования, производства, прокладки и установки средств связи и коммуникаций;

– ошибки разработки и применения программного обеспечения;

– использование неучтенного программного обеспечения;

– ошибки процессов подготовки, ввода, обработки и вывода информации;

– сбои, отказы в работе аппаратуры, приводящие к искажению или уничтожению информации.

Рис. 8.2

Преднамеренными (активными) угрозами являются преднамеренные действия людей с целью нанесения вреда (ущерба), например:

– физическое разрушение информационной системы или вывод из строя ее наиболее важных компонент;

– утечка информации при целенаправленной миграции специалистов для передачи определенных сведений;

– внедрение в систему агентов и вербовка сотрудников;

– контактный доступ к служебным разговорам и просмотру документов с целью передачи их содержания;

– фотографирование, хищение, искажение или уничтожение документов, фотографий, чертежей, описаний изобретений, новых технологий и др.;

– визуально-оптические способы получения информации;

– бесконтактное подслушивание служебных разговоров с помощью технических средств;

– несанкционированный доступ к ресурсам ЭВМ и компьютерных сетей, средствам связи и оргтехники;

– доступ к сменным машинным носителям информации (хищение, копирование, модификация);

– разработка и использование бесконтрольных программ для искажения или уничтожения информации на машинных носителях;

– перехват данных в процессе информационного обмена;

– возможность фиксации электромагнитных и акустических излучений от ЭВМ, сигналов, наводимых в токопроводящих коммуникациях, радиосигналов и сигналов спутниковой связи.

Активные виды угроз могут повлечь за собой совершение компьютерных преступлений.

В главе 31 «Преступления против информационной безопасности» [37] определены следующие виды преступлений:

– несанкционированный доступ к компьютерной информации;

– модификация компьютерной информации;

– компьютерный саботаж;

– неправомерное завладение компьютерной информацией;

– изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети;

– разработка, использование либо распространение вредоносных программ;

– нарушение правил эксплуатации компьютерной системы или сети.

Вероятность проявления и ущерб от реализации той или иной угрозы в зависимости от типа информационной системы могут быть различными. Наличие самой угрозы еще не означает, что она нанесет вред. Когда появляется слабое место в средствах обеспечения безопасности системы и система становится видимаиз внешнего мира, возникает риск.

Риск – это ситуация, когда имеется уязвимое место в защите, и может быть нанесен вред информационной системе.

Существуют различные методики оценки рисков. Самая простая состоит в оценке суммарного ущерба от предполагаемых угроз, когда в первом приближении под риском понимается произведение «возможного ущерба от угрозы» на «вероятность угрозы»

где R – суммарный риск от реализации n угроз;

R_i = Q_i P_i – риск от реализации i-й угрозы;

Q_i – ущерб от реализации i-й угрозы;

P_i –вероятность реализации i-й угрозы.

В ряде случаев величину ущерба целесообразно оценить не материальной величиной, а дискретным числом (уровнем), отражающим свойства ущерба, так, как это представлено, например, в табл. 8.1.

Таблица 8.1

Предыдущая 2 3 4 5 6 7 8 9 10 111213 14 15 16 17 Следующая

Не нашли, что искали? Воспользуйтесь поиском по сайту: