Информационное противоборство. Кибербезопасность.

Информационное противоборство — соперничество социальных систем в информационно-психологической сфере с целью усиления влияния на те или иные сферы социальных отношений и установления контроля над источниками стратегических ресурсов, в результате которого одни участники соперничества получают преимущества, необходимые им для дальнейшего развития, а другие их утрачивают.

Кибербезопасность — процесс использования мер безопасности для обеспечения конфиденциальности, целостности и доступности данных.

Целью обеспечения кибербезопасности является защита данных (как в процессе передачи и/или обмена так и находящихся на хранении). В целях обеспечения безопасности данных могут быть применены и контрмеры. Некоторые из этих мер включают (но не ограничиваются) контроль доступа, обучение персонала, аудит и отчётность, оценку вероятных рисков, тестирование на проникновение и требование авторизации.

Система защиты информации. Требования к системе защиты информации.

Для защиты информации создается система защиты информации, состоящая из совокупности органов и (или) исполнителей, используемой ими техники защиты, организованная и функционирующая по правилам, установленным правовыми, распорядительными и нормативными документами в области защиты информации.

Организация работ по защите информации возлагается на руководителей организаций. Для методического руководства и контроля за обеспечением защиты информации может быть создано подразделение по защите информации или назначен ответственный (штатный или внештатный) за безопасность информации.

Разработка системы ЗИ (защиты информации) производится подразделением по технической защите информации или ответственным за это направление во взаимодействии с разработчиками и ответственными за эксплуатацию объектов ТСОИ. Для проведения работ по созданию системы ЗИ могут привлекаться на договорной основе специализированные предприятия, имеющие соответствующие лицензии.

Требования к разрабатываемой системе ЗИ:

1. Проектирование системы защиты информации ИС:

-определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);

-определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;

-выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;

-определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;

-определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;

-осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;

-определяются параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению актуальных угроз безопасности информации;

-определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

2. Разработку эксплуатационной документации на систему защиты информации ИС:

-описание структуры системы защиты информации информационной системы;

-описание состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;

-описание правил эксплуатации системы защиты информации информационной системы.

3. Макетирование и тестирование системы защиты информации ИС (при необходимости):

-проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;

-проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы;

-корректировка проектных решений, разработанных при создании информационной системы и (или) системы защиты информации информационной системы;

-корректировка проектной и эксплуатационной документации на систему защиты информации информационной системы.

 

43) Виды защищаемой информации:

А) Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Б) Коммерческая тайна - конфиденциальная информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

В) Банковская тайна — защищаемые банками и иными кредитными организациями сведения о банковских операциях по счетам и сделкам в интересах клиентов, счетах и вкладах своих клиентов и корреспондентов, а также сведения о клиентах и корреспондентах, разглашение которых может нарушить право последних на неприкосновенность частной жизни

Г) Профессиональная тайна — защищаемая по закону информация, доверенная или ставшая известной лицу (держателю) исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, распространение которой может нанести ущерб правам и законным интересам другого лица (доверителя), доверившего эти сведения, и не являющаяся государственной или коммерческой тайной.

Д) Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Е) Авторское право распространяется на произведения науки, литературы и искусства, являющиеся результатом творческой деятельности, независимо от назначения и достоинства произведения, а также от способа его выражения.

44) Конфиденциальная информация. Угрозы конфиденциальной информации.

Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации

Угрозы конфиденциальной безопасности:

А) Размещение конфиденциальных данных в среде, где им не обеспечена необходимая защита: Многим людям приходится выступать в качестве пользователей не одной, а целого ряда систем (информационных сервисов). Если для доступа к таким системам используются многоразовые пароли или иная конфиденциальная информация, то наверняка эти данные будут храниться не только в голове, но и в записной книжке или на листках бумаги, которые пользователь часто оставляет на рабочем столе, а то и попросту теряет. И дело здесь не в неорганизованности людей, а в изначальной непригодности парольной схемы. Невозможно помнить много разных паролей; рекомендации по их регулярной (по возможности - частой) смене только усугубляют положение, заставляя применять несложные схемы чередования или вообще стараться свести дело к двум-трем легко запоминаемым (и столь же легко угадываемым) паролям.

Б) Перехват данных: Угрозу перехвата данных следует принимать во внимание не только при начальном конфигурировании ИС, но и, что очень важно, при всех изменениях. Весьма опасной угрозой являются... выставки, на которые многие организации, недолго думая, отправляют оборудование из производственной сети, со всеми хранящимися на нем данными. Остаются прежними пароли, при удаленном доступе они продолжают передаваться в открытом виде. Это плохо даже в пределах защищенной сети организации; в объединенной сети выставки - это слишком суровое испытание честности всех участников.

Еще один пример изменения, о котором часто забывают, - хранение данных на резервных носителях. Для защиты данных на основных носителях применяются развитые системы управления доступом; копии же нередко просто лежат в шкафах и получить доступ к ним могут многие.

В) Злоупотребление полномочиями: На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример - нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.