Виды и состав угроз информационной безопасности ( Понятие и виды информационных угроз. Система обеспечения информационной безопасности )

Содержание:

Введение

Передача информации на сегодняшний день является серьезным рывком в области коммуникационных технологий. Именно информационный обмен позволяет быстро решать множество вопросов в любой отрасли производства, хозяйствования и многом другом.

Но стоит помнить про такой элемент, как информационная безопасность, которая обеспечивает надежную передачу пакетов данных, ограничивая возможное вмешательство извне.

Благодаря быстрому развитию компьютерных технологий и компьютеризации хранение, обработка и передача информации в компьютерной среде стали неотъемлемой частью большинства видов деятельности ввиду удобства и скорости, но, к сожалению, не надежности. Информация, как ценность, очень часто является целью злоумышленников. Поэтому обеспечение надежной защиты от угроз информации является актуальной темой.

Перед тем, как рассматривать угрозы информационной безопасности следует рассмотреть, что из себя представляет нормальное функционирование информационных систем (ИС). В совокупности, нормальное функционирование ИС представляет собой систему, которая может своевременно и достоверно представлять запрашиваемую информацию пользователю без каких-либо угроз. При каком-либо сбое в работе системы и/или повреждении исходной информации следует обратить внимание на средства защиты компьютерной системы (КС). Для обеспечения надежной защиты информации первостепенно необходимо проанализировать все факторы, представляющие угрозу информационной безопасности.

Целью курсовой работы является исследование видов и состава угроз информационной безопасности.

Для достижения данной цели были поставлены следующие задачи:

- изучить понятие и виды информационных угроз, систему обеспечения ин-формационной безопасности;

- рассмотреть модели угроз информационной безопасности;

- исследовать методику определения актуальных угроз безопасности персональных данных при их обработке.

Данная курсовая работа состоит из введения, трех глав, заключения и библиографического списка.

В заключении подводятся итоги по результатам проведенного исследования и делаются выводы по поводу полученных результатов.

Глава 1 Понятие и виды информационных угроз. Система обеспечения информационной безопасности

В современном обществе информационных технологий и хранения на электронных носителях огромных баз данных вопросы обеспечения безопасности информации и видов информационных угроз не лишены праздности^[1].

Главными принципами информационной безопасности, системы обеспечения ее сохранности и неприкосновенности являются:

•Целостность информационных данных. Этот принцип подразумевает, что информация сохраняет содержание и структуру при ее передаче и хранении. Право на создание, изменение или уничтожение данных сохраняется лишь у пользователей с соответствующим статусом доступа.

•Конфиденциальность данных. Подразумевается, что доступ к массиву данных имеет четко ограниченный круг пользователей, авторизованных в данной системе, тем самым обеспечивая защиту от несанкционированного доступа к информации.

•Доступность массива данных. В соответствии с данным принципом, авторизованные пользователи получают своевременный и беспрепятственный к ней доступ.

•Достоверность информации. Этот принцип выражается в том, что информация строго принадлежит только субъекту, от которого она принята и который является ее источником.

Вопросы информационной безопасности выходят на первый план в случае, если нарушения в работе и возникающие ошибки в компьютерной системе могут привести к серьезным последствиям. И под задачами системы обеспечения информационной безопасности подразумевают многоплановые и комплексные меры. Они включают предотвращение неправомерного использования, повреждения, искажения, копирования и блокирования информации. Сюда относится отслеживание и предотвращение несанкционированного доступа лиц без должного уровня авторизации, предотвращение утечки информации и всех возможных угроз ее целостности и конфиденциальности. При современном развитии баз данных вопросы безопасности становятся важными не только для мелких и частных пользователей, но и для финансовых структур, крупных корпораций.

Под «угрозой» в данном контексте подразумевают потенциально возможные действия, явления и процессы, которые способны привести к нежелательным последствиям или воздействиям на операционную систему или на сохраненную в ней информацию. В современном мире известно достаточно большое количество таких информационных угроз, виды которых классифицируют на основании одного из критериев.

Так, по природе возникновения выделяют:

•Естественные угрозы. Это те, которые возникли вследствие физических воздействий или стихийных явлений.

•Искусственные угрозы. К данному виду информационных угроз относятся все, которые связаны с действиями человека.

В соответствии со степенью преднамеренности угрозы подразделяются на случайные и преднамеренные.

В зависимости от непосредственного источника угрозы информационной безопасности могут быть природные (например, стихийные явления), человеческие (нарушение конфиденциальности информации путем ее разглашения), программно-аппаратные. Последний вид в свою очередь может разделяться на санкционированные (ошибки в работе операционных систем) и несанкционированные (взлом сайта и заражение вирусами) угрозы.

Классификация по удаленности источника

В зависимости от положения источника выделяют 3 основных вида информационных угроз:

•Угрозы от источника, находящегося за пределами компьютерной операционной системы. Например, перехват информации в момент передачи ее по каналам связи.

•Угрозы, источник которых находится в пределах подконтрольной операционной системы. Например, хищение данных или утечка информации.

•Угрозы, возникшие внутри самой системы. Например, некорректная передача или копирование ресурса.

Вне зависимости от удаленности источника вид информационной угрозы может быть пассивным (воздействие не влечет изменений в структуре данных) и активным (воздействие меняет структуру данных, содержание компьютерной системы).

Кроме того, информационные угрозы могут появиться на этапах доступа к компьютеру и обнаружиться после разрешенного доступа (например, несанкционированное использование данных)^[2].

В соответствии с местом расположения в системе виды информационных угроз могут быть 3 типов: те, которые возникают на этапе доступа к информации, расположенной на внешних устройствах памяти, в оперативной памяти и в той, что циркулирует по линиям связи.

Некоторые угрозы (например, хищение информации) не зависят от активности системы, другие (вирусы) обнаруживаются исключительно при обработке данных.

Непреднамеренные (естественные) угрозы

Механизмы реализации данного вида информационных угроз изучены достаточно хорошо, как и методы для их предотвращения.

Особую опасность для компьютерных систем представляют аварии и естественные (стихийные) явления. В результате такого воздействия становится недоступной информация (полностью или частично), она может исказиться или совсем уничтожиться. Система обеспечения информационной безопасности не может полностью исключить или предупредить такие угрозы.

Другая опасность – это допущенные ошибки при разработке компьютерной системы. Например, неверные алгоритмы работы, некорректное программное обеспечение. Именно такие ошибки часто используются злоумышленниками.

Еще один вид непреднамеренных, но существенных видов угроз информационной безопасности – это некомпетентность, небрежность или невнимательность пользователей. В 65% случаев ослабления информационной безопасности систем именно нарушения функциональных обязанностей пользователями приводили к потере, нарушениям конфиденциальности и целостности информации.

Преднамеренные информационные угрозы

Этот вид угроз характеризуется динамичным характером и постоянным пополнением все новыми видами и способами целенаправленных действий нарушителей.

В данной сфере злоумышленники используют специальные программы:

•Вирусы - небольшие программы, которые самостоятельно копируются и распространяются в системе.

•Черви - активирующиеся при каждой загрузке компьютера утилиты. Подобно вирусам, они копируются и самостоятельно распространяются в системе, что приводит к ее перегрузке и блокировке работы.

•Троянские кони - скрытые под полезными приложениями вредоносные программы. Именно они могут пересылать злоумышленнику информационные файлы и разрушать программное обеспечение системы.

Но вредоносные программы не единственный инструмент преднамеренного вторжения. В ход идут также многочисленные методы шпионажа – прослушка, хищение программ и атрибутов защиты, взлом и хищение документов. Перехват паролей чаще всего производится с использованием специальных программ.

Статистика ФБР и Института защиты компьютеров (США) свидетельствует о том, что 50% вторжений осуществляют сами работники компаний или предприятий. Кроме них, субъектами таких информационных угроз становятся компании-конкуренты, кредиторы, компании-покупатели и компании-продавцы, а также преступные элементы.

Особую озабоченность вызывают хакеры и технокрысы. Это квалифицированные пользователи и программисты, которые осуществляют взлом сайтов и компьютерных сетей с целью наживы или из спортивного интереса.

Несмотря на постоянный рост и динамическое развитие различного рода информационных угроз, существуют все же и методы защиты^[3].

•Физическая защита – это первый этап информационной безопасности. Сюда относится ограничение доступа для посторонних пользователей и пропускная система, особенно для доступа в серверное подразделение.

•Базовый уровень защиты информации – это программы, блокирующие компьютерные вирусы и антивирусные программы, системы для фильтрации корреспонденции сомнительного характера.

•Защита от DDoS-атак, которую предлагают разработчики программного обеспечения.

•Создание резервных копий, хранящихся на других внешних носителях или в так называемом «облаке».

•План аварийной работы и восстановления данных. Этот метод важен для крупных компаний, которые хотят обезопасить себя и сократить время простоя в случае сбоя.

•Шифрование данных при передаче их с помощью электронных носителей.

Защита информации требует комплексного подхода. И чем большее количество методов будет использоваться, тем эффективнее будет осуществляться защита от несанкционированного доступа, угроз уничтожения или повреждения данных, а также их хищений.

Одна из самых больших утечек персональных данных случилась в июле 2017 г. в бюро кредитных историй Equifax (США). Данные 143 миллионов человек и 209 тысяч номеров кредитных карт попали в руки злоумышленников.

«Кто владеет информацией – тот владеет миром». Это высказывание не утратило своей актуальности, особенно когда речь идет о конкуренции. Так, в 2010 г. была сорвана презентация iPhone 4 из-за того, что один из сотрудников забыл прототип смартфона в баре, а нашедший его студент продал прототип журналистам. В результате этого эксклюзивный обзор смартфона вышел в СМИ за несколько месяцев до его официальной презентации.

Глава 2 Модели угроз информационной безопасности

Информационным технологиям, использующим все более новые разработки в компьютерной сфере, с каждым днем находятся новые области применения: от простых гаджетов и персональных компьютеров до умных домов и автопилотов транспортных средств. Все это приводит к увеличению объемов передаваемых, используемых и хранимых данных, что, в свою очередь, создает все больше моделей угроз информационной безопасности. А значит, все больше возможностей для злоумышленников воспользоваться слабостью устаревших систем защиты информации. В данной статье кратко рассмотрено, что представляют собой угрозы и какие они бывают.

2.1 Механизм выявления угроз

Анализ проблем безопасности нужно проводить с учетом экономических интересов, угроз и потерь, к которым может привезти успешность предполагаемой атаки на информационную систему определенного предприятия. Частная модель угроз безопасности информационной системы строится на основе следующего анализа:

•источник атаки: внешний или внутренний относительно защищаемого объекта (предприятия, организации и т. д.);

•учет всех зон риска: экономическая сфера компании, физические и информационные ресурсы;

•факторы влияния на безопасность: уязвимость данных и информации, степень их защищенности, ПО, компьютеры предприятия и другие устройства, материальные и денежные ресурсы, работники;

•выявление видов, масштабов и направлений возможных атак;

•способы реализации угрозы: объект атаки, механизм и скорость действия, предрасполагающие факторы уязвимости;

•последствия: оцениваются с точки зрения денежных потерь, морального вреда и возможной компенсации^[4].

Существует два основных взгляда на любую угрозу. Ее отождествляют с одним или несколькими видами и способами реализации атаки в соответствии с теорией информационной безопасности или с результатами ее воздействия на рассматриваемую компанию, т. е. с последствиями, к которым она приводит.

2.2 Юридические аспекты угрозы информационной безопасности

Модель угрозы информационной системе рассматривается в прочной связке с понятием ущерба в первой части 15-й статьи Гражданского кодекса РФ. Он определен как фактические расходы, понесенные субъектом в результате нарушения его прав (кража конфиденциальной информации, ее распространение или использование в корыстных целях), потери и повреждения имущества, а также расходы на восстановление.

В России вопрос касательно защиты информации по сей день остается достаточно сложным. Ведь даже сейчас не существует в этой области общепринятой нормы на терминологию. В разных законах одни и те же сущности могут определяться по-разному. Хотя принимаются меры для стандартизации терминологии в данной области.

Любая, даже базовая, модель угроз информационной безопасности требует анализа и обязательной идентификации как возможных атак, так и методов ее реализации. Для этих целей созданы различные классификации (по источнику, по вероятности, по характеру, по объекту, по последствиям), которые позволяют наиболее точным образом спроектировать ответную реакцию защиты на ту или иную атаку. Угрозы классифицируются благодаря следующим критериям:

•Компоненты информационной системы, на которые могут быть нацелены атаки. К ним относятся данные, компьютеры и ПО, сети и прочие структуры, поддерживающие работу системы.

•Методы осуществления, которые могут быть как случайные, так и преднамеренные. Также учитываются события техногенного или природного генеза.

•Местоположение источника атаки - внешнее или внутреннее по отношению к используемой системе.

•Составляющие информационной безопасности, на которые могут быть нацелены атаки, а именно, доступность, конфиденциальность и целостность данных.

Анализ и классификация позволяют добиться состояния системы защиты, когда большая часть возможных угроз идентифицирована и сопоставлены способы нейтрализации. Разумеется, не имеет смысла каждую систему защиты строить для обороны от всего и вся. Применяется вероятностный подход и оценивается актуальность каждого отдельного класса угроз, и именно против них в системе защиты будут предприняты меры^[5].

2.3 Алгоритм анализа и оценки угроз

С помощью анализа строится матрица связей моделей угроз информационной безопасности, уязвимых точек и вероятных последствий успешной атаки. Вычисляется коэффициент степени опасности каждого отдельного нападения как произведение коэффициента опасности угрозы на коэффициент опасности источника атаки. Принятие подобных мер позволяет:

•определить приоритетные цели для системы защиты;

•установить список актуальных атак и источников угроз;

•найти уязвимости информационной системы;

•оценить возможность осуществления успешной атаки на основе взаимосвязи уязвимостей и источников угроз;

•разработать подробный ход той или иной угрозы и построить защиту для реагирования на возможный сценарий атаки;

•детально описать последствия успешной атаки;

•спроектировать систему защиты и комплекс управления информационной безопасностью организации.

Модель угроз информационной безопасности ФСТЭК ставит ошибки персонала (пользователей, администраторов, операторов и других лиц, занимающихся обслуживанием систем) на одно из первых мест по части размеров причиненного ущерба. По данным исследований, порядка 65 % убытков при успешных атаках происходит из-за случайных ошибок, совершенных по невнимательности, халатности или из-за отсутствия правильной подготовки сотрудников. Подобные нарушения могут представлять как источник самостоятельных угроз (ввод неправильных данных, ошибки в программах, приводящие к краху системы), так и уязвимость (ошибки администратора), которой могут воспользоваться атакующие.

Как уже ранее отмечалось, сам пользователь может быть опасен и являться моделью угрозы информационной безопасности. Образцы подобной ситуации рассмотрим ниже:

•злонамеренные - вывод из строя информационной системы, или, например, закладка логической бомбы в коде базы данных, которая сработает при определенных условиях и разрушит хранящуюся в ней информацию;

•непреднамеренные - случайное искажение данных или их потеря;

•взлом системы управления;

•кража персональных данных (пароли, адреса, банковские счета);

•передача персональных данных посторонним лицам или организациям.

Уязвимости системы также должны быть рассмотрены в модели угроз информационной безопасности организации. Примерами обоснованности данного подхода могут являться действия пользователей, приводящие к ослаблению защиты системы и открывающие путь к прямой угрозе:

•отказ от работы с информационной системой, например, как следствие нежелания осваивать новое программное обеспечение;

•несоответствие ПО требованиям пользователя;

•невозможность полноценной работы из-за отсутствия соответствующих навыков (недостаточное знание компьютерных технологий, неумение обрабатывать сообщения об ошибках) и возникающие в результате этого сбои в работе системы.

2.4 Автоматизация и угрозы

Пользователь может представлять собой весомый список угроз для информационной системы. Поэтому логичным решением по борьбе с непреднамеренными ошибками будет уменьшение их доли и переход к автоматизации: применение догмы Fool Proof Device, стандартизация, регламентация и строгий контроль действий пользователя. Однако и тут существуют модели угроз информационной безопасности, которые следует учитывать:

•забытое аннулирование доступа к системе уволенного сотрудника;

•некачественная документация автоматизированной системы и отсутствие технической поддержки;

•нарушение правил эксплуатации, как случайное, так и умышленное;

•выход из штатного режима работы из-за действий пользователей (слишком большое число запросов) или администрирующего персонала (плохая оценка объемов обрабатываемых данных в единицу времени);

•ошибки при настройке;

•отказы в аппаратно-программном обеспечении;

•нарушение целостности данных из-за сбоев в работе системы.

В информационную систему, помимо ее основной структуры, входит и вспомогательная, которая обеспечивает работу основных частей системы. Для поддерживающих структур также следует рассматривать модели угроз информационной безопасности^[6]. Примером таковых являются техногенные и природные катастрофы. Опишем подробнее угрозы более масштабного характера:

•Нарушения в работе систем связи (интернет, электрическая сеть, водоканалы, газоснабжение, охлаждение).

•Повреждение или разрушение зданий.

•Чрезвычайные ситуации в городе или стране, когда граждане в силу каких-либо причин отказываются выполнять свои должностные обязанности: гражданские войны, крупные аварии, террористические взрывы или их угроза, забастовки и т. д.

•Стихийные бедствия.

По данным статистики, на долю стихийных и техногенных бедствий приходится от 13 % до 15 % потерь, которые терпят информационные системы. В силу данного обстоятельства существуют даже те информационные системы, которым необходимо продолжать работать в штатном режиме, даже несмотря на стихийные катастрофы.

2.5 Виды защищаемой информации

Любая организация, одним из ресурсов которой является информация, может иметь частные модели угроз информационной безопасности. Они будут порождаться внутренней структурой данной компании, которая формируется на основе подразделений, сотрудников, технических средств, экономических связей, внутренних социальных отношений и т. д. Поэтому общая масса внутренней и внешней информации, обслуживающая ее система и технологии, специалисты и персонал составляют информационно-технологический ресурс.

Так, для любой коммерческой компании информация может подразделяться на: служебную, конфиденциальную, секретную, коммерческую тайну. Хотя для любой негосударственной организации информация подразделяется на достаточно простые классы. Но даже в упрощенном случае все должно быть строго классифицировано и закреплено соответствующими нормативными актами, чтобы можно было построить правильную и, главное, рабочую систему защиты информации.

Грамотная организация системы защиты информации представляет собой сложный процесс, а зачастую и дорогостоящий. Для выполнения данной задачи необходимо провести детальную инвентаризацию всех ресурсов с информацией, разбить все данные на категории, выполнить классификацию моделей угроз информационной безопасности, спроектировать и разработать систему защиты, включая все регламентирующие документы, подобрать аппаратно-программные средства, достаточные для реализации рабочего процесса на должном уровне с соблюдением защиты информации и пр.

Организация защиты информации требует компетентных специалистов в этой сфере и грамотного руководства компании, которое будет готово соблюдать требуемые нормы безопасности и выделять ресурсы на их поддержку.

Глава 3 Методика определения актуальных угроз безопасности персональных данных при их обработке

Для обработки личных данных существует специальная программа – Информационная система персональных данных. В связи с тем, что в последнее время участились угрозы безопасности персональных данных в информационных системах, на операторов, которые работают с личными сведениями о гражданах, накладываются обязательства по обеспечению конфиденциальности этой информации.

Все сведения, обрабатываемые специалистами, заносятся не только в компьютерные носители, но и в специальные ведомости. Для защиты всех зафиксированных сведений от посягательств на конфиденциальные данные, а также для того, чтобы своевременно отреагировать на реальные и потенциальные угрозы со стороны третьих лиц, российским Правительством был разработан специальный нормативный документ. Он получил название «Методика определения актуальных угроз безопасности персональных данных»^[7].

Одним из основных понятий в документе является «безопасность». Согласно нормам соответствующего федерального закона № 390 от 28 декабря 2010 года, безопасность – это состояние, когда важные для жизни и здоровья интересы и права человека, общества и всего государства защищены от разных типов угроз.

Положения этого нормативного правового акта определяют также, что к объектам безопасности относятся люди, их права, интересы и свободы, сохранение и развитие общества, конституционные основы государства.

Так как личные сведения неотделимы от человека, угрозы безопасности персональных данных также являются видами посягательств на интересы граждан и страны в целом. Поэтому защита связанной с личностью информацией косвенно закреплена в указанном законе и является одним из стратегических направлений развития общества.

В общем смысле, угрозами считается совокупность факторов и условий, создающих опасность важным для жизни интересам граждан, общества и всего государства, и снижающих степень безопасности.

В разработанной Правительством методике определения актуальных угроз безопасности персональных данных дано соответствующее определение в отношении сведений о субъектах. Угрозы безопасности информации личного характера – перечень факторов и условий, которые создают опасность намеренного или случайного несанкционированного характера к данным, относящимся к категории персональных.

В результате проникновения может произойти изменение, уничтожение, распространение или копирование личных данных гражданских лиц, что влечет возникновение непредсказуемых последствий.

Также законодательство в отдельном порядке определяет сущность актуальных угроз безопасности персональных данных. Под ними подразумевается реализация различными способами полученных из конкретной Информационной системы сведений о человеке (людях) и распространение ее на российской территории. Запрет на хранение данных за пределами Федерации установлен соответствующим законом № 152 от двадцать седьмого июля 2006 года в восемнадцатой статье.

Положения соответствующих норм об определении актуальных угроз безопасности персональных данных и 19 статья закона № 152 провозглашают необходимость защиты личных сведений от случайного или намеренного неправомерного доступа. Кроме того, указанные положения определяют важность защиты информации от изменения, уничтожения, копирования, блокирования или распространения, а также от других действий неправомерного характера.

Различные типы угроз безопасности персональных данных при их обработке в определенной информационной системе в некоторых случаях являются не только предметом посягательства извне, но и результатом непреднамеренных действий сотрудников соответствующей компании или потребителей, которые пользуются услугами, которые эта организация предоставляет.

В одних случаях граждане используют полученные сведения по прямому назначению, не преследуя цели нарушить принцип неприкосновенности частной жизни какого-либо человека. В других случаях речь идет о получении данных с помощью неправомерных действий, осуществляемых отдельными гражданами и организациями, криминальными сообществами, иностранными государствами или источниками иных типов^[8].

Различные типы актуальных угроз безопасности персональных данных способны возникать из-за утечки личной информации по каналам технического направления. Такие каналы могут специально создаваться для сбора конфиденциальных сведений, которые обрабатываются в специально приспособленной для этого системе. Также они могут являться средством перехвата передаваемой по связанным каналам информации. Кроме того, некоторые субъекты создают для неправомерного использования чужих сведений специальные каналы речевой (акустической) информации.

Помимо технических каналов в качестве средства кражи чужой информации может применяться несанкционированный доступ с использованием необходимого программного обеспечения.

Чтобы представить детально все угрозы, которые связаны с утечкой личной информации по каналам технического направления, рассматриваемая Методика устанавливает базовую модель угроз безопасности персональных данных. Этот подраздел рассматривает не только виды внешних вторжений, но и их подробную характеристику.

На основании рассмотрения типа актуальных угроз безопасности персональных данных выявляются каналы утечки личных сведений, разрабатываются методические документы и нормативы специальным органом – Федеральной службой по техническому и экспертному контролю в Российской Федерации.

Источниками различных угроз, осуществляемых путем несанкционированного получения доступа к перечню сведений личного характера с использование штатной или специально созданной программы, являются конкретные субъекты. К ним относятся лица, нарушающие своими действиями регламентируемые в системе обработки и защиты персональных сведений правила по разграничению доступа к конфиденциальной информации.

Согласно методике определения актуальных угроз безопасности персональных данных, субъектами, неправомерно получающими доступ к личным сведениям, являются:

•нарушители;

•носители вредоносных программ;

•аппаратные закладки.

Нарушители – физические лица, преднамеренно или случайно совершающие действия, из-за которых нарушается безопасность персональных данных при обработке этих сведений с помощью технических средств в информационной системе.

Нарушители, применяющие различные модели угроз безопасности персональных данных, разграничиваются по наличию права на легальный доступ в помещение, в котором размещено соответствующее аппаратное средство (которое обеспечивает доступ к ресурсу с личной информацией). По этому критерию выделяют два вида субъектов:

1.Нарушители внешнего типа - лица, у которых нет доступа к конфиденциальным сведениям. Угрозы осуществляются ими из внешних источников связи, применяемых для общего пользования сетей, используемых для информационного международного обмена.

2.Нарушители внутреннего типа - лица, у которых имеется доступ к конфиденциальным сведениям. Также в эту группу входят пользователи систем обработки личных данных, которые совершают неправомерные действия с информацией, находясь в этой системе.

Если речь идет о хранении персональных сведений в системе, которая осуществляет работу в удаленном режиме, нарушителями внешнего типа будут лица, у которых имеется возможность произвести неправомерный доступ к конфиденциальным сведениям при помощи специального программного воздействия с использование межсетевых протоколов взаимодействия.

Оно заключается в создании и использовании программной или алгоритмической закладки через автоматизированное рабочее место или терминальное устройство системы обработки данных, если эти устройства подключены к общим сетям доступа.

Если имеет место использование личной информации внутренним нарушителем, решающую роль играет установленный порядок допуска сотрудников к ресурсам информационной системы обработки личных данных и типы мер, применяемых в организации для контроля за порядком проведения соответствующих работ.

Каждая из рассмотренных субъектов угроз и возможные действия с их стороны раскрываются по соответствующей методике определения актуальных угроз безопасности персональных данных^[9].

Обнаружение угроз осуществления несанкционированного доступа к личной информации, которое реализуется с помощью средств программного и программно-аппаратного типов, проводится на основе экспертных методов. К ним относятся опросы специалистов и персонала, осуществляющих работу в системе обработки персональных данных, а также соответствующих должностных лиц.

Проведение проверок может сопровождаться использованием специальных инструментальных средств (например, сетевого сканера), позволяющих подтвердить наличие и местонахождение уязвимых областей в программном и аппаратном обеспечении системы работы с конфиденциальными сведениями. По итогу проверок составляются опросные листы специального типа.

Наличие любой из рассмотренных в Методике потенциальных угроз, а также обнаружение уязвимой точки, которую можно использовать для осуществления несанкционированного вторжения, подтверждает факт наличия угрозы. На основе составленного письменного опроса с указанием перечня источников возможных угроз персональным данным и месторасположения проблемных звеньев, определяются основные условия для существования угроз в анализируемой системе, а затем составляется полный перечень актуальных угроз безопасности данных персонального типа.

Согласно документам, раскрывающим основные положения об определении угроз безопасности персональных данных актуального и потенциального типов, опасности, грозящие личной информации извне, могут классифицироваться по следующим основаниям:

•по местам возникновения: внутренние и внешние;

•по мотивам осуществления: злонамеренные и случайные;

•по степени законченности: незавершенные и реализованные;

•по объектам воздействия: направленные на часть системы использования персональных сведений и на те, которые намереваются воздействовать на весь комплекс.

Каждая из рассмотренных групп может включать в себя актуальные и потенциальные угрозы. Если оператором системы установлено, что имеет место даже возможная угроза, он обязан предпринять все необходимые для защиты информации действия.

Угрозы безопасности конфиденциальных данных выявляются с помощью разработанных специалистами компьютерной сферы алгоритмов. Учету и проверке подлежат два фактора:

•степень защищенности проверяемой системы;

•частоты использования указанного фактора (вероятность угрозы).

В первую очередь проводится проверка имеющейся степени защищенности конкретной информационной компьютерной сети. По итогам проверки оформляется отчет с использованием обобщенных показателей.

Степень защищенности системы и применяемые критерии оценки зависят от конкретных эксплуатационных и технических характеристик. Проверка проводится по трем критериям:

•по территории размещения;

•по наличию выхода в сеть Интернет (соединения с общими сетями доступа);

•по легальным (встроенным в программу) операциям.

Уровни защищенности по территории размещения

Согласно рассматриваемой Методике, выделяется три уровня защищенности системы обработки конфиденциальной информации:

1.Низкий.

2.Средний.

3.Высокий.

Низкая степень защиты присваивается системам обработки персональных сведений, которые охватываются сразу несколько округов, областей, краев и иных единиц административного типа или все государство. Сюда же входят сети, которые объединяют несколько систем в пределах одного из населенных пунктов.

Средняя степень защиты присваивается корпоративным системам обработки персональных сведений, которые охватывают разные организации, собственником которых является одно юридическое лицо, и размещенные рядом здания (локальные строения).

Высокая степень защиты присваивается системам обработки персональных сведений, которые размещены только в одном здании. Такая ситуация имеет место, если в собственности владельца находится только одна организация, или у нескольких организаций разные защитные системы^[10].

Наличие соединения с общими сетями доступа (выход в сеть Интернет)

Согласно рассматриваемой Методике, по этому параметру угрозы также рассматриваются по трем уровням защищенности системы обработки конфиденциальной информации:

•низкий;

•средний;

•высокий.

Низкая степень защиты присваивается системам обработки персональных сведений, которые используются с многоточечным выходом в общедоступные сети с одного устройства.

Средняя степень защиты присваивается системам обработки персональных сведений, использующих выход в сеть одноточечного типа.

Высокая степень защиты присваивается системам обработки персональных сведений, которые отделены от общих сетей доступа.

Наличие легальных (встроенных в программу) операций

Согласно рассматриваемой Методике, данный критерий подразумевает выделение аналогичных трех уровня защищенности системы обработки конфиденциальной информации:

1.Низкого.

2.Среднего.

3.Высокого.

Низкая степень защиты присваивается системам обработки персональных сведений, в которых присутствуют такие операции как легальная передача (распространение) и изменение (модификация) данных.

Средняя степень защиты присваивается системам обработки персональных сведений, которые имеют три основных функции: запись, сортировка и удаление.

Высокая степень защиты присваивается системам обработки персональных сведений, в которых предусмотрены исключительно поиск и чтение.

Частота использования указанного фактора (вероятность угрозы)

Согласно Постановлению Правительства № 1119 от 1. 11. 2002 года, закрепляющему требования к защите личных данных при работе с ними в соответствующих информационных системах, актуальные угрозы подразделяются на три вида:

•угрозы, которые связаны с наличием не зафиксированных в письменном виде возможностей, осуществляемых при работе с программным обеспечением системы информации;

•угрозы, которые связаны с наличием не зафиксированных в письменном виде возможностей при работе с прикладным программным обеспечением системы информации;

•угрозы, которые не связаны с присутствием не зафиксированных в письменном виде возможностей в одном из указанных типов программного обеспечения системы информации.

Тип актуальной угрозы определяется путем сопоставления степени защищенности проверяемой системы и вероятности угрозы. Расчет производится по формуле: Y = (Y1 + Y2) /20.

Итоговое значение варьируется от 0 до 0,8 (от низшей степени риска до высшей). После проведения подсчетов оценивается реальной опасность угрозы с помощь опроса сотрудников информационной сферы.

Базовая модель угроз информационной безопасности персональных данных – это автоматизированный список рисков с приложенным к нему анализом базовых характеристик системы, указанием путей осуществления рисков и выделения типов их актуальности.

Указанный документ создается для реализации таких целей:

1.Проведение последующего анализа степени защиты исследуемой системы.

2.Разработка мер, которые будут препятствовать осуществлению угроз.

3.Контроль за обеспечением соответствующего уровня защиты на различных этапах работы механизма.

Частная модель рисков

Частная модель угроз безопасности персональных данных создается с целью проверки конкретной системы работы с персональными сведениями. В нее входят следующие положения:

•описание изучаемой системы;

•технические и структурные особенности;

•прогнозируемые варианты проникновения (модели нарушителей);

•список уязвимостей системы обработки конфиденциальных данных;

•перечень вариантов осуществления угроз, последствия вторжения;

•анализ каждой угрозы (описание, оценка вероятности, категория актуальности и опасности).

Для разработки моделей для отдельной системы оператор персональных сведений должен проанализировать компанию путем проверки документов, которые характеризуют информацию о системе, затем изучить цель и пути сбора сведений, а также список операций, которые осуществляются с персональными данными^[11].

Принципы модели рисков

При создании конкретной модели угроз безопасности персональных данных, образец которой дан ниже, оператор системы должен учитывать следующие принципы:

Угрозы – действия, позволяющие не только лично осуществить несанкционированные проникновение, но и предоставить доступ другим лицам (угрозы косвенного типа).

2.Система самостоятельно не может полностью обеспечить защиту от правомочных действий определенных лиц.

3.В модели прописывается классификации лиц-нарушителей, итоги анализа вероятности возникновения угроз и прочие параметры, которые применяются при рассмотрении списка актуальных рисков.

4.Указанный перечень прописывается в заключительных положениях составляемого документа.

Типология угроз актуального и потенциального типов должна определяться для каждой отдельной информационной системы. Все сводки и расчеты содержатся в составляемом документе исключительно в целях служебного использования. Документ позволяет разработать и провести соответствующие защитные мероприятия.

Заключение

В ходе проделанной курсовой работы были изучены виды и состав угроз информационной безопасности.

Выявлены цели и задачи информационной безопасности. Безопасность должна быть обеспечена везде, начиная с пользовательских ресурсов и заканчивая государственными информационными порталами. Поэтому цели и задачи информационной безопасности достаточно многогранны и по-своему уникальны:

•обеспечение безопасности государственных данных;

•предоставление рядовым пользователям качественных и достоверных данных с разных интернет-ресурсов;

•обеспечение правовой поддержки пользователей при обмене (получение, использование и передача) информацией.

По результатам исследований, проведенным в данной работе можно сформулировать следующие выводы:

- жизнь современного общества немыслима без современных информационных технологий;

- в свою очередь высокая степень автоматизации порождает риск снижения безопасности (личной, информационной, государственной, и т. п.). Доступность и широкое распространение информационных технологий, ЭВМ делает их чрезвычайно уязвимыми по отношению к деструктивным воздействиям и тому есть много примеров;

- угроза безопасности информации это действие или событие, которое может привести к разрушению, искажению или не­санкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства;

- источники угроз информационной безопасности Российской Федерации подразделяются на внешние и внутренние;

- для обеспечения защиты информации существует ряд методов, а также средств для их реализации.

Таким образом, угроза защищаемой информации - совокупность явлений, факторов и условий, создающих опасность нарушения статуса информации.

Список литературы

Нормативно-правовые документы

1. Конституция Российской Федерации от 12 декабря 1993 г. (с изм. и доп., вступ. в силу с 21.07.2014)

Произведения из многотомного издания

2. Домарев В. В. Безопасность информационных технологий. Системный подход — К.: ООО ТИД Диа Софт, 2016. — 992 с.

3. Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. - М.: ЮНИТИ-ДАНА, 2017. – 548 с.

4. Бармен Скотт. Разработка правил информационной безопасности. - М.: Вильямс, 2018. — 208 с.

5. Галатенко В. А. Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2016. — 264 с.

6. Галицкий А. В., Рябко С. Д., Шаньгин В. Ф. Защита информации в сети. - М.: ДМК Пресс, 2017. — 616 с.

7. Гафнер В.В. Информационная безопасность: учеб. пособие. – Ростов на Дону: Феникс, 2010. - 324 с.

8. Информационная безопасность (2-я книга социально-политического проекта «Актуальные проблемы безопасности социума»). // «Оружие и технологии», № 11, 2018. – С.15-21.

9. Лепехин А. Н. Расследование преступлений против информационной безопасности. - М.: Тесей, 2016. — 176 с.

10. Лопатин В. Н. Информационная безопасность России: Человек, общество, государство. - М.: 2015. — 428 с.

11. Петренко С. А., Курбатов В. А. Политики информационной безопасности. — М.: Компания АйТи, 2017. — 400 с.

12. Петренко С. А. Управление информационными рисками. - М.: Компания АйТи; ДМК Пресс, 2012. — 384 с. — ISBN 5-98453-001-5.

13. Шаньгин В. Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2018. — 544 с.

14. Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2013. — 352 с.

1. Домарев В. В. Безопасность информационных технологий. Системный подход — К.: ООО ТИД Диа Софт, 2016. — 992 с. ↑

2. Гафнер В.В. Информационная безопасность: учеб. пособие. – Ростов на Дону: Феникс, 2010. - 324 с. ↑

3. Лепехин А. Н. Расследование преступлений против информационной безопасности. - М.: Тесей, 2016. — 176 с. ↑

4. Петренко С. А., Курбатов В. А. Политики информационной безопас-ности. — М.: Компания АйТи, 2017. — 400 с. ↑

5. Петренко С. А. Управление информационными рисками. - М.: Компа-ния АйТи; ДМК Пресс, 2012. — 384 с. — ISBN 5-98453-001-5. ↑

6. Щербаков А. Ю. Современная компьютерная безопасность. Теорети-ческие основы. Практические аспекты. — М.: Книжный мир, 2013. — 352 с. ↑

7. Гафнер В.В. Информационная безопасность: учеб. пособие. – Ростов на Дону: Феникс, 2010. - 324 с. ↑

8. Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. - М.: ЮНИТИ-ДАНА, 2017. – 548 с. ↑

9. Галицкий А. В., Рябко С. Д., Шаньгин В. Ф. Защита информации в сети. - М.: ДМК Пресс, 2017. — 616 с. ↑

10. Информационная безопасность (2-я книга социально-политического проекта «Актуальные проблемы безопасности социума»). // «Оружие и техно-логии», № 11, 2018. – С.15-21. ↑

11. Шаньгин В. Ф. Защита компьютерной информации. Эффективные ме-тоды и средства. М.: ДМК Пресс, 2018. — 544 с. ↑