- •2.Принципы организации ксзи
- •3. Основные требования, предъявляемые к ксзи
- •4.Содержательная характеристика этапов разработки ксзи.
- •6.Структура перечня сведений, составляющих коммерческую тайну и нормативное закрепление состава защищаемой информации
- •Примерное содержание сведений в различных областях деятельности
- •7. Определение состава носителей защищаемой информации.
- •8. Классификация угроз и источников дестабилизирующего воздействия на информацию и способы воздействий
- •9. Оценки потенциального ущерба от дестабилизирующего воздействия на информацию
- •10. Потенциальные каналы утечки информации и уязвимости
- •3 Технические каналы утечки информации (ткуи)
- •11. Понятие и классификация моделей нарушителя.
- •12.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
- •13. Анализ рисков, сущность и основные понятия.
- •14. Основные факторы риска и шкалы для их измерения.
- •15. Оценка рисков
9. Оценки потенциального ущерба от дестабилизирующего воздействия на информацию
Различают следующие виды ущерба:
Моральный и материальный ущерб деловой репутации организации.
Моральный, физический или материальный ущерб, связанный с разглашением КИ
Материальный ущерб от необходимости восстановления нарушенных ИР.
Материальный ущерб от невозможности выполнения взятых на себя обязательств перед 3-й стороной.
Моральный и материальный ущерб от дезорганизации деятельности предприятия.
Размер ущербаудобно оценивать по трехуровневой шкале какнизкий, умеренный или высокий.
Потенциальный ущерб для организации оценивается как низкий, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал. Ограниченность вредоносного воздействия означает, что:
организация остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается заметно сниженной;
активам организации наносится незначительный ущерб;
организация несет незначительные финансовые потери;
персоналу наносится незначительный вред.
Потенциальный ущерб для компании оценивается как умеренный, если потеря доступности, конфиденциальности и/или целостности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал. Серьезность вредоносного воздействия означает, что:
компания остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается существенно сниженной;
активам организации причиняется значительный ущерб;
компания несет значительные финансовые потери;
персоналу наносится значительный вред, не создающий угрозы жизни или здоровью.
Потенциальный ущерб для организации оценивается как высокий, если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое или катастрофически вредоносное воздействие на деятельность организации, ее активы и персонал, то есть:
компания теряет способность выполнять все или некоторые из своих основных функций;
активам организации причиняется крупный ущерб;
организация несет крупные финансовые потери;
персоналу наносится тяжелый или катастрофический вред, создающий возможную угрозу жизни или здоровью.
10. Потенциальные каналы утечки информации и уязвимости
Утечка информации– бесконтрольный или неправомерный выход КИ за пределы организации или круга лиц, которым она доверена по службе или стала известна в процессе производства.
Канал утечки информации– любой способ, позволяющий злоумышленнику получить доступ к КИ.
Технический канал утечки информации– физический путь от источника КИ к злоумышленнику
Основные каналы утечки информации:
1. Разглашение– умышленные или неосторожные действия должностных лиц, результатом которых явилось неправомерное оглашение КИ и, как следствие, ознакомление с ними сторонних лиц, не допущенных к этим сведениям.
Основные пути разглашения:
cообщение, оглашение, представление (деловые встречи, совещания, переговоры) публикации в печати, отчеты, реклама;
неформальное общение (личные встречи, семинары, симпозиумы, выставки);
при взаимодействии с государственными и муниципальными структурами;
утрата, утеря документов;
бесконтрольный документооборот
К факторам, способствующим разглашениюинформации, относятся:
недостаточное знание сотрудниками правил и требований по защите информации и непонимание или недопонимание необходимости их тщательного выполнения;
слабый контроль за соблюдением правил работы со сведениями конфиденциального характера;
отсутствие или недостаточность мероприятий по блокированию каналов разглашения.
Следует отметить, что разглашение КИ персоналом предприятия – самый канал утечки информации.
По различным оценкам персонал предприятия ответственен за 70-80% ущерба в результате утечки информации.
2. Несанкционированный доступ (НСД ) - противоправное преднамеренное овладение КИ лицом, не имеющим права доступа к охраняемым секретам,
либо совокупность приемов, позволяющих злоумышленнику получить охраняемую КИ.
Способынесанкционированного доступа:
Инициативное сотрудничество - противоправные действия сотрудников по разглашению КИ по различным побуждениям, мотивам и причинам.
Склонение к сотрудничеству (вербовка методом убеждения или насильственным путем: запугивание, шантаж, подкуп).
Выведывание (игра на легкомыслии, болтливости, тщеславии и тп.)
Подслушивание (прямое восприятие речевой информации или с помощью технических средств).
Наблюдение (разведка деятельности противника методом визуального наблюдения, с помощью оптических приборов, видеокамер).
Хищение (имущества, денег, материалов, продукции, носителей информации).
Копирование, фотографирование.
Подделка (модификация, фальсификация).
Уничтожение.
Негласное ознакомление.