Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4613 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный авиационный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
БОГУШ,ЮДИН.doc
Скачиваний:
1487
Добавлен:
19.02.2016
Размер:
3.5 Mб
Скачать
►Содержание►

7.1 Загрози безпеці інформації та інформаційних ресурсів

7.1.1 Загальні положення

На сьогодні вважають, що забезпечення безпеки інформації по­винно носити комплексний характер. Усе більше фахівців пропону­ють свої рішення в галузі забезпечення безпеки інформаційних ре­сурсів як комплексні. Проте організація забезпечення безпеки інфор­мації повинна носити не просто комплексний характер, але ще й за­сновуватися на всебічному аналізі можливих негативних наслідків, при якому важливо не упустити будь-які суттєві аспекти.

Насамперед заходи забезпечення інформаційної безпеки в орга­нізації спрямовуються тільки на те, щоб не допустити збитків від утрати конфіденційної інформації. Відповідно до цього уже перед­бачається наявність цінної інформації, із-за втрати якої організація може понести збитки. А якщо є цінна інформація, то звичайно ж є можливість здійснення будь-яких дій, які можуть нанести шкоду цій інформації. Усі шкідливі дії можуть бути здійсненими тільки при наявності будь-яких слабких місць (уразливостей) (рис. 7.1). А якщо

Рис. 7.1. Механізм формування атаки

є дії, то є найвища загроза їх здійснення, а також наявні джерела, з яких ці загрози можуть виходити [6,10].

245

Частина II Основи безпеки інформаційних технологій

Виникає наступний ланцюжок: джерело загрози — фактор (ура­зливість) — загроза (дія) — наслідки (атака).

Джерело загрози — це потенційні антропогенні, техногенні або стихійні носії загрози безпеці.

Загроза (дія) — це можлива небезпека (потенційна або така, що існує реально) вчинення будь-якого діяння (дії або бездіяльно­сті), спрямованого проти об'єкта захисту (інформаційних ресурсів), яке наносить збиток власнику або користувачу, що проявляється як небезпека спотворення або втрати інформації.

Фактор (уразливість) — це властиві об'єкту інформатиза­ції причини, які призводять до порушення безпеки інформації на конкретному об'єкті та зумовлені вадами процесу функціонування об'єкта інформатизації, властивостями архітектури інформаційно-телекомунікаційної системи, протоколами обміну та інтерфейсами, що застосовуються програмним забезпеченням і апаратними засоба­ми, умовами експлуатації.

Наслідки (атака) — це можливі наслідки реалізації загрози (мо­жливі дії) при взаємодії джерела загрози через наявні фактори (ура­зливості) .

Атака — це завжди пара "джерело-фактор", що реалізує загрозу та приводить до збитків.

7.1.2 Збитки як категорія класифікації загроз

Прояви збитків можуть бути різноманітні:

  • моральні й матеріальні збитки ділової репутації організації;

  • моральні, фізичні або матеріальні збитки, зв'язані з розголошен­ням персональних даних окремих осіб;

  • матеріальні (фінансові) збитки від розголошення конфіденційної інформації;

  • матеріальні (фінансові) збитки від необхідності відновлення по­рушених інформаційних ресурсів;

  • матеріальні збитки (втрати) від неможливості виконання взятих на себе зобов'язань перед третьою стороною;

  • моральні та матеріальні збитки від дезорганізації діяльності ор­ганізації;

  • матеріальні та моральні збитки від порушення міжнародних від­носин.

Слід відзначити, що збитки можуть бути спричинені як будь-яким суб'єктом (у цьому випадку відбувається правопорушення), так

246

Розділ 7 Основи безпеки інформаційних ресурсів

ібути наслідком незалежного від суб'єкта прояву (наприклад, сти­хійних випадків, або інших впливів, таких як прояви техногенних властивостей цивілізації).

У першому випадку наявна вина суб'єкта, яка визначає спричи­нену шкоду як склад злочину, що здійснюється із злими намірами (навмисно) або по необережності і спричинені збитки повинні кла­сифікуватися як склад злочину, відповідно до кримінального права.

У другому випадку збитки носять імовірнісний характер і повин­ні бути співставлені як мінімум із тим ризиком, який обговорюється цивільним, адміністративним або арбітражним правом, як предмет розгляду. І визначення цього, хто саме є причиною збитків, є дру­гим за важливістю (після спроби цього не допустити) питанням для потерпілого.

В теорії права під збитками розуміють невигідні для власника майнові наслідки, що виникли внаслідок правопорушення. Збитки виражаються у зменшенні майна, або у недоодержанні прибутку, який був би одержаний при відсутності правопорушення (упущена вигода).

Якщо розглядати як суб'єкт, що спричинив збитки, будь-яку осо­бистість, категорія "збитки" є справедливою тільки у тому випадку, коли можна довести, що вони спричинені, тобто діяння особистості необхідно кваліфікувати в термінах правових актів як склад злочи­ну. Тому, при класифікації загроз безпеці інформації у цьому випад­ку доцільно враховувати вимоги діючого кримінального права, які визначають склад злочину.

Для прикладу можна розглянути приклади складів злочину, які визначаються кримінальними кодексами в багатьох державах.

Крадіжка — здійснення з корисливою метою протиправного без­оплатного вилучення і (або) обіг чужого майна на користь винного або інших осіб, що спричинили збитки власникові майна.

Копіювання комп'ютерної інформації — це повторювання та стійке збереження інформації на машинному або іншому носієві.

Знищення — це зовнішній вплив на майно, у результаті якого воно припиняє своє існування або приходить у повну непридатність для використання по цільовому призначенню. Знищене майно не мо­же бути відновлене шляхом ремонту або реставрації та повністю ви­водиться з господарського обігу.

Знищення комп'ютерної інформації — стирання її у пам'яті ЕОМ.

247

Частина II Основи безпеки інформаційних технологій

Пошкодження— змінювання властивостей майна, при якому суттєво погіршується його стан, втрачається значна частина його ко­рисних властивостей і воно стає повністю або частково непридатним для цільового використання.

Модифікація комп'ютерної інформації — внесення будь-яких змін, окрім зв'язаних з адаптацією програми для ЕОМ або баз даних.

Блокування комп'ютерної інформації — штучне утруднення доступу користувачів до інформації, не зв'язане з її знищенням.

Несанкціоноване знищення, блокування, модифікація, копіюван­ня інформації — будь-які не дозволені законом, власником або ком­петентним користувачем указаних дій з інформацією.

Обман (заперечення автентичності, нав'язування хибної інфор­мації) — навмисне спотворення або приховування істини з метою введення в оману особу, у веденні якої знаходиться майно, і таким чином домагатися від неї добровільної передачі майна, а також по­відомлення з цією метою свідомо неправдивих відомостей.

Якщо розглядати як суб'єкт, що спричинив збитки, будь-яке при­родне або техногенне явище під збитками можна розуміти невигідні для власника майнові наслідки, викликані цими явищами, і які мо­жуть бути компенсовані за рахунок третьої сторони (страхування ризиків настання події) або за рахунок власних засобів власника ін­формації.

Наприклад, страхування представляє собою відносини із за­хисту майнових інтересів фізичних і юридичних осіб при настанні певних подій (страхових випадків) за рахунок грошових фондів, які формуються зі сплачуваних ним страхових внесків.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности