IX Международная студенческая научная конференция Студенческий научный форум - 2017
ПОНЯТИЕ И СТРУКТУРА УГРОЗ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
КомментарииПолная версия работы доступна во вкладке "Файлы работы" в формате PDF
Согласно, Закона РФ «О безопасности» от 5 марта 1992 № 2446-1 угроза безопасности, это совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства. Этот же закон определяет, что относится к жизненно важным интересам- совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.
Любая информационная система подвержена различным воздействиям, приводящим к снижению информационной безопасности предприятий, организаций. Это приводит к тем или иным убыткам (ущербу) в их деятельности.
Все множество потенциальных угроз по природе возникновения разделяют на два класса: естественные (объективные) и искусственные (субъективные).
При рассмотрении вопросов защиты информации понятие угрозы трактуется несколько в узком смысле как потенциальная возможность несанкционированного или случайного воздействия на информацию, приводящее к ее утрате, искажению, модификации и т.д.
Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).
Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС. Если речь идет об ошибках в ПО, то окно опасности "открывается" с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих.
Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда – недель), поскольку за это время должны произойти следующие события:
– должно стать известно о средствах использования пробела в защите;
– должны быть выпущены соответствующие заплаты;
– заплаты должны быть установлены в защищаемой ИС.
Отметим, что некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания.
Подчеркнем, что само понятие "угроза" в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать — вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ представляется серьезной опасностью. Иными словами, угрозы, как и все в ИБ, зависят от интересов субъектов информационных отношений (и от того, какой ущерб является для них неприемлемым).
В качестве классифицирующего признака угроз информационной безопасности могут быть использованы их направленность и происхождение (Доктрина информационной безопасности РФ).
По направленности угрозы информационной безопасности могут быть классифицированы следующим образом:
а) для личности:
– нарушение конституционных прав и свобод граждан на поиск, получение, передачу, производство и распространение объективной информации;
– лишение права граждан на неприкосновенность частной жизни;
– нарушение права граждан на защиту своего здоровья от неосознаваемой человеком вредной информации;
– посягательства на объекты интеллектуальной собственности;
б) для общества:
– препятствия в построении информационного общества;
– лишение права на духовное обновление общества, сохранение его нравственных ценностей, утверждение в обществе идеалов высокой нравственности, патриотизма и гуманизма, развитие многовековых духовных традиций Отечества, пропаганду национального, культурного наследия, норм морали и общественной нравственности;
– манипулирование массовым сознанием;
– создание атмосферы, препятствующей приоритетному развитию современных телекоммуникационных технологий, сохранению и развитию отечественного научного и производственного потенциала;
в) для государства:
– противодействие:
– защите интересов личности и общества;
– построению правового государства;
– формированию институтов общественного контроля за органами государственной власти;
– формированию системы подготовки, принятия и реализации решений органами государственной власти, обеспечивающей баланс интересов личности, общества и государства.
Угрозы можно классифицировать по нескольким критериям:
1) по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;
2) по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
3) по способу осуществления (случайные/преднамеренные действия природного техногенного характера);
4) по расположению источника угроз (внутри/вне рассматриваемой ИС).
В качестве основного критерия мы будем использовать первый (по аспекту ИБ), привлекая при необходимости остальные.
Согласно этого угрозы единичные или комплексные, реальные или потенциальные, активные или пассивные проявляют неблагоприятные воздействия, создают критические ситуации, события. Обязательным условием успешного осуществления всего этого должен быть интерес к ним со стороны противника, конкурентов, определенных лиц, служб и организаций. При отсутствии такового интереса угроза не возникает даже в том случае, если создаются все необходимые предпосылки.
Самым опасным источником дестабилизирующего воздействия на информацию является человек, потому как на защищаемую информацию могут оказывать воздействие различные категории людей.
Разнообразие видов и способов дестабилизирующего воздействия на защищаемую информацию говорит о необходимости комплексной системы защиты информации.
Список литературы:
-
http://www.studfiles.ru/preview/5150160/page:27/
-
http://www.studfiles.ru/preview/5852002/page:5/