Угроза информационной безопасности. - Семинар, раздел Информатика, Предмет правовой информатики и кибернетики
Понятие Угрозы Информационной Безопасности В Конце...
Понятие угрозы информационной безопасности в Концепции государств стран СНГ также сформулировано в ст. 2.
Согласно ст. 2 Угроза информационной безопасности - совокупись условий и факторов, создающих опасность нанесения ущерба интересам стран-участников в информационной сфере.
Несколько лучше к этому вопросу подходит ИСО/МЭК 13335-1-2006 "Информационная технология, методы и средства обеспечения безопасности".
В данном документе угроза описана как потенциальная причина инцидента, который может нанести ущерб системе или организации. Это определение более значимое, так как из него следуют две основные характеристики:
• опасность нанесения ущерба интересам субъекта в информационной сфере;
• потенциальный характер такой опасности.
Угроза имеет место, когда ущерб еще не причинён. В зависимости от того, насколько велика вероятность этого ущерба, угроза может быть или значимой, или незначительной.
Пожалуй, наилучший документ - Решение Научно-технического совета Министерства Связи РФ от 21 апреля 2012 года №2 "Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах". В этом документе угроза информационной безопасности определяется как совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и (или) несанкционированным воздействием на нее.
В нем раскрывается понятие вреда интересам в информационной сфере - утечка информации или когда на нее производится несанкционированное воздействие. Речь идет о нарушении таких факторов информационной безопасности, как конфиденциальность и целостность. Что касается угрозы доступности, то тут авторы либо забыли, либо не посчитали нужным включить. В принципе, доступность с воздействием на информацию не связана.
В то же время исключать фактор доступности из угроз информационной безопасности нельзя.
В связи с этим угрозу информационной безопасности можно определить как совокупность обстоятельств и факторов, которая потенциально способна нанести субъекту ущерб в результате нарушения установленных им правил по конфиденциальности, целостности и доступности.
Подводя итог, у угрозы два основных показателя:
1) опасность нанесения ущерба (нарушение правил по доступности, конфиденциальности и целостности);
2) критерием угрозы является ее потенциальный характер.
Классификаций видов угроз много.
В Концепции СНГ есть угрозы:
- Объективного – не зависит от поведения лиц, имеющих доступ к информации;
- Субъективного характера – зависит только от поведения лиц имеющих доступ к информации
Угрозы, выражающиеся в
- Явлениях;
- Процессах
- Действиях
Угрозы, выявляющиеся во:
- Внутренних и
- Внешних источников
Гораздо более интересная классификация приведена в Концепции информатизации Минюста, принята приказом Минюста от 21 января 2000 года №9. Если посмотреть эту концепцию, угрозами являются:
- Непреднамеренные действия работников;
- Умышленные действия работников (в их число включены как программисты, так и администраторы - сисадмины);
- Непреднамеренные и умышленные воздействия из внешних сетей.
То же не идеальна концепция – (либо работники, либо все остальные - перекос в сторону работников на лицо).
Гораздо больший интерес представляет такой Международный стандарт (надо знать)ISO/IEC 15408; он представляет собой практически дословный европейский перевод знаменитых Критериев информационной безопасности, которые были разработаны в Пентагоне в 1980 году (так называемая оранжевая книга). У нас он тоже внедрен - это стандарт.
Он выделяет следующие виды угроз:
- Несанкционированное раскрытие, то есть потеря конфиденциальности;
- Несанкционированная модификация или уничтожение, то есть потеря целостности;
- Несанкционированное лишение доступа к сведениям, то есть потеря доступности.
В наибольшей степени виды угроз разработаны в «Модели угроз и нарушителей безопасности персональных данных» (Решение Научно-технического совета Министерства Связи РФ от 21 апреля 2012 года №2).
Там очень много классификаций угроз (и по уязвимости, и по нарушаемому свойству, и по типу информационной системы), но нужно обратить внимание на следующую классификацию:
Виды источников угроз:
- Угрозы, связанные с преднамеренными или непреднамеренными действиями лиц имеющих доступ - антропогенные источники угроз;
- Угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, которые доступа не имеют и реализуют свои угрозы из внешних сетей связи - тоже антропогенные, но иного характера;
- Угрозы, возникновение которых напрямую зависит от свойств техники - техногенные;
- Угрозы, связанные со стихийными природными явлениями - стихийные источники угроз.
То есть:
- Антропогенные угрозы: внешние или внутренние, преднамеренные или случайные (причиняют ущерб, но не имеют намерением этот ущерб причинить);
- Техногенные угрозы - это средства связи и обработки информации, которые субъект использует. Они делятся на инфраструктурные (коммуникации, например) и технические (само железо, программные средства, в том числе вредоносные, закладки и т д).;
- Стихийные угрозы - катаклизмы, пожары, наводнения и т д.
Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ:
Угроза информационной безопасности.
Что будем делать с полученным материалом:
Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:
Почему возникла необходимость такой комплексной отрасли знания?
Во многом это связанно с тем, что наше право было ориентировано на бумажные средства обработки информации. Когда появляются компьютеры, начинается приспособление, и не всегда это получается. Отчаст
История возникновения и становления дисциплины.
Формирование научного направления в юриспруденции возникло в 60х годах 20в. Причем сначала начало формироваться именно научное направление, а потом законодательство. Потому что не было практическог
Предмет правовой информатики и кибернетики.
Переходя к предмету ПИиК мы можем сделать следующие указания на те моменты, которые специфичны для данного предмета:
• Она изучает информационные отношения, котор
Общая характеристика правовой базы ПИиК.
Особенность правовой базы заключается в том, что часто информационные процессы регулируются традиционным образом материального и процессуального права и достаточно успешно.
Что такое информация?
Существуют различные точки зрения на то, как определить информацию. Одна из них - все сведения, являющиеся предметом хранения и передач
Электронная вычислительная машина.
Почему современный век называют веком информационных технологий? Потому что появились орудия труда, которыми можно обрабатывать информацию.
ЭВМ - это средство труда
Как устроена работа компьютера?
1. Все начинается с ввода информации. Устройство ввода должно принять сигнал.
2. Он поступает в устройство обработки информации, там информация обрабатывается и преобразуется в машиночитае
Часть 2. Правовой режим отдельных операций.
В ФЗ "Об информации" сформулировано общеправовое понятие информации - сведения, сообщения, данные независимо от формы представления.
Сформулированы
Структура информации
С философской точки зрения в правовой информатике выделяют три части информации:
• содержание;
• форма ее предоставления;
• материальный носитель;
Компьютерная информация, как один из видов информации.
Наш законодатель выделил данный вид информации и руководствовался при этом двумя критериями:
• социальным (большое социальное значение, концепция информационного общества);
Основные черты правового регулирования информации
• Первая черта - специализация правового регулирования в зависимости от видов информационных отношений.
Мы уже говорили о различных НА, которые разбросаны
Документированная информация, документ.
Понятие документа было впервые введено Петром 1 и перевел он документ, как "письменное свидетельство", хотя по-латински это было доказательство. И до второй половины 20 ве
Создание информации (производство - КРФ).
Если исходить из терминов, которые используются для общего определения этого слова, то Даль определяет создание как созидательную деятельность по изобретению, сочинению, строительству чего-либо.
Хранение информации.
Хранение информации характерно как для обычных видов человеческой деятельности, так и для специальных видов. В тех случаях, когда существуют какие-то специальные
Распространение и предоставление информации.
Есть легальное определение распространения и предоставления информации в ФЗ "Об информации".
В п. 8 ст. 2 дается определение предоставления информации - это действия,
Изменение или модификация информации.
Термин «изменение» в законе почти не используется, используется термин «модификация». Легальное определение модификации есть в ГК в п. 9 ч.2 ст. 1270 применительно к базе данных, но
Информационные системы
Было развитие по 3 направлениям:
1. Управленческая деятельность, статистическая отчетность (одна из п
Что касается непосредственно информационных систем.
Подробно общая классификация будет в специальной лекции.
Также как и любые другие информационные системы, информационные системы ПО могут классифицироваться по территориаль
Стадия подготовки.
Преступник обычно стремится собрать следующие сведения об объекте преступного посягательства:
- место совершения преступления;
- средства, которые ис
Непосредственное совершение преступления.
При непосредственном доступе осуществляется проникновение к компьютеру или иному месту, где находится компьютерная информация.
- В его ходе осуществляется либ
Действия по сокрытию преступления.
При непосредственном доступе преступник стремится уничтожить традиционные следы:
- стирает отпечатки пальцев;
- уничтожает документы, с помощью котор
Пространственный элемент обстановки совершения преступления.
Можно выделить несколько обособленных мест, характеризующих правонарушение:
- само место причинения вреда, место наступления общественно-опасных последствий (как правило, это компьютер пот
Производственные элементы обстановки совершения преступления.
Особая роль тогда, когда потерпевшим выступает организация. Имеют значение:
- технические характеристики аппаратных и программных средств, средств связи, которые использует организация;
Особенности отельных следственных действий.
Наиболее часто проводимые действия:
· Осмотры (особенно осмотр места происшествия);
· Обыски, выемки;
· Допросы;
· Назначение экспертизы [по ней
Понятие информационной безопасности.
Всем ясно, что информация имеет огромное значение в современном государстве. Вопросами информационной безопасности озаботились и на национальном уровне.
Признаком проявлени
Методы защиты информации.
Как уже говорилось выше защита информации - это обязанность каждого субъекта, который ей обладает, исходя из того насколько данная информация ценна, какие угрозы
Преступления в сфере компьютерной информации
Говоря о преступлениях в сфере компьютерной информации, начать следует с актов международно-правового характера.
Основным актом является
Воздействие на компьютерную информацию.
Коль скоро у нас компьютерное преступление – это преступление, предметом посягательства которого является компьютерная информация, надо поговорить о том, как это посягательство може
Внедрение в память ЭВМ специальных программ
В чем отличие от доступа? При доступе команды и их последовательность выбирает сам человек, а при внедрении в память ЭВМ специальных программ, действия осуществляются в автоматическом режиме, то ес
Физическое воздействие
Это случай, когда мы воздействуем на технические средства для того, чтобы нанести ущерб информации. Физическое воздействие делится на:
- механические и
- физическое.
Правовое регулирование персональных данных
ФЗ "О персональных данных" принят в 2006 году, вступил в силу с 1 января 2010 года после привидения нормативных актов в соответствие с ним. До этого он применялся лиш
Правовое регулирование базы данных
Впервые за много лет понятие дается в ст. 1260 п. 2 ГК РФ - под базой данных понимается представленная в объективной форме совокупность самостоятельных материалов (статей
Устройство базы данных.
Она состоит из:
- самой базы данных;
- системы управления базами данных (программная оболочка) - программа, возможно специально разработанная, написанная собственником или некая у
Модели базы данных.
1) Иерархические. Она представляет из себя систему сверху-вниз (^). Не позволяет отходить в сторону. Полностью этой системы сейчас не наблюдается. (НПА-законы, кодексы и т д).
Функции базы данных.
1) Хранение, поиск и обновление данных;
2) Доступный пользователю каталог описания информации (например, что в ней находится);
3) Возможность во
Жизненный цикл базы данных.
1) Проектирование;
2) Создание;
3) Эксплуатация.
Нужно рассказать, что они в себя включают.
Последовательность действий жизненного цикла:
Новости и инфо для студентов