План лекции Основные понятия и положения защиты информации в компьютерных системах (КС); Основные угрозы безопасности информации в компьютерных системах (КС); Методы и средства несанкционированного доступа к информации; Основные способы защиты информации в компьютерных системах; Методы криптографической защиты; Вредоносные программы.
1 вопрос Основные понятия и положения защиты информации в компьютерных системах (КС)
Объект защиты информации 1. Объект защиты информации — информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации. 2. В качестве объекта защиты информации чаще всего рассматривается информация, собираемая, хранящаяся, обрабатываемая и передаваемая в компьютерных системах.
Участки, в которых могут находиться подлежащие защите данные непосредственно в оперативной или постоянной памяти компьютера; на съемных магнитных, магнитооптических, лазерных и других носителях; на внешних устройствах хранения информации коллективного доступа (RAID-массивы, файловые серверы и т. п. ); образующих каналы сопряжения компьютерных сетей.
Угрозы несанкционированного доступа к информации.
Участки, в которых могут находиться подлежащие защите данные (продолжение) на экранах устройств отображения (дисплеи, мониторы, консоли); в памяти устройств ввода/вывода (принтеры, графопостроители, сканеры); в памяти управляющих устройств и линиях связи, образующих каналы сопряжения компьютерных сетей.
Защищаемый объект информатизации Защищаемый объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности. Защищаемая информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.
Компьютерная система — это комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации.
Безопасность (защищенность) информации в КС — это такое состояние всех компонент компьютерной системы, при котором обеспечивается защита информации от возможных угроз на требуемом уровне.
Система защиты информации в КС Под системой защиты информации в КС понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации в КС в соответствии с принятой политикой безопасности.
2 вопрос Основные угрозы безопасности информации в компьютерных системах
Угроза безопасности информации Под угрозой безопасности информации понимается потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации.
Угрозы безопасности информации Случайные; Преднамеренные.
Случайные угрозы Стихийные бедствия и аварии; Сбои и отказы технических средств; Ошибки при разработке КС; Алгоритмические и программные ошибки; Ошибки пользователей и обслуживающего персонала.
Преднамеренные угрозы традиционный или универсальный шпионаж и диверсии; несанкционированный доступ к информации (НСД); утечка по техническим каналам; модификация структур КС; вредоносные программы.
Защита информации от несанкционированного доступа в «1С:БГУ 8»
3 вопрос Методы и средства несанкционированного доступа к информации
Доступ к информации (Доступ) (Access to information) — ознакомление с информацией, ее обработка, в частности, копирование модификация или уничтожение информации. Правила разграничения доступа (ПРД) (Security policy) — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Доступ к информации (продолжение) Санкционированный доступ к информации (Authorized access to information) — доступ к информации, не нарушающий правила разграничения доступа. Несанкционированный доступ к информации (НСД) (Unauthorized access to information) Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Доступ к информации (продолжение) Защита от несанкционированного доступа (Защита от НСД) (Protection from unauthorized access) — предотвращение или существенное затруднение несанкционированного доступа. Субъект доступа (Субъект) (Access subject) лицо или процесс, действия которого регламентируются правилами разграничения доступа. Объект доступа (Объект) (Access object) единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа
Нарушитель ПРД Нарушитель правил разграничения доступа (Нарушитель ПРД) (Security policy violator) субъект доступа, осуществляющий несанкционированный доступ к информации. Модель нарушителя правил разграничения доступа (Модель нарушителя ПРД) (Security policy violator’s model) абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа.
Система разграничения доступа (СРД) (Security policy realization) — совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах.
Идентификация (Identification) — присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. Идентификатор доступа (Access identifier) уникальный признак субъекта или объекта доступа. Аутентификация (Authentication) — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.
Основные способы НСД непосредственное обращение к объектам доступа; создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты; модификация средств защиты, позволяющая осуществить НСД; внедрение в технические средства вычислительной техники программных или технических механизмов, нарушающих предполагаемую структуру и функции средства вычислительной техники и позволяющих осуществить НСД.
Классификация НСД (по видам доступа) Локальный (физический) доступ. Удаленный доступ.
Классификация НСД (по уровню доступа ) гостевого; пользовательского; административного; системного; неограниченного уровня.
Классификация НСД (по характеру действий злоумышленника) копирование; модификацию; уничтожение; внедрение информации.
Классификация НСД (по многократности доступа) разовое получение НСД; многократное получение НСД.
Классификация НСД (по направленности действий злоумышленника ) методы и средства, направленные на получение системной информации (файлы паролей, ключей шифрования, перечни учетных записей, схемы распределения сетевых адресов и т. п. ); методы и средства, направленные на получение собственно прикладной информации.
Классификация НСД (по тяжести последствий ) неопасные (сканирование портов, попытки установления соединений и т. п. ), потенциально опасные (получение доступа к содержимому подсистем хранения данных, попытки подбора паролей и т. п. ), опасные (получение доступа с высоким уровнем полномочий, модификация информации в КС, копирование системной и прикладной информации, создание собственной информации и т. п. ) чрезвычайно опасные (уничтожение информации, блокирование доступа легальных пользователей к КС и т. п. ).
Методы и средства НСД на локальном уровне хищение; использование открытого сеанса легального пользователя; подбор пароля легального пользователя; использование учетной записи легального пользователя для расширения полномочий; загрузка альтернативной операционной системы.
Типовой алгоритм НСД при удаленном доступе
4 вопрос Основные способы защиты информации в компьютерных системах
Способы защиты информации в КС согласно ГОСТу защита информации от утечки; защита информации от несанкционированного воздействия; защита информации от непреднамеренного воздействия; защита информации от разглашения; защита информации от несанкционированного доступа; защита информации от преднамеренного воздействия; защита информации от [иностранной] разведки.
Защита информации в КС от случайных угроз Дублирование информации; Повышение надежности КС; Оптимизация взаимодействия человека и КС; Минимизация ущерба от аварий и стихийных бедствий; Блокировка ошибочных операций; Создание отказоустойчивых КС.
Защита информации в КС от традиционного шпионажа и диверсий создание системы охраны объекта; организация работ с конфиденциальными информационными ресурсами на объекте КС; противодействие наблюдению; противодействие подслушиванию; защита от злоумышленных действий персонала.
Современные системы защиты КС от НСД идентификация и аутентификация пользователей; разграничение доступа к файлам, каталогам, дискам; контроль целостности программных средств и информации; возможность создания функционально замкнутой среды пользователя; защита процесса загрузки ОС; блокировка КС на время отсутствия пользователя; криптографическое преобразование информации; регистрация событий; очистка памяти.
Атрибутивные идентификаторы для идентификации субъектов доступа пароли; съемные носители информации; электронные жетоны; пластиковые карты; механические ключи.
ПАРОЛЬ Паролем называют комбинацию символов (букв, цифр, специальных знаков), которая должна быть известна только владельцу пароля и, возможно, администратору системы безопасности.
Электронный идентификатор Touch Memory
USB электронный ключ
Брелок с микропроцессорной карточкой Secur. ID Key Fob
Смарт-карта с встроенным микропроцессором
Комплексная идентификация пользователя
Аутентификация пользователя по биометрическим параметрам: папиллярные узоры пальцев; узоры сетчатки глаз; форма кисти руки; особенности речи; форма и размеры лица. динамика подписи; ритм работы на клавиатуре; запах тела; термические характеристики тела.
Дактилоскопический метод идентификации человека
По узорам сетчатки глаз
Сканирование, распознавание и анализ сетчатки глаз с помощью мобильного телефона
По геометрии руки
5 вопрос Криптографические методы защиты информации
Криптографическая защита информации — защита информации с помощью ее криптографического преобразования.
Криптология Криптография – наука о преобразовании информации, в результате которого она становится недоступной для ознакомления и использования лицами, не имеющими на это полномочий. Криптоанализ – наука, противоположная криптографии по сути исследований, то есть занимающаяся расшифрованием зашифрованной информации при неизвестном ключе. Криптология — наука, объединяющая в себе криптографию и криптоанализ.
Методы криптографического преобразования информации Шифрование; Стеганография; Кодирование; Сжатие.
6 вопрос Вредоносные программы
Вредоносная программа — программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы. Вредоносная программа (malware сокращение от Malicious Software (вредоносное программное обеспечение)) — это программа, наносящая какой-либо вред компьютеру, на котором она запускаются, или другим компьютерам в сети.
Классификация вредоносных программ Вирусы; Черви; Трояны; Условно опасные программы (Riskware , рекламные утилиты, Pornware и др. ); Хакеровские утилиты; Злые шутки
Вирусы Компьютерный вирус- это программа, способная создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.
Вирусы (продолжение) Условно жизненный цикл любого компьютерного вируса можно разделить на пять стадий: Проникновение на чужой компьютер ; Активация ; Поиск объектов для заражения ; Подготовка копий ; Внедрение копий.
Классификация вирусов Классические файловые вирусы — они различными способами внедряются в исполняемые файлы (внедряют свой вредоносный код или полностью их перезаписывают), создают файлы-двойники, свои копии в различных каталогах жесткого диска или используют особенности организации файловой системы
Классификация вирусов (продолжение) Макровирусы, которые написаны на внутреннем языке, так называемых макросах какого-либо приложения. Подавляющее большинство макровирусов используют макросы текстового редактора Microsoft Word Скрипт-вирусы, написанные в виде скриптов для определенной командной оболочки — например, bat-файлы для DOS или VBS и JS — скрипты для Windows Scripting Host (WSH)
Червь (сетевой червь) — это вредоносная программа, распространяющаяся по сетевым каналам и способная к самостоятельному преодолению систем защиты компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не обязательно совпадающих с оригиналом.
Жизненный цикл червей состоит из таких стадий: Проникновение в систему Активация Поиск объектов для заражения Подготовка копий Распространение копий
Классификация червей Сетевые черви используют для распространения локальные сети и Интернет Почтовые черви — распространяются с помощью почтовых программ IM-черви используют системы мгновенного обмена сообщениями IRC-черви распространяются по каналам IRC P 2 P-черви — при помощи пиринговых файлообменных сетей
Троян (троянский конь) программа, основной целью которой является вредоносное воздействие по отношению к компьютерной системе.
Жизненный цикл троянов Проникновение в систему Активация Выполнение вредоносных действий
Классификация троянов Классифицируются по типу вредоносной нагрузки: Клавиатурные шпионы, постоянно находясь в оперативной памяти, записывают все данные, поступающие от клавиатуры с целью последующей их передачи своему автору. Похитители паролей предназначены для кражи паролей путем поиска на зараженном компьютере специальных файлов, которые их содержат. Утилиты скрытого удаленного управления — это трояны, которые обеспечивают несанкционированный удаленный контроль над инфицированным компьютером.
Классификация троянов (продолжение) Анонимные SMTP-сервера и прокси-сервера — такие трояны на зараженном компьютере организовывают несанкционированную отправку электронной почты. Утилиты дозвона в скрытом от пользователя режиме инициируют подключение к платным сервисам Интернет. Модификаторы настроек браузера меняют стартовую страницу в браузере, страницу поиска или еще какиелибо настройки, открывают дополнительные окна, имитируют нажатия на рекламные баннеры и т. п. Логические бомбы характеризуются способностью при срабатывании заложенных в них условий (в конкретный день, время суток, определенное действие пользователя или команды извне) выполнять какое-либо действие, например, удаление файлов.
Условно опасные программы Riskware ((сокращение от англ. Risk Software) опасное программное обеспечение) вполне легальные программы, которые сами по себе не опасны, но обладают функционалом, позволяющим злоумышленнику использовать их с вредоносными целями. К riskware относятся обычные утилиты удаленного управления, которыми часто пользуются администраторы больших сетей, клиенты IRC, программы для загрузки файлов из Интернет, утилиты восстановления забытых паролей и другие.
Условно опасные программы Рекламные утилиты (adware сокращение от англ. Advertisement Software — рекламное программное обеспечение) — условнобесплатные программы, которые в качестве платы за свое использование демонстрируют пользователю рекламу, чаще всего в виде графических баннеров. После официальной оплаты и регистрации обычно показ рекламы заканчивается и программы начинают работать в обычном режиме.
Условно опасные программы Pornware (сокращение от англ. Porno Software) — порнографическое программное обеспечение — к этому классу относятся утилиты, так или иначе связанные с показом пользователям информации порнографического характера. На сегодняшний день это программы, которые самостоятельно дозваниваются до порнографических телефонных служб, загружают из Интернет порнографические материалы или утилиты, предлагающие услуги по поиску и показу такой информации.
Хакерские утилиты Относятся программы скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов), автоматизации создания сетевых червей, компьютерных вирусов и троянских программ (конструкторы вирусов), наборы программ, которые используют хакеры для скрытного взятия под контроль взломанной системы (Root. Kit) и другие подобные утилиты. То есть такие специфические программы, которые обычно используют только хакеры.
Злые шутки Используются термины Hoax (англ. ложь, обман) и Bad-Joke (англ. плохая шутка)) программы, которые намеренно вводят пользователя в заблуждение путем показа уведомлений о, например, форматировании диска или обнаружении вирусов, хотя на самом деле ничего не происходит.
Источник: present5.com
«ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения» (утв. и введен в действие Приказом Ростехрегулирования от 27.12.2006 N 373-ст)
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации — ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения».
Сведения о стандарте
1. Разработан Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»).
2. Внесен Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии.
3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 373-ст.
4. В настоящем стандарте реализованы нормы Федеральных законов от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне».
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет.
Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.
Для каждого понятия установлен один стандартизованный термин.
Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно. Цифра, заключенная в квадратные скобки, означает ссылку на документ, приведенный в структурном элементе «Библиография».
Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму. За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.
Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.
Стандартизованные термины набраны полужирным шрифтом, их краткие формы, представленные аббревиатурой, — светлым, а синонимы — курсивом.
Термины и определения общетехнических понятий, которые необходимы для понимания текста основной части настоящего стандарта, приведены в Приложении А.
1. Область применения
Настоящий стандарт устанавливает основные термины с соответствующими определениями, применяемые при проведении работ по стандартизации в области защиты информации.
Термины, установленные настоящим стандартом, рекомендуется использовать в правовой, нормативной, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.
2. Термины и определения
2.1. Общие понятия
2.1.1. защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
2.2. Термины, относящиеся к видам защиты информации
2.2.1. правовая защита информации: Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
2.2.2. техническая защита информации; ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.
2.2.3. криптографическая защита информации: Защита информации с помощью ее криптографического преобразования.
2.2.4. физическая защита информации: Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.
Примечания. 1. Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, , территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.
2. К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.
2.3. Термины, относящиеся к способам защиты информации
2.3.1. способ защиты информации: Порядок и правила применения определенных принципов и средств защиты информации.
2.3.2. защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.
Примечание. Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
2.3.3. защита информации от несанкционированного воздействия; ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
2.3.4. защита информации от непреднамеренного воздействия: Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
2.3.5. защита информации от разглашения: Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.
2.3.6. защита информации от несанкционированного доступа; ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.
Примечание. Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
2.3.7. защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.
2.3.8. защита информации от [иностранной] разведки: Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.
2.4. Термины, относящиеся к замыслу защиты информации
2.4.2. цель защиты информации: Заранее намеченный результат защиты информации.
Примечание. Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.
2.4.3. система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
2.4.4. политика безопасности (информации в организации): Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
2.4.5. безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.
2.5. Термины, относящиеся к объекту защиты информации
2.5.1. объект защиты информации: Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.
2.5.2. защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Примечание. Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
2.5.3. носитель защищаемой информации: Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
2.5.4. защищаемый объект информатизации: Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.
2.5.5. защищаемая информационная система: Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.
2.6. Термины, относящиеся к угрозам безопасности информации
2.6.1. угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
2.6.2. фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.
2.6.3. источник угрозы безопасности информации: Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.
2.6.4. уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
Примечания. 1. Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.
2. Если уязвимость соответствует угрозе, то существует риск.
2.6.5. вредоносная программа: Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.
2.6.6. несанкционированное воздействие на информацию: Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
2.6.7. преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.
2.6.8. модель угроз (безопасности информации): Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.
Примечание. Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ.
2.7. Термины, относящиеся к технике защиты информации
2.7.1. техника защиты информации: Средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
2.7.2. средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
2.7.3. средство контроля эффективности защиты информации: Средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации.
2.7.4. средство физической защиты информации: Средство защиты информации, предназначенное или используемое для обеспечения физической защиты объекта защиты информации.
2.7.5. криптографическое средство защиты информации: Средство защиты информации, реализующее алгоритмы криптографического преобразования информации.
2.8. Термины, относящиеся к способам оценки соответствия
требованиям по защите информации
2.8.1. оценка соответствия требованиям по защите информации: Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.
2.8.2. лицензирование в области защиты информации: Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ.
2.8.3. сертификация на соответствие требованиям по безопасности информации: Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров.
Примечание. К объектам оценки могут относиться: средство защиты информации, средство контроля эффективности защиты информации.
2.8.4. специальное исследование (объекта защиты информации): Исследование, проводимое в целях выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте защиты) требованиям нормативных и правовых документов в области безопасности информации.
2.8.5. специальная проверка: Проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств.
2.8.6. аудиторская проверка информационной безопасности в организации; аудит информационной безопасности в организации: Периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности.
Примечание. Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит).
2.8.7. мониторинг безопасности информации: Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.
2.8.8. экспертиза документа по защите информации: Рассмотрение документа по защите информации физическим или юридическим лицом, имеющим право на проведение работ в данной области, с целью подготовить соответствующее экспертное заключение.
Примечание. Экспертиза документа по защите информации может включать в себя научно-техническую, правовую, метрологическую, патентную и терминологическую экспертизы.
2.8.9. анализ информационного риска: Систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации.
2.8.10. оценка информационного риска: Общий процесс анализа информационного риска и его оценивания.
2.9. Термины, относящиеся к эффективности защиты информации
2.9.1. эффективность защиты информации: Степень соответствия результатов защиты информации цели защиты информации.
2.9.2. требование по защите информации: Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.
2.9.3. показатель эффективности защиты информации: Мера или характеристика для оценки эффективности защиты информации.
2.9.4. норма эффективности защиты информации: Значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.
Алфавитный указатель терминов
Здесь и далее краткие формы терминов выделены светлым шрифтом
анализ информационного риска
аудит информационной безопасности в организации
Источник: e-ecolog.ru
Термины и определения
В настоящем документе используются следующие термины и их определения:
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа –программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Вспомогательные технические средства и системы –технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных, или в помещениях, в которых установлены информационные системы персональных данных.
Доступ к информации – возможность получения информации и ее использования.
Защищаемая информация –информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, представления, распространения информации и способы осуществления таких процессов и методов.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Недекларированные возможности – функциональные возможности средств вычислительной техники и (или) программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) –доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.
Правила разграничения доступа –совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Программная закладка – скрытно внесенный в программное обеспечение функциональный объект, который при определенных условиях способен обеспечить несанкционированное программное воздействие. Программная закладка может быть реализована в виде вредоносной программы или программного кода.
Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Средства вычислительной техники –совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.
Технический канал утечки информации –совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.
Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:
Источник: studopedia.ru