Категории информации с точки зрения информационной безопасности

Информация с точки зрения информационной безопасности обладает следующими категориями:

• конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации
• целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения
• аутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения
• апеллируемость – довольно сложная категория, но часто применяемая в электронной коммерции – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости – сам автор пытается «откреститься» от своих слов, подписанных им однажды.

В отношении информационных систем применяются иные категории :

• надежность – гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано
• точность – гарантия точного и полного выполнения всех команд
• контроль доступа – гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются
• контролируемость – гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса
• контроль идентификации – гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает
• устойчивость к умышленным сбоям – гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.

1. Категории информационной безопасности.

Информация с точки зрения информационной безопасности обладает следующими категориями:

­ конфиденциальность информации – гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации

­ целостность информации – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения

­ аутентичность информации – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения

­ апеллируемость информации – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости – сам автор пытается «откреститься» от своих слов, подписанных им однажды.

В отношении информационных систем применяются иные категории:

­ надежность – гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано

­ точность – гарантия точного и полного выполнения всех команд

­ контроль доступа – гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются

­ контролируемость – гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса

­ контроль идентификации – гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает

­ устойчивость к умышленным сбоям – гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.

2. Классификация компьютерных вирусов.

Компьютерный вирус — это специально написанная, небольшая по размерам программа (т.е. некоторая совокупность выполняемого кода), которая может «приписывать» себя к другим программам («заражать» их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере.

Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий.

Эксперты считают, что на сегодняшний день число существующих вирусов перевалило за 20 тысяч, причем ежедневно появляется от 6 до 9 новых. «Диких», то есть реально циркулирующих вирусов в настоящее время насчитывается около 260.

Условно вирусы классифицируются по следующим признакам:

­ по среде обитания вируса;

­ по способу заражения среды обитания;

­ по деструктивным возможностям;

­ по особенностям алгоритма вируса.

Более подробную классификацию внутри этих групп можно представить примерно так:

По среде обитания вирусы классифицируются на:

­ Сетевые – распространяются по компьютерной сети;

­ Файловые – внедряются в выполняемые файлы;

­ Загрузочные – внедряются в загрузочный сектор диска (Boot-сектор).

По способам заражения среды обитания вирусы классифицируются на:

­ Резидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера;

­ Нерезидентные. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По деструктивным возможностям вирусы классифицируются на:

­ Неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;

­ Опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;

­ Очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенности алгоритма вирусы классифицируются на:

­ вирусы-«спутники» — вирусы, не изменяющие файлы, создают для ЕХЕ-файлов файлы-спутники с расширением СОМ;

­ вирусы-«черви» — распространяются по сети, рассылают свои копии, вычисляя сетевые адреса;

­ «паразитические», они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены;

­ «студенческие» — примитив, содержат большое количество ошибок;

­ «стелс»-вирусы (невидимки) – перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска;

­ вирусы-призраки, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов;

­ «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков;

­ макровирусы – пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в файл-шаблон Normal.dot.

Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.

3. Понятие «троянского коня».

Троянский конь – это программа, содержащая в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Обычно такие программы маскируются под какие-нибудь полезные утилиты. Вирусы могут нести в себе троянских коней или «троянизировать» другие программы – вносить в них разрушающие функции.

«Троянские кони» представляют собой программы, реализующие помимо функций, описанных в документации, и некоторые другие функции, связанные с нарушением безопасности и деструктивными действиями. Отмечены случаи создания таких программ с целью облегчения распространения вирусов. Списки таких программ широко публикуются в зарубежной печати. Обычно они маскируются под игровые или развлекательные программы и наносят вред под красивые картинки или музыку.

Категории информационной безопасности

Информация с точки зрения информационной безопасности обладает следующими категориями:

• конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации
• целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения
• аутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения
• апеллируемость – довольно сложная категория, но часто применяемая в электронной коммерции – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости – сам автор пытается «откреститься» от своих слов, подписанных им однажды.

В отношении информационных систем применяются иные категории :

• надежность – гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано
• точность – гарантия точного и полного выполнения всех команд
• контроль доступа – гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются
• контролируемость – гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса
• контроль идентификации – гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает
• устойчивость к умышленным сбоям – гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: При сдаче лабораторной работы, студент делает вид, что все знает; преподаватель делает вид, что верит ему. 8446 — | 6702 — или читать все.

193.124.117.139 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.

Отключите adBlock!
и обновите страницу (F5)
очень нужно

Категории информационной безопасности

Информация с точки зрения информационной безопасности обладает следующими категориями:

конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации

целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения

аутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения

апеллируемость – довольно сложная категория, но часто применяемая в электронной коммерции – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости – сам автор пытается «откреститься» от своих слов, подписанных им однажды.

В отношении информационных систем применяются иные категории :

надежность – гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано

точность – гарантия точного и полного выполнения всех команд

контроль доступа – гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются

контролируемость – гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса

контроль идентификации – гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает

устойчивость к умышленным сбоям – гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.

Абстрактные модели защиты информации

Одной из первых моделей была опубликованная в 1977 модель Биба (Biba). Согласно ей все субъекты и объекты предварительно разделяются по нескольким уровням доступа, а затем на их взаимодействия накладываются следующие ограничения: 1) субъект не может вызывать на исполнение субъекты с более низким уровнем доступа; 2) субъект не может модифицировать объекты с более высоким уровнем доступа. Как видим, эта модель очень напоминает ограничения, введенные в защищенном режиме микропроцессоров Intel 80386+ относительно уровней привилегий.

Модель Гогена-Мезигера (Goguen-Meseguer), представленная ими в 1982 году, основана на теории автоматов. Согласно ей система может при каждом действии переходить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной модели защиты разбиваются на группы – домены, и переход системы из одного состояния в другое выполняется только в соответствии с так называемой таблицей разрешений, в которой указано какие операции может выполнять субъект, скажем, из домена C над объектом из домена D. В данной модели при переходе системы из одного разрешенного состояния в другое используются транзакции, что обеспечивает общую целостность системы.

Сазерлендская (от англ. Sutherland) модель защиты, опубликованная в 1986 году, делает акцент на взаимодействии субъектов и потоков информации. Так же как и в предыдущей модели, здесь используется машина состояний со множеством разрешенных комбинаций состояний и некоторым набором начальных позиций. В данной модели исследуется поведение множественных композиций функций перехода из одного состояния в другое.

Важную роль в теории защиты информации играет модель защиты Кларка-Вильсона (Clark-Wilson), опубликованная в 1987 году и модифицированная в 1989. Основана данная модель на повсеместном использовании транзакций и тщательном оформлении прав доступа субъектов к объектам. Но в данной модели впервые исследована защищенность третьей стороны в данной проблеме – стороны, поддерживающей всю систему безопасности. Эту роль в информационных системах обычно играет программа-супервизор. Кроме того, в модели Кларка-Вильсона транзакции впервые были построены по методу верификации, то есть идентификация субъекта производилась не только перед выполнением команды от него, но и повторно после выполнения. Это позволило снять проблему подмены автора в момент между его идентификацией и собственно командой. Модель Кларка-Вильсона считается одной из самых совершенных в отношении поддержания целостности информационных систем.

Категории информационной безопасности

С точки зрения информационной безопасности информация обладает следующими категориями:

1. Конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для которого она предназначена; нарушение этой категории называется хищением либо раскрытием информации.

2. Целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения.

3. Ааутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения.

4. Апеллируемость – довольно сложная категория, но часто применяемая в электронной коммерции – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости – сам автор пытается «откреститься» от своих слов, подписанных им однажды.

Категории информационной безопасности. Информация с точки зрения информационной безопасности обладает следующими категориями (признаками): конфиденциальность — гарантия того

Информация с точки зрения информационной безопасности обладает следующими категориями (признаками):

• конфиденциальность — гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации;
• целостность — гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; преднамеренное нарушение этой категории называется фальсификацией информации; целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий);
• доступность — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа к ней.

Иногда добавляют еще два пункта:

• аутентичность — гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией автора;
• апеллируемость — довольно сложная категория, но часто применяемая в электронной коммерции — гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости — сам автор пытается «откреститься» от своих слов, подписанных им однажды.

В отношении информационных систем вцелом применяются несколько иные категории:

• надежность — гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано;
• точность — гарантия точного и полного выполнения всех команд
• контроль доступа — гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются;
• контролируемость — гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса;
• контроль идентификации — гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдаёт;
• устойчивость к умышленным сбоям — гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.

Категории информации с точки зрения информационной безопасности

Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельно

jar—> txt fb2 ePub html

на телефон придет ссылка на файл выбранного формата

Шпаргалки на телефон — незаменимая вещь при сдаче экзаменов, подготовке к контрольным работам и т.д. Благодаря нашему сервису вы получаете возможность скачать на телефон шпаргалки по защите информации (ЗИ). Все шпаргалки представлены в популярных форматах fb2, txt, ePub , html, а также существует версия java шпаргалки в виде удобного приложения для мобильного телефона, которые можно скачать за символическую плату. Достаточно скачать шпаргалки по защите информации (ЗИ) — и никакой экзамен вам не страшен!

Не нашли что искали?

Если вам нужен индивидуальный подбор или работа на заказа — воспользуйтесь этой формой.

Обеспечить управление и поддержку в области информационной безопаснос

Категории информационной безопасности

Информация с точки зрения информационной безопасности обладает следующими категориями:

конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации

целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения

аутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения

апеллируемость – довольно сложная категория, но часто применяемая в электронной коммерции – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости – сам автор пытается «откреститься» от своих слов, подписанных им однажды.

В отношении информационных систем применяются иные категории:

надежность – гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано

точность – гарантия точного и полного выполнения всех команд

контроль доступа – гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются

контролируемость – гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса

контроль идентификации – гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает

устойчивость к умышленным сбоям – гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.

Основные определения и критерии классификации угроз

Угроза — это потенциальная возможность определенным образом нарушить информационную безопасность.

Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, — злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Атака на информацию – это умышленное нарушение правил работы с информацией. На сегодняшний день примерно 90% всех атак на информацию производят ныне работающие либо уволенные с предприятия сотрудники. При хранении, поддержании и предоставлении доступа к любому информационному объекту его владелец, либо уполномоченное им лицо, накладывает явно либо самоочевидно набор правил по работе с ней. Умышленное их нарушение классифицируется как атака на информацию.

Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).

Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС.

Если речь идет об ошибках в ПО, то окно опасности «открывается» с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих.

Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда — недель), поскольку за это время должны произойти следующие события:

1. должно стать известно о средствах использования пробела в защите;

2. должны быть выпущены соответствующие заплаты;

3. заплаты должны быть установлены в защищаемой ИС.

Угрозы можно классифицировать по нескольким критериям:

1. по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;

2. по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

3. по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);

4. по расположению источника угроз (внутри/вне рассматриваемой ИС).

Наиболее распространенные угрозы доступности

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.

Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь — следствие непреднамеренных ошибок.

Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе.

Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками — максимальная автоматизация и строгий контроль.

Другие угрозы доступности классифицируем по компонентам ИС, на которые нацелены угрозы:

внутренний отказ информационной системы;

отказ поддерживающей инфраструктуры.

Обычно применительно к пользователям рассматриваются следующие угрозы:

нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);

невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.);

невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).

Основными источниками внутренних отказов являются:

отступление (случайное или умышленное) от установленных правил эксплуатации;

выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);

ошибки при (пере)конфигурировании системы;

отказы программного и аппаратного обеспечения;

разрушение или повреждение аппаратуры.

По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:

нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;

разрушение или повреждение помещений;

невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Весьма опасны так называемые «обиженные» сотрудники — нынешние и бывшие. Как правило, они стремятся нанести вред организации-«обидчику», например:

встроить логическую бомбу, которая со временем разрушит программы и/или данные;

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны нанести немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

Опасны, разумеется, стихийные бедствия и события, воспринимаемые как стихийные бедствия,- пожары, наводнения, землетрясения, ураганы. По статистике, на долю огня, воды и тому подобных «злоумышленников» (среди которых самый опасный — перебой электропитания) приходится 13% потерь, нанесенных информационным системам.

Похожие вопросы

• Защитаинформации (ЗИ) — Категорииинформационнойбезопасности
  Информация с точки зрения информационнойбезопасности обладает следующими категориями
• Шпаргалки позащитеинформации (ЗИ)
  Категорииинформационнойбезопасности. Информация с точки зрения информационнойбезопасности обладает следующими категориями: • кон. подробнее ».
• Шпаргалки позащитеинформации (ЗИ)
  Категорииинформационнойбезопасности. Информация с точки зрения информационнойбезопасности обладает следующими категориями: • кон. подробнее ».
• Защитаинформации (ЗИ) — . информационнойбезопасности
  Категорииинформационнойбезопасности. Информация с точки зрения информационнойбезопасности обладает следующими категориями
• Защитаинформации (ЗИ) — Требования к политике безопасности в рамках.
  Категорииинформационнойбезопасности. Информация с точки зрения информационнойбезопасности обладает следующими категориями
• Защитаинформации (ЗИ) — . Классификация информационных объектов
  Безотказность, или надежность доступа к информации, является одной из категорийинформационнойбезопасности.
• Поиск информации
  Категорииинформационнойбезопасности …
  Защитаинформации: сущность, методы и средства. Организация защитыинформации в информационных системах. …
• Экзамен по информатике — Информационный процесс, понятие, структура.
  Действия, выполняемые с информацией, называются информационными процессами.
  Защитаинформации. Человеку свойственно ошибаться.
• Экзамен по информатике — . защитыинформации в информационных.
  Безопасностьинформации в информационной системе обеспечивается способностью этой системы сохранять конфиденциальность информации при ее вводе, выводе, передаче.
• Шпаргалки по безопасности жизнедеятельности
  Шпаргалки по безопасности жизнедеятельности в нескольких комплектах. Каждый комплект упакован в удобное приложение для телефона.

найдено похожих страниц:10

Информационная безопасность

Информация, особенно в электронном виде, может быть представлена в разных видах. Информацией можно считать и отдельный файл, и базу данных, и одну запись в ней, и целиком программный комплекс. Все эти объекты могут подвергнуться и подвергаются атакам со стороны асоциальных лиц. При хранении, поддержании и предоставлении доступа к любому информационному объекту его владелец или уполномоченное им лицо накладывает набор правил по работе с ней. Умышленное их нарушение классифицируется как атака на информацию.

1. Ситуация в области информационной безопасности.

Компьютерные атаки приносят и огромный моральный ущерб. Никакому пользователю компьютерной сети не хочется, чтобы его письма кроме адресата получили еще 5-10 человек, или, весь текст, набираемый на клавиатуре, копировался в буфер, а затем при подключении к Интернет оправлялся на определенный сервер. А именно так часто и происходит. Несколько интересных цифр об атаках на информацию. Основные причины повреждений электронной информации распределяются следующим образом. Неумышленная ошибка человека — 52 % случаев, умышленные действия человека — 10 % случаев, отказ техники — 10 % случаев, повреж- дения в результате пожара — 15 % случаев, повреждения водой — 10 % случаев. Каждый десятый случай повреждения электронных данных связан с компьютерными атаками.

Что именно предпринимают злоумышленники, добравшись до информации, в 44 % случаев взлома были произведены непосредственные кражи денег с электронных счетов, в 16 % случаев выводилось из строя программное обеспечение, столь же часто — в 16 % случаев — проводилась кража информации с различными последствиями, в 12 % случаев информация была сфальси- фицирована, в 10 % случаев злоумышленники с помощью компьютера заказали услуги, к которым в принципе не должны были иметь доступа.

2. Категории безопасности.

В отношении информационных систем применяются иные категории — надежность, точность, контроль доступа, контролируемость, контроль идентификации, устойчивость к умышленным сбоям. Надежность — гарантия того, что система в нормальном и внештатном режимах ведет себя так, как запланировано. Точность — гарантия точного и полного выполнения всех команд. Контроль доступа — гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса. Контроль идентификации — гарантия того, клиент, подключенный в данный момент к системе, является именно тем, за кого он себя выдает. Устойчивость к умышленным сбоям — гарантия того, что при умышленным внесении ошибок в пределе заранее оговоренных норм система будет вести себя нормально.

3. Модели защиты информации.

Сазерлендская модель защиты делает акцент на взаимодействии субъектов и потоков информации. Здесь используется машина состояний со множеством разрешенных комбинаций состояний и набором начальных позиций. В данной модели исследуется поведение множественных композиций функций перехода из одного состояния в другое.

Важную роль в теории защиты информации играет модель Кларка-Вилсона. Основана данная модель на повсеместном использовании транзакций и оформлении прав доступа субъектов к объектам. В данной модели впервые исследована защищенность третьей стороны в данной проблеме — стороны, поддерживающей всю систему безопасности. Эту роль в информационных системах обычно играет программа-супервизор. В модели Кларка-Вилсона транзакции впервые были построены по методу верификации, то есть идентификация субъекта перед выполнением команды от него и повторно после выполнения. Это позволило снять проблему подмены автора в момент между его идентификацией и собственно командой. Модель Кларка-Вилсона считается одной из совершенных в отношении поддержания целостности информационных систем.

4. Известные методы взлома.

Например, при работе в сети Интернет не существует надежного автоматического подтверждения того, что данный пакет пришел именно от того отправителя (IP-адреса), который заявлен в пакете. Это позволяет даже при применении надежного метода идентификации первого пакета подменять все остальные, просто заявляя, что все они пришли тоже с этого IP-адреса.

Примерно та же проблема существует в сети Novell Netware — в ней сервер может поддерживать одновременно до 254 станций, и при наличии мощной системы идентификации аутентификация пакета ведется только по номеру станции. Это позволяет проводить следующую атаку — в присутствии в сети клиента-супервизора злоумышленнику достаточно послать 254 пакета с командой серверу, которую он хочет исполнить, перебрав в качестве псевдоотправителя все 254 станции. Один из отправленных пакетов совпадет с номером соединения, на котором находится клиент-супервизор и команда будет принята сервером к исполнению. Остальные 253 пакета будут проигнорированы.

В отношении шифрования — мощного средства защиты передаваемой информации от прослушивания и изменения — можно привести следующий метод, неоднократно использованный на практике. Злоумышленник, не зная пароля, которым зашифрованы данные или команды, передаваемые по сети, не может прочесть их или изменить. Но если у него есть возможность наблюдать, что происходит в системе после получения конкретного блока данных, то он может, не раскодируя информацию, послать ее повторно и добьется результатов, аналогичных команде супервизора.

Все это заставляет разработчиков защищенных систем постоянно помнить о простых и очевидных способах проникновения в систему и предупреждать их в комплексе.

5. Терминалы защищенной системы.

При использовании терминалов с физическим доступом нужно соблюдать следующие требования. Защищенность терминала должна соответствовать защищенности помещения. Терминалы без пароля могут присутствовать только в тех помещениях, куда имеют доступ лица с соответствующим лил более высоким уровнем доступа. Отсутствие имени регистрации возможно только в том случае, если к терминалу имеет доступ только один человек, либо если на группу лиц, имеющих доступ, распространяются общие меры ответственности. Терминалы, установленные в публичных местах должны всегда запрашивать имя регистрации и пароль. Системы контроля за доступом в помещение с установленным терминалом должны работать полноценно и в соответствии с общей схемой доступа к информации. В случае установки терминала в местах с большим скоплением народа клавиатура и дисплей должны быть оборудованы устройствами, позволяющему видеть их только работающему в данный момент клиенту (непрозрачные пластмассовые или стеклянные ограждения).

При использовании удаленных терминалов необходимо соблюдать следующие правила. Любой удаленный терминал должен запрашивать имя регистрации и пароль. Того, чтобы якобы никто не знает шестизначного номера вашего служебного модема, не достаточно для конфиденциальности вашей системы. При наличии специального программного обеспечения, которое можно найти в сети Интернет, и тонового набора для одного звонка достаточно 4 секунд. Это означает, что за одну минуту можно перебрать около 15 номеров телефонной станции с тем, чтобы узнать существует ли на этом телефонном номере модем. За час таким образом можно перебрать 1000 номеров, а за рабочий день повтором в ночное время всю АТС — 10000 номеров. Подобные операции производятся довольно часто, особенно в отношении фирм, связанных с компьютерами и компьютерными сетями, а также в отношении промышленных предприятий. Вторым требованием является своевременное отключение всех модемов, не требующихся в данный момент фирме (по вечерам или во время обеда), либо не контролируемых в данный момент вашими сотрудниками. По возможности следует использовать схему возвратного звонка от модема, поскольку она гарантирует с уровнем надежности АТС то, что удаленный клиент получил доступ с определенного телефонного номера. Из log-in запроса терминала рекомендуется убрать все непосредственные упоминания имени фирмы, ее логотипы — это не позволит компьютерным вандалам перебирающим номера с модемами, узнать log-in какой фирмы они обнаружили. Для проверки правильности соединения можно использовать неординарную приветственную фразу, афоризм или фиксированную последовательность букв и цифр, которые будут запоминаться у постоянных операторов этого терминала. Также при входе в систему рекомендуется выводить на экран предупреждение о том, что вход в систему без полномочий преследуется по закону.

Безотносительно от физического или коммутируемого доступа к терминалу, линия, соединяющая терминал с зоной ядра информационной системы должна быть защищена от прослушивания или весь обмен информацией должен вестись по конфиденциальной схеме идентификации и надежной схеме аутентификации клиента. Дальнейшие действия взломщика, получившего доступ к терминальной точке входа могут развиваться по двум основным направлениям. Попытки выяснения пароля прямо или косвенно и попытки входа в систему, совершенно без знания пароля, основываясь на ошибках в реализации программного или аппаратного обеспечения.

Классификатор данных с точки зрения безопасности

В статье Алана Поллера «Ключевые моменты безопасности» (Computerworld Россия № 38 за 1999 год), где в очередной раз поднимается вопрос о построении эффективной системы защиты информации предприятия, особо отмечена важность определения необходимого уровня безопасности, требующегося для компании. Каким же образом оценить этот уровень и, самое главное, какие информационные (программные и/или аппаратные) ресурсы выбирать при построении системы защиты?

Для определения уровня безопасности информационных систем существует множество материалов: это и знаменитые Оранжевая и Красная книги в США (DoD 5200.28-STD и NCSC-TG-005), и аналогичные документы в других странах. Каждый руководитель предприятия или начальник службы безопасности на основе этих данных способен определить уровень безопасности системы. При этом есть возможность не ограничиваться абстрактными буквенно-цифровыми сочетаниями вроде С2 или В1, которые любят употреблять поставщики ИТ-продуктов, и использовать подробные описания способов доступа, политики безопасности, учета пользователей, аудита, тестирования и многих других параметров, которые приведены в указанных материалах.

Таким образом, проведя определенную работу, можно в большей или меньшей степени описать существующую на предприятии или приобретаемую систему в приемлемых и понятных терминах, например: Модуль 1 — уровня С2, Подсистема 3 — уровня D и т. д.

Но возникает другая проблема: мы знаем уровень безопасности данной системы, но какой уровень безопасности нужен нам? Было бы заманчиво иметь некий классификатор данных, в котором было бы четко указано, например: «Электронный файл формата TXT, содержащий устав ООО с уставным фондом в 1 млн. долл., должен храниться и обрабатываться только в информационных системах уровня Х9». Согласитесь, это значительно упростило бы жизнь: если упомянутый устав — это самый серьезный ваш документ, то приобретайте систему уровня не ниже Х9 и будете счастливы.

Существуют общие рекомендации, например такие: «Для коммерческих банков приемлемым уровнем безопасности является С2». Но ведь и банки бывают разные, и национальные классификаторы включают в себя множество подробностей.

На самом деле разработать единый классификатор вряд ли возможно из-за обилия видов информационных объектов (документов, таблиц, баз данных и пр.). Однако можно попытаться разработать общую методику. Этим мы и займемся.

Прежде чем начать — одно небольшое замечание: используемые в настоящем материале термины («информация», «хранение», «обработка» и др.) будут интуитивно верно поняты большинством специалистов, однако в реальном документе-классификаторе они должны быть четко определены. Мы же сформулируем для себя лишь определения информационного объекта и субъекта как (соответственно) пассивного и активного участника взаимодействий в информационном пространстве.

Классификация объектов и субъектов

Классификацию субъектов информационной деятельности произведем следующим образом:

• субъект, создающий объекты;
• субъект, использующий объекты;
• субъект, администрирующий объекты (то есть обеспечивающий среду работы с объектами других субъектов);
• субъект, контролирующий использование объектов субъектами.

Каждый конкретный субъект может совмещать в себе несколько или все указанные классификационные сущности.

Классификацию важности информационного объекта произведем исходя из триединой сущности способов обработки информации с точки зрения информационной безопасности, а именно:

• объект должен быть доступен только тем субъектам, которые имеют на это право (данную сущность назовем конфиденциальностью );
• вносить изменения в состояние объекта могут только те субъекты, которые имеют на это право (сущность целостность или достоверность);
• для субъектов, обладающих необходимым уровнем прав, объект должен быть доступен в течение времени, необходимого для работы с ним ( доступность ).

Для более сложных способов работы с объектами можно дополнительно ввести понятия неотрекаемости (невозможности для субъекта отрицать факт создания, внесения изменения, рассылки, получения объекта) и понятия подотчетности (фиксацию всех значимых действий субъекта с объектом). Но мы не будем перегружать настоящий материал. Поняв общую схему классификации, несложно распространить ее и на другие понятия.

Категории информации

По наличию (доступность)

• Критическая — без нее работа субъекта останавливается (Д0).
• Очень важная — без нее можно работать, но очень короткое время (Д1).
• Важная — без нее можно работать некоторое время, но рано или поздно она понадобится (Д2).
• Полезная — без нее можно работать, но ее использование экономит ресурсы (Д3).
• Несущественная — устаревшая или неиспользуемая, не влияющая на работу субъекта (Д4).
• Вредная — ее наличие требует обработки, а обработка ведет к расходу ресурсов, не давая результатов либо принося ущерб (Д5). (В определенных организациях может понадобиться и такой параметр.)

По несанкционированной модификации (целостность)

• Критическая — ее несанкционированное изменение приведет к неправильной работе всего субъекта или значительной его части, последствия неизменяемы (Ц0).
• Очень важная — ее несанкционированное изменение приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия неизменимы (Ц1).
• Важная — ее несанкционированное изменение приведет к неправильной работе части субъекта через некоторое время, если не будут предприняты некие действия; последствия изменяемы (Ц2).
• Значимая — ее несанкционированное изменение скажется через некоторое время, но не приведет к сбою в работе субъекта; последствия изменяемы (Ц3).
• Незначимая — ее несанкционированное изменение не скажется на работе системы (Ц4).

(Аналогичным образом вместо «несанкционированного изменения» можно рассмотреть понятие «санкционированное изменение, которое не было произведено вовремя».)

По разглашению (конфиденциальность)

• Критическая — ее разглашение приведет к краху работы субъекта или значительным его материальным потерям (К0).
• Очень важная — ее разглашение приведет к значительным материальным потерям, если не будут предприняты некоторые действия (К1).
• Важная — ее разглашение приведет к некоторым материальным (может быть, косвенным) или моральным потерям, если не будут предприняты некие действия (К2).
• Значимая — приносит скорее моральный ущерб, может быть использована только в определенных ситуациях (К3).
• Малозначимая — может принести моральный ущерб в очень редких случаях (К4).
• Незначимая — не влияет на работу субъекта. (К5)

Каждая из указанных выше сущностей имеет свой жизненный цикл, по истечении периодов которого степень важности объекта, как правило, снижается.

Субъекты информационного пространства

Определим следующие группы по способам работы с информацией.

А. Один субъект владеет информацией, самостоятельно обрабатывает ее без передачи другим субъектам. В этом случае он сам контролирует все способы работы и классификацию информации.

Б. Один субъект владеет информацией и передает ее для использования субъекту или группе субъектов. При этом он должен произвести классификацию информации, определить правила ее использования и ознакомить с ними пользователей либо уполномочить другого субъекта (или нескольких субъектов) на выполнение этих действий.

В. Группа субъектов использует один и тот же информационный объект (в целом или различные его части) или совокупность объектов без явно выраженного права владения, однако хотя бы по одному из параметров классификации объект превышает следующее Д3, Ц3 или К4. В этом случае необходимо произвести разделение субъектов на пользователей, администраторов и контролеров.

Г. Субъект или группа субъектов использует информацию, владелец которой находится вне самой организации. В этом случае субъекты следуют правилам использования информации, определенной владельцем в рамках законодательного пространства страны.

Д. Группа субъектов использует информационные объекты широкого или неопределенного доступа. В этом случае работа с объектами производится без ограничений, в рамках законодательного пространства страны.

Рассматриваемый нами Классификатор, как корпоративный нормативный документ, определяет виды и способы работы информационных объектов, относящихся к группе В.

Обязанности и ответственность субъектов

В соответствии с описанными группами субъектов будем различать следующие обязанности субъектов по жизненным стадиям информации.

• Субъекты-администраторы (далее просто администраторы) должны обеспечить наличие условий для создания, использования, передачи и хранения объектов в соответствии с задачами, определяемыми уполномоченными субъектами-пользователями (далее пользователями), а также создать условия для осуществления контроля со стороны субъектов-контролеров (далее контролеров) за действиями как пользователей, так и администраторов.
• Контролеры должны разработать (и при необходимости дорабатывать) правила, по которым пользователи будут работать с объектами. Кроме того, они должны произвести классификацию информационных объектов, обеспечить ознакомление пользователей с правилами и классификацией, а также контролировать соблюдение этих правил.
• Пользователи должны работать с объектами в рамках разработанных правил.

Во врезках к статье приведены примеры классификации данных. Применительно к конкретным организациям некоторые требования могут быть завышенными, другие, наоборот, заниженными, третьи — могут и должны быть изменены.

Надеюсь, предлагаемая модель классификатора поможет соответствующим специалистам создать рабочий «боевой» документ.

Искандер Конеев — начальник отдела безопасности компьютерных систем Национального банка Узбекистана. С ним можно связаться по электронной почте ikoneev@central.nbu.com

Способы работы с классифицированной информацией (пример)

По приведенным ниже классифицированным параметрам информационных объектов необходимо выполнять следующие правила.

Для объектов уровня Д0

Обязательное географически распределенное хранилище объекта (кластеризация, зеркалирование, дуплексирование и пр.), а также ежедневное резервное копирование на внешний носитель.

Санкционированную возможность управления доступом к объекту должны иметь не более двух администраторов, при этом следует обеспечить возможность аварийного администрирования объекта в случае отсутствия администраторов.

Администраторы должны иметь широко известные средства коммуникационного контакта и возможность оперативного оповещения в случае сбоя в работе объекта.

Доступ к внешнему носителю с резервной копией должен быть физически ограничен. Количество субъектов, имеющих право доступа, не может превышать пяти. Факты использования резервной копии подлежат регистрации, так же как и все действия по управлению объектом.

Необходимо разработать строгие и однозначные правила работы с объектом, процедуры для осуществления контроля и способы реакции на нарушения в работе объекта.

Контроль действий должен производиться не реже одного раза в рабочий день.

Предусматривается создание аварийных планов на случай временной частичной или полной недоступности объекта.

Пользователи должны строго придерживаться правил работы с объектом, не пытаясь получать доступ к другим объектам, кроме предназначенного для них в соответствии с их функциональными обязанностями.

При невозможности получения доступа к объекту немедленно обратиться к администратору.

Для объектов уровня Д1

Обязательное резервное копирование объекта на жесткий диск не реже трех раз в день и ежедневное копирование на внешний носитель. Наличие холодного резервирования средств хранения и обработки.

Санкционированную возможность управления доступом к объекту должны иметь не более двух администраторов, при этом должна быть обеспечена возможность аварийного администрирования объекта в случае отсутствия администраторов.

Администраторам надлежит иметь широко известные средства коммуникационного контакта и возможность оперативного оповещения в случае сбоя в работе объекта.

Доступ к внешнему носителю с резервной копией должен быть физически контролируем, случаи использования резервной копии следует регистрировать.

Все действия по управлению объектом должны регистрироваться.

Необходимо разработать строгие и однозначные правила работы с объектом, процедуры для осуществления контроля и способы реакции на нарушения в действиях объекта.

Контроль действий производится не реже одного раза в рабочий день.

Должны быть разработаны аварийные планы на случай временной частичной или полной недоступности объекта.

Пользователи обязаны строго придерживаться правил работы с объектом, не пытаясь получать доступ к объекту помимо определенного для них в соответствии с их функциональными обязанностями.

При невозможности получения доступа к объекту немедленно обратиться к администратору.

Для объектов уровня Д2

Обязательное ежедневное резервное копирование на внешний носитель.

Санкционированную возможность управления доступом к объекту должны иметь не более трех пользователей. Необходимо определить одного администратора. Следует обеспечить возможность аварийного администрирования.

Доступ к внешнему носителю с резервной копией должен контролироваться.

Действия по изменению размещения объекта или правил доступа к объекту подлежат регистрации.

Предусмотрены процедуры для осуществления контроля.

Контроль действий должен производиться не реже одного раза в неделю.

Пользователи должны придерживаться правил работы с объектом, не пытаясь получать доступ к другому объекту помимо определенного для них в соответствии с их функциональными обязанностями.

При невозможности получения доступа к объекту следует обратиться к администратору или пользователям, управляющим доступом.

Для объектов уровня Д3

Работа с полезной информацией оставляется на усмотрение пользователей информации.

Для объектов уровня Д4

Для объектов уровня Д5

Необходимо обеспечить доступными средствами ограничение попадания информации данного класса пользователям.

Необходимо наличие регламента использования такой информации и процедур контроля за расходом пользователями ресурсов на информацию данного класса.

При обнаружении подобной информации пользователь должен принять меры к ее уничтожению и сообщить администратору или контролеру.

Для объектов уровня Ц0 и Ц1

Необходимо обеспечить право на модификацию только для авторизованных, идентифицируемых пользователей по предъявлению пароля.

Предусматривается разделение прав на модификацию данных (внесение изменения/авторизация изменения) и ведение регистрационного журнала изменений.

Для хранения и обработки объектов класса Ц0 предпочтительно использовать средства хранения, не включенные в общую компьютерную сеть.

Следует разработать строгие и однозначные правила модификации объекта, процедуры для осуществления контроля и способы реакции на несанкционированные модификации объекта.

Проверка регистрационного журнала изменений должна осуществляться не реже одного раза в рабочий день.

Пользователи обязаны придерживаться правил работы с объектом, не пытаясь модифицировать объект вне рамок своих функциональных обязанностей, сохранять в тайне пароль на модификацию и не пытаться получить доступ к чужим паролям. С другой стороны, они должны осуществлять санкционированные модификации в соответствии с временным графиком и в рамках своих полномочий.

На каждую модификацию информации данной категории должен быть документ в виде твердой копии соответствующей формы.

При обнаружении модификации объекта, подозрительно похожей на несанкционированную, немедленно сообщить контролеру.

Для объектов уровня Ц2

Обеспечить права на модификацию только для авторизованных, идентифицируемых пользователей по предъявлению пароля.

Заполнять регистрационный журнал изменений.

Следует разработать правила модификации объекта, процедуры для осуществления контроля и способы реакции на несанкционированные модификации объекта.

Проверка регистрационного журнала изменений должна осуществляться не реже двух раз в неделю.

Пользователи должны строго придерживаться правил работы с объектом, не пытаясь модифицировать объект вне рамок своих функциональных обязанностей, сохранять в тайне пароль на модификацию и не пытаться получить доступ к чужим паролям. С другой стороны, пользователи должны осуществлять санкционированные модификации строго в соответствии с временным графиком и в рамках своих полномочий.

При обнаружении модификации объекта, подозрительно похожей на несанкционированную, немедленно сообщить контролеру.

Для объектов уровня Ц3

Определение способов работы с объектами данного класса оставлено на усмотрение пользователей объекта.

Для объектов уровня Ц4

Определение способов работы с объектами данного класса не регламентируется.

Для объектов уровня К0

Запрещено хранение объектов данного типа в электронном виде.

Необходимо обеспечить подписание пользователями объекта обязательства о неразглашении информации.

Для объектов уровня К1

Работа с объектами данного типа возможна только на отдельно стоящих компьютерах или гарантированно защищенных от удаленного доступа.

В этом случае пользователь информации является одновременно ее администратором и контролером, предоставляя ее для использования другим пользователям только в личном присутствии и под личным контролем.

Необходимо обеспечить подписание пользователями обязательства о неразглашении информации.

Для объектов уровня К2

Право на ознакомление с информацией предоставляется только авторизованным, идентифицируемым пользователям по предъявлению пароля и/или ключа на внешнем носителе.

Необходимо заполнять регистрационный журнал доступа.

Следует разработать правила использования объекта, процедуры для осуществления контроля.

Проверка регистрационного журнала изменений доступа должна осуществляться не реже одного раза в день.

Необходимо обеспечить подписание пользователями обязательства о неразглашении информации.

Пользователи должны строго придерживаться правил работы с объектом, не пытаясь использовать объект вне рамок своих функциональных обязанностей, сохранять в тайне пароль на доступ и не пытаться получить доступ к чужим паролям.

Для объектов уровня К3

В зависимости от специфики конкретной информации используются те же требования, что и в К2 или К4.

Для объектов уровня К4

Определение способов работы с объектами данного класса возложено на пользователей объекта.

Для объектов уровня К5

Определение способов работы с объектами данного класса не регламентируется.

Поделитесь материалом с коллегами и друзьями