Причины, виды и каналы утечки информации
Основными причинами утечки информации являются:
· несоблюдение персоналом норм, требований в работе с носителями конфиденциальной информацией, организационных требований и правил эксплуатации систем защиты (как умышленные, так и непреднамеренные);
· ошибки в проектировании систем защиты;
· ведение противостоящей стороной технической и агентурной разведок.
Существуют три вида утечки информации:
· разглашение;
· несанкционированный доступ к информации;
· получение конфиденциальной информацией разведками.
Под разглашением информации понимается несанкционированное доведение защищаемой информации до потребителей, не имеющих право доступа к защищаемой информации. То есть для того, чтобы разглашение информации состоялось, необходимо выполнение следующих условий: информация должна быть конфиденциальной; доведена до конкретного потребителя; последний не имеет к ней право доступа; доведение информации произошло без наличия соответствующего разрешения ее владельца.
Под несанкционированным доступом понимается получение защищаемой информации заинтересованными субъектами с нарушением установленных правовыми документами или владельцем информации прав или правил доступа к защищаемой информации. При этом заинтересованным субъектом, осуществляющим несанкционированный доступ к информации, может быть государство, юридические и физические лица. Отличие несанкционированного доступа от разглашения состоит в том, что НСД к информации происходит в результате преднамеренных действий заинтересованного субъекта, а разглашение может носить, как преднамеренный, так и случайный характер.
|
|
Получение защищаемой информацииразведками может осуществляться с помощью технических средств (техническая разведка) или агентурными методами (агентурная разведка).
Канал утечки информации – совокупность источника информации, материального носителя или среды распространения несущего указанную информацию сигнала и средства выделения информации из сигнала или носителя.
По виду носителя конфиденциальной информации канал утечки может создаваться через: людей; документы; изделия (образцы товаров или продукции); процессы.
Все каналы утечки данных можно разделить на косвенные и прямые. Косвенные каналы не требуют непосредственного доступа к техническим средствам информационной системы. Прямые соответственно требуют доступа к аппаратному обеспечению и данным информационной системы.
Примеры косвенных каналов утечки:
- кража или утеря носителей информации, исследование не уничтоженного мусора;
- дистанционное фотографирование, прослушивание;
|
|
- перехват электромагнитных излучений.
Примеры прямых каналов утечки:
- инсайдеры (человеческий фактор). Утечка информации вследствие несоблюдения персоналом режимных требований;
- прямое копирование.
Применительно к практике с учетом физической природы образования каналы утечки информации можно квалифицировать на следующие группы:
- визуально-оптические;
- акустические (включая и акустико-преобразовательные);
- электромагнитные (включая магнитные и электрические);
- материально-вещественные (бумага, фото, магнитные носители, производственные отходы различного вида - твердые, жидкие, газообразные).
Основные положения «Закона об информации, информационных технологиях и защите информации
Основными задачами системы защиты информации, нашедшими отражение в Законе "Об информации, информатизации и защите информации", являются:
· предотвращение утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т. п., вмешательства в информацию и информационные системы;
· сохранение полноты, достоверности, целостности информации, ее массивов и программ обработки данных, установленных собственником или уполномоченным им лицом;
|
|
· сохранение возможности управления процессом обработки, пользования информацией в соответствии с условиями, установленными собственником или владельцем информации;
· обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальности персональной информации, накапливаемой в банках данных;
· сохранение секретности или конфиденциальности информации в соответствии с правилами, установленными действующим законодательством и другими законодательными или нормативными актами;
· соблюдение прав авторов программно-информационной продукции, используемой в информационных системах.
В соответствии с законом:
· информационные ресурсы делятся на государственные и негосударственные (ст. 6, ч. 1);
· государственные информационные ресурсы являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа (ст. 10, ч. 1);
· документированная информация с ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную (ст. 10, ч. 2).
|
|
· Закон определяет пять категорий государственных информационных ресурсов:
· открытая общедоступная информация во всех областях знаний и деятельности;
· информация с ограниченным доступом:;
· информация, отнесенная к государственной тайне;
· конфиденциальная информация;
· персональные данные о гражданах (относятся к категории конфиденциальной информации, но регламентируются отдельным законом).
Статья 22 Закона "Об информации, информатизации и защите информации" определяет права и обязанности субъектов в области защиты информации. В частности, пункты 2 и 5 обязывают владельца информационной системы обеспечивать необходимый уровень защиты конфиденциальной информации и оповещать собственников информационных ресурсов о фактах нарушения режима защиты информации.
Дата добавления: 2020-04-25; просмотров: 2148; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!