Основные требования по защите конфиденциальной информации




Основные пилы угроз информационной безопасности организации

Явление, действие или процесс, результатом которых могут быть утечка, хищение, утрата, искажение, подделка, уничтожение, модификация, блокирование информации, определяются как факторы, воздействующие на информацию.

Основными видами угроз информационной безопасности организации являются: противоправные действия третьих лиц, ошибочные действия пользователей и обслуживающего персонала, отказы и сбои программных средств, вредоносные программные воздействия на средства вычислительной техники и информацию.

Кроме действий человека (умышленные, ошибочные или случайные) источниками угроз информационной безопасности являются сбои и отказы программных и технических средств вычислительной техники, техногенные катастрофы, акты терроризма, стихийные бедствия и др.

Понятие "утечка" связано только с информацией ограниченного доступа (конфиденциальной) и в общем случае трактуется как выход ее из сферы обращения. Под утечкой понимается несанкционированный доступ (НСД) к информации, т. е. доступ в нарушение правил разграничения доступа к информации, которые устанавливает обладатель конфиденциальной информации или автоматизированной информационной системы, в которой эта информация циркулирует. При этом рассматривается только доступ к информации посредством применяемых в автоматизированных системах информационных технологий и непосредственный доступ к носителям информации.

В отличие от утечки информации блокирование, модификация, искажение и уничтожение объекта защиты могут произойти как вследствие несанкционированного доступа человека к информации, циркулирующей в АИС, так и по причинам, не зависящим от человека. При этом искажение и уничтожение объекта защиты, например изменение или замена программ управления вычислительным процессом, также могут привести к утечке информации.

НСД не всегда влечет за собой утечку, блокирование, искажение или уничтожение объекта защиты, что. в свою очередь, нс всегда приводит к значимому ущербу. Тем нс менее НСД к информации определяется как основополагающий фактор нарушения информационной безопасности при рассмотрении проблем обеспечения зашиты информации и противодействия угрозам.

Угроза информационной безопасности может быть обусловлена только наличием уязвимостей объекта защиты. Уязвимость это свойство АИС или ее компонентов, используя которое реализуются угрозы. Уязвимость возникает в основном, из-за недоработок или ошибок, содержащихся в продуктах информационных технологий, а также вследствие ошибок при проектировании автоматизированных информационных систем, которые могут привести к поведению. неадекватному целям обеспечения се безопасности. Кроме того, уязвимости могут появляться в результате неправильной эксплуатации системы.

Для конкретной АИС как объекта защиты характерна своя совокупность угроз, зависящая от условий, в которых создается или функционирует система.

3. Основные требования и меры по защите конфиденциальной информации, циркулирующей в эксплуатируемой автоматизированной информационной системе.

 

Основные требования по защите конфиденциальной информации

Основные требования по защите информации должны основываться на положениях Федерального закона "Об информации, информационных технологиях и защите информации", РД "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)", РД "Автоматизированные системы. 'Защита от НСД к информации. Классификация АС и требования по защите информации" и других стандартах и руководящих документов. Эксплуатация АИС и системы защиты информации в ее составе также осуществляется в полном соответствии с утвержденной проектной организационно-распорядительной и эксплуатационной документацией.

Требования по защите информации устанавливаются в зависимости от состава (категории) конфиденциальной информации и потенциальных угроз. При этом минимально необходимая совокупность требований по системе защиты ВЭД организации, или, иными словами. АИС и информации, циркулирующей в ней. устанавливается стандартами и руководящими документами.

В зависимости от состава (категории) информации и потенциальных угроз для определения требуемых мероприятий по защите информации. а также для минимизации затрат на защиту информации устанавливаются два уровня информационной безопасности АИС.

Первый (базовый) уровень информационной безопасности устанавливается для АИС. в которых обрабатывается общедоступная информация, второй уровень - для АИС. в которых циркулирует конфиденциальная информация, или, иначе, осуществляется конфиденциальный электронный документооборот.

Конкретные требования по защите информации и мероприятия по их выполнению определяются для АИС в целом в зависимости от уровня информационной безопасности, устанавливаемого объекту защиты.

Требования по защите информации мероприятия по их выполнению. а также конкретные средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности на основании разрабатываемой модели угроз и действий нарушителя

 



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2020-05-09 Нарушение авторских прав и Нарушение персональных данных
 

Поиск по сайту:

Читайте также:

Деталирование сборочного чертежа

Когда производственнику особенно важно наличие гибких производственных мощностей?

Собственные движения и пространственные скорости звезд

Тема 11. Банковские риски и способы их оценки

Опросник «Активность повседневной жизни»

Интересно:

Роль грибов в заболеваниях растений

Роль химии в жизни человека

Что такое управление собой?

Зачем нужна стратификация

Обратная связь