Logo GenDocs.ru

Поиск по сайту:  

Загрузка...

Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности - файл 1.doc


Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности
скачать (2145 kb.)

Доступные файлы (1):

1.doc2145kb.06.12.2011 11:19скачать

1.doc

1   ...   6   7   8   9   10   11   12   13   14
^

ГЛАВА 14. АНАЛИЗ РИСКОВ
КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ




14.1. Основные этапы аудита ИБ





    • Технологический аудит.

    • Аудит системы управления ИБ (ISO 17799).

    • Анализ информационных рисков.


Технологический аудит

Применяемые методики:

    • NSA Infosec,

    • NIST,

    • OSSTM.

Модель нарушителя:

Нарушитель – субъект, имеющий физический доступ к корпоративной информационной системе и не обладающий правами доступа к логическим информационным ресурсам.

Объекты аудита:

    • Сетевая инфраструктура,

    • Серверы,

    • Рабочие станции.


Аудит системы управления информационной безопасностью (ISO 17799):

    • Организационные меры по обеспечению безопасности.

    • Классификация и управление ресурсами.

    • Безопасность персонала.

    • Физическая безопасность.

    • Управление коммуникациями и процессами.

    • Контроль доступа.

    • Разработка и техническая поддержка вычислительных систем.

    • Управление непрерывностью бизнеса.

    • Соответствие системы основным требованиям.

Анализ информационных рисков

Целью анализа информационных рисков является разработка экономически эффективной и обоснованной системы обеспечения информационной безопасности.

Задачами являются:

    • Комплексная оценка защищенности ИС;

    • Оценка стоимости информации (потенциального ущерба);

    • Оценка риска (вероятного ущерба);

    • Разработка комплексной системы обеспечения ИБ в соответствии с оценками информационных рисков.

Для чего необходим анализ информационных рисков?

    • Определение вероятного ущерба (риска) по существующим видам ценной информации,

    • Сравнение риска с затратами на обеспечение информационной безопасности,

    • Оценка эффективности затрат на обеспечение информационной безопасности.

^ Информационный риск – это величина, зависящая от уровня защищенности объекта и определяющаяся как:

РИСК = Р (вероятность реализации угрозы) * Стоимость ущерба

Критерии оценки защищенности информационных систем:

    • Количественные методы оценки;

    • Качественные методы оценки.

Критерии проведения аудита информационной безопасности:

    • Общепринятые международные стандарты;

    • Внутренние стандарты аудиторских компаний;

    • Ведомственные стандарты.



Стандарты безопасности. Международные стандарты:

    • ISO 17799

    • BSI

    • ISO 27001

    • Банковский стандарт ЦБ РФ (от 01.01.2006)
^

14.2. Британский стандарт ISO 17799:





    • Организационные меры по обеспечению безопасности.

    • Классификация и управление ресурсами.

    • Безопасность персонала.

    • Физическая безопасность.

    • Управление коммуникациями и процессами.

    • Контроль доступа.

    • Разработка и техническая поддержка вычислительных систем.

    • Управление непрерывностью бизнеса.

    • Соответствие системы основным требованиям.



^

14.3. Германский стандарт BSI





    • Методология управления ИБ.

    • Компоненты информационных технологий.

    • Каталоги угроз безопасности и контрмер (около 600 наименований в каждом каталоге).

Методология управления

    • организация менеджмента в области ИБ.

    • методология руководства.

Компоненты информационных технологий

    • Основные компоненты (организационный уровень ИБ, процедурный уровень, организация защиты данных, планирование действий в чрезвычайных ситуациях).

    • Инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа).

    • Клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты, прочие типы).

    • Сети различных типов (соединения "точка-точка", сети Novell NetWare, сети с ОС UNIX и Windows, разнородные сети).

    • Элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и т.д.).

    • Телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы).

    • Стандартное ПО.

    • Базы данных.


Каталоги угроз безопасности и контрмер

Угрозы по классам:

    • форс-мажорные обстоятельства;

    • недостатки организационных мер;

    • ошибки человека;

    • технические неисправности;

    • преднамеренные действия.

Контрмеры по классам:

    • улучшение инфраструктуры;

    • административные контрмеры;

    • процедурные контрмеры;

    • программно-технические контрмеры;

    • уменьшение уязвимости коммуникаций;

    • планирование действий в чрезвычайных ситуациях.



^

14.4. Сравнение подходов ISO 17799 и BSI



В британском стандарте декларируются некоторые общие принципы, которые предлагается конкретизировать применительно к исследуемым информационным технологиям.

Во второй части основное внимание уделено сертификации информационной системы на соответствие стандарту, то есть формальной процедуре, позволяющей убедиться, что декларируемые принципы реализованы. Объем стандарта сравнительно невелик  менее 120 страниц в обеих частях.

Недостатком британского стандарта являются высокие требования к квалификации специалистов, осуществляющих проверку на соответствие требованиям стандарта. Кроме того, в нем недостаточно учитывается специфика современных распределенных систем.

В германском стандарте, напротив, рассмотрено много "частных случаев"  различных элементов информационных технологий. Объем документа очень велик  несколько тысяч страниц; несомненно, он будет возрастать.

Такой подход имеет свои достоинства и недостатки.

Достоинство  учет специфики различных элементов. В частности, гораздо лучше, по сравнению с британским стандартом, рассмотрены особенности обеспечения ИБ в современных сетях.

Другим достоинством является использование гипертекстовой структуры, что позволяет оперативно вносить изменения и корректировать связи между частями стандарта. Последняя версия стандарта всегда доступна на Web.

Недостаток  невозможность объять необъятное  все множество элементов современных информационных технологий на одинаковом уровне детализации. Неизбежно приходится вводить раздел "прочее", в котором в общем виде рассматриваются менее распространенные элементы.

14.5. ISO 27001





    • Система управления информационной безопасностью (СУИБ).

    • Обязанности руководства компании.

    • Внутренний аудит СУИБ.

    • Проверки СУИБ руководством компании.

    • Совершенствование СУИБ.



Система управления информационной безопасностью:

    • Разработка и утверждение СУИБ;

    • Внедрение и функционирование СУИБ;

    • Мониторинг и пересмотр СУИБ;

    • Поддержание и совершенствование СУИБ;

    • Документы, необходимые для СУИБ.



Разработка и утверждение СУИБ:

    • Определение политики СУИБ;

    • Определение подходов к оценке рисков компании;

    • Определение рисков;

    • Анализ и оценка рисков;

    • Определение и оценка стратегии управления рисками;

    • Выбор мер защиты для снижения рисков;

    • Определение уровня приемлемого риска;

    • Утверждение СУИБ руководством компании;

    • Разработка Положения о Применимости.



Обязанности руководства компании:

    • Обязанности руководства компании при разработке, внедрении и поддержании СУИБ;

    • Предоставление необходимых ресурсов;

    • Обучение и тренинги сотрудников компании.



Внутренний аудит СУИБ

В ходе аудита проверяется:

    • Соответствие требованиям стандарта ISO 27001 и действующего законодательства;

    • Соответствие требованиям к информационной безопасности;

    • Эффективность внедрения и поддержания СУИБ;

    • Выполняются ли процедуры СУИБ на требуемом уровне.



Проверки СУИБ руководством компании

Объекты проверок:

    • результаты предыдущих аудитов СУИБ;

    • процедуры, используемые для увеличения эффективности СУИБ;

    • уязвимости и угрозы, не учтенные при предыдущей оценки рисков;

    • результаты оценки эффективности СУИБ;

    • действия, выполненные после предыдущих проверок;

    • любые изменения, которые могут повлиять на СУИБ;

    • рекомендации по совершенствованию СУИБ.


Результаты проверок:

    • совершенствование эффективности СУИБ;

    • обновление планов анализа рисков и управления рисками;

    • модификация процедур, влияющих на информационную безопасность;

    • оптимизация распределения ресурсов;

    • улучшение методов оценки эффективности требований СУИБ.



Совершенствование СУИБ:

    • Постоянное совершенствование СУИБ с помощью политики безопасности, результатов аудита, анализа инцидентов;

    • Корректирующие действия;

    • Превентивные действия.



^

14.6. Стандарт ЦБ РФ  обеспечение ИБ организаций банковской системы РФ





  1. Область применения.

  1. Нормативные ссылки.

  2. Термины и определения.

  3. Обозначения и сокращения.

  4. Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций банковской системы (БС) РФ.

  5. Основные принципы обеспечения информационной безопасности организаций БС РФ.

  6. Модели угроз и нарушителей информационной безопасности организаций БС РФ.

  7. Политика информационной безопасности организаций БС РФ.

  8. Система менеджмента информационной безопасности организации БС РФ.

  9. Проверка и оценка информационной безопасности организации БС РФ.

  10. Модель зрелости процессов менеджмента информационной безопасности организации БС РФ.

  11. Направления развития стандарта.


Основные особенности стандарта:

    • Бизнес ориентация стандарта;

    • Ориентация на лучшие западные стандарты;

    • Конфиденциальность, целостность, доступность;

    • Анализ и управление рисками;

    • Аудит безопасности;

    • Модели зрелости процессов менеджмента ИБ;

    • Менеджмент информационной безопасности.



Бизнес ориентация

    • Наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ для собственника  разработать на основе точного прогноза политику ИБ и в соответствии с ней построить систему управления ИБ.

    • Политика ИБ организаций БС РФ разрабатывается на основе принципов обеспечения ИБ организаций БС РФ, моделей угроз и нарушителей, идентификации активов, подлежащих защите, оценки рисков и с учетом особенностей и интересов конкретного собственника.

    • Собственник должен знать, что он должен защищать. Собственник должен знать и уметь выделять (идентифицировать) наиболее важный для его бизнеса информационный актив (ресурс).



Ориентация на лучшие западные стандарты

В соответствии с ISO 27001 (BS 7799:2) должны выделяться четыре основных процесса цикла:

  1. Планирование процессов выполнения требований ИБ;

  1. Реализация и эксплуатация защитных мер;

  2. Проверка процессов выполнения требований ИБ и защитных мер;

  3. Совершенствование процессов выполнения требований ИБ и защитных мер.



Модель зрелости процессов менеджмента ИБ

Нулевой уровень  полное отсутствие каких-либо процессов менеджмента ИБ в рамках деятельности организации. Организация не осознает существования проблем ИБ.

^ Первый уровень (“начальный”)  наличие документально зафиксированных свидетельств осознания организацией существования проблем обеспечения ИБ.

Процессы управления ИБ не стандартизованы, применяются эпизодически и бессистемно. Общий подход не выработан.

^ Второй уровень (“повторяемый”) – проработанность процессов менеджмента ИБ до уровня, когда их выполнение обеспечивается различными людьми, решающими одну задачу. Однако отсутствуют регулярное обучение и тренировки по стандартным процедурам, а ответственность возложена на исполнителя. Руководство в значительной степени полагается на знания исполнителей, что влечет за собой высокую вероятность возможных ошибок.

^ Третий уровень (“определенный”)  процессы стандартизованы, документированы и доведены до персонала посредством обучения. Однако порядок использования данных процессов оставлен на усмотрение самого персонала. Это определяет вероятность отклонений от стандартных процедур, которые могут быть не выявлены. Применяемые процедуры не оптимальны и недостаточно современны, но являются отражением практики, используемой в организации.

^ Четвертый уровень (“управляемый”)  обеспечиваются мониторинг и оценка соответствия используемых в организации процессов. При низкой эффективности реализуемых процессов управления ИБ обеспечивается их оптимизация. Процессы управления ИБ находятся в стадии непрерывного совершенствования и основываются на хорошей практике. Средства автоматизации управления ИБ используются частично и в ограниченном объеме.

^ Пятый уровень (“оптимизированный”) характеризует проработанность процессов управления ИБ до уровня лучшей практики, основанной на результатах непрерывного совершенствования и сравнения уровня зрелости относительно других организаций. Защитные меры в организации используются комплексно, обеспечивая основу совершенствования процессов управления ИБ. Организация способна к быстрой адаптации при изменениях в окружении и бизнесе.

Рекомендуемыми уровнями зрелости процессов менеджмента ИБ для организаций, способными обеспечить качественное предоставление основного набора банковских услуг, являются уровни не ниже четвертого.

    • разработана нормативная и распорядительная документация по ИБ (политика ИБ, должностные инструкции для персонала и т.п.);

    • создана организационная структура управления ИБ. Четко определена ответственность персонала за деятельность, связанную с обеспечением информационной безопасности;

    • финансирование ИБ осуществляется по отдельной статье бюджета организации;

    • есть назначенный куратор службы ИБ;

    • осуществляется приобретение необходимых средств обеспечения ИБ;

    • защитные меры (технические, технологические, организационные) встроены в АБС и банковские технологические процессы. В процессе внедрения защитных мер используется анализ затрат и результатов;

    • последовательно выполняется анализ ИБ организации и рисков нарушения ИБ, а также возможных негативных воздействий;

    • краткие занятия с работниками организации по вопросам обеспечения ИБ носят обязательный характер;

    • введена аттестация персонала по задачам обеспечения безопасности;

    • проверки на возможность вторжения в АБС являются стандартизованным и формализованным процессом;

    • осуществляется оценка соответствия организации требованиям ИБ;

    • стандартизованы идентификация, аутентификация и авторизация пользователей. Защитные меры совершенствуются с учетом накопленного в организации практического опыта;

    • уровень стандартизации и документирования процессов управления ИБ позволяет проводить аудит ИБ в достаточном объеме;

    • процессы обеспечения ИБ координируются со службой безопасности всей организации;

    • деятельность по обеспечению ИБ увязана с целями бизнеса;

    • руководство организации понимает проблемы ИБ и участвует в их решении через назначенного куратора службы ИБ из состава высшего руководства организации.

Низкий уровень зрелости одного процесса управления ИБ может негативно повлиять на общий рейтинг зрелости организации. Например, если уровень зрелости процесса контроля (мониторинга или аудита) системы менеджмента ИБ организации оценивается как низкий — нулевой, первый или второй, то общий рейтинг зрелости организации не может превышать уровень зрелости данного процесса.

^ Аудит безопасности

Аудит ИБ организаций банковской системы РФ может быть внутренним или внешним.

Порядок и периодичность проведения внутреннего аудита ИБ организации в целом (или ее отдельных структурных подразделений) определяется руководством организации на основе потребностей в такой деятельности.

Внешний аудит ИБ проводится независимыми аудиторами.

Цель аудита ИБ организации состоит в проверке и оценке ее соответствия требованиям настоящего стандарта и других принятых в организации нормативных актов по ИБ.

Аудит ИБ должен проводиться периодически. Внешний аудит ИБ организаций БС РФ должен проводиться не реже одного раза в год.

При проведении аудита ИБ организации должны использоваться стандартные процедуры документальной проверки, опрос и интервью с руководством и персоналом организации. При необходимости уточнения результатов документальной проверки, опросов и интервью в рамках внутреннего аудита ИБ в качестве дополнительного способа может применяться“проверка на месте”, которая проводится для обеспечения уверенности в том, что конкретные защитные меры реализуются, правильно используются и проверяются с помощью тестирования. Обстоятельства, при которых требуется дополнительный способ в рамках внутреннего аудита ИБ, должны быть определены и согласованы в плане проведения аудита ИБ в организации.

При проведении внешнего аудита ИБ руководство организации должно обеспечить документальное и, если это необходимо, техническое подтверждение того, что:

    • политика ИБ отражает требования бизнеса и цели организации;

    • организационная структура управления ИБ создана;

    • процессы выполнения требований ИБ исполняются и удовлетворяют поставленным целям;

    • защитные меры (например, межсетевые экраны, средства управления физическим доступом) настроены и используются правильно;

    • остаточные риски оценены и остаются приемлемыми для организации;

    • система управления ИБ соответствует определенному уровню зрелости управления ИБ;

    • рекомендации предшествующих аудитов ИБ реализованы.



Методики аудита ИБ

    • Good Practice

    • ^ GAO FISCAM

    • NSA INFOSEC Assessment Methodology

    • NIST


Good Practice

Стандарт создан ассоциацией Information Security Forum, которая существует более 11 лет и включает в себя более 240 ведущих организаций по всему миру.

Стандарт ориентирован на анализ безопасности ИТ системы компании с точки зрения функционирования и поддержания бизнес процессов компании.

Документ состоит из совокупности бизнес требований к системе, которые разделены на 5 областей:


    • Security Management (управление безопасностью);

    • Critical Business Applications (критичные бизнес-приложения);

    • Information Processing (обработка информации);

    • Communications networks (вычислительные сети);

    • Systems Development (разработка систем).

^ GAO FISCAM

GAO (General Accounting Office) и National State Auditors Association (NSAA) разработали документ: «Management Planning Guide for Information Systems Security Auditing»  «Руководство планирования и управления для аудита систем информационной безопасности».

  FISCAM  Federal Information Systems Control Audit Manual – это методология аудита безопасности ИТ систем, разработана GAO:

    • Introduction and Methodology (введение и методология)

    • Planning the Audit (планирование аудита)

    • Evaluation and Testing General Controls (общий контроль: расчет и тестирование)

    • Evaluation and Testing Application Controls (контроль приложений: расчет и тестирование)

    • Appendixes (приложения).



NSA INFOSEC Assessment Methodology

NSA (National Security Agency) – Агентство Национальной Безопасности США (АНБ) разработала во второй половине 90-х годов методику проведения аудита информационной безопасности.

АНБ получало больше запросов на обследование, чем могло провести. Необходима была общая методика, используемая всеми исполнителями. Планировалось предоставление специальных услуг коммерческому сектору.
Фазы анализа:

Фаза 1. Предварительная оценка;

Фаза 2. Непосредственный анализ;

Фаза 3. Выводы.
Предварительная оценка:

    • Ранжирование и определение ценности информации;

    • Определение систем и границ;

    • Сбор документации по информационной системе и системе ИБ;

    • Приготовление плана обследования.

Непосредственный анализ

Анализ 18 базовых категорий ИБ

Базовые категории для проверки:

  1. Документация ИБ;

  1. Роли и ответственности;

  2. Идентификация и аутентификация;

  3. Управление доступом;

  4. Контроль сессий;

  5. Внешние связи;

  6. Телекоммуникации;

  7. Аудит;

  8. Вирусная защита;

  9. План непрерывности;

  10. Поддержка;

  11. Управление конфигурациями;

  12. Резервирование;

  13. Категорирование;

  14. Уничтожение материалов;

  15. Физическая защита;

  16. Персонал;

  17. Обучение и информирование.

Уровень 1:

    • Проверка документации,

    • Интервью персонала,

    • Информация/цели; анализ критичности.

Уровень 1+:

    • Сканирование без проникновения,

    • Краткие выводы: достоинства/слабости.

Уровень 2:

    • Техническое обследование и тестирование,

    • Специфичные технические экспертизы,

    • Инструменты по проникновению,

    • Диагностические инструменты.

Уровень 3 (Красная группа):

    • Внешнее обследование,

    • Внешние тесты на проникновение,

    • Симуляция действий потенциального злоумышленника.

Выводы

Анализ и формирование отчета:

    • Выполняется 45-60 дней после фазы 2

    • Предоставление отчета

  NIST Национальный институт стандартов и технологий

NIST (National Institute of Standard and Technologies) разработал серию документов по аудиту ИБ, таких как:

    • Draft Guideline on Network Security Testing (методы инструментальной проверки сетевой безопасности )

    • Security Self Assessment Guide for Information Technology Systems (типовые вопросы аудитора)

    • Risk management Guide for Information Technology Systems (методология анализа и управления рисками)

Анализ рисков разбивается на следующие этапы:

    • Характеристики системы;

    • Идентификация угрозы;

    • Идентификация уязвимостей;

    • Анализ существующих методов и требований по управлению безопасностью;

    • Вероятность проявления;

    • Анализ воздействия;

    • Определение риска;

    • Рекомендации по управлению рисками и ИТ секьюрити;

    • Итоговая документация.


^

14.7. Оценка возможного ущерба (потерь)



Оценивая тяжесть ущерба, необходимо иметь в виду:

    • непосредственные расходы на замену оборудования, анализ и исследование причин преодоления защиты, восстановление информации и функционирования АС по ее обработке;

    • косвенные потери, связанные со снижением банковского доверия, потерей клиентуры, подрывом репутации, ослаблением позиций на рынке.

Для оценки потерь необходимо построить сценарий действий трех сторон:

    • нарушителя по использованию добытой информации;

    • службы информационной безопасности по предотвращению последствий и восстановлению нормального функционирования системы;

    • третьей стороны.


Оценивая последствия потери ресурса нужно учитывать:

    • цену ресурса  затраты на производство;

    • стоимость восстановления или создания (покупку) нового ресурса;

    • стоимость восстановления работоспособности организации (при работе с искаженным ресурсом, без него, при дезинформации);

    • стоимость вынужденного простоя;

    • стоимость упущенной выгоды (потерянный контракт);

    • стоимость выплаты неустоек, штрафов (за невыполнение обязательств контракта);

    • стоимость затрат на реабилитацию подмоченной репутации, престижа, имени фирмы;

    • стоимость затрат на поиск новых клиентов, взамен более не доверяющих фирме;

    • стоимость затрат на поиск (или восстановление) новых каналов связи, информационных источников.



Мотивы нарушений

Три основных причины (мотива) нарушений:

    • неопытность;

    • корыстный интерес;

    • безответственность (самоутверждение).


При организации системы защиты информации необходима дифференциация мер защиты для рационального распределения средств защиты информации и вычислительных ресурсов системы.
^ Основной принцип при учете мотивов и причин нарушений  принцип разумной достаточности, а иногда и “золотой середины”.
Типы конфликтов:

    • Ограниченность ресурсов (вычислительных, информационных);

    • Несоответствие целей сотрудников СИБ и др. отделов;

    • Требования режима;

    • Психофизиологические особенности сотрудников СИБ и др. отделов;

    • Несоответствие ожиданий и реальности;

    • Конфликты в личной жизни сотрудников;

    • Иерархические конфликты;

    • Конфликт человек-машина.


Определение стратегии управления рисками:

    • изменение характера риска;

    • уменьшение риска;

    • уклонение от риска;

    • принятие риска.


Уровни анализа рисков

  • Базовый

  • Полный

Анализ рисков для базового уровня ИБ

Для того чтобы обеспечить базовый уровень безопасности, достаточно проверить выполнение требований соответствующего стандарта (спецификации), например ISO 17799.

Программные продукты, предназначенные для этой цели, позволяют сформировать список вопросов, касающихся выполнения этих требований. На основе ответов генерируется отчет с рекомендациями по устранению выявленных недостатков.

Примером программного продукта этого класса являются продукты КОНДОР и COBRA.

Данное ПО позволяет существенно облегчить процесс проверки на соответствие требованиям Британского стандарта BS 7799 (ISO 17799) информационной системы. Имеется несколько баз знаний: общие требования BS 7799 (ISO 17799), и специализированные базы, ориентированные на различные области применения. Еще один пример – RiskPAC, производитель CSCI. Область применения – проверка на соответствие требованиям базового уровня защищенности организации CSCI. Имеется возможность настройки на различные области применения путем добавления (исключения) дополнительных вопросов. Кроме того, имеется калькулятор ожидаемых среднегодовых потерь, позволяющий оценить ожидаемые потери по различным видам информационных ресурсов.
^ Полный анализ рисков

Программные средства, позволяющие провести полный анализ рисков, строятся с использованием структурных методов системного анализа и проектирования (SSADM – Structured Systems Analysis and Design) и представляют собой инструментарий для:

    • построения модели ИС с точки зрения ИБ;

    • оценки ценности ресурсов;

    • составления списка угроз и уязвимостей, оценки их характеристик;

    • выбора контрмер и анализа их эффективности;

    • анализа вариантов построения защиты;

    • документирования (генерация отчетов).

Примерами программных продуктов этого класса являются CRAMM, разработчик Logica (Великобритания), MARION, разработчик CLUSIF (Франция), RiskWatch (США), ГРИФ, разработчик Digital Security.

Обязательным элементом этих продуктов является база данных, содержащая информацию по инцидентам в области ИБ, позволяющая оценить риски и уязвимости, эффективность различных вариантов контрмер в определенной ситуации.

Принципы, положенные в основу методик анализа рисков и границы их применимости. Один из возможных подходов к разработке подобных методик – накопление статистических данных о реально случившихся происшествиях, анализ и классификация их причин, выявление факторов риска. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах.

Практические сложности в реализации этого подхода следующие:

    • Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области.

    • Во-вторых, применение этого подхода оправдано далеко не всегда.

Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим.

Если система сравнительно невелика, использует только новейшие элементы технологии (для которых пока нет достоверной статистики), оценки рисков и уязвимостей могут оказаться недостоверными.

Альтернативой статистическому подходу является подход, основанный на анализе особенностей технологии. Примером является упомянутый Германский стандарт BSI, обширный каталог угроз и контрмер доступен в Интернет. Впрочем, этот подход также не универсален: темпы технологического прогресса в области ИТ таковы, что имеющиеся оценки относятся к уже устаревшим или устаревающим технологиям, для новейших технологий таких оценок пока не существует.
^ Оценка эффективности вложенных средств

ROSI – Return of Security Investment – коэффициент окупаемости инвестиций в информационную безопасность. ROSI определяет эффективность каждой единицы денежных средств, вложенных в информационную безопасность.

В общем случае ROI (Return of Investment) определяется как отношение прибыли к вложенным средствам. В сфере информационной безопасности прибыль – величина, на которую снизился информационный риск после внедрения контрмер. Таким образом, получим

ROSI = (R1-R2):С, где

R1 – риск до внедрения контрмер

R2 – риск после внедрения контрмер

С – затраты на внедрение контрмер

^

Контрольные вопросы





  1. Сколько уровней анализа ИБ предлагает АНБ США?

  1. Как называются уровни зрелости менеджмента ИБ в стандарте ЦБ РФ?

  2. Каким образом осуществляется оценка возможного ущерба (потерь)?

  3. Какие существую методики аудита ИБ?
^

ГЛАВА 15. ПРОВЕДЕНИЕ КОМПЛЕКСНОГО
ОБСЛЕДОВАНИЯ ЗАЩИЩЕННОСТИ ИС



Эффективное управление вопросами обеспечения безопасности информации имеет принципиальное значение для существования любого предприятия организации. Для принятия грамотных управленческих решений в этой сфере и выработки адекватных мер организационного и технического характера, необходимо:

    • сформировать систему взглядов на проблему обеспечения безопасности информации и пути ее решения с учетом современных тенденций развития ИТ и методов и средств защиты информации;

    • выработать единую политику в области обеспечения безопасности информации;

    • выявить угрозы безопасности информации и оценить (по возможности) риски нанесения возможного ущерба;

    • создать комплексную систему обеспечения безопасности информации;

    • скоординировать деятельность подразделений по обеспечению безопасности информации.

При создании любой информационной системы на базе современных компьютерных технологий неизбежно возникает вопрос о защищенности этой системы от внутренних и внешних угроз безопасности информации. Но прежде чем решить, как и от кого защищать информацию, необходимо уяснить реальное положение в области обеспечения безопасности информации на предприятии и оценить степень защищенности информационных активов. Для этого проводится комплексное обследование защищенности ИС (или аудит безопасности), основанные на выявленных угрозах безопасности информации и имеющихся методах их парирования, результаты которого позволяют:

    • оценить необходимость и достаточность принятых мер обеспечения безопасности информации;

    • сформировать политику безопасности;

    • правильно выбрать степень защищенности информационной системы;

    • выработать требования к средствам и методам защиты;

    • добиться максимальной отдачи от инвестиций в создание и обслуживание СОБИ.

Под термином комплексное обследование (аудит безопасности информации) защищенности следует понимать системный процесс получения и оценки объективных данных о текущем состоянии обеспечения безопасности информации на объектах информатизации, действиях и событиях, происходящих в информационной системе, определяющих уровень их соответствия определенному критерию. Комплексное обследование защищенности ИС (аудит) позволяет оценить реальное положение в области защиты информации и принять комплекс обоснованных управленческих решений по обеспечению необходимого уровня защищенности информационных активов предприятия.

Очевидно, что для достижения главного результата - построения эффективной СОБИ  необходимо выполнение целого спектра работ, однако, первым этапом в данном спектре должен быть именно аудит защищенности ИС. Такой подход позволит ускорить сроки внедрения СОБИ, оптимизировать бюджет системы защиты информации и обеспечить ее высокое качество.

^

15.1. Цель проведения обследования (аудита)



Аудит защищенности информационной системы ставит своей целью методологическое обследование процессов, методов и средств обеспечения безопасности информации при выполнении информационной системой своего главного предназначения  информационное обеспечение бизнеса. При этом предполагается, что сама информационная система является оптимальной для решения бизнес-задач. Вместе с тем, результатом аудита защищенности могут быть рекомендации по изменению инфраструктуры сети, когда по экономическим соображениям нецелесообразно или невозможностью достичь требуемого уровня защищенности информации при существующей инфраструктуре ИС.

Поскольку информационная безопасность должна быть обеспечена не только на техническом, но и на организационно-административном уровне, должный эффект может дать только комплексный подход к обследованию (аудиту), то есть:

    • проверка достаточности принятых программно-аппаратных и технических мер защиты (соответствие установленным требованиям применяемых в ИС программно-аппаратных средств защиты);

    • проверка достаточности правовых, экономических и организационных мер защиты (физической защиты, работы персонала, регламентации его действий).

Таким образом, целью проведения работ по комплексному обследованию защищенности ИС является получение объективных данных о текущем состоянии обеспечения безопасности информации на объектах ИС, позволяющих провести минимизацию вероятности причинения ущерба собственнику информационных активов в результате нарушения конфиденциальности, целостности или доступности информации, подлежащей защите, за счет получения несанкционированного доступа к ней, а также выработка комплекса мер, направленных на повышение степени защищенности информации ограниченного доступа.

^

15.2. Стадии проведения обследования (аудита)



Процесс комплексного обследования (аудита) защищенности информационной системы состоит из трех основных частей:

    • сбор необходимых исходных данных и их предварительный анализ (или стадия планирования);

    • оценка соответствия состояния защищенности ИС предъявляемым требованиям и стандартам (стадии моделирования, тестирования и анализа результатов). В качестве стандартов могу использоваться Руководящие Документы ФСТЭК России и требования ФСБ, ГОСТ ИСО/МЭК 15408, IS0 17799 (ВS 7799), НIРРА и др.;

    • формулирование рекомендаций по повышению безопасности информации в обследуемой ИС (стадии разработки предложений и документирования полученных результатов).



^

15.3. Виды обследования (аудита)



Процесс обследования (аудита) защищенности информационных систем является достаточно многогранным и учитывает множество параметров. Обследование объединяет несколько различных форм работ, основанных на единых принципах и методологии, но различающихся по содержанию конечной цели и объемам проводимых испытаний. Форма проводимого обследования (аудита) зависит, в первую очередь, от жизненного цикла обследуемого проекта.

На разных этапах обследования используются различные методы: технические, аналитические, экспертные, расчетные. При этом, результаты, полученные одними методами, могут дублироваться (дополняться) результатами, полученными другими методами. Совокупность всех применяемых методов позволяет дать объективную оценку состояния обеспечения безопасности информации на обследуемом объекте. Основными группами методов при обследовании являются:

    • Экспертно-аналитические методы предусматривают проверку соответствия обследуемого объекта установленным требованиям по безопасности информации на основании экспертной оценки полноты и достаточности представленных документов по обеспечению необходимых мер защиты информации, а также соответствия реальных условий эксплуатации оборудования предъявляемым требованиям по размещению, монтажу и эксплуатации технических и программных средств.

    • Экспертно-инструментальные методы предполагают проведение проверки функций или комплекса функций защиты информации с помощью специального инструментария (тестирующих средств) и средств мониторинга, а также путем пробного запуска средств защиты информации и наблюдения реакции за их выполнением. В процессе испытаний технических и программных средств используются тестирующие средства, принятые в установленном порядке.

    • Моделирование действий злоумышленника («дружественный взлом» системы защиты информации) применяются после анализа результатов, полученных в ходе использования первых двух групп методов, - они необходимы как для контроля данных результатов, а также для подтверждения реальных возможностей потенциальных злоумышленников (как внутренних, легально допущенных к работе с тем или иным уровнем привилегий в ИС, так и внешних - в случае подключения ИС к глобальным информационным сетям). Кроме того, подобные методы могут использоваться для получения дополнительной исходной информации об объекте, которую не удалось получить другими методами. Важным моментом является то, что применение методов моделирования действий злоумышленника ограниченно. При использовании данных методов необходимо учитывать, что при осуществлении тестовой атаки, используемое в ИС оборудование может быть выведено из строя, инфоресурсы утрачены или искажены.


^

15.4. Анализ угроз безопасности информации




Комплексное обследование защищенности информационной системы предполагает обязательное проведение анализа угроз безопасности информации. Анализ угроз безопасности информации необходим для качественной и количественной оценки реальных угроз, актуальных для обследуемой корпоративной информационной системы, с целью построения СОБИ как системы парирования конкретным угрозам безопасности информации.

Анализ возможностей реализации угроз безопасности информации основывается на построении модели угроз, классификации, анализе и оценки источников угроз, уязвимостей (факторов) и методов реализации.

Анализ угроз безопасности информации основывается на вычислении весовых коэффициентов опасности для источников угроз и уязвимостей, сравнения этих коэффициентов с заранее заданным критерием и последовательном сокращении (исключении) полного перечня возможных источников угроз и уязвимостей до минимально актуального для конкретного объекта.

Исходными данными для проведения анализа служат результаты анкетирования сотрудников обследуемого объекта, направленные на уяснение направленности его деятельности, предполагаемых приоритетов целей ИБ, задач, решаемых ИС и условий расположения и эксплуатации объекта.

^

15.5. Состав работ по проведению аудита




15.5.1. Планирование проведения обследования



На этапе планирования проведения обследования (аудита) защищенности ИС необходимо провести:

    • определение границ проведения обследования;

    • выбор критериев оценки (требования, стандарты), по которым проводится обследование;

    • определение порядка взаимодействия в ходе обследования;

    • разработку программы обследования;

    • определение условий обращения с конфиденциальной информацией.



^

15.5.2. Проведение комплексного обследования



Проведение комплексного обследования включает в себя следующие этапы:

    • Сбор исходных данных для обследования;

    • Классификация информационных ресурсов компании;

    • Моделирование процессов нарушения безопасности информации и анализ угроз безопасности информации компании;

    • Определение (уточнение) требуемого уровня гарантий безопасности в соответствии с выбранными критериями оценки;

    • Анализ имеющихся организационно-распорядительных документов о порядке функционирования корпоративной информационной системы и защите информации;

    • Анализ структуры состава и принципов функционирования корпоративной информационной системы и существующей системы защиты информации;

    • Анализ деятельности персонала компании по обеспечению безопасности информации.



^

15.5.3. Оценка эффективности существующей системы защиты ИС
с применением специализированных инструментариев



Оценка эффективности существующей системы защиты ИС включает:

  1. Определение и фиксирование на момент проверки реальной конфигурации средств защиты ИС

  1. Проведение испытаний программных и программно-аппаратных средств защиты, а также встроенных механизмов защиты общесистемного программного обеспечения, используемых в ИС для защиты информации:

    • тестовые испытания программных средств зашиты

    • тестовые испытания защиты ИС от утечки за счет наводок и ПЭМИ

    • тестовые испытания защиты информации от утечки по акустическому и виброакустическому канала

    • подготовка предложений по повышению защищенности сети от несанкционированного доступа

  2. Проведение испытаний функций системы защиты информации методом моделирования действий злоумышленника

    • определение места и порядка подключения тестирующих средств;

    • анализ сетевой топологии и установленных сервисов:

    • проведение сетевого сканирования и определение установленных сервисов:

    • проведение анализа трафика и сбор критичной информации с применением программ пассивного анализа (программ-снифферов и программ обнаружения вторжений):

    • обнаружение имеющихся уязвимостей по имеющимся сигнатурам:

    • оценка защищенности коммутируемого доступа:

    • анализ полученных результатов тестовых испытаний.



^

Контрольные вопросы





  1. Какие виды аудита ИБ возможно провести в КИС?

  1. С чего начинается аудит ИБ?

  2. Что наиболее достоверно определит качество КЗИ КИС?
^

ГЛОССАРИЙ ТЕРМИНОВ





  1. Администратор защиты – субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации.

  1. Аттестация - специфическая форма аудита, который проводится на этапе, предшествующем началу обработки защищаемой информации, с целью подтверждения соответствия принятого комплекса мер и средств обеспечения ИБ установленным требованиям и стандартам.

  1. Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.

  1. ^ Безопасность информации – состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз.

  1. Верификация – процесс сравнения двух уровней спецификации средств вычислительной техники или автоматизированных систем на надлежащее соответствие.

  1. ^ Внутриобъектовый режим  порядок, обеспечиваемый совокупностью мероприятий и правил, выполняемых лицами, находящимися на охраняемых объектах, в соответствии с требованиями внутреннего трудового распорядка и пожарной безопасности.

  1. Декодер

    • Устройство, преобразующее закодированный текст в исходную форму (вид), декодирующее устройство.

    • Электронное устройство, предназначенное для выбора и реализации одного из способов передачи данных, например, для направления данных в индивидуальные ячейки памяти внутри быстродействующего запоминающего устройства ЭВМ.

  1. Декодирование – в информационных системах – процесс преобразования кодированных данных в исходную или другую пригодную для чтения форму.

  1. ^ Дискреционное управление доступом – разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту.

  1. ^ Диспетчер доступа (ядро защиты) – технические, программные и микропрограммные элементы комплекса средств защиты, реализующие концепцию диспетчера доступа.

  1. ^ Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.

  1. ^ Доступ к информации – возможность получения информации и ее использования.

  1. Задержка – замедление продвижения нарушителя к цели.

  1. Защита информации – представляет собой принятие правовых, организационных и технических мер, направленных на:

    • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

    • соблюдение конфиденциальности информации ограниченного доступа;

    • реализацию права на доступ к информации.

  1. Защита от несанкционированного доступа (защита от НСД) – предотвращение или существенное затруднение несанкционированного доступа.

  1. ^ Защищенное средство вычислительной техники (защищенная автоматизированная система) – средство вычислительной техники (автоматизированная система), в котором реализован комплекс средств защиты.

  1. ^ Идентификатор доступа – уникальный признак субъекта или объекта доступа.

  1. Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

  1. Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

  1. ^ Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

  1. ^ Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

  1. Информация – сведения (сообщения, данные) независимо от формы их представления.

  1. Караул  вооруженное подразделение, назначенное для выполнения боевой задачи по охране и обороне объектов, их зданий, строений, сооружений, прилегающих к ним территорий и акваторий, транспортных средств, грузов, в том числе при их транспортировке, денежных средств и иного имущества, а также для обеспечения установленного на объектах пропускного и внутриобъектового режима.

  1. ^ Категория опасности объекта охраны  комплексная характеристика, отражающая степень потенциальной опасности  условный индекс, характеризующий степень потенциальной угрозы безопасности в случае осуществления акта несанкционированного доступа на объект охраны.

  1. ^ Класс защищенности средств вычислительной техники, автоматизированной системы – определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации.

  1. Кодирование

    • В информационных системах: процесс преобразования текстовых и других материалов из одной системы символов в другую.

    • Процесс отображения дискретных сообщений сигналами в виде определенных сочетаний символов.

    • Процесс преобразования детальной спецификации из одной программы в другую программу.

    • Процесс шифрования.

  1. Комплекс средств защиты (КСЗ) – совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации.

  1. ^ Комплексная защита информации (КЗИ) – совокупность людей, процедур и оборудования, защищающих информацию от несанкционированного доступа, модификации либо отказа доступа.

  1. ^ Комплексное обследование защищенности (аудит безопасности информации)  системный процесс получения и оценки объективных данных о текущем состоянии обеспечения безопасности информации на объектах информатизации, действиях и событиях, происходящих в информационной системе, определяющих уровень их соответствия определенному критерию.

  1. ^ Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

  1. ^ Конфиденциальный документ – необходимым образом оформленный носитель документированной информации, содержащий сведения ограниченного доступа или использования, которые составляют интеллектуальную собственность юридического (физического) лица.

  1. ^ Концепция диспетчера доступа – концепция управления доступом, относящаяся к абстрактной машине, которая посредничает при всех обращениях субъектов к объектам.

  1. ^ Мандатное управление доступом – разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности.

  1. ^ Матрица доступа – таблица, отображающая правила разграничения доступа.

  1. Метка конфиденциальности (метка) – элемент информации, который характеризует конфиденциальность информации, содержащейся в объекте.

  1. Многоуровневая защита – защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объектам различных уровней конфиденциальности.

  1. ^ Модель защиты – абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и (или) организационных мер защиты от несанкционированного доступа.

  1. ^ Модель нарушителя правил разграничения доступа (модель нарушителя ПРД) – абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа.




  1. ^ Нарушитель правил разграничения доступа (нарушитель ПРД) – субъект доступа, осуществляющий несанкционированный доступ к информации.

  1. ^ Наступательная стратегия защиты – защита от всего множества потенциальных угроз. Архитектура информационной системы и технология ее функционирования обязаны учитывать потребности защиты.

  1. ^ Несанкционированный доступ к информации (НСД) – доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем.

  1. ^ Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

  1. Обнаружение – выявление скрытой или открытой акции нарушителя по проникновению в физическое и виртуальное пространство объекта.

  1. Оборонительная стратегия защиты – защита от уже известных угроз, осуществляемая автономно, без влияния на существующую информационную систему.

  1. Объект доступа (объект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.

  1. ^ Оператор информационной системы – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

  1. Пароль – идентификатор субъекта доступа, который является его (субъекта) секретом.

  1. ^ Показатель защищенности средств вычислительной техники (показатель защищенности) – характеристика средств вычислительной техники , влияющая на защищенность и описываемая определенной группой требований , варьируемых по уровню, глубине в зависимости от класса защищенности средств вычислительной техники.




  1. ^ Политика безопасности информации  совокупность нормативных документов, определяющих (или устанавливающих) порядок обеспечения безопасности информации на конкретном предприятии, а также выдвигающих требования по поддержанию подобного порядка.

  1. Пост  все порученное для охраны и обороны постовому, а также место или участок местности, на котором он выполняет свои обязанности. К постам относятся и охраняемые караулом с помощью ИТСО объекты и участки местности, где эти средства установлены.

  1. ^ Правила разграничения доступа (ПРД) – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

  1. Предоставление информации – действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.

  1. Путь нарушителя – упорядоченная последовательность действий против объекта нападения, которая завершается диверсией, хищением либо террористическим актом.

  1. Распространение информации – действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.

  1. Реагирование – действия сил защиты по воспрепятствованию успеху нарушителя, прерывание действий нарушителя.

  1. ^ Рубеж охранной сигнализации  шлейф или совокупность шлейфов сигнализации, контролирующих охраняемые зоны территории, здания или помещения (периметр, объем или площадь) на пути возможного движения нарушителя к цели нападения, при преодолении которых выдается соответствующее извещение о проникновении.

  1. ^ Санкционированный доступ к информации – доступ к информации, не нарушающий правила разграничения доступа.

  1. Сдерживание – реализация мер, воспринимаемых потенциальным нарушителем как труднопреодолимые, устрашающие (предупреждающие) и превращающие объект в непривлекательную цель.

  1. ^ Сертификат защиты (сертификат) – документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и (или) распространение их как защищенных.

  1. ^ Сертификация уровня защиты (сертификация) – процесс установления соответствия средства вычислительной техники или автоматизированной системы набору определенных требований по защите.

  1. ^ Система защиты информации от несанкционированного доступа (СЗИ НСД) – комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах.

  1. ^ Система защиты секретной информации (СЗСИ) – комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности информации в автоматизированных системах.

  1. ^ Система контроля и управления доступом  совокупность средств контроля и управления доступом, обладающих технической, информационной, программной и эксплуатационной совместимостью (по ГОСТ Р 51241-98).

  1. ^ Система охранной сигнализации  совокупность совместно действующих технических средств обнаружения появления признаков нарушителя на охраняемых объектах, передачи, сбора, обработки и представления информации в заданном виде (по ГОСТ Р 50775-95).

  1. ^ Система разграничения доступа (СРД) – совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах.

  1. ^ Средство защиты от несанкционированного доступа (средство защиты от НСД) – программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа.

  1. ^ Средство криптографической защиты информации (СКЗИ) – средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.

  1. ^ Стратегия защиты – общая направленность в организации деятельности с учетом объективных потребностей, возможных условий осуществления и возможностей предприятия.

  1. ^ Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.

  1. Сюрвей – специфическая форма аудита, который проводится на этапе подготовки к страхованию информационных рисков, либо после наступления страхового случая с целью проведения оценки возможности нанесения субъектам материального и иного случайного или преднамеренного ущерба в результате нарушения безопасности информации (оценка информационных рисков) и подтверждения соответствия принятого комплекса мер и средств противодействия угрозам установленным страховщиком в страховом полисе требованиям, либо проверки условий наступления страхового случая, оговоренного в страховом полисе.

  1. ^ Террористическая акция  непосредственное совершение преступления террористического характера в форме взрыва, поджога, применения или угрозы применения ядерных взрывных устройств, радиоактивных, химических, биологических, взрывчатых, токсических, отравляющих, сильнодействующих, ядовитых веществ; уничтожения, повреждения или захвата транспортных средств или других объектов; посягательства на жизнь государственного или общественного деятеля, представителя национальных, этнических, религиозных или иных групп населения; захвата заложников, похищения человека; создание опасности причинения вреда жизни, здоровью или имуществу неопределенного круга лиц путем создания условий для аварий и катастроф техногенного характера либо реальной угрозы создания такой опасности; распространение угроз в любой форме и любыми средствами; иных действий, создающих опасность гибели людей, причинения значительного имущественного ущерба либо наступления иных общественно опасных последствий (ФЗ "О борьбе с терроризмом").

  1. ^ Упреждающая стратегия защиты – создание изначально такой информационной среды, в которой угрозы не имели бы условий для возникновения.

  1. Уровень полномочий субъекта доступа – совокупность прав доступа субъекта доступа.

  1. ^ Целостность информации – способность средств вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного разрушения (искажения).

  1. Шифр – код, значение и правила, использования которого известно ограниченному кругу лиц. Шифр предназначен для защиты информации и других объектов от несанкционированного доступа.

  1. ^ Шлейф сигнализации  цепь (электрическая, радиоканальная, оптоволоконная или другая), соединяющая выходные узлы извещателей, включающая в себя вспомогательные (выносные) элементы и соединительные линии и предназначенная для передачи на прибор приемно-контрольный (ППК) или на устройство объектовое системы передачи извещений (СПИ) информации от извещателей о контролируемых ими параметрах, а в некоторых случаях  для подачи электропитания на извещатели.

  1. ^ Электронное сообщение – информация, переданная или полученная пользователем информационно-телекоммуникационной сети.
1   ...   6   7   8   9   10   11   12   13   14



Скачать файл (2145 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации