х ресурсів (тимчасових, грошових, кадрових).
Безпосередньо до модифікації інформації примикає і такий вид загроз, як створення помилкових повідомлень. Це означає, що зловмисник навмисно надсилає суб'єкту завідомо неправдиву інформацію, отримання і використання якої даним суб'єктом вигідно зловмисникові. При цьому така інформація забезпечується всіма атрибутами і реквізитами, які не дозволяють одержувачу запідозрити, що ця інформація помилкова.
Блокування доступу до інформації або ресурсів системи може мати негативні наслідки в, випадку, коли деяка інформація володіє реальною цінністю тільки протягом короткого відрізка часу. У цьому випадку блокування порушує вимогу своєчасності отримання інформації. Також блокування доступу до інформації може призвести до того, що суб'єкт не буде володіти всією повнотою відомостей, необхідних для прийняття рішення. Одним із способів блокування інформації може бути відмова в обслуговуванні, коли система внаслідок збоїв у роботі або дій зловмисника не відповідає на запити санкціонованого користувача.
Несанкціоноване або помилкове використання ресурсів системи, з одного боку, може служити проміжною ланкою для знищення, модифікації або розповсюдження інформації. З іншого боку, воно має самостійне значення, так як, навіть не торкаючись користувацької або системної інформації, може завдати шкоди самій системі (наприклад, вивести її з ладу).
Відмова від отримання або відправки інформації полягає в запереченні користувачем факту здійснення та отримання будь-якого повідомлення. Наприклад, при здійсненні банківської діяльності подібні дії дозволяють однієї зі сторін розривати так званим технічним шляхом заключення фінансові угоди, т. е. формально не відмовляючись від них. Це може завдати другій стороні значної шкоди.
Перераховані види загроз можуть реалізовуватися різними способами, які залежать від джерела і виду загрози. Існує велика кількість подібних способів (особливо у сфері безпеки комп'ютерних мереж), вони постійно удосконалюються і оновлюються.
2.2 Організація систем захисту конфіденційної інформації
Захистити конфіденційну інформацію організаційними заходами, програмними та технічними засобами повною мірою в сучасних умовах неможливо.
Організаційна захист - це регламентація виробничої діяльності і взаємин виконавців на нормативно-правовій основі, що виключає або суттєво затрудняющей неправомірне оволодіння конфіденційною інформацією і прояв внутрішніх і зовнішніх загроз. Організаційна захист забезпечує:
організацію охорони, режиму, роботу з кадрами, з документами;
використання технічних засобів безпеки та інформаційно-аналітичну діяльність з виявлення внутрішніх і зовнішніх загроз підприємницької діяльності.
До основних організаційних заходів можна віднести:
організацію режиму і охорони. Їх мета - виключення можливості таємного проникнення на територію і в приміщення сторонніх осіб;
організацію роботи зі співробітниками, яка передбачає підбір і розстановку персоналу, включаючи ознайомлення зі співробітниками, їх вивчення, навчання правилам роботи з конфіденційною інформацією, ознайомлення з заходами відповідальності за порушення правил захисту інформації та ін.;
організацію роботи з документами і документованої інформацією, включаючи організацію розробки і використання документів та носіїв конфіденційної інформації, їх облік, виконання, повернення, зберігання і знищення;
організацію використання технічних засобів збору, обробки, накопичення та зберігання конфіденційної інформації;
організацію роботи з аналізу внутрішніх і зовнішніх загроз конфіденційної інформації та вироблення заходів щодо забезпечення її захисту;
організацію роботи з проведення систематичного контролю за роботою персоналу з конфіденційною інформацією, порядком обліку, зберігання та знищення документів і технічних носіїв.
У кожному конкретному випадку організаційні заходи носять специфічну для даної організації форму і зміст, спрямовані на забезпечення безпеки інформації в конкретних умовах.
Нормативні правові положення щодо захисту конфіденційної інформації в державних і недержавних структурах визначені в Законі РФ Про інформацію, інформатизації та захисту інформації .
Створюючи систему інформаційної безпеки, необхідно чітко розуміти, що без правового забезпечення захисту інформації будь-які наступні претензії з боку організації до недобросовісного співробітнику, клієнту, конкуренту і посадовій особі виявляться безпідставними. Якщо перелік відомостей конф...
