слід зрозуміти, що саме треба захищати і в яких умовах. Часто цей важливий крок пропускають, і системи безпеки розробляють таким чином, що створюють надлишкову захист несуттєвого майна або не забезпечують захист важливих частин об'єкта. Система, спроектована з великим запасом надійності, може виявитися надмірно дорогою, а можливі наслідки неадекватної захисту - руйнівними. Таким чином, дуже важливо, щоб об'єкт був повністю вивчений з урахуванням накладаються обмежень, робочих процесів та умов діяльності.
При визначенні характеристик об'єкта повинна бути зібрана інформація по можливо більшій кількості пов'язаних з ним питань. Спочатку це представляється дуже складним і багатоплановим завданням, проте відомо кілька аспектів, на яких слід зосередити увагу, щоб отримати потрібну інформацію. Вони включають в себе:
. фізичні умови;
. специфіка роботи організації;
. посадові інструкції та підвідомчі нормативно-правові акти;
. вимоги органів державного регулювання та вищестоящого керівництва;
. питання аварійної безпеки.
. 2 Розробка моделі загроз захищається
Для забезпечення захисту інформації необхідно знати, які збитки можна понести у разі втрати інформації. Очевидно, що витрати на захист не повинні перевищувати можливих збитків при втраті інформації. Таким чином, необхідно ввести міру цінності інформації, тобто визначити, в якому сенсі слід розуміти її цінність.
Сформулюємо властивості інформації, які визначають її цінність. Фундаментальними властивостями безпеки інформації є конфіденційність, цілісність, доступність.
Конфіденційність визначається як властивість інформації, яке полягає в тому, що вона не може бути доступною для ознайомлення користувачам і/або процесам, які не мають на це відповідних повноважень.
Цілісність інформації - це властивість, яка полягає в тому, що вона не може бути доступною для модифікації користувачам і/або процесам, які не мають на це відповідних повноважень. Цілісність інформації може бути фізичної та/або логічної.
Доступність інформації - це властивість, яка полягає в можливості її використання на вимогу користувача, що має відповідні повноваження.
Під погрозами розуміються шляхи реалізації дій, які вважаються небезпечними. Наприклад, загроза зняття інформації та перехоплення випромінювання з дисплея веде до втрати конфіденційності, загроза пожежі веде до порушення цілісності та доступності інформації, загроза розриву каналу передачі інформації може призвести до втрати доступності.
У загальному випадку модель загрози захищається представлена ??на малюнку 1:
Рис. 1 Загальна схема загрози захищається
Потенційними об'єктами атак порушника в об'єкті інформатизації органу внутрішніх справ можуть бути:
. штатні апаратні засоби при використанні їх санкціонованими користувачами не за призначенням і за межами своїх повноважень;
. штатні апаратні засоби при використанні їх сторонніми особами;
. технологічні пульти управління;
. внутрішній монтаж апаратури;
. лінії зв'язку (комунікацій) між апаратними засобами АС;
. побічні електромагнітні випромінювання і наводки апаратних та телекомунікаційних засобів обробки і передачі інформації АС, побічні наводки інформації в мережі електроживлення і заземлення апаратури АС, побічні наводки інформації по ланцюгах допоміжних інженерних та інших сторонніх комунікацій в окремих приміщеннях і на території АС;
. відходи обробки інформації у вигляді паперових, магнітних та інших носіїв в сміттєвому кошику;
. програмне забезпечення;
. інші можливі потенційні канали несанкціонованого доступу та несанкціонованого впливу.
Загрози інформації при розробці моделі загроз зручно розглядати з точки зору їх будь-якого небажаного дії і можливого порушення властивостей захищеності інформації.
Таким чином, загроза - це потенційно можливий несприятливий вплив на інформацію, яке призводить до порушень хоча б однієї з наведених властивостей.
. 3 Виявлення каналів витоку інформації
Витік інформації в загальному плані можна розглядати як неправомірний вихід конфіденційних відомостей за межі організації або кола осіб, яким ці відомості були довірені.
За своєю сутністю витік інформації завжди передбачає протиправне (таємне або явне, усв...