Угрозы можно классифицировать по отношению источника угрозы к объекту ИБ (внешние и внутренние), по виду источника угроз (физические, логические, коммуникационные, человеческие), по степени злого умысла (случайные и преднамеренные). Перечень угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для проведения анализа риска и формулирования требований к системе защиты информации. угрозой безопасности - это потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации. Все множество угроз можно разделить на два класса: • случайные или непреднамеренные; • преднамеренные. Случайные угрозы. Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайным или непреднамеренными. (Стихийные бедствия и аварии, Сбои и отказы, Ошибки при разработке). Реализация угроз этого класса приводит к наибольшим потерям информации. При этом могут происходить уничтожение, нарушение целостности и доступности информации.. Преднамеренные угрозы. Второй класс угроз безопасности информации составляют преднамеренно создаваемые угрозы. Угрозы этого класса в соответствии с их физической сущностью и механизмами реализации могут быть распределены по пяти группам: 1)традиционный или универсальный шпионаж и диверсии; 2)несанкционированный доступ к информации; 3)электромагнитные излучения и наводки; 4)модификация структур информационных систем; 5)вредительские программы. К методам шпионажа и диверсий относятся: 1)подслушивание; 2)визуальное наблюдение; 3)хищение документов и машинных носителей информации; 4)хищение программ и атрибутов системы защиты; 5)подкуп и шантаж сотрудников; 6)сбор и анализ отходов машинных носителей информации; 7)поджоги; 8)взрывы. Несанкционированный доступ к информации возможен только с использованием штатных аппаратных и программных средств в следующих случаях: • отсутствует система, разграничения доступа; • сбой или отказ в информационной системе; • ошибочные действия пользователей или обслуживающего персонала информационных систем; • ошибки в СРД; • фальсификация полномочий. Побочные электромагнитные излучения и наводоки (ПЭМИН). С помощью специального оборудования сигналы принимаются, выделяются, усиливаются и могут либо просматриваться, либо записываться в запоминающих устройствах. Электромагнитные излучения используются злоумышленниками для получения информации, и для ее уничтожения. Алгоритмические, программные и аппаратные «закладки» используются либо для непосредственного вредительского воздействия на информационную систему, либо для обеспечения неконтролируемого входа в систему. Одним из основных источников угроз безопасности информации является использование вредительских программ. В зависимости от механизма действия вредительские программы делятся на четыре класса: 1) «логические бомбы»( постоянно находящиеся в ЭВМ или вычислительных системах и выполняемые только при соблюдении определенных условий.); 2) «черви» ( выполняются каждый раз при загрузке системы, обладают способностью перемещаться в вычислительных системах или сети); 3) «троянские кони» ( программы, полученные путем изменения или добавления команд в пользовательские программы); 4) «компьютерные вирусы»( самостоятельно распространяются путем создания своих копий, а при выполнении определенных условий оказывают негативное воздействие на ИС).
2. Правовое регулирование взаимоотношений администрации и персонала в области защиты информации.
Кроме администрации предприятия, доступ к коммерческой информации имеют также и работники. Поэтому, для сохранения конфиденциальности такой информации и ее защиты необходимо регулировать отношения между администрацией и персоналом, опираясь на правовые нормы. Регулирование информационных отношений с помощью права осуществляется посредством установления определенных информационно-правовых норм, т.е. путем установления правил поведения субъектов информационных отношений и применения норм информационного права. В процессе своей работы предприятие должно руководствоваться определенными документами, регулирующими взаимоотношения между администрацией и работниками. В состав нормативно-правовой базы предприятия по защите коммерческой тайны (КТ) на сегодняшний день включают следующие документы:1)перечень сведений, составляющих КТ; 2)положение о порядке обеспечения безопасности КТ; 3)должностные инструкции сотрудников, допущенных к работе с КТ; 4)памятку работнику о защите КТ; 5)договорное обязательство при приеме на работу сотрудника; 6)соглашения, подготавливаемые на случай возможного увольнения работников, имеющих доступ к сведениям, составляющим КТ. К работе с КТ допускаются работники, прошедшие испытательный срок, только после изучения ими требований соответствующих документов по защите тайны предприятия, сдачи зачетов на знание изложенных в них требований, оформления ими в письменном виде обязательств по ее неразглашению. Обязанности работников, допущенных к работе со сведениями, составляющими КТ, состоят в следующем: 1)в строгом сохранении тайны, ставшей им известной в связи с выполнением служебных обязанностей; 2)в принятии мер по пресечению действий других лиц, которые могут привести к утечке информации; 3)в немедленном информировании непосредственного руководителя и сотрудника СБ обо всех НСД к охраняемой информации; 4)в неиспользовании секретов предприятия в личных целях; 5)в ознакомлении только с теми закрытыми документами, к которым получен допуск; 6)в доведении до минимально необходимого числа лиц, участвующих в подготовке документов, содержащих КТ; 7)в неукоснительном соблюдении порядка учета и хранения носителей информации. Памятка работнику о защите КТ должна содержать в краткой форме: 1)основные обязанности и права работника; 2)ключевые моменты, определяющие режим секретности проводимых работ; 3)перечень документов регламентирующих порядок обеспечения безопасности тайны. В трудовой договор с работником при приеме на работу вносят следующие обязательства: 1)в период работы на предприятии не разглашать сведений, составляющих КТ; 2)выполнять в точности относящиеся к работнику требования приказов и иных документов по защите КТ, с которыми он ознакомлен; 3) в случае увольнения не разглашать и не использовать известные работнику фирменные секреты в личных интересах, или в интересах других физических или юридических лиц. Необходимо предусмотреть также запись о том, что работник предупрежден о материальной, дисциплинарной, административной и уголовной ответственности в соответствии с действующим законодательством в случае нарушения им указанных обязательств; в обязательном порядке оговорить срок действия ограничений, связанных с необходимостью защиты КТ предприятия.
