Какое из свойств защищаемой информации не является основным

Когда отец кибернетики Норберт Винер выделил информацию в качестве самостоятельного явления, отделив ее от материи и энергии, начался новый век. Сейчас она представляет собой не просто ценность, подлежащую охране, но среду, в которой существует современный человек. Как любой объект, имеющий интерес для его владельца, информация становится и целью для противоправных действий третьих лиц. От субъекта, владеющего данными (человек, корпорация, государство), будет зависеть и используемая система защиты информации.

Информационная безопасность

В любой организации с информацией происходят различные процессы – сбор, хранение, обработка и передача. На каждом из этих этапов возникают различные категории угроз информационной безопасности, борьба с ними должна быть системной, основанной на новейших технологических разработках. Лица, заинтересованные в хищении или уничтожении ценных сведений, постоянно развивают технический инструментарий, и противостоять им можно только путем опережения.

Под системой информационной безопасности специалисты понимают такое состояние массивов данных, в котором сведения и объекты инфраструктуры, обеспечивающей проведение различных процессов с информацией, полностью защищены от естественных и искусственных угроз. Обеспечение информационной безопасности на уровне государства расширяет это понятие, понимая под ним обеспечение национальных интересов в информационной сфере. Под национальными в данном случае понимается комплекс интересов гражданина, общества и государства.

Угрозы и риски

Безопасность информации не может быть обеспечена без разработанной модели угроз. В зависимости от субъекта-носителя, угрозы могут варьироваться, риски для государства будут отличаться от тех, которым подвергаются сведения, принадлежащие бизнесу или гражданину. На уровне России модель угроз предложена в Доктрине информационной безопасности, на уровне бизнеса, личности или общества риски будут зависеть от категории информации.

Модель угроз для бизнеса

Обеспечение информационной безопасности для бизнеса связано с пониманием ее ценности для гипотетических похитителей. В 2018 году на первый план вышли угрозы, связанные с понятием «преступление как услуга» (Crime-as-a-Service) и Интернетом вещей. Под «преступлением как услугой» понимается система предложений услуг по обеспечению неправомерного доступа к информации сложившимися преступными группами. Такие преступления совершаются по заказу экстремистских группировок или конкурентов компании-цели. Профессионалы взлома сетей и защиты продают услуги в Даркнете, а пользуются ими деструктивные организации, которые заинтересованы в раскрутке своего имени в качестве специалистов по взлому компьютерных сетей или пропаганде запрещенной идеологии в целях дальнейшей продажи своих услуг на теневом рынке. Также они могут быть нацелены на похищение информации, имеющей определенную ценность для конкретного заказчика, например, в процессе промышленного шпионажа.

Если ранее профессиональные хакерские атаки из-за сложности и высокой стоимости были редкостью, в последний год они стали массовым явлением. В этой же категории рисков находится хищение банковской информации или средств со счетов. По данным ЦБ РФ, в 2018 году количество хакерских атак на банки удвоилось, но в связи с увеличением степени защиты, количество похищенных средств существенно сократилось.

Ускоренное развитие Интернета вещей и использование его в деятельности корпораций приводит к возникновению ряда рисков, среди них:

проектирование устройств без соблюдения необходимых критериев безопасности, такие устройства легкодоступны для внешних атак;
низкая прозрачность Интернета вещей, отсутствие понятного правового регулирования, что приводит к использованию и обработке персональных данных граждан без соблюдения нормативных требований;
передача некоторыми устройствами информации вне периметра корпорации, что достаточно сложно отследить.

Но помимо злонамеренных действий третьих лиц, в модели угроз должны учитываться и естественные риски техногенного или природного характера, например:

стихийные бедствия, в результате которых будут разрушены материальные носители информации;
перебои в питании, затрудняющие доступ к сведениям;
неисправность оборудования.

В целях обеспечения сохранности информации от естественных рисков решением является ее своевременное резервное копирование. Так, в любом коммерческом банке все сведения, содержащиеся в информационной системе, в обязательном порядке копируются несколько раз в день.

Интересно, что бизнес склонен относить к угрозам и ужесточение требований регуляторов. Так, для операторов персональных данных ужесточение требований к программному обеспечению, используемому для защиты конфиденциальной информации, влечет за собой существенные затраты, которые могут повлиять на результаты операционной деятельности.

Иногда в качестве отдельного риска называется наличие цепи поставок или передача имеющей ценность информации поставщикам, подрядчикам, покупателям. Даже включение в договоры норм о сохранении коммерческой тайны не гарантирует, что ценные сведения не попадут в распоряжение третьих лиц. Для гарантированного обеспечения информационной безопасности необходимо учитывать риски всех категорий.

Угрозы в Доктрине информационной безопасности

Россия, принявшая в 2016 году Доктрину информационной безопасности Российской Федерации, рассматривает комплексную модель угроз. Информация в ней рассматривается не только как объект, который может быть утрачен или изменен, но и как оружие, направленное на подрыв суверенитета и внутренней стабильности. Выделяются следующие типы информационных угроз:

подрыв обороноспособности страны;
подрыв внутренней безопасности посредством информационно-психологического воздействия на граждан;
использование иностранных СМИ для ухудшения образа России. Этот риск влияет и на корпорации, так как негативный имидж страны может привести к снижению их капитализации на международной арене.

В качестве отдельного риска называется научное и технологическое отставание на уровне использования цифровых технологий, что не всегда позволяет отражать атаки, связанные со взломом сайтов государственных организаций, размещением экстремистских воззваний и хищением защищаемой информации. Основные свойства информационной безопасности в рамках Доктрины отличаются от общепринятых, к которым относятся:

конфиденциальность;
целостность;
доступность;
невозможность отказа.

Возникает дополнительный признак безопасности информации как объекта, который может быть использован в качестве оружия, направленного на идеологическую и психологическую безопасность для граждан и общества.

Угрозы для граждан

Обеспечение информационной безопасности для граждан неотделимо от их информирования о возможных рисках, на сегодня эта задача решена не в полной мере. Если рассматривать информацию в качестве объекта, который может быть уничтожен, изменен или похищен, то граждане чаще всего страдают от следующих видов атак:

вирусы, трояны, иные вредоносные программы, наносящие урон целостности компьютерных систем;
программы-вымогатели, занимающие весь экран устройства и не исчезающие до выплаты мошенникам определенной суммы;
фишинг, или хищение информации о банковских картах и счетах путем социальной инженерии, когда физическое лицо добровольно выдает мошеннику, представившемуся сотрудником банка, требуемую информацию, или путем подмены сайта магазина или кредитного учреждения на его подобие;
кража личности. В этом случае похищенные персональные данные используются для получения каких-либо преференций от имени пострадавшего.

Но подвергаются граждане и тем информационным угрозам, которые были названы в государственной доктрине. Среди основных – вовлечение в экстремистскую деятельность, побуждение к совершению преступлений на почве национализма или религиозной нетерпимости, вовлечение детей в деструктивные секты.

Свойства безопасности информации

С началом информационной эры началось научное изучение теории защиты данных и основных свойств безопасности информации. В 1975 году Джерри Зальцер и Майкл Шрёдер в работе, посвященной защите данных в информационных системах, предложили классификацию способов нарушения безопасности. Они выявили три класса существенных нарушений защиты:

неавторизованное (несанкционированное) раскрытие или разглашение. Из этого нарушения было выведено такое свойство информации, как конфиденциальность;
неавторизованное изменение информации (например, замена сведений на главной странице сайта на воззвание экстремистской организации). Это нарушение посягает на такое основное свойство безопасности информации, как целостность;
неавторизованный отказ в допуске. Из него ученые вывели такое свойство, как доступность или способность информации всегда быть открытой для использования авторизованным пользователем.

В зарубежных исследованиях эти основные свойства часто называют триадой CIA. Помимо них Организация экономического сотрудничества и развития опубликовала собственное понимание свойств безопасности информации, состоящее уже из девяти принципов:

осведомленность или информирование о рисках, что особенно важно для граждан;
ответственность или понимание последствий нарушения принципов безопасности информации;
противодействие рискам;
этика при обработке данных;
демократия;
адекватная оценка риска;
разработка и внедрение систем безопасности;
квалифицированное управление безопасностью информации;
своевременный пересмотр политик безопасности.

Теоретическая работа со свойствами безопасности информации продолжилась дополнением триады CIA тремя новыми принципами, к ним были отнесены контроль, аутентичность и полезность. Паркеровская гексада, так назвали шесть принципов сформулированные Донном Паркером, не нашла понимания среди профессионалов из-за спорности новых положений. Одновременно американским Национальным институтом стандартов и технологий были разработаны 33 принципа инженерного проектирования систем информационной безопасности, до сих пор они, а также созданные на их базе правила и практические руководства используются разработчиками программного обеспечения и систем безопасности.

Несмотря на многообразие концепций, именно триада CIA стала базовым постулатом и вошла в большинство учебных программ и пособий по информационной безопасности, существующих в мире. Многие утвержденные стандарты разработки ПО, введенные в практику в России, некоторые ГОСТы основываются на этих трех основных свойствах – конфиденциальность, целостность и доступность. Дискуссии в профессиональном сообществе продолжаются, в частности, подвергается сомнению такой принцип, как конфиденциальность, в той части, в которой политика безопасности может нарушить права личности.

Конфиденциальность

Под конфиденциальностью понимается более широкий спектр значений, чем правовая защита определенных массивов информации или режим коммерческой тайны. Общей концепцией становится предоставление уровня доступа исходя из принципа минимальной информированности по вопросам, не входящим в сферу их непосредственной компетенции. Никто не должен иметь возможность изучать данные, которые не были ему необходимы в силу служебных обязанностей. Исходя из этого принципа, устанавливаются основные правила аутентификации, определяются уровни доступа, разрабатываются положения о сведениях, имеющих характер защищенных. Это свойство информации проявляется в политиках безопасности программных продуктов, во внутренних документах компаний и в нормативных документах государственных регуляторов.

Для защиты конфиденциальности стандартно используются такие методы, как:

классификация данных по степени защищенности;
шифрование при помощи средств криптографической защиты;
обезличивание, при котором в массиве данных невозможно выделить сведения, касающиеся определенного лица.

Целостность

Сведения, принадлежащие организации или государству, имеют ценность и могут использоваться при принятии достоверных и обоснованных решений только при сохранении такого основного свойства информации, как целостность.

Информация должна быть защищена:

от намеренного или случайного искажения или удаления;
от случайного искажения, которое может произойти во время обработки или передачи данных.

Целостность информации может пострадать от намеренного ручного вмешательства, а также от:

вирусов и других вредоносных программ, например, логических бомб;
ошибок в программном коде, которые приводят к утрате или искажению данных;
ошибок, связанных с недостаточной подготовкой персонала или иными причинами;
технических сбоев.

Для обеспечения целостности необходимо разработать и применять систему мер, среди которых:

ограничение доступа к базам данных и файлам, содержащим конфиденциальную информацию;
разграничение полномочий системных администраторов;
согласование и предварительное тестирование любых изменений, связанных с программным кодом;
соблюдение правил безопасности при обновлении ПО;
протоколирование любых действий, производимых с файлами, содержащими конфиденциальную информацию.

Доступность

Ценность информации не только в ее сохранности, но и в доступности. Все данные должны находиться в распоряжении авторизованных лиц именно тогда, когда это необходимо для реализации управленческих или бизнес-процессов, или когда к ним обращается пользователь, для которого информация предназначена.

Нарушают доступность:

DDoS-атаки (распределенные сетевые атаки), одномоментное обращение к ресурсу десятков тысяч роботов-ботов;
работа программ-вымогателей;
намеренный саботаж со стороны инсайдеров.

На доступность информации влияют и преднамеренные или случайные технические ошибки, сбои, недостаточная мощность ресурсов, конфликты программного обеспечения. Гарантировать доступность можно только усилением технических средств защиты, своевременным архивированием и резервным копированием информации.

Невозможность отказа

Частным случаем доступности становится невозможность отказа. Этот термин был введен в практику в 1998 году в одном из американских стандартов разработки систем компьютерной безопасности. Под ним подразумевается такая система идентификации принадлежности информации, при которой отсутствует правовая или техническая возможность отказаться от авторства или принадлежности данных. Любое заинтересованное лицо в любой момент должно иметь возможность проверить подлинность информации. Это свойство безопасности информации становится инструментом в борьбе с психологическим информационным воздействием, фейковыми новостями или финансовыми махинациями.

Способы защиты информации

При разработке способов обеспечения информационной безопасности на уровне компании рекомендуется соотносить результат с затратами. Разработаны даже математические модели, которые выводят оптимальную формулу баланса (модель Гордона-Лоба). При выстраивании собственной концепции защиты, опуская требования регуляторов к защите информации с особым правовым режимом (банковская и государственная тайна, персональные данные), необходимо исходить из следующих принципов:

снижение уровня рисков. Для этого внедряются меры безопасности и средства защиты информации, которые помогут снизить уязвимость систем и предотвратить угрозы несанкционированного доступа;
передача рисков. Финансовые риски, связанные с утратой информации, могут быть перенесены на страховые компании, а затраты, связанные с обеспечением безопасности, – на аутсорсинговые, например, на облачные системы хранения данных, оборудованные надлежащими средствами защиты и программным обеспечением;
принятие рисков. Некоторые системные угрозы невозможно отразить средствами, имеющимися в распоряжении корпорации, например, при расположении предприятия в сейсмоопасной зоне. В этом случае возникает необходимость формирования финансовых резервов, за счет которых будет компенсироваться ущерб;
отказ. Если деятельность предполагает повышенный риск утраты информации или киберугроз, например, связана с использованием ресурсов Даркнета или находится в законодательно неурегулированной зоне блокчейна, от нее лучше отказаться.

В деятельности государственных органов, обеспечивающих информационную безопасность, эти принципы также могут присутствовать, но, так как первичной ценностью для России и фактически целью защиты информации является охрана суверенитета, а не максимизация прибыли, они могут восприниматься частично.

Для обеспечения информационной безопасности и государство, и корпорации используют схожие технические средства, но если для компании будет достаточно установить и настроить современную DLP-систему, государству потребуется усилить регулирование национального сектора Интернета. Только это сможет обеспечить сохранение основных свойств безопасности информации.

Источник

Ответы на тест информационная безопасность [26.12.14]

Тема: Ответы на тест информационная безопасность

Раздел: Бесплатные рефераты по информационной безопасности

1. Информация это –

· сведения, поступающие от СМИ

· только документированные сведения о лицах, предметах, фактах, событиях

· сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления

· только сведения, содержащиеся в электронных базах данных

2. Информация

· не исчезает при потреблении

· становится доступной, если она содержится на материальном носителе

· подвергается только “моральному износу”

· характеризуется всеми перечисленными свойствами

3. Информация, зафиксированная на материальном носителе, с реквизитами,

позволяющими ее идентифицировать, называется

· достоверной

· конфиденциальной

· документированной

· коммерческой тайной

4. Формы защиты интеллектуальной собственности –

· авторское, патентное право и коммерческая тайна

· интеллектуальное право и смежные права

· коммерческая и государственная тайна

· гражданское и административное право

5. По принадлежности информационные ресурсы подразделяются на

· государственные, коммерческие и личные

· государственные, не государственные и информацию о гражданах

· информацию юридических и физических лиц

· официальные, гражданские и коммерческие

6. К негосударственным относятся информационные ресурсы

· созданные, приобретенные за счет негосударственных учреждений и организаций

· созданные, приобретенные за счет негосударственных предприятий и физических

лиц

· полученные в результате дарения юридическими или физическими лицами

· указанные в п.1-3

8. По доступности информация классифицируется на

· открытую информацию и государственную тайну

· конфиденциальную информацию и информацию свободного доступа

· информацию с ограниченным доступом и общедоступную информацию

· виды информации, указанные в остальных пунктах

9. К конфиденциальной информации относятся документы, содержащие

· государственную тайну

· законодательные акты

· “ноу-хау”

· сведения о золотом запасе страны

10. Запрещено относить к информации ограниченного доступа

· информацию о чрезвычайных ситуациях

· информацию о деятельности органов государственной власти

· документы открытых архивов и библиотек

· все, перечисленное в остальных пунктах

11. К конфиденциальной информации не относится

· коммерческая тайна

· персональные данные о гражданах

· государственная тайна

· “ноу-хау”

12. Вопросы информационного обмена регулируются (…) правом

· гражданским

· информационным

· конституционным

· уголовным

13. Согласно ст.132 ГК РФ интеллектуальная собственность это

· информация, полученная в результате интеллектуальной деятельности индивида

· литературные, художественные и научные произведения

· изобретения, открытия, промышленные образцы и товарные знаки

· исключительное право гражданина или юридического лица на результаты

интеллектуальной деятельности

14. Интеллектуальная собственность включает права, относящиеся к

· литературным, художественным и научным произведениям, изобретениям и

открытиям

· исполнительской деятельности артиста, звукозаписи, радио- и телепередачам

· промышленным образцам, товарным знакам, знакам обслуживания, фирменным

наименованиям и коммерческим обозначениям

· всему, указанному в остальных пунктах

15. Конфиденциальная информация это

· сведения, составляющие государственную тайну

· сведения о состоянии здоровья высших должностных лиц

· документированная информация, доступ к которой ограничивается в

соответствии с законодательством РФ

· данные о состоянии преступности в стране

16. Какая информация подлежит защите?

· информация, циркулирующая в системах и сетях связи

· зафиксированная на материальном носителе информация с реквизитами,

позволяющими ее идентифицировать

· только информация, составляющая государственные информационные ресурсы

· любая документированная информация, неправомерное обращение с которой

может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу

17. Система защиты государственных секретов определяется Законом

· “Об информации, информатизации и защите информации”

· “Об органах ФСБ”

· “О государственной тайне”

· “О безопасности”

18. Государственные информационные ресурсы не могут принадлежать

· физическим лицам

· коммерческим предприятиям

· негосударственным учреждениям

· всем перечисленным субъектам

19. Из нижеперечисленных законодательных актов наибольшей юридической силой в вопросах информационного права обладает

· Указ Президента “Об утверждении перечня сведений, относящихся к

государственной тайне”

· ГК РФ

· Закон “Об информации, информатизации и защите информации”

· Конституция

20. Классификация и виды информационных ресурсов определены

· Законом “Об информации, информатизации и защите информации”

· Гражданским кодексом

· Конституцией

· всеми документами, перечисленными в остальных пунктах

21. Определение понятия “конфиденциальная информация” дано в

· 1 ГК РФ

· 2 Законе “О государственной тайне”

· 3 Законе “Об информации, информатизации и защите информации”

· 4 УК РФ

22. Формой правовой защиты литературных, художественных и научных произведений является (…) право

· литературное

· художественное

· авторское

· патентное

23. Запрещено относить к информации с ограниченным доступом

· законодательные акты, информацию о чрезвычайных ситуациях и информацию о

деятельности органов государственной власти (кроме государственной тайны)

· только информацию о чрезвычайных ситуациях

· только информацию о деятельности органов государственной власти (кроме

государственной тайны)

· документы всех библиотек и архивов

24. Формой правовой защиты изобретений является

· институт коммерческой тайны

· патентное право

· авторское право

· все, перечисленное в остальных пунктах

25. К коммерческой тайне могут быть отнесены

· сведения не являющиеся государственными секретами

· сведения, связанные с производством и технологической информацией

· сведения, связанные с управлением и финансами

· сведения, перечисленные в остальных пунктах

26. Является ли авторское право, патентное право и КТ формами защиты интеллектуальной собственности?

· да

· нет

· только авторское и патентное

· только КТ

27. «Ноу-хау» это –

· незащищенные новшества

· защищенные новшества

· общеизвестные новые технологии

· опубликованные технические и технологические новинки

28. Каким законом в РФ защищаются права исполнителей и производителей фонограмм?

· “О правовой охране программ для ЭВМ и баз данных”

· “Об авторском праве и смежных правах”

· “Патентный закон РФ”

· закон еще не принят

29. Закон “Об авторском праве и смежных правах” защищает права

· исполнителей (актеров, певцов и т.д.)

· производителей фонограмм

· организации эфирного и кабельного вещания

· всех лиц, перечисленных в остальных пунктах

30. Какой законодательный акт содержит сведения по защите коммерческой тайны?

· Закон “Об авторском праве и смежных правах”

· Закон “О коммерческой тайне”

· Патентный закон

· Закон “О правовой охране программ для ЭВМ и баз данных”

31. К информации ограниченного доступа не относится

· государственная тайна

· размер золотого запаса страны

· персональные данные

· коммерческая тайна

32. Система защиты государственных секретов

· основывается на Уголовном Кодексе РФ

· регулируется секретными нормативными документами

· определена Законом РФ “О государственной тайне”

· осуществляется в соответствии с п.1-3

33. Действие Закона “О государственной тайне” распространяется

· на всех граждан и должностных лиц РФ

· только на должностных лиц

· на граждан, которые взяли на себя обязательство выполнять требования

законодательства о государственной тайне

· на всех граждан и должностных лиц, если им предоставили для работы закрытые

сведения

34. К государственной тайне относится…

· информация в военной области

· информация о внешнеполитической и внешнеэкономической деятельности государства

· информация в области экономики, науки и техники и сведения в области разведывательной и оперативно-розыскной деятельности

· все выше перечисленное

35. Документы, содержащие государственную тайну снабжаются грифом

· “секретно”

· “совершенно секретно”

· “особой важности”

· указанным в п.1-3

36. Гриф “ДСП” используется

· для секретных документов

· для документов, содержащих коммерческую тайну

· как промежуточный для несекретных документов

· в учебных целях

37. Порядок засекречивания состоит в установлении следующих принципов:

· целесообразности и объективности

· необходимости и обязательности

· законности, обоснованности и своевременности

· всех выше перечисленных

38. Предельный срок пересмотра ранее установленных грифов секретности составляет

· 5 лет

· 1 год

· 10 лет

· 15 лет

39. Срок засекречивания сведений, составляющих государственную тайну

· составляет 10 лет

· ограничен 30 годами

Внимание!

Если вам нужна помощь в написании работы, то рекомендуем обратиться к профессионалам. Более 70 000 авторов готовы помочь вам прямо сейчас. Бесплатные корректировки и доработки. Узнайте стоимость своей работы

Бесплатная оценка

26.12.14 в 15:40
Автор: Какое из свойств защищаемой информации не является основным jlml

Понравилось? Нажмите на кнопочку ниже. Вам не сложно, а нам приятно).

Чтобы скачать бесплатно Тесты на максимальной скорости, зарегистрируйтесь или авторизуйтесь на сайте.

Важно! Все представленные Тесты для бесплатного скачивания предназначены для составления плана или основы собственных научных трудов.

Друзья! У вас есть уникальная возможность помочь таким же студентам как и вы! Если наш сайт помог вам найти нужную работу, то вы, безусловно, понимаете как добавленная вами работа может облегчить труд другим.

Добавить работу

Если Тест, по Вашему мнению, плохого качества, или эту работу Вы уже встречали, сообщите об этом нам.

Отзывы о работе:

Добавление отзыва к работе

Добавить отзыв могут только зарегистрированные пользователи.