ГОСТ Р 50922-96. Защита информации. Основные термины и определения

Основная цель разработанного стандарта является установление однозначно понимаемой и непротиворечивой технологии во всех видах документации и литературы, деятельности органов, занимающихся защитой информации (ЗИ). В стандарте даны основные термины и определения, связанные с защитой информации. Информация — сведения о лицах, пределах факторах, событиях, явлениях и процессах не зависимо от формы их представления. Информация существовать в различных формах: в виде совокупности некоторых знаков, символов на носителях различных типов. Она может представлять ценность для отдельных лиц или организаций. Информационный объект — это среда, в которой информация создается, передается, обрабатывается или хранится. Защищаемая информация — это информация, которая является предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Объект защиты — информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации. Защита информации от непреднамеренного воздействия — деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. Защита информации от разглашения — деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации. Защита информации от несанкционированного доступа (защита информации от НСД) — деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. Организация защиты информации — содержание и порядок действий по обеспечению защиты информации. Система защиты информации — совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации. Защита информации осуществляется с использованием способов и средств защиты. Способ ЗИ — это порядок и правило применения определенных принципов и средств защиты информации. Средство ЗИ — техническое, программное средство, вещество или материал, предназначенный или используемый для защиты информации. Отдельно выделяют: средство физической защиты (стена, дверь, оплетка на кабеле); криптографические средства; средства контроля эффективности защиты. Информационные ресурсы — это отдельные документы или массивы документов, содержащиеся в информационных системах. Безопасность информации — это состояние защищенности информации, при которой обеспечена ее конфиденциальность, доступность, целостность. Защита информации — это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Атака — действие злоумышленника, заключающееся в поиске и использовании той или иной уязвимости. Защитить информацию — это значит: обеспечить ее физическую целостность; не допустить подмены; не допустить несанкционированное получение информации; быть уверенным в том, что переданная информация будет использоваться по назначению. Система защиты информации — это единый комплекс правовых норм, организованных мер, технических, программных и криптографических средств, обеспечивающих защищенность информации в компьютерных системах, в соответствии с принятой политикой безопасности. Защищенный информационный объект — это объект со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности. Политика безопасности — совокупность норм, правил, рекомендаций, регламентирующих работу средств защиты от заданного множества угроз безопасности. Защите подлежит любая информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Объект защиты — информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации. Цель защиты информации — желаемый результат защиты информации, например, предотвращение ущерба собственнику, владельцу, пользователю информации в случае возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию. Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели. Показатель эффективности защиты информации — мера или характеристика для оценки эффективности защиты информации. Правила доступа к информации — это совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям. Для государственной информации имеется три степени секретности: секретно; совершенно секретно; особой важности. Для коммерческой информации имеется три степени конфиденциальности: конфиденциальная; строго конфиденциальная; коммерческая тайна.

Основные виды угроз

Виды информационных угроз можно разделить на две группы:

— случайные (непреднамеренные) угрозы;

— преднамеренные угрозы, заранее планируемые злоумышленниками для нанесения вреда.

Источниками случайных (непреднамеренных) угроз могут быть отказы и нарушения работоспособности программных и технических средств; помехи в каналах и на линиях связи; пожар; выход из строя электропитания; алгоритмические и программные ошибки; неумышленные действия пользователей; неумышленная порча носителей информации; нелегальная установка неучтенных программ; заражение компьютерными вирусами; неосторожные действия, приводящие к разглашению конфиденциальной информации, ключей, паролей; ввод ошибочных данных; неумышленная пересылка данных по неверному адресу; неумышленное повреждение каналов связи. Меры защиты от таких угроз носят в основном организационных характер.

Основным видом угроз целостности и конфиденциальности информации являются преднамеренные (умышленные) угрозы, заранее планируемые злоумышленниками для нанесения вреда. Их можно разделить на две группы:

— угрозы, реализация которых выполняется при постоянном участии человека;

— угрозы, реализация которых после разработки злоумышленником соответствующих компьютерных программ выполняется программами без непосредственного участия человека.

Также преднамеренные (умышленные) угрозы можно разделить на:

— пассивные — направлены на несанкционированное использование информации, не оказывая при этом влияния на функционирование ИТ;

— активные — направлены на нарушение нормального функционирования ИТ.

В целом можно выделить следующие умышленные виды угроз:

— раскрытие конфиденциальной информации — бесконтрольный выход конфиденциальной информации за пределы ИТ;

— несанкционированный доступ к информации — противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа;

— компрометация информации — несанкционированные изменения в базе данных, в результате чего потребитель должен либо отказаться от нее, либо прилагать усилия для выявления изменений и восстановления истинных сведений;

— отказ от информации — непризнание получателем или отправителем фактов ее получения или отправки, что позволяет одной из сторон расторгать заключенные финансовые соглашения «техническим» путем, формально не отказываясь от них, нанося тем самым второй стороне ущерб;

— нарушение информационного обслуживания — угроза, источником которой является ИТ, связанная с задержкой предоставления информационных ресурсов;

— незаконное использование привилегий — незаконный захват привилегий пользователем;

— взлом системы — умышленное проникновение в ИТ без санкционированных параметров для входа.