Категории доступа, формы представления и свойства при защите информации

Урок 7.

Формы представления информации.

Акустическая информация. Разговоры — передача акустической информации. Есть виброакустика, когда акустическая волна воздействует на стекло или трубу отопления (соответствующая поверхность вибрирует) можно попытаться снять вибрацию. Аналогично — электроакустика (через розетки). Двойные двери с тамбуром у начальников — решение, которое позволят уменьшить уровень акустического сигнала за пределами защищаемого помещения.

Побочное электромагнитное излучение. На определенной частоте в телевизоре можно было поймать сигнал соседей. То же самое качается розетки, в которой есть электричество.

Применительно к конфиденциальной информации не имеет смысла — проще купить информацию у сотрудника. Поэтому угроза считается не актуальной.

Информация обрабатываемая (циркулирующая) в ИСПДн.

Видовая информация в виде текста, изображений и т. д., например та информация, которая отображается в мониторе. Речь идет о канале, по которому может быть нарушена конфиденциальность + физический доступ. Мы можем посмотреть на бумажный документ, нарушив конфиденциальность (+ физическая нарушение целостности).

Информация в виде сигналов.

Свойства информации, обеспечиваемые при её защите.

Конфиденциальность — состояние информации, при котором доступ к ней осуществляют только те субъекты, которые имеют на это право. То есть — это когда информацию знают только те лица, которые имеют право ее знать. А все остальные ее не знают.

Целостность — изменять информацию могут только те субъекты, которые имеют на это право. То есть — это изменение информации только теми лицами, у которых есть на это право. Поэтому нарушение целостности — это когда изменяет или удаляет информацию то лицо, у которого нет на это прав.

Доступность — состояние информации при котором субъекты имеющие право доступа к информации могут осуществлять его беспрепятственно. То есть, у пользователя, который имеет право работать с информацией, пропадает доступ к ней (не приводит к какому-либо изменению информации). Речь идет о несанкционированном блокировании. Например, DDOS атаки, атаки направленные на отказ в обслуживании. Например когда оперативная память и процессор перегружаются. Информацию никто не изменял, но добраться до нее нельзя.

Неотказуемость — состояние информации, при котором субъект не может отказаться от того действия, которое имело место быть. Человек не может отказаться от действия или информации, которую он отправил (например, средство обеспечения неотказуемости: подпись документа, ЭЦП).

Подотчетность — свойство информации, состоящее в том, что все события и обращения к информационному ресурсу должны быть зарегистрированы (вести учет). То есть это свойство, состоящее в том, что все обращения и события, происходящие в защищаемой информационной системе (ресурсам) они идентифицируются и регистрируются. Ведется учет событий. Например, изменения файла с зарплатами.

Аутентичность — свойство, гарантирующее, что субъект или ресурс идентичны заявленным. То есть, нарушение аутентичности, например, заражение вирусом — система не идентична заявленным, появились новые свойства. Подмена сервера, перенаправление на свой сервер и вытягивание данных. По сути — когда нет подмены, принципы работы остаются теми же. Действительно ли информация не изменялась. Может быть нарушена на этапе эксплуатации.

Достоверность — свойство соответствия предусмотренному поведению и результатам работы. Речь идет об исходном соответствии заявленным функциям. Когда продавцы или разработчики говорят одно, а по факту система работает по другому. Классический термин — недекларируемые возможности. Какой-то код, который был вставлен и пользователь об этом ничего не знает. Обычно речь идет о том, что происходит сбор информации о системе без уведомления пользователя. Например, автопроизводители используют GPS и кучу датчиков, которые передают информацию, перечень информации нигде не указан. Устанавливая программу, ее поведение не соответствует заявленному — изначально работает не так, как нужно.

Категории доступа к информации.

Понятие контроля доступа обозначает функцию открытой системы, обеспечивающую технологию безопасности, которая разрешает или запрещает доступ к определённым типам данных, основанную на идентификации субъекта, которому нужен доступ, и объекта данных, являющегося целью доступа.

Категории доступа к информации:

Общедоступная информация. Может использоваться кем угодно, лишь бы соблюдались законы (например, противодействие терроризму и подобные). Обладатель общедоступной информации по просьбе первоисточника должен указывать ссылку на него.
Информация, доступ к которой ограничен.

Информация ограниченного доступа:

Секретная (гос. тайна). Ключевое определение гос тайны включает в себя направления по которым информация является секретной:

Военная,
Внешнеполитическая
Экономическая,
Разведывательная,
Контрразведывательная,
Розыскная деятельность.

Конфиденциальная.

Документ без реквизитов — это бумажка, а не документ.

Реквизиты на документе — гриф секретности:

Особой важности. Ущерб интересам Российской Федерации в одной из областей.
Совершенно секретно. Ущерб интересам министерства (ведомства) или отрасли экономики РФ.
Секретно. Ущерб, нанесенный интересам предприятия.

Штамп на документе: чья информация, уровень секретности и иные реквизиты, характеризующие документ. Ключевое слово — ущерб.

Разделение привилегий на доступ.

Разделение привилегий на доступ к информации заключается в выделении группы из числа допущенных к информации должностных лиц. Данной группе предоставляется доступ только при одновременном предъявлении полномочий всех членов группы.

Подобный метод несколько усложняет процедуру, но обладает высокой эффективностью защиты. На его принципах можно организовать доступ к данным с санкции вышестоящего лица по запросу или без него.