Управление рисками и информационная безопасность

7. Управление рисками и информационная безопасность.

Риск —неопределенность, связанная с возможностью возникновения в ходе деятельности организации неблагоприятных ситуаций и последствий ; (риск - потенциальная, численно измеримая возможность потери);

Информационная безопасность - защищенность информации на любых носителях от случайных и преднамеренных несанкционированных воздействий, направленных на уничтожение, разрушение, видоизменение тех или иных данных, изменения степени доступности ценных сведений.

Источники и каналы  распространения конфиденциальной инф-ции  всегда подвергаются различного вида угрозам и опасностям.

Объективные угрозы создают стихийные бедствия, экстремальные ситуации,  аварии техн.средств и т.д. Субъективные угрозы всегда связаны с человеком.

Под угрозой понимаются целенаправленное действие, кот. повышает уязвимость инф-ции и, чаще всего, создает условия для утраты этой информации.

Основной угрозой для конф.документов является несанкционированный , т.е. незаконный доступ постороннего лица к защищаемой инф-ции, документам, БД. В рез-те этого доступа происходит овладение инф-ий и противоправное ее использование, а также видоизменение подмена, уничтожение, внесение вируса и т.д.  Здесь первично – несанкционионированный доступ. А вторично - изменение, подмена.

Наиб.часто встречаются след.угрозы:

Кража, утеря док-та  или отдельных его частей, напр. листов, приложений, схем.

Несанкционированное копирование  бум. и электр. документов, БД, фото-, видео-, аудиодокументов, работа в чужих БД,

Тайное или разрешенное ознакомление с док-том, запоминание текста, и сообщение инф-ции злоумышленнику лично, или по линиям связи.

Подмена док-тов или их отд. Частей с целью фальсификации или сокрытия факта их утери (хищения)

Дистационный просмотр документов и изображение дисплея с помощью тех.средст. разведки.

Ошибочное, умышленные или случайные действия персонала при работе с документами.

Считывание данных в чужих массивах за счет исп-ия остаточной инф-ии на копирующ.ленте, копир.бумаги, дисках. 

Гибель документов при аварийных экстр.ситуациях.

Угрозы инф-ции практически реализуются через риск образования каналов утраты  инф-ции. Каждая организация обладает своей совокупностью таких каналов. 

Каналы утраты КИ делятся на:

организационные каналы разглашения информации - основаны на установлении разнообразных, в т.ч. законных, взаимоотношений злоумышленника с фирмой (или сотрудником фирмы) для последующего несанкционированного доступа к интересующей его информации.

технические каналы утечки информации - возникают при использовании злоумышленником специальных технических средств разведки, позволяющих получить защищаемую информацию без непосредственного контакта с источником этой информации. Эти каналы возникают при изучении злоумышленником физических полей, возникающих в процессе работы офисной техники, а также при перехвате информации, имеющей акустическую, визуальную или иную форму отображения.

Основные работы по предотвращению рисков (управлению рисками) для конфиденциальной информации, в организации ведет служба безопасности, путем создания системы защиты информации (СЗИ).

СЗИ – рациональная совокупность направлений, методов и средств, снижающих уязвимость информащии и препятствующих несанкц.доступу к информации.

В основе СЗИ: персональная ответственность руководителей и сотрудников за сохранность носителя и конф. инф-ции; регламентация состава конф. сведений и документов, подлежащих защите.; регламентация порядка доступа персонала к конф. сведениям; наличие спец. службы или инф.аналит. службы, кот. обеспечивают практич. реализ. СЗИ.

Осн. характеристикой СЗИ явл. ее комплексность, т.е. наличие в ней общих элементов, охватывающих все направления защиты информации.

Осн.элементами системы явл. следующие: правовой элемент, организационный. инженерно-технич., программно-аппаратный, криптографический.