Статьи
Аппарат нечетких множеств и его применение для оценки ущерба от реализации угроз безопасности информации
При вербальных суждениях о размерах ущерба от реализации угроз могут быть достаточно большие отклонения, приводящие к ошибкам, возможно значительным, при оценке опасности угроз и оценке эффективности защиты информации. Применение же статистических методов оценки неопределенных (случайных) размеров ущерба, несмотря на значительно большую проработанность, часто сдерживается из-за невозможности учета огромного разнообразия существенных и при этом слабо формализуемых факторов и отсутствия необходимой статистики.
Построение универсальной шкалы оценок ущерба для совокупности информационных систем
Предельный ущерб отражает представление конкретного обладателя информации о важности защищаемой им информации. Однако оценка важности зависит от того, чьи интересы затрагиваются при нанесении ущерба. В связи с этим такая оценка является объективно условной. Для учета и парирования такой условности может быть использован предлагаемый метод взаимосвязанных шкал с их перенормировкой при переходе от одной шкалы к другой. Суть метода сводится к следующему.
Построение универсальной шкалы оценок ущерба для одной информационной системы
Методологии оценки ущербов от реализации угроз безопасности информации развивались преимущественно в рамках теории оценки рисков. Как правило, в разработанных подходах учитывались:
важность для пользователя, владельца информации или организации той информации (ее носителей или средств обработки), в отношении которой могут быть выполнены несанкционированные действия при реализации угроз;
область применения (использования) результатов обработки информации (выходной информации);
Некоторые аспекты методологии количественной оценки финансового ущерба от реализации угроз безопасности информации
Рассмотрим некоторые аспекты методологии количественной оценки финансового ущерба на примере гипотетического варианта оценки финансового ущерба и пересчитываемых в него ущербов от нарушений безопасности пользовательской и системной информации в ИС, когда несанкционированные действия связаны с финансовыми потерями.
Классификация ущербов от реализации угроз безопасности информации
Оценка опасности угрозы безопасности информации непосредственно связана с оценкой возможного ущерба от ее реализации. Ущерб возникает в результате нарушения конфиденциальности, целостности или доступности информации, относящейся либо к пользовательской, либо к системной. Нарушения конфиденциальности касаются, в основном, пользовательской информации, нарушения целостности и доступности - как пользовательской, так и системной информации, при этом нарушения целостности и доступности системной информации являются, как правило, непосредственными причинами нарушения доступности пользовательской информации.
Балльный метод оценки эффективности защиты информации
Балльный метод оценки возможностей реализации угроз безопасности информации основывается на экспертном опросе специалистов, обработке результатов опроса и выдаче их в виде баллов, а затем интерпретации полученной балльной оценки в виде суждений о риске реализации угрозы и эффективности защиты.
Парирование сложностей, связанных с неопределенностью исходных данных и большой размерностью задачи оценки эффективности защиты информации
При оценке эффективности защиты информации в ИС возникают сложности, связанные, во-первых, с неопределенностью исходных данных, необходимых для такой оценки, таких как:
Общий подход к использованию теории риска при оценке эффективности технической защиты информации от несанкционированного доступа
Применение теории риска [31, 32] сегодня считается приоритетным направлением развития методологии оценки эффективности ТЗИ. Эта теория стала широко развиваться за рубежом во второй половине двадцатого века, а также в России в последнее двадцатилетие. Она позволяет учесть целый ряд "НЕ-факторов" - неопределенность, неточность, неизвестность и (или) неполнота данных об исследуемых процессах, незамкнутость (открытость) множества условий, способствующих реализации угроз.
Модель оценки эффективности технической защиты информации на основе оценочных уровней доверия
Наиболее полно требования доверия и оценочные уровни доверия к безопасности информации в ИС определены в международном стандарте ИСО/ МЭК 15408-3 [30]. В соответствии с этим стандартом доверие - это основа для уверенности в том, что ИС отвечает целям обеспечения безопасности информации. При этом используется шкала оценок в виде 7 уровней доверия, каждый из которых соответствует определенному набору требований доверия. Для упорядочения представлений об этих требованиях все множество требований разделено на классы, семейства, компоненты и элементы доверия.
Модель оценки эффективности технической защиты информации от несанкционированного доступа с применением функционального подхода
Суть функционального подхода состоит в следующем.
Пусть в ИС в соответствии с требованиями нормативного документа для обеспечения заданного уровня (класса) защищенности к = \,К, должна применяться некоторая совокупность мер защиты Fk, однако фактически в ИС оказались реализованными только fk мер защиты из совокупности Fk. Все сочетания мер защиты из множества Fk могут быть расположены в порядке возрастания их эффективности, то есть влияния на повышение защищенности информации в ИС. Так, в соответствии с [13], если ИС должна быть защищена по третьему классу защищенности, то в ней должны применяться 63 меры защиты (Fk = 63). Количество сочетаний таких мер Nk составит величину 2п -1 = 2й -1.
Классификация моделей оценки эффективности защиты информации от несанкционированного доступа
Оценивание эффективности защиты информации как меры приближения к желаемому результату защиты должно проводиться на количественной основе, при этом результат может быть далее интерпретирован по определенным правилам в виде качественных суждений, например, «высокая», «средняя», «низкая» эффективность с возможным применением промежуточных модификаторов («очень высокая», «выше средней», «ниже средней», «очень низкая» и т.п.).
Методологические основы типизации информационных систем
В связи с огромным разнообразием ИС исследование вопросов ТЗИ, в том числе связанных с разработкой методологии количественной оценки ее эффективности, как правило, осуществляется для типовых систем. Типизация - это процедура, включающая в себя разделение всего рассматриваемого множества объектов на группы эквивалентности в соответствии с выбранной системой признаков типизации и выделение из каждой группы типового представителя, заменяющего без существенных ошибок любой из объектов группы. С учетом приведенного определения понятия «типизация» порядок проведения типизации ИС приведен.
Проблемные вопросы анализа угроз безопасности информации и пути их решения
Важной составляющей оценки эффективности зашиты информации в ИС является оценка защищенности системной (технологической, то есть обеспечивающей функционирование средств вычислительной техники, информационных систем и компьютерных сетей) и пользовательской (прикладных программ и данных) информации от возможных угроз несанкционированного воздействия (копирования, модификации, блокирования и т.д.).
В связи с этим и в соответствии с действующими нормативными документами [9-13] должен проводиться анализ угроз безопасности информации, который включает в себя:
Основные факторы, подлежащие учету при оценке эффективности защиты информации
Оценка эффективности ТЗИ чаще всего проводится на основе сравнения защищенности информации без применения и с применением мер защиты. Кроме того, оценка защищенности информации необходима:
при выявлении угроз безопасности информации, оценке их актуальности, возможности предупреждения, обнаружения и нейтрализации угроз, при выявлении уязвимостей программного и программно-аппаратного обеспечения ИС;
Онтологические аспекты проблематики оценки эффективности защиты информации от несанкционированного доступа
Необходимость рассмотрения онтологических аспектов защиты информации в ИС обусловлена рядом обстоятельств, к основным из которых относятся:
во-первых, отсутствие определений рада применяемых на практике терминов и характеристик взаимосвязей этих терминов в действующих терминологических документах и правовых актах;
во-вторых, разные трактовки или неоднозначность трактовок некоторых терминов и их определений в различных публикациях по тематике защиты информации.
Защита информации в информационных системах
Защита информации (ЗИ) в информационных системах (ИС), широко применяемых в органах государственной власти, на предприятиях и в организациях кредитно-финансовой, топливно-энергетической, транспортной и многих других сфер деятельности государства и общества, сегодня становится одной из приоритетных государственных задач.
Формирование электронно-цифровой подписи
Термин «цифровая подпись» используется для методов, позволяющих устанавливать подлинность сообщения при возникновении спора относительно его авторства. Применяется в ИС, в которых отсутствует взаимное доверие сторон. Известны два класса формирования цифровой подписи:
1) использует труднообратимые функции типа возведение в степень в конечных полях 82 большой размерности. К этому классу относится ГОСТ РФ. Он является усложнением алгоритмов цифровой подписи RSA и Эль-Гамаля;
Особенности систем защиты информации в ведущих странах мира
В настоящее время задача по ЗИ — это не только защита сведений (сообщений, данных), независимо от формы их представления, но и комплекс мер, направленных на защиту IT-инфраструктуры, в которой эти сведения хранятся и обрабатываются. Вполне допустимо привести аналогию с домом, в котором хранится и используется имущество его хозяина. В этом случае защите подлежит не только имущество внутри дома, но и сам дом, так как он есть неотъемлемая часть имущества собственника.
Асимметричное (несимметричное) шифрование и дешифрование
Асимметричное (несимметричное) шифрование - это шифрование с открытым ключом. Информация шифруется с помощью открытого ключа, а расшифровывается с использованием секретного ключа.
В несимметричных алгоритмах шифрования ключи зашифровывания и расшифровывания всегда разные (хотя и связанные между собой). Ключ зашифровывания является несекретным (открытым), ключ расшифровывания — секретным.
Дополнения от 05.06.2025 к анализу судебной практики при причинении вреда жизни или здоровью в судах города Москвы и Московской области
Петухов Олег Анатольевич, юрист, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Апелляционное определение Московского городского суда от 23.04.2025 по делу N 33-17446/2025 (УИД 77RS0021-02-2023-011963-34)
Категория спора: Причинение вреда жизни и здоровью.
Требования потерпевшего: О взыскании компенсации морального вреда.
