1. В сфере производства:

2. технология изготовления продукции;

3. результаты проведенных испытаний;

4. конструктивные характеристики продукции;

5. оптимальные параметры технологических процессов;

6. сведения о материалах, используемых для изготовления продукции;

7. сведения об оборудовании, на котором производится продукция;

8. сведения о выявленных недостатках произведенной продукции и намечаемых путях их устранения;

9. в сфере коммерческой стратегии:

10. сведения о планах развития предприятия и привлечении инвестиций;

11. о новых маркетинговых проектах;

12. о бюджете фирмы;

13. о финансовых и технических предложениях;

14. в сфере торговых предложений и предпринимательской деятельности:

15. о заключенных контрактах и особенностях их юридического оформления;

16. о расчете цен и обосновании сделок;

17. об организации и размерах торгового оборота;

18. о круге клиентов;

19. о поставщиках;

20. в административной сфере:

21. о структуре организации;

22. о руководителях подразделений;

23. о предмете и целях совещания сотрудников управления фирмы;

24. о методике отбора и подготовки персонала;

25. об организации труда;

26. в банковской сфере:

27. о размерах и условиях банковских кредитов;

28. об источниках финансирования организаций;

29. о вложении средств в ценные бумаги;

30. о кредитоспособности и возможности получения кредита.

Коммерческую тайну не может составлять:

1. сведения, содержащие в учредительных документах юридического лица;

2. документы, дающие право на осуществление предпринимательской деятельности;

3. о загрязнении окружающей среды, о состоянии противопожарной безопасности, радиационной безопасности и безопасности пищевых продуктов;

4. о численности и составе работников;

5. о системе оплаты труда и условиях труда;

6. о нарушении законодательства РФ;

7. об условиях конкурсов и аукционах;

8. о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

9. о размерах и структуре доходов некоммерческих организаций.

Методы защиты.

Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. Режим защиты устанавливается в отношении сведений, составляющих гос. тайну, - уполномоченными органами в соответствии с законом о гос. тайне, в отношении конфиденциальной информации - собственником информационных ресурсов в соответствии с федеральным законом.

Цели защиты:

1. предотвращение утечки, хищения, утраты, искажения и подделки информации;

2. предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

3. обеспечение правового режима документированной информации, как объекта собственности;

4. сохранение конфиденциальности документированной информации в соответствии с законодательством.

Методологические подходы к организации и обеспечению защиты информации:

I этап.

Под защитой информации на первоначальном этапе понималось предупреждение несанкционированного ее получение лицами не имеющими на это полномочий. Как правило, это проводилось формальными методами.

- Создание матрицы полномочий

II этап развитой защиты.

• Постепенное осознание необходимости комплексирования целей защиты.

• Расширение арсенала средств использование защиты.

• Объединение применяемых средств в функционально самостоятельные системы защиты.

III этап комплексной защиты информации.

Комплексность понимается как решение в рамках единой концепции двух или более разноплановых задач (целевая комплексность) или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность) или и то и другое вместе (всеобщая комплексность).

3 основных вида защиты:

1. организационная;

• создание служб режимов спецподразделениями;

2. техническая;

3. службы защиты информации непосредственно в автоматизированных систнмах управления и вычислительных центрах.

Основные положения теории защиты информации.

Т.з. должна

1. представлять полные и адекватные сведения о происхождении, сущности и развитии проблем защиты;

2. полно и адекватно отображать структуру и содержание взаимосвязей с родственными и смежными областями знаний;

3. использовать опыт предшествующих исследований для решения практических задач;

4. ориентировать в направлении наиболее эффективного решения, основных задач защиты и предоставлять необходимые для этого научно-методологические и инструментальные средства;

5. формировать научно-обоснованные перспективные направления развития теории и практики защиты информации.

Принципы формирования теории защиты информации.

Все принципы формирования теории защиты информации условно можно разделить на 2 группы:

1. обще теоретическая;

2. теоретико-прикладная.

Основные принципы обще-теоретической группы:

1. четкая целевая направленность исследований и разработок в том числе и в теории;

2. поиск научно-обоснованных решений изучаемой проблемы;

3. формирование концепций на основе реальных фактов;

4. строгий учет диалектики взаимосвязей количественных и качественных изменений;

5. упреждающая разработка общих концепций, на базе которых могли бы решаться все частные вопросы;

6. своевременное видоизменение постановки изучаемой или разрабатываемой задачи.

Основные принципы теоретико-прикладной группы:

1. построение адекватных моделей изучаемых систем и процессов;

Абстрактные модели защиты информации:

1977 год – модель Биба.

Все субъекты и объекты предварительно разделяются по нескольким уровням доступа и между ними осуществляется следующее взаимодействие:

• субъект определенного уровня доступа может обращаться к объектам данного уровня доступа;

• субъект не может модернизировать объекты с высшим уровнем доступа;

• субъект не может вызывать на исполнение субъектыс более низким уровнем доступа.

1989 год – модель Кларка Вильсона.

1986 год – Созерландская модель.

2. унификация разрабатываемых решений;

3. максимальная структуризация изучаемых систем и разрабатываемых решений.

Методологический базис теории защиты информации.

Методологический базис представляет собой совокупность методов и моделей, необходимых и достаточных для исследования проблем защиты и решения практических задач соответствующего назначения.

Методы теории защиты информации:

1. лингвистических переменных (нестрогая математика);

2. неформального оценивания;

3. неформального поиска оптимальных решений;

4. нечетких множеств.

Нестрогой математикой называют совокупность приемов построения и использования моделей больших систем, основывающихся на неформальных суждениях и умозаключениях человека, формируемых им исходя из здравого смысла и жизненного опыта.

Исходным базисом нестрогой математики служит совокупность 3 посылок:

1. в качестве меры характеристик изучаемых систем вместо числовых переменных или в дополнении к ним используются лингвистические переменные;

2. простые отношения между переменными в лингвистическом измерении описывается с помощью нечетких высказываний, которые имеют следующую структуру: из Х следует Y, где Х и Y – лингвистические переменные;

3. сложные отношения между переменными в лингвистических измерениях описываются нечеткими алгоритмоми.

Неформальные методы оценивания.

Метод экспертных оценок.

Существуют 3 основных способа решения конкретных задач:

1. анкетирование;

2. интервьюирование;

3. Простые суждения.

Технология использования метода экспертных оценок:

1. формирование группы экспертов;

2. выбор способа работы с экспертами;

3. выбор метода формирования экспертами оценок по решаемому вопросу;

4. выбор метода обработки оценок эксперта.

Теория нечетких множеств.

Теория игр.

Стратегия защиты информации.

Стратегия в общем плане - это рассчитанная на перспективу руководящая установка при организации и обеспечении соответствующего вида деятельности направленного на то, чтобы наиболее важные цели этой деятельности достигались при наиболее рациональном расходовании имеющихся ресурсов. Стратегия защиты информации – это совокупность мероприятий направленных на создание защиты соответствующей требуемой при минимальном расходовании ресурсов. Потребности в защите обусловлены прежде всего важностью и объемами защищаемой информации, а также условиями ее хранения, обработки и использования. Размер ресурсов на защиту информации может быть либо ограничен определенным пределом, либо определяется условием обязательного достижения требуемого уровня защиты.

Стоимость потерь от теоретической угрозы: , где

S_i – коэффициент характеризующий возможную частоту появления данной угрозы,

V_i – коэффициент характеризующий значение возможного ущерба при ее возникновении.

S_i= 0 – угроза не появится почти никогда

1 – 1 раз в 1000 лет

2 – 1 раз в 100 лет

3 – 1 раз в 10 лет

4 – 1 раз в год

5 – 1 раз в месяц

6 – 2 раза в неделю

7 – 3 раза в день

V_i= 0 – 1 $

1 – 10 $

2 – 100 $

3 – 1000 $

4 – 10000 $

Содержание и необходимость стратегии, как правило, определяется по двум критериям:

1. требуемый уровень защиты;

2. степень свободы действия при организации защиты.

Значение 1 критерия, как правило, выражается количественно, но может выражаться и лингвистическими переменными.

Например:

1. защита от наиболее опасных, ранее проявлявшихся угроз;

2. защита от всех известных угроз;

3. защита от всех потенциально возможных угроз.

Общая интерпретация 2го критерия сводится к тому, что организаторы и исполнители процессов защиты имеют относительно полную свободу распоряжаться методами и средствами защиты и некоторую степень свободы вмешательства в построение системы обработки данных, а также в организации обеспечению и обеспечение технологии ее функционирования. В связи с этим выделяются 3 степени свободы действий:

1. никакое вмешательство в систему обработки данных не допускается;

2. допускается предъявлять требования не концептуального характера;

3. допускается предъявлять требования любого уровня.

Унифицированные концепции защиты информации:

1. создание концепций задающих ситуацию защиты;

2. разработать методологию описания ситуации защиты;

3. разработать систему показателей уязвимости или защищенности информации;

4. создать систему дестабилизирующих факторов влияющих на уязвимость или защищенность информации;

5. разработать методологию оценки уязвимости и защищенности информации;

6. определить перечень требований к защите информации;

7. создать систему концептуальных решений по защите информации;

8. разработать систему требований к концептуальным решениям;

9. разработать методы и способы, способствующие повышению защиты информации.

№18

Методы определения требований к защите информации.

Конкретные требования к защите информации, как правило, определяется совокупностью следующих факторов:

1. характер обрабатываемой информации;

• общедоступная информация – без ограничения;

• служебная – свободный доступ только для работников данного предприятия;

• секретная;