Акт получения программного несанкционированного доступа к компьютеру которые иначе недоступны
II. Методы и способы защиты информации
от несанкционированного доступа
2.1. Методами и способами защиты информации от несанкционированного доступа являются:
реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
резервирование технических средств, дублирование массивов и носителей информации;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
использование защищенных каналов связи;
размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
2.2. В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.
Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия в зависимости от класса информационной системы определяются оператором (уполномоченным лицом) в соответствии с приложением к настоящему Положению.
2.3. В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты.
2.4. При взаимодействии информационных систем с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с методами и способами, указанными в пункте 2.1 настоящего Положения, основными методами и способами защиты информации от несанкционированного доступа являются:
межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
защита информации при ее передаче по каналам связи;
использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
использование средств антивирусной защиты;
централизованное управление системой защиты персональных данных информационной системы.
2.5. Подключение информационных систем, обрабатывающих государственные информационные ресурсы, к информационно-телекоммуникационным сетям международного информационного обмена осуществляется в соответствии с Указом Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" (Собрание законодательства Российской Федерации, 2008, N 12, ст. 1110; N 43, ст. 4919).
2.6. Для обеспечения безопасности персональных данных при подключении информационных систем к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) с целью получения общедоступной информации помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом);
периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;
активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов.
Для реализации указанных методов и способов защиты информации могут применяться межсетевые экраны, системы обнаружения вторжений, средства анализа защищенности, специализированные комплексы защиты и анализа защищенности информации.
2.7. Для обеспечения безопасности персональных данных при удаленном доступе к информационной системе через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
проверка подлинности отправителя (удаленного пользователя) и целостности передаваемых по информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) данных;
управление доступом к защищаемым персональным данным информационной сети;
использование атрибутов безопасности.
2.8. Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
создание канала связи, обеспечивающего защиту передаваемой информации;
осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных.
2.9. Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем разных операторов через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
создание канала связи, обеспечивающего защиту передаваемой информации;
аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;
обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;
обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя.
2.10. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств.
2.11. Подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов.
2.12. Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.
Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).
2.13. В зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности персональных данных.
С овременные компании располагают значительными объемами информации. В сегодняшних реалиях она является основным ресурсом. Базы данных нуждаются в надежной охране от преступного использования, которое представляет собой серьезную угрозу для деятельности и существования компании. Поэтому так важно обеспечить защиту данных от несанкционированного доступа. Это комплекс мероприятий, направленных на контроль полномочий пользователей. В компании вводится ограничение использования сведений, которые не нужны сотрудникам для выполнения прямых обязанностей. Контролировать необходимо действия как с бумажными документами, так и со сведениями на электронных носителях информации.
Для того чтобы создать надежную систему защиты информации нужно определить возможные способы получения данных.
Способы доступа посторонних к сведениям
Несанкционированный доступ к информации (НСД) может быть получен разными способами. Прямое хищение документов или взлом операционных систем компьютеров составляют лишь малую часть возможных вариантов. Наиболее уязвимыми считаются электронные средства хранения информации, так как для них могут быть использованы удаленные методы управления и контроля.
Возможные варианты получения незаконного доступа:
- подключение к системам связи (телефонные линии, интеркомы, проводные переговорные устройства);
- хищение документации, в том числе ее копирование (тиражирование) с враждебными целями;
- непосредственное использование компьютеров, внешних накопителей или иных устройств, содержащих информацию;
- внедрение в операционную систему через Интернет, в том числе с использованием шпионских программ, вирусов и прочего вредоносного программного обеспечения;
- использование сотрудников компании (инсайдеров) в качестве источников сведений.
По данным Gartner, 60% людей готовы пойти на преступление под гнетом обстоятельств. Узнайте, на что способны ваши сотрудники с помощью «СёрчИнформ ProfileCenter».
Подключение к действующему каналу связи позволяет получать сведения косвенным способом, без непосредственного доступа к базам данных. Наиболее защищенными от вторжения извне считаются оптоволоконные линии, но и к ним можно присоединиться после некоторых подготовительных операций. Целью злоумышленников в этом случае становятся рабочие переговоры сотрудников – например, при проведении следственных мероприятий или при совершении финансовых операций.
Часто для получения нужных сведений злоумышленники используют сотрудников компаний. В ход идут разные способы убеждения и мотивации – от подкупа до более жестких методов (запугивание, шантаж). В группу риска входят сотрудники, у которых возник конфликт с коллегами или с администрацией компании. Эти работники могут иметь авторизованный доступ к информации, позволяющий им получать определенные сведения без ограничений. Аутентификация пользователей в данном случае не является эффективной мерой защиты, поскольку она способна отсечь только посторонних.
Еще одна внутренняя угроза – кража носителей с ценными сведениями, например, программным кодом, который является разработкой компании. На это способны только доверенные лица, имеющие доступ к конфиденциальным данным в физическом или электронном виде.
Параллельно с развитием средств защиты информации ведутся разработки новых методов НСД. Необходимо понимать, что изученные методы незаконного получения данных не считаются перспективными. Наибольшую опасность представляют новые и малоизученные способы доступа к ресурсам компании, против которых пока нет эффективных методик борьбы. Поэтому считать средства защиты от несанкционированного доступа излишней мерой не следует. Это не попытка перестраховаться, а следствие правильного понимания размеров угрозы.
Для чего предпринимаются попытки доступа к чужой информации
Основная цель несанкционированного доступа к информации – получение дохода от использования чужих данных.
Возможные способы использования полученных сведений:
- перепродажа третьим лицам;
- подделка или уничтожение (например, при получении доступа к базам должников, подследственных, разыскиваемых лиц и т. п.);
- использование чужих технологий (промышленный шпионаж);
- получение банковских реквизитов, финансовой документации для незаконных операций (например, обналичивания денег через чужой счет);
- изменение данных с целью навредить имиджу компании (незаконная конкуренция).
Конфиденциальная информация представляет собой эквивалент денежных средств. При этом для самого владельца сведения могут ничего не значить. Однако ситуация постоянно меняется, и данные могут внезапно приобрести большое значение, и этот факт потребует их надежной защиты.
Вы знаете, сколько конфиденциальных документов хранится в файловой системе вашей компании? Проведите быстрый и точный аудит с помощью «СёрчИнформ FileAuditor».
Методы защиты от несанкционированного доступа
Методы защиты компьютеров от несанкционированного доступа делятся на программно-аппаратные и технические. Первые отсекают неавторизованных пользователей, вторые предназначены для исключения физического проникновения посторонних людей в помещения компании.
Создавая систему защиты информации (СЗИ) в организации, следует учитывать, насколько велика ценность внутренних данных в глазах злоумышленников.
Для грамотной защиты от несанкционированного доступа важно сделать следующее:
- отсортировать и разбить информацию на классы, определить уровни допуска к данным для пользователей;
- оценить возможности передачи информации между пользователями (установить связь сотрудников друг с другом).
В результате этих мероприятий появляется определенная иерархия информации в компании. Это дает возможность разграничения доступа к сведениям для сотрудников в зависимости от рода их деятельности.
Аудит доступа к данным должен входить в функционал средств информационной безопасности. Помимо этого, программы, которые компания решила использовать, должны включать следующие опции:
- аутентификация и идентификация при входе в систему;
- контроль допуска к информации для пользователей разных уровней;
- обнаружение и регистрация попыток НСД;
- контроль работоспособности используемых систем защиты информации;
- обеспечение безопасности во время профилактических или ремонтных работ.
Идентификация и аутентификация пользователей
Для выполнения этих процедур необходимы технические средства, с помощью которых производится двухступенчатое определение личности и подлинности полномочий пользователя. Необходимо учитывать, что в ходе идентификации необязательно устанавливается личность. Возможно принятие любого другого идентификатора, установленного службой безопасности.
После этого следует аутентификация – пользователь вводит пароль или подтверждает доступ к системе с помощью биометрических показателей (сетчатка глаза, отпечаток пальца, форма кисти и т. п.). Кроме этого, используют аутентификацию с помощью USB-токенов или смарт-карт. Этот вариант слабее, так как нет полной гарантии сохранности или подлинности таких элементов.
Протоколы секретности для бумажной документации
Несмотря на повсеместную цифровизацию, традиционные бумажные документы по-прежнему используются в организациях. Они содержат массу информации – бухгалтерские сведения, маркетинговую информацию, финансовые показатели и прочие критические данные. Заполучив эти документы, злоумышленник может проанализировать масштабы деятельности организации, узнать о направлениях финансовых потоков.
Для защиты документации, содержащей сведения критической важности, используются специальные протоколы секретности. Хранение, перемещение и копирование таких файлов производится по специальным правилам, исключающим возможность контакта с посторонними лицами.
Защита данных на ПК
Для защиты информации, хранящейся на жестких дисках компьютеров, используются многоступенчатые средства шифрования и авторизации. При загрузке операционной системы используется сложный пароль, который невозможно подобрать обычными методами. Возможность входа в систему пользователя со стороны исключается путем шифрования данных в BIOS и использования паролей для входа в разделы диска.
Для особо важных устройств следует использовать модуль доверенной загрузки. Это аппаратный контроллер, который устанавливается на материнскую плату компьютера. Он работает только с доверенными пользователями и блокирует устройство при попытках включения в отсутствие владельца.
Также применяются криптографические методы шифрования данных, превращающие текст «вне системы» в ничего не значащий набор символов.
Эти мероприятия обеспечивают защиту сведений и позволяют сохранить их в неприкосновенности.
Определение уровней защиты
С методической точки зрения процесс защиты информации можно разделить на четыре этапа:
- предотвращение – профилактические меры, ограничение доступа посторонних лиц;
- обнаружение – комплекс действий, предпринимаемых для выявления злоупотреблений;
- ограничение – механизм снижения потерь, если предыдущие меры злоумышленникам удалось обойти;
- восстановление – реконструкция информационных массивов, которая производится по одобренной и проверенной методике.
Каждый этап требует использования собственных средств защиты информации, проведения специальных мероприятий. Необходимо учитывать, что приведенное разделение условно. Одни и те же действия могут быть отнесены к разным уровням.
Не хватает ресурсов, чтобы заняться информационной безопаностью всерьез? Пригласите специалиста по ИБ-аутсорсингу! Узнать, как это работает.
Предотвращение сетевых атак
Компьютеры, подключенные к Интернету, постоянно подвергаются риску заражения вредоносным программным обеспечением. Существует масса ПО, предназначенного для отслеживания паролей, номеров банковских карт и прочих данных. Нередко вирусы содержатся в рассылках электронной почты, попадают в систему через сомнительные сетевые ресурсы или скачанные программы.
Для защиты системы от вредоносных программ, необходимо использовать антивирусные приложения, ограничить доступ в Сеть на определенные сайты. Если в организации параллельно используются локальные сети, следует устанавливать файрволы (межсетевые экраны).
Большинство пользователей хранит информацию в отдельных папках, которые названы «Пароли», «Мои карты» и т. п. Для злоумышленника такие названия являются подсказками. В названиях таких файлов необходимо использовать комбинации букв и цифр, ничего не говорящие посторонним людям. Также рекомендуется шифровать ценные данные в компьютерах и периодически производить их резервное копирование.
Какие результаты должны быть достигнуты
Грамотное использование систем защиты информации позволяет добиться благоприятных результатов:
- уменьшить риски утраты репутации и потери денежных средств;
- исключить потери научных разработок, интеллектуальной собственности, личных данных;
- снизить затраты на мероприятия по защите информации, исключению постороннего доступа к ценным сведениям.
Также служба ИБ должна настроить политики безопасности для всех подразделений и сотрудников, работающих с конфиденциальной информацией разного типа:
- финансовая документация;
- клиентские базы данных;
- научные и технологические разработки, другая интеллектуальная собственность;
- сведения, составляющие банковскую тайну;
- персональная информация сотрудников или иных лиц.
Каждый сотрудник должен иметь возможность работать только с информацией, необходимой ему для выполнения трудовых обязанностей. Это исключает недобросовестное использование сведений, утечку или копирование данных с враждебными целями.
Несанкционированный доступ к информации возможен в любой системе – от небольших организаций до крупных государственных структур. Внимательное отношение к защите сведений, создание подразделений информационной безопасности позволяют минимизировать потери и предотвратить попытки хищения или копирования данных. Отдельное внимание следует уделять работе с авторизованными сотрудниками, имеющими доступ к критической информации. Меры защиты должны быть приняты заблаговременно, поскольку уступить инициативу – значит допустить потерю данных.
Тезаурус
"Безопасный интернет"
Взлом
это акт получения
программного
несанкционированного
доступа к компьютеру,
которые иначе недоступны.
Взлом паролей, приводящий к
нарушению
конфиденциальности
электронной почты является
угрозой для общения через
Интернет. Интернет
преступления относятся к
уголовным видам
деятельности, которые
осуществляются через
Интернет.
2. Защита персональных данных
Защита
персональных
данных
Персональные данные
- это любая
информация о
физическом лице, в
частности, ФИО, место
и дата рождения,
место проживания и
регистрации,
социальное,
имущественное и
семейное положение,
профессия,
образование, доходы
Как защитить себя
Использование
антивирусов.Подобные
программы позволят
предотвратить утечку
информации,
препятствуя работе
вирусов и червей;
Обеспечение системы
сканерами.
уязвимости позволяют
проверять ее на
наличие «брешей»;
Осуществлять контроль
входящей-исходящей
информации;
3. Кибербуллинг Термин «кибербуллинг» корректно применять в первую очередь к травле в сети детей и подростков (для взрослых есть
Кибербуллинг
Термин «кибербуллинг» корректно применять в первую очередь к
травле в сети детей и подростков (для взрослых есть ещё менее
популярный термин — «киберхарассмент»).
Виды кибербуллинга:
Флейминг - Обмен короткими эмоциональными репликами между двумя и более людьми,
обычно в комментариях в публичных местах Сети
Диссингом называют передачу или публикацию порочащей информации о жертве онлайн.
Это делается с целью испортить репутацию жертвы или навредить ее отношениям
с другими людьми.
Аутингом называется преднамеренная публикация личной информации ребенка с целью
его унизить, при этом произведенная без его согласия.
Фрейпингом называют форму кибербуллинга, в которой обидчик каким-либо образом
получает контроль над учетной записью вашего ребенка в социальных сетях и публикует
нежелательный контент от его имени.
Киберобидчики могут создавать поддельные профили — скрывать то, кем они на самом
деле являются, чтобы травить человека
Кетфишинг — форма кибербуллинга, в которой киберхулиган с целью обмана воссоздает
профили жертвы в социальных сетях на основе украденных фотографий и других личных
данных.
Троллинг— форма социальной провокации или издевательства в сетевом общении,
использующаяся как персонифицированными участниками, заинтересованными в
большей узнаваемости, публичности, эпатаже, так и анонимными пользователями без
возможности их идентификации
4. Компьютерный терроризм (кибертерроризм) использование компьютерных и телекоммуникационных технологий (прежде всего, Интернета)
Компьютерный
терроризм (кибертерроризм)
использование компьютерных и телекоммуникационных
технологий (прежде всего, Интернета) в террористических целях.
В отличие от
традиционного, этот вид
терроризма использует в
террористических акциях
новейшие достижения
науки и техники в области
компьютерных и
информационных
технологий,
радиоэлектроники, генной
инженерии, иммунологии.
5. Мошенничество
Мошенничество
Виды:
Фишинг
Фишинг является одним из самых
распространенных видов
мошенничества в Интернете.
Термин образован от английского
словосочетания «password fishing»
(буквально «выуживание паролей»)
и означает введение пользователя в
заблуждение при помощи
поддельного сайта. Главная задача
фишера — заманить пользователя
на такой сайт-ловушку и какимлибо образом убедить его
сообщить идентификационные
данные.
Мошенническая
рассылка
С увеличением использования
системы электронной почты, ее
потребностей в области
безопасности также выросли.
Мошенники начали манипуляции с
системами электронной почты для
нарушения безопасности.
Программы для
мошенничества:
Троянский конь
Вредоносная программа,
маскирующаяся под известную;
часто предоставляет
злоумышленнику возможность
удаленного управления
компьютером; может
применяться для реализации
атаки на данные или системы.
6. Ответственность за пропаганду
Ответственность за пропаганду
Ст. 205.1. Содействие
террористической
деятельности
Статья 282.1.
Организация
экстремистского
сообщества
Статья 282.2.
Организация
деятельности
экстремистской
организации
Лишение свободы на срок до пятнадцати лет со штрафом в
размере до одного миллиона рублей либо в размере
заработной платы или иного дохода осужденного за период
до пяти лет либо без такового и с ограничением свободы
на срок до двух лет либо без такового
лишение свободы на срок до шести лет с лишением права
занимать определенные должности или заниматься
определенной деятельностью на срок до трех лет и с
ограничением свободы на срок от одного года до двух лет
Лишение свободы на срок до двух лет с ограничением
свободы на срок до одного года либо без такового.
7. Пропаганда
Пропаганда
Экстремизм
возбуждение социальной, расовой,
национальной или религиозной
розни.
Федеральный закон № 114 «О
противодействии экстремисткой
деятельности» устанавливал
ответственность за экстремистскую
деятельность для юридических лиц и
СМИ, предусматривал возможность
остановки работы организации,
если в ней есть экстремистский
призыв.
Информационный джихад
Информационный джихад неограниченная пропаганда
религиозного и этнического
экстремизма в глобальной сети.
8. Программы, влияющие на работу компьютера
DDoS-атаки
данное направление является
криминальным в чистом виде
и основано на том, что
злоумышленники нарушают
функционирование того или
иного интернет-ресурса с
последующим вымоганием
денег за прекращение атаки,
информацию об
обнаруженной уязвимости
или за гарантию того, что сайт
не будет взламываться в
течение определенного
времени.
Email вирус
это компьютерный код,
который передается по
электронной почте в виде
вложения. Вложение
электронной почты может
вызывать разрушение
некоторых файлов на
ресивере жесткого диска
компьютера или контактов в
адресной книге получателя.
УТВЕРЖДЕНО
решением председателя
Государственной технической комиссии
при Президенте Российской Федерации
от 4 июня 1999 года N 114
Защита от несанкционированного доступа к информации
Часть 1
Программное обеспечение средств защиты информации
Классификация по уровню контроля отсутствия недекларированных возможностей
Настоящий Руководящий документ (РД) устанавливает классификацию программного обеспечения (ПО) (как отечественного, так и импортного производства) средств защиты информации (СЗИ), в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем недекларированных возможностей.
Действие документа не распространяется на программное обеспечение средств криптографической защиты информации.
Уровень контроля определяется выполнением заданного настоящим РД набора требований, предъявляемого:
- к составу и содержанию документации, представляемой заявителем для проведения испытаний ПО СЗИ;
- к содержанию испытаний.
Руководящий документ разработан в дополнение:
Документ предназначен для специалистов испытательных лабораторий, заказчиков, разработчиков ПО СЗИ при его контроле в части отсутствия недекларированных возможностей.
1. Общие положения
1.1. Классификация распространяется на ПО, предназначенное для защиты информации ограниченного доступа.
1.2. Устанавливается четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований.
1.3. Для ПО, используемого при защите информации, отнесенной к государственной тайне, должен быть обеспечен уровень контроля не ниже третьего.
1.4. Самый высокий уровень контроля - первый, достаточен для ПО, используемого при защите информации с грифом "ОВ".
Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом "CC".
Третий уровень контроля достаточен для ПО, используемого при защите информации с грифом "C".
1.5. Самый низкий уровень контроля - четвертый, достаточен для ПО, используемого при защите конфиденциальной информации.
2. Термины и определения
2.1. Недекларированные возможности - функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Реализацией недекларированных возможностей, в частности, являются программные закладки.
2.2. Программные закладки - преднамеренно внесенные в ПО функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации.
2.3. Функциональный объект - элемент программы, осуществляющий выполнение действий по реализации законченного фрагмента алгоритма программы.
В качестве функциональных объектов могут выступать процедуры, функции, ветви, операторы и т.п.
2.4. Информационный объект - элемент программы, содержащий фрагменты информации, циркулирующей в программе. В зависимости от языка программирования в качестве информационных объектов могут выступать переменные, массивы, записи, таблицы, файлы, фрагменты оперативной памяти и т.п.
2.5. Маршрут выполнения функциональных объектов - определенная алгоритмом последовательность выполняемых функциональных объектов.
2.6. Фактический маршрут выполнения функциональных объектов - последовательность фактически выполняемых функциональных объектов при определённых условиях (входных данных).
2.7. Критический маршрут выполнения функциональных объектов - такой маршрут, при выполнении которого существует возможность неконтролируемого нарушения установленных правил обработки информационных объектов.
2.8. Статический анализ исходных текстов программ - совокупность методов контроля (не)соответствия реализованных и декларированных в документации функциональных возможностей ПО, основанных на структурном анализе и декомпозиции исходных текстов программ.
2.9. Динамический анализ исходных текстов программ - совокупность методов контроля (не)соответствия реализованных и декларированных в документации функциональных возможностей ПО, основанных на идентификации фактических маршрутов выполнения функциональных объектов с последующим сопоставлением маршрутам, построенным в процессе проведения статического анализа.
Читайте также: