Введем ряд определений. 1 страница

Информация - это сведения о лицах, предметах, фактах, событиях и процессах. Выделяется более двадцати видов информации по ее отрасле­вой принадлежности и востребованности в обществе (правовая, научная, финансовая, банковская, коммерческая, медицинская и т.д.). Нет объек­тивной необходимости обеспечивать защиту всей информации, поэтому принято подразделять информацию на открытую и ограниченного досту­па. Для эффективного решения задач защиты информации целесообразно в качестве объекта защиты выбирать информацию ограниченного доступа.

Информацию ограниченного доступа можно подразделить на кон­фиденциальную информацию и государственную тайну. Конфиденци­альная информация - доверительная, не подлежащая огласке информа­ция, доступ к которой ограничивается в соответствии с законодательст­вом. Конфиденциальность информации определяет и доверяет посторон­ним лицам владелец этой информации.

К конфиденциальной информации относятся сведения, составляю­щие тайну частной жизни, профессиональную, служебную, коммерческую тайну.

Тайна частной жизни - это охраняемые законом конфиденциаль­ные сведения, составляющие личную и семейную тайну лица, незаконное собирание или распространение которых причиняет вред правам и закон­ным интересам этого лица и предоставляет ему право на защиту в соот­ветствии с законодательством Российской Федерации.

Профессиональная тайна - это охраняемые законом конфиденци­альные сведения, доверенные или ставшие известными лицу исключи­тельно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, незаконное получение или распространение которых может повлечь за собой вред правам и законным интересам другого лица, доверившего эти сведения, и привлечение к ответственности в соответствии с действующим зако­нодательством.

Служебная тайна - это охраняемая законом конфиденциальная ин­формация о деятельности государственных органов, доступ к которой ог­раничен федеральным законом или в силу служебной необходимости, а также ставшая известной в государственных органах и органах местного самоуправления только на законном основании и в силу исполнения их представителями служебных обязанностей, имеющая действительную или потенциальную ценность в силу неизвестности ее третьим лицам.

Коммерческая тайна - это охраняемые законом конфиденциальные сведения в области производственно-хозяйственной, управленческой, фи­нансовой деятельности организации, имеющие действительную или по­тенциальную ценность в силу неизвестности их третьим лицам, к ним нет свободного доступа на законном основании, обладатель сведений прини­мает меры к их конфиденциальности, незаконное получение, использова­ние или разглашение которых создает угрозу причинения вреда владельцу этих сведений и предоставляет ему право на возмещение причиненных убытков или уголовно-правовую защиту в соответствии с законодательст­вом Российской Федерации.

В отличие от конфиденциальной информации государственная тайна определяется государством через соответствующие государственные ор­ганы, получение и разглашение этой информации строго регламентирова­но нормативными актами, информация имеет гриф секретности. Содержа­ние государственной тайны находит свое законодательное закрепление в Законе РФ «О государственной тайне». Государственная тайна - защи­щаемые государством сведения в области его военной, внешнеполитиче­ской, экономической, разведывательной, контрразведывательной и опера­тивно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Ответственность за посягательство на указанные виды тайны преду­смотрена в Уголовном кодексе РФ (ст. 137, 138, 142, 183, 275, 276, 283, 284). В УК РФ 1996 года включена новая, не известная прежнему уголов­ному законодательству России, глава 28 «Преступления в сфере компью­терной информации» (ст. 272, 273, 274). Указанные нормы уголовного за­кона входят в систему правовых мер, направленных на защиту информа­ции, прав и законных интересов граждан, общества и государства в ин­формационной сфере.

Право на информацию складывается из двух элементов - права на получение информации и права на ее распространение. Первое относится не к гражданским, частным, а к публичным правам. Право же на передачу информации имеет гражданско-правовое содержание, оно представляет собой исключительное право. Законом РФ «О правовой охране программ для ЭВМ и баз данных» регулируются отношения, возникающие в связи с правовой охраной и использованием программ для ЭВМ и баз данных. В статье 12 данного закона права на программу для ЭВМ или базу данных отнесены к исключительным правам владельца информации.

В содержание информационной безопасности входит информацион­ная сфера. Определение информационной сферы сформулировано в ФЗ «Об участии в международном информационном обмене». Информаци­онная сфера - сфера деятельности субъектов, связанная с созданием, пре­образованием и потреблением информации.

Как уже отмечалось, в основе понятия «информационная безопас­ность» лежит понятие «безопасность», нашедшее свое отражение в Законе РФ «О безопасности».

Безопасность - это состояние защищенности жизненно важных ин­тересов личности, общества, государства от внутренних и внешних угроз. К жизненно важным интересам закон относит совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возмож­ности прогрессивного развития личности, общества и государства. Основ­ные объекты безопасности: личность, ее права и свободы; общество, его материальные и духовные ценности; государство, его конституционный строй, суверенитет и территориальная целостность.

Таким образом, информационная безопасность - состояние защи­щенности жизненно важных интересов личности, общества, государства в информационной сфере от внешних и внутренних угроз, обеспечивающее ее формирование, использование и развитие.

Сформулируем задачи информационной безопасности, которые являются востребованными в существующем информационном мире. Возможно, со временем часть задач потеряет актуальность или появятся новые задачи, нуждающиеся в решении.

Секретность (privacy, confidentiality) – одна из самых востребованных задач. Пока для хранения используются неэлектронные средства, секретность обеспечивается административными мерами. При переносе на компьютер и передачи по электронным каналам связи задействуются методы информационной безопасность. Задача обеспечения секретности сводится к тому, чтобы сделать возможным передачу данных в таком виде, чтобы противник, даже получив доступ к носителю или среде передачи, не смог получить защищенные данные.

Целостность (data integrity) – еще одна наиболее важная задача. В процессе обработки и передачи по каналам связи данные могут быть искажены, как случайно, так и преднамеренно. Также информация может быть изменена прямо на носителе, где она храниться. Проверка целостности строго необходима в ситуациях, когда интерпретация неправильных данных может привести к очень серьезным последствиям, например, при возникновении ошибки в банковском счете. Обеспечение целостности заключается в том, чтобы позволить либо утверждать, что данные не были модифицированы при хранении и передаче, либо определить факт искажения данных.

Идентификация (identification) – необходима для того, чтобы отождествлять пользователя с некоторым уникальным идентификатором. После этого ответственность за все действия в системе, которой принадлежит идентификатор, возлагаются на пользователя, за которым это идентификатор закреплен.

Аутентификация (data origin, authentication) – является необходимым дополнением к идентификации и предназначена для подтверждения истинности пользователя, предъявившего идентификатор. Не анонимный пользователь при доступе к очень важной информации должен получить возможность работать только после успешной аутентификации.

Уполномочивание (authorization) – сводится к тому, что ни один пользователь не должен получить доступ к системе без успешного выполнение идентификации и последующей аутентификации и ни один пользователь не получить доступ к ресурсам, если он не уполномочен на такие действия специальным разрешением.

Контроль доступа (access control) – комплексное понятие, обозначающее совокупность методов и средств, предназначенных для ограничения доступа к ресурсам. Доступ должен иметь только уполномоченные пользователи, а попытки доступа должны протоколироваться.

Право собственности (ownership) – используется для того, чтобы предоставить пользователю право на использование некоторого ресурса и, при желании, возможность передачи этого ресурса в собственность другому пользователю. Право собственности обычно является составной частью системы контроля доступа.

Сертификация (certification) – процесс подтверждения некоторого факта стороной, которой пользователь доверяет. Чаще сертификация используется для удостоверения принадлежности открытого ключа конкретному пользователю или компании, т.к. эффективное использование инфраструктуры открытых ключей возможно лишь при наличии системы сертификации. Организации, занимающиеся выдачей сертификатов, называются удостоверяющими центрами.

Подпись (signature) – позволяет получателю документа доказать, что данный документ был подписан именно отправителем. При этом должно учитываться, что подпись не может быть перенесена на другой документ, отправитель не может отказаться от своей подписи, любое изменение документа приведет к нарушению подписи, а любой пользователь может самостоятельно убедиться в подлинности подписи.

Неотказуемость (non-repudiation) – свойство схемы информационного обмена, при котором существует доказательство, которое получатель сообщения способен предъявить третьей стороне, чтобы та смогла независимо проверить, кто является отправителем сообщения, т.е отправитель не имеет возможность отказаться от авторства своего сообщения.

Датирование (time stamping) – часто применяется совместно с подписью и позволяет зафиксировать момент подписания документа. Это может быть полезно, например, для доказательства первенства, если один документ подписан несколькими пользователями, каждый из которых утверждает, что именно он является автором документа. Кроме этого датирование широко используется в сертификатах, которые имеют ограниченный срок действия.

Расписка в получении (receipt) – предается от получателя к отправителю и может впоследствии быть использована отправителем для доказательства того, что переданная информация была доставлена получателю не позже определенного момента, указанного в расписке.

Аннулирование (annul) – используется для отмены действия сертификатов, полномочий или подписей. Если какой-либо участник информационного обмена или принадлежащие ему ключи и сертификаты оказались скомпрометированы, необходимо предотвратить доступ этого пользователя к ресурсам и отказать в доверии соответствующему сертификату.

Анонимность (anonymity) – довольно редко используемая задача. Правительствам и корпорациям не выгодно, чтобы пользователь мог остаться анонимным при совершении каких-либо действий в информационном пространстве.

Свидетельствование (witnessing) - удостоверение (подтверждение) факта создания или существования информации некоторой стороной, не являющейся создателем.

п.2 Эволюция подходов к обеспечению информационной безопасности

Желание добывать конфиденциальную информацию всегда сопровождалось не меньшим желанием противоположной стороны защитить эту информацию. Поэтому история развития средств и методов разведки – это также история развития средств и методов защиты информации. Причем, появившиеся в древние времена способы защиты информации по сути своей не изменились до настоящего времени, совершенствовалась лишь техника их реализации.

Наиболее интенсивное развитие этих методов приходится на период массовой информатизации общества. Поэтому история наиболее интенсивного развития проблемы защиты информации связывается с внедрением автоматизированных систем обработки информации и измеряется периодом более чем в три десятка лет.

В 60-х годах на Западе стало появляться большое количество открытых публикаций по различным аспектам защиты информации. Такое внимание к этой проблеме вызвано в первую очередь все возрастающими финансовыми потерями фирм и государственных организаций от преступлений в компьютерной сфере. Например, в ежегодном докладе ФБР было сказано, что за 1997 год от противоправной деятельности иностранных спецслужб американские владельцы интеллектуальной собственности понесли ущерб, превышающий 300 миллиардов долларов.

В нашей стране также давно и небезуспешно занимаются проблемами защиты информации – не случайно советская криптографическая школа до сих пор считается лучшей в мире. Однако чрезмерная закрытость всех работ по защите информации, сконцентрированных главным образом в силовых ведомствах, в силу отсутствия регулярной системы подготовки профессионалов в этой области и возможности широкого обмена опытом привела к некоторому отставанию в отдельных направлениях информационной безопасности, особенно в обеспечении компьютерной безопасности.

Тем не менее, к концу 80-х годов бурный рост интереса к проблемам защиты информации не обошел и нашу страну. В настоящее время есть все основания утверждать, что в России сложилась отечественная школа защиты информации. Ее отличительной чертой является то, что в ней наряду с решением сугубо прикладных проблем защиты информации уделяется большое внимание формированию развитого научно-методологического базиса, создающего объективные предпосылки для решения всей совокупности соответствующих задач на регулярной основе.

Естественно, что с течением времени изменялось как представление о сущности проблемы защиты информации, так и методологические подходы к ее решению. Эти изменения происходили постепенно и непрерывно, поэтому всякие попытки расчленить этот процесс на отдельные периоды и этапы будут носить искусственный характер. Тем не менее, весь период активных работ по рассматриваемой проблеме, в зависимости от методологических подходов к ее решению, довольно четко делится на три этапа.

Начальный этап решения проблем защиты информации (шестидесятые годы и начало семидесятых годов) характеризовался тем, что под этой деятельностью подразумевалось предупреждение несанкционированного получения защищаемой информации. Для этого использовались формальные (т.е. функционирующие без участия человека) средства. Наиболее распространенными в автоматизированных системах обработки данных (АСОД) были проверки по паролю прав на доступ к электронно-вычислительной технике (ЭВТ) и разграничение доступа к массивам данных. Эти механизмы обеспечивали определенный уровень защиты, однако проблему в целом не решали, поскольку для опытных злоумышленников не составляло большого труда найти пути их преодоления. Для объектов обработки конфиденциальной информации задачи ее защиты решались в основном с помощью установления так называемого режима секретности, определяющего строгий пропускной режим и жесткие правила ведения секретного делопроизводства.

Этап развития (семидесятые, начало восьмидесятых годов) выделяется интенсивными поисками, разработкой и реализацией способов и средств защиты и определяется следующими особенностями:

1. Постепенное осознание необходимости комплексной защиты информации - первым итогом этой работы стало совместное решение задач обеспечения целостности информации и предупреждения несанкционированного доступа к ней.

2. Расширение арсенала используемых средств защиты – повсеместное распространение получило комплексное применение технических, программных и организационных средств и методов, стала широко практиковаться криптографическая защита информации.

3. Целенаправленное объединение всех применяемых средств защиты информации в функциональные самостоятельные системы.

Однако механическое нарастание количества средств защиты и принимаемых мер в конечном итоге привело к проблеме оценки эффективности системы защиты информации, учитывающей соотношение затраченных на создание этой системы средств к вероятным потерям от возможной утечки защищаемой информации. Для проведения такой оценки необходимо применять основные положения теории оценки сложных систем.

Другими словами, успешное решение проблемы комплексной защиты информации требует не только научно обоснованных концепций комплексной защиты, но и хорошего инструментария в виде методов и средств решения соответствующих задач. Разработка же такого инструментария, в свою очередь, может осуществляться только на основе достаточно развитых научно-методологических основ защиты информации.

Поэтому первой характерной чертой третьего, современного этапа комплексной защиты информации (с середины восьмидесятых годов по настоящее время) являются попытки аналитико-синтетической обработки данных всего имеющегося опыта теоретических исследований и практического решения задач защиты, а также формирование на этой основе научно-методологического базиса защиты информации. Основной задачей третьего этапа является перевод процесса защиты информации на строго научную основу.

К настоящему времени уже разработаны основы целостной теории защиты информации. Формирование этих основ может быть принято за начало третьего этапа в развитии защиты информации. Принципиально важным является тот факт, что российские специалисты и ученые, по объективным причинам отстав в разработке некоторых специализированных методов и средств защиты (особенно в области компьютерной безопасности), на данном этапе внесли существенный вклад в развитие основ теории защиты информации.

Анализ рассмотренных этапов развития проблемы защиты информации показывает, что господствовавшее до недавнего времени представление о защите информации как о предупреждении несанкционированного ее получения является чрезмерно узким. Более того, само понятие «тайна» до недавнего времени ассоциировалось преимущественно с государственными секретами, а то время как в современных условиях повсеместное распространение получают понятия промышленная, коммерческая, банковская, личная и другие виды тайны. Таким образом, даже в рамках традиционного представления о защите информации ее содержание должно быть существенно расширено. Исходя из этого, в последнее время проблема защиты информации рассматривается как проблема информационной безопасности, заключающейся в комплексном ее решении по двум основным направлениям.

К первому направлению можно отнести традиционно сложившееся в нашем понимании понятие «защита государственной тайны и конфиденциальных сведений», обеспечивающая, главным образом, невозможность несанкционированного доступа к этим сведениям. При этом под конфиденциальными сведениями понимаются конфиденциальные сведения общественного характера (коммерческая, банковская, профессиональная, партийная тайна и т.д.), а также личная конфиденциальная информация (персональные данные, интеллектуальная собственность и т.д.).

Однако в последнее время проблема информационной безопасности рассматривается шире. Оказалось, что современные технические, технологические и организационные системы, а также люди, коллективы людей и общество в целом сильно подвержены внешним информационным воздействиям, причем последствия негативного воздействия могут носить очень тяжелый характер.

Таким образом, информационная безопасность определяется способностью государства, общества, личности:

- обеспечивать с определенной вероятностью защищенность информационных ресурсов и информационных потоков, необходимых для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития;

- противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации;

- вырабатывать личностные и групповые навыки и умения безопасного поведения;

- поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.

Исходя из перечисленных задач информационную безопасность можно определить как состояние защищенности потребностей личности, общества и государства в информации, при котором обеспечиваются их существование и прогрессивное развитие независимо от наличия внутренних и внешних информационных угроз.

В сложившихся условиях важным является рассмотрение информационной безопасности как неотъемлемой составной части национальной безопасности Российской Федерации. Очевидно, обеспечение информационной безопасности самым теснейшим образом связано не только с решением научно-технических задач, но и с вопросами правового регулирования отношений информатизации, развитием законодательной базы защиты информации.

ТЕМА 1.2. ИНФОРМАЦИОННЫЕ, ПРОГРАММНО– МАТЕМАТИЧЕСКИЕ, ФИЗИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ УГРОЗЫ СИСТЕМЫ

Угроза безопасности - совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.

Ущерб безопасности подразумевает нарушение со­стояния защищенности информации, содержащейся и обраба­тывающейся в системе (сети). С понятием угрозы безопасности тесно связано понятие уязвимости компьютерной системы (сети). Уязвимость компьютерной системы – это присущее сис­теме неудачное свойство, которое может привести к реализа­ции угрозы. Атака на компьютерную систему – это поиск и/или использование злоумышленником той или иной уязви­мости системы. Иными словами, атака - это реализация угро­зы безопасности.

Противодействие угрозам безопасности является целью средств защиты компьютерных систем и сетей.

Защищенная система – это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопас­ности.

Способ защиты информации – порядок и правила примене­ния определенных принципов и средств защиты информации.

Средство защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или ис­пользуемые для защиты информации

Комплекс средств защиты (КСЗ) – совокупность программ­ных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности системы (сети). КСЗ создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.

Техника защиты информации – средства защиты информа­ции, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспече­ния защиты информации.

В настоящее время известен обширный перечень угроз ин­формационной безопасности АС, содержащий сотни позиций.

Рассмотрение возможных угроз информационной безопасности проводится с целью определения полного набора требований к разрабатываемой системе зашиты.

Среди возможных угроз можно выделить следующие:

По источнику угроз:

· внешние – связанные со стихийными бедствиями, техногенными, политическими, социальными факторами, развитием информационных и коммутационных технологий, другими внешними воздействиями;

· внутренние - связанные с отказами вычислительной и коммуни­кационной техники, ошибками программного обеспечения.

По природе возникновения:

· естественные (объективные) - вызванные воздействием на ин­формационную среду объективных физических процессов или стихийных природных явлений, не зависящих от воли человека;

· искусственные (субъективные) - вызванные воздействием на информационную сферу человека.

■ непреднамеренные (случайные) угрозы - ошибки программ­ного обеспечения, персонала, отказы вычислительной и ком­муникационной техники и т.д.;

■ преднамеренные (умышленные) угрозы - неправомерный доступ к информации, разработка специального программного обеспечения, используемого для осуществления неправомерного доступа, разработка и распространение вирусных программ и т.д. Преднамеренные угрозы обусловлены действиями людей.

По цели реализации:

· нарушение конфиденциальности (угроза раскрытия) заключает­ся в том, что информация становится известной пользователю, который не авторизован для этого. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен несанкционированный доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда в связи с угрозой раскрытия используется термин «утечка информации»;

· нарушение целостности (угроза целостности) включает в себя любое несанкционированное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую. Когда нарушитель преднамеренно изменяет информацию, мы говорим, что целостность этой информации нарушена. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка. Санкционированными изменениями являются те, которые сделаны определенными лицами с обоснованной целью;

· нарушение доступности (угроза отказа служб /отказа в обслуживании) возникает всякий раз, когда в результате преднамеренных действий, предпринятых другим пользователем, умышленно блокируется доступ к некоторому ресурсу вычислительной системы. Например, если один пользователь запрашивает доступ к службе, а другой предпринимает что-либо для недопущения этого доступа, мы говорим, что имеет место отказ службы. Блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан. Наиболее частые примеры атак, связанных с отказом служб, включают в себя ресурсы общего пользования (принтеры или процессоры).

По характеру воздействия:

· активные;

· пассивные.

По объекту воздействия угрозы:

· воздействующие на информационную среду в целом;

· воздействующие на отдельные элементы информационной среды.

Ошибки в ПО являются распространенным видом компью­терных нарушений. ПО серверов, рабочих станций, маршрутиза­торов и т. д. написано людьми, поэтому оно практически всегда содержит ошибки. Чем выше сложность подобного ПО, тем больше вероятность обнаружения в нем ошибок и уязвимостей. Большинство из них не представляют никакой опасности, неко­торые же могут привести к серьезным последствиям, таким как получение злоумышленником контроля над сервером, неработо­способность сервера, несанкционированное использование ре­сурсов (использование компьютера в качестве плацдарма для атаки и т. п.). Обычно подобные ошибки устраняются с помо­щью пакетов обновлений, регулярно выпускаемых производите­лем ПО. Своевременная установка таких пакетов является необ­ходимым условием безопасности информации.

Основные проблемы информационной безопасности связаны прежде всего с умышленными угрозами (действиями людей), так как они являют­ся основной причиной и движущей силой преступлений и правонаруше­ний. В качестве нарушителя может быть служа­щий, посетитель, конкурент, наемник и т. д. Действия нарушите­ля могут быть обусловлены разными мотивами: недовольством служащего своей карьерой, сугубо материальным интересом (взятка), любопытством, конкурентной борьбой, стремлением са­моутвердиться любой ценой и т. п.

Исходя из возможности возникновения наиболее опасной ситуации, обусловленной действиями нарушителя, можно соста­вить гипотетическую модель потенциального нарушителя:

• квалификация нарушителя может быть на уровне разработ­чика данной системы;

• нарушителем может быть как постороннее лицо, так и за­конный пользователь системы;

• нарушителю известна информация о принципах работы системы;

• нарушитель выберет наиболее слабое звено в защите.

В частности, для банковских систем можно выделить следующие преднамеренные угрозы:

• несанкционированный доступ лиц, не принадлежащих к числу банковских служа­щих, и ознакомление с хранимой конфиденциальной ин­формацией;

• ознакомление банковских служащих с информацией, к ко­торой они не должны иметь доступ;

• несанкционированное копирование программ и данных;

• кража магнитных носителей, содержащих конфиденциаль­ную информацию;

• кража распечатанных банковских документов;

• умышленное уничтожение информации;

• несанкционированная модификация банковскими служа­щими финансовых документов, отчетности и баз данных;

• фальсификация сообщений, передаваемых по каналам связи;

• отказ от авторства сообщения, переданного по каналам связи;

• отказ от факта получения информации;

• навязывание ранее переданного сообщения;

• разрушение информации, вызванное вирусными воздейст­виями;

• разрушение архивной банковской информации, хранящей­ся на магнитных носителях;

• кража оборудования.

Несанкционированный доступ (НСД)– наиболее распространенный и многообразный вид компьютерных нарушений. Суть НСД со­стоит в получении пользователем (нарушителем) доступа к объ­екту в нарушение правил разграничения доступа, установленных в соответствии с принятой в организации политикой безопасно­сти. НСД использует любую ошибку в системе защиты и возмо­жен при нерациональном выборе средств защиты, их некоррект­ной установке и настройке. НСД может быть осуществлен как штатными средствами системы, так и специально созданными аппа­ратными и программными средствами.

Основные каналы НСД, через которые нарушитель может получить доступ к компонентам системы и осуществить хищение, мо­дификацию и/или разрушение информации:

• штатные каналы доступа к информации (терминалы пользо­вателей, оператора, администратора системы; средства ото­бражения и документирования информации; каналы связи) при их использовании нарушителями, а также законными пользователями вне пределов их полномочий;