- •2. Защита человека от опасной информации и от неинформированности
- •3 Свойства информации как объекта защиты на различных уровнях ее представления (ценность информации и т.Д.).
- •4. Информация как ценность. Понятие об информационных угрозах(ст. 139 гк рф и т.Д.).
- •5. Объясните следующие права:
- •6. Модель 3у. Угроза информации. Определение, 3 группы угроз. Примеры.
- •7. Потенциальные угрозы. (синонимы -веер возможностей, дерево угроз). Примеры.
- •8. Уязвимость.Определение. Примеры.
- •9. Ущерб. Определение. Примеры. Расходы на защиту информ.
- •10. Уровень риска. Определение. Примеры.
- •11. Методы управления риском. 1. Уклонение от риска;
- •12. Методы управления риском. 2. Передача риска;
- •13. Методы управления риском. 3. Ограничение риска;
- •14. Методы управления риском. 4. Сокращение риска.
- •15. Направления информационной защиты (9 направлений).
- •16. Нормативно-правовое регулирование защиты информации (ст. 237, ст. 140).
- •17. Права вещной собственности: владения, пользования и распоряжения. Определение. Примеры.
- •18. Фз «о персональных данных». Операторов по обработке персональных данных.
- •19. Фз «о государственной тайне».
- •20. Угроза – несанкционированное распространение защищаемой информации. Определение. Примеры.
- •21. Коммерческая тайна. Ст. 139 гк рф.
- •22. Профессиональные тайны. Определение. Примеры.
- •23. Государственная служебная тайна. Определение. Примеры.
- •24. Защита информации, охраняемой авторским и патентным правом.
- •25. Формы атак на информацию.
- •Атаки на уровне операционной системы
- •Атаки на уровне сетевого программного обеспечения
- •26. Пароль как одна из систем защиты информации. Определение. Примеры. Виды атак на пароли.
- •27. Криптография (Введение). Терминология.
- •28. Криптография (Введение). История. Простейшие шифры. (цезаря, подстановка, перестановка, хэширование).
- •30. Принципы построения блочных шифров с закрытым ключом. Понятие композиционного шифра.
- •31. Операции, используемые в блочных алгоритмах симметричного шифрования.
Защита информации Вопросы к Экзамену
---------------------------
1. Информация как предмет защиты.
Научное знание начинается с определений и классификации.
Прежде всего необходимо разобраться в сущности того, что и от
чего необходимо защищать. Но отвечая на вопрос о том, что такое
информация, можно легко зайти в тупик.
1. Информация – это вероятность выбора
2. Информация – это информация, а не вещество и не энергия (Н.
Винер).
3. Информация определяется только вероятностными свойствами
сообщений (К. Шеннон).
4. Информация – это сведения, которые снимают неопределенность,
существующую до их получения.
5. Информация – это сведения (сообщения, данные) независимо от
формы их представления (Федеральный закон от 27.07.06 № 149-
ФЗ «Об информации, информационных технологиях и о защите
информации»).
А вот с термином «информационная защита» следовало бы разо-
браться бо-лее тщательно, для чего следует определить объект пре-
ступных посягтельств и источник угрозы.
Под определение «информационная защита» подходят три
направления деятельности:
1) защита человека и человечества от опасной инфор-
мации;
2) защита цивилизованного человека, живущего в демократическом госу-
дарстве, от неинформированности;
3) защита собственника защищаемой информации от
угроз конфиденциальности, целостности и доступности.
Построение надежной защиты включает оценку циркулирующей в компьютерной системе информации с целью уточнения степени ее конфиденциальности, анализа потенциальных угроз ее безопасности и установление необходимого режима ее защиты.
Федеральным законом "Об информации, информатизации и защите информации" определено, что информационные ресурсы, т.е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним.
Закон также устанавливает, что "конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации". При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальных или доступ к ним ограничивается. Так, Федеральный закон "Об информации, информатизации и защите информации" напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон РСФСР "О банках и банковской деятельности в РСФСР" ограничивает доступ к сведениям по операциям, счетам и вкладам клиентов и корреспондентов банков (статья 25).
Однако не ко всем сведениям, составляющим конфиденциальную информацию, применима прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это в частности относится к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ (статья 139):
-соответствующая информация неизвестна третьим лицам;
-к ней свободного доступа на законном основании;
-меры по обеспечению ее конфиденциальности принимает собственник информации.
В настоящее время отсутствует какая-либо универсальная методика, позволяющая четко соотносить ту или иную информацию к категории коммерческой тайны. Можно только посоветовать исходить из принципа экономической выгоды и безопасности предприятия - чрезмерная "засекреченность" приводит к необоснованному подорожанию необходимых мер по защите информации и не способствует развитию бизнеса, когда как широкая открытость может привести к большим финансовым потерям или разглашению тайны. Законопроектом "О коммерческой тайне" права по отнесению информации к категории коммерческой тайны представлены руководителю юридического лица.
Федеральный закон "Об информации, информатизации и защите информации", определяя нормы, согласно которых сведения относятся к категории конфиденциальных, устанавливает и цели защиты информации:
-предотвращение утечки, хищения, искажения, подделки информации;
-предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации;
-сохранение государственной тайны, конфиденциальности документированной информации.
Определившись в необходимости защиты информации, непосредственно приступают к проектированию системы защиты информации.
Отдельный раздел законопроекта "О коммерческой тайне", посвященный организации защиты коммерческой информации, определяет необходимый комплекс мероприятий по ее защите:
-установление особого режима конфиденциальности;
-ограничение доступа к конфиденциальной информации;
-использование организационных мер и технических средств защиты информации;
-осуществление контроля за соблюдением установленного режима конфиденциальности.
Установление особого режима конфиденциальности направлено на создание условий для обеспечения физической защиты носителей конфиденциальной информации. Как -правило, особый режим конфиденциальности подразумевает:
-организацию охраны помещений, в которых содержатся носители конфиденциальной информации;
-установление порядка пользования носителями конфиденциальной информации (учет, хранение, передача другим должностным лицам, уничтожение, отчетность);
-организацию ремонта технических средств обработки конфиденциальной информации.
Традиционно для организации доступа к конфиденциальной информации использовались организационные меры, основанные на строгом соблюдении сотрудниками процедур допуска к информации, определяемых соответствующими инструкциями, приказами и другими нормативными документами. Однако с развитием компьютерных систем эти меры перестали обеспечивать необходимую безопасность информации. Появились и в настоящее время широко применяются специализированные программные и программно-аппаратные средства защиты информации, которые позволяют максимально автоматизировать процедуры доступа к информации и обеспечить при этом требуемую степень ее защиты. Подробнее о существующих средствах защиты информации мы остановимся ниже.
2. Защита человека от опасной информации и от неинформированности
Первая и относительно безобидная категория опасностей
обусловлена ограниченными возможностями человеческого
разума по восприятию и обработке больших потоков по-
ступающей информации, даже если она является для него
полезной и необходимой.
Когда информационно перегруженные люди контролируют
работу заводских конвейеров, управляют движением воздушного
или железнодорожного транспорта, обеспечивают безопасность
информационных систем и сетей, руководят государственными
структурами.
Давно замечено, что человек запоминает 10 % того, что он
слышит, 25–30 % того, что он видит, и 80 % из того, что он делает
(причем прерванное действие запоминается лучше, чем окончен-
ное).
Следующая опасность, грозящая человечеству – все более
возрастающая интенсивность бесполезной и в то же вре-
мя часто недобросовестной информации. Вероятно, глав-
ным источником информационного мусора являются рек-
лама и «спам».
Несомненную угрозу для людей представляет намеренно искаженная инфор-
мация: дезинформация, обмана, блефа и др.
Защита от неинформированности
Право на беспрепятственное получение информации для кон-
кретных властных структур и должностных лиц означает обязан-
ность эту информацию предоставляь либо, по меньшей мере, не
скрывать.
Потребность в гарантированном предоставлении определенной ин-
формации вытекает из того, что информация представляет собой
ценность.
На биологическом уровне ее ценность проявляется как врожденная
потребность любого организма в поступлении новой информации,
на социальном уровне — как средство общения и коммуникации,
на поведенческом уровне — как основа для принятия решений.
Нормальный, физически здоровый человек, погруженный в
такую ванну, где до него не доходят никакие акустические и све-
товые раздражители и почти исключены осязательные и обоня-
тельные ощущения, а также ощущения температуры, испытыва-
ет большие трудности в управлении своими мыслями, представле-
ниями, теряет ориентировку в строении собственного тела, у него
начинаются галлюцинации и кошмары.
Право на поиск информации декларировано в Конституции
РФ. «Каждый имеет право свободно искать, получать, передавать,
производить и распространять информацию любым законным спо-
собом …» – гласит статья 29 Конституции РФ.
4
В соответствии со статьей 8 Закона «Об информации, информаци-
онных технологиях и о защите информации» от 27.06.2006 г. №
149-ФЗ не может быть ограничен доступ к:
─ нормативным правовым актам, затрагивающим права, свободы и
обязанности человека и гражданина;
─ информации о состоянии окружающей среды;
─ информация о деятельности органов государственной власти и
местного самоуправления;
─ информации, накапливаемой в открытых фондах библиотек, му-
зеев и архивов, а также в государственных, муниципальных и иных
информационных системах, предназначенных для обеспечения
граждан.
3 Свойства информации как объекта защиты на различных уровнях ее представления (ценность информации и т.Д.).
Информация обладает свойством делимости, и ее можно из-
мерять количественно.
Компьютерная информация, независимо от ее содержания,
представлена в виде многоразрядных двоичных чисел. Закономерно
возникает вопрос: все ли частички информации и значащие разря-
ды одинаково ценны?
Если мы имеем дело с закодированным звуковым сигналом
или рисунком, сделанным с высокой разрешающей способностью и
большим числом градаций цветопередачи, то младшие разряды, не
различаемые человеческими органами чувств, можно считать ин-
формационным шумом.
Маскирование ценной и защищаемой информации в информацион-
ном шуме является одним из видов информационного сокрытия и
нашло применение в методах стеганографии.
Если информационный нарушитель получает доступ к электрон-
ным финансовым счетам, то, изменив значение всего одного бита,
5
он может существенно изменить сумму счета и присвоить образо-
вавшуюся разность.
Двоичные разряды, представляющие символ в той или иной
кодировке, исполняемый код, фрагмент архивированного докумен-
та одинаково значимы, и достаточно изменить один бит в испол-
няемой программе, чтобы «завесить» компьютер с теми или иными
последствиями. Установлено, что вероятность искажения одиноч-
ного бита при передаче, считывании или записи компьютерной ин-
формации не должна превосходить 0,00000001.
Ценность информации
Количество считанной или переданной информации практиче-
ски не связано с реальной ее ценностью.
Ценность вовремя сказанного слова или поданного
сигнала опасности порой равнозначна ценности многих человече-
ских жизней. В то же время можно передавать по каналам связи
мегабайты пустой информации – от этого ее ценность не повы-
сится.
Носители – это материальные объекты, обеспечивающие за-
пись, хранение и передачу информации в пространстве и времени.
В число наиболее часто используемых носителей входят:
─ вещественные носители (бумага, фото- и кинопленка, машинные
носители информации, материалы и образцы технологии, отходы
информационного производства);
─ электрические сигналы в виде напряжений и токов;
─ изменяющиеся во времени электромагнитные и акустические по-
ля.
Носитель в первую очередь используется для хранения и пе-
редачи семантической информации.
Говоря о защите информации, мы в первую очередь имеем в
виду именно семантическую информацию. Именно эта информация
составляет суть большинства человеческих тайн, обеспечивает пре-
успевание в бизнесе, позволяет манипулировать людьми.
6
Информацию представляет собой весьма сложный для иссле-
дования объект.
Для рассмотрения ее характеристик, имеющих отношение к
безопасности, информацию желательно представить в виде не-
скольких уровней, к которым относятся:
─ уровень материальных носителей Вещественные носители;
─ уровень средств взаимодействия с носителями;
─ логический уровень;
─ синтаксический уровень;
─ семантический уровень;
─ прагматический уровень.
Отличительное свойство информации – возможность ее копи-
рования, размножения без изменения оригинала.
Информация не существует вне материальных носителей.
Первое правило информационной защиты можно сформулировать
так: «Защита информации – это защита ее носителей».__