- •Конспект лекций по дисциплине «Основы информационной безопасности»
- •1 Общеметодологические принципы теории информационной безопасности
- •1 Лекция №1
- •1 Лекция №2
- •1 Лекция №3
- •1 Лекция №4
- •1 Лекция №5
- •1 Лекция №6
- •Методы и средства обеспечения иб Лекция №1
- •2 Лекция №3
- •2 Лекция №5
- •2 Лекция №6
- •Нормативные документы и стандарты в информационной безопасности и защите информации Общие сведения
- •II группа – классы 2б и 2а
- •Лекция №4 Модель защиты от угроз нарушения конфиденциальности информации
- •4. Межсетевые экраны экспертного уровня.
- •2 Лекция №7
- •1.4.1. Принципы обеспечения целостности
- •Основы формальной теории защиты информации
- •2. Запись.
- •Формальные модели управления доступом Модель Харрисона-Руззо-Ульмана
- •Модель Белла-ЛаПадулы
- •Формальные модели целостности Модель Кларка-Вилсона
- •Модель Биба
- •1. Простое правило целостности (Simple Integrity, si).
- •Ролевое управление доступом
- •Скрытые каналы передачи информации
- •Лекция №8
- •2 Лекция №9
- •1 Криптографические методы и средства защиты информации
- •1.1 Симметричные криптосистемы
- •1.2 Системы с открытым ключом
- •1.3 Электронная подпись
- •1.4 Управление ключами
- •0.1 Обеспечение информационной безопасности на жизненном цикле автоматизированных систем
- •0.1.1 Методы защиты от несанкционированного изменения структур автоматизированных систем (ас): общие требования к защищенности ас от несанкционированного изменения структур
Конспект лекций по дисциплине «Основы информационной безопасности»
© Алексеев Владимир Михайлович
1 Общеметодологические принципы теории информационной безопасности
1 Лекция №1
Тема лекции: «Основные понятия информационной безопасности. Виды информации».
Виды информации, правовое определение информации; защищаемая информация, документированная информация, информация ограниченного доступа; конфиденциальность информации, доступ к информации, персональные данные, государственная тайна; определение информации с позиции теории информационной войны, степень воздействия информации.
Понятие безопасности согласно Закона РФ «О безопасности» и ГОСТ Р 51898, понятие национальной безопасности согласно Концепции национальной безопасности РФ; виды безопасности: национальная, военная, информационная и др.; понятие информационной безопасности применительно к информационным системам; понятия безопасности информации, защиты информации.
Цель лекции
Дать студентам знания об основных понятиях информационной безопасности и видах информации.
Задачи лекции
Обозначить основные виды информации, ее свойства, степени влияния и порядки предоставления и распространения. Обозначить понятия, связанные с национальной безопасностью, информационной безопасностью, защитой информации.
Содержание лекции
С правовой точки зрения информация определяется в Федеральном законе “Об информации, информационных технологиях и о защите информации» №149-ФЗ от 27.07.06 как сведения (сообщения, данные) независимо от формы их представления. В этом же законе определено понятие документированной информации, как зафиксированной на материальном носителе путем документирования информации с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа), а в зависимости от порядка ее предоставления или распространения подразделяется на:
– информацию, свободно распространяемую;
– информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
– информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
– информацию, распространение которой в Российской Федерации ограничивается или запрещается.
Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Доступ к информации - это возможность получения информации и ее использования. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.
Персональные данные (в соответствии с ФЗ №152-ФЗ от 27.07.06 «О персональных данных») - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Государственная тайна (в соответствии с ФЗ РФ «О государственной тайне») – это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно–розыскной деятельности, распространение которых может принести ущерб безопасности РФ.
Информация может быть определена с позиции теории информационной войны как степень изменения знания субъекта, где под знанием понимается совокупность сведений, выраженная в структуре системы и функциональных возможностях ее элементов. Исходя из такого определения всю доступную субъекту информацию можно классифицировать исходя из ее возможности влиять на знания субъекта:
– информация будет невидимой для субъекта, если его знания не изменяются;
– знание меняется линейно, т.е. субъект узнает какой-либо факт, и этот факт играет либо самостоятельную роль в модели мира субъекта, либо слабо связан с другими фактами. В результате этого узнавания в структуре, отражающей знание, появляется или пропадает дополнительный элемент (вершина), а также появляется или пропадает одна или несколько связей элемента с другими элементами. Такая информация называется тривиальной;
– знание меняется катастрофически, в результате узнавания какого-либо факта происходит значительная перестройка или разрушение структуры. Такая информация называется опасной или катастрофической.
Защищаемая информация (согласно ГОСТ Р 50922) - это информация, считающаяся предметом собственности и подлежащая защите в соответствии с требованиями собственника информации.
Безопасность (согласно закону РФ “О безопасности”) – это состояние защищенности жизненно важных интересов личности, общества и государства.
Жизненно важные интересы – это совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.
В ГОСТ Р 51898 «Аспекты безопасности. Правила включения в стандарты» понятие безопасности определено как «отсутствие недопустимого риска», где риск является сочетанием вероятности нанесения ущерба и тяжести этого ущерба.
Национальная безопасность Российской Федерации в Концепции национальной безопасности РФ понимается как безопасность ее многонационального народа как носителя суверенитета и единственного источника власти в Российской Федерации.
Национальные интересы России - это совокупность сбалансированных интересов личности, общества и государства в экономической, внутриполитической, социальной, международной, информационной, военной, пограничной, экологической и других сферах. Состояние защищенности национальных интересов РФ в этих сферах и составляет сущность понятий военной, информационной и других видов безопасности.
Интересы личности состоят в реализации конституционных прав и свобод, обеспечении личной безопасности, повышении качества и уровня жизни, физическом, духовном и интеллектуальном развитии человека и гражданина.
Интересы общества состоят в упрочении демократии, создании правового, социального государства, достижении и поддержании общественного согласия, духовном обновлении России.
Интересы государства состоят в незыблемости конституционного строя, суверенитета и территориальной целостности России, в политической, экономической и социальной стабильности, безусловном обеспечении законности и поддержании правопорядка, развитии международного сотрудничества.
Информационная безопасность Российской Федерации (в соответствии с Доктриной ИБ РФ) - состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. В соответствии с ГОСТ Р ИСО/МЭК 13335-1 информационная безопасность - это все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
Информационная система (согласно ФЗ “Об информации, информационных технологиях и о защите информации» №149-ФЗ от 27.07.06) - это совокупность содержащейся в базах данных информации и обеспечивающих ее обработку технических средств.
В соответствии с ГОСТ Р ИСО/МЭК 13335-1:
– целостность – это свойство сохранения правильности и полноты активов;
– доступность – это свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта;
– конфиденциальность – это свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса;
– подотчетность – это свойство, обеспечивающее однозначное прослеживание действий любого логического объекта;
– аутентичность – это свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.
– неотказуемость – это способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты;
– достоверность – это свойство соответствия предусмотренному поведению и результатам.
Безопасность информации (согласно Руководящему документу ФСТЭК) – это состояние защищенности информации, обрабатываемой средствами ВТ или АС, от внутренних и внешних угроз.
Средства ЗИ – это технические, программные средства, вещества или материалы, предназначенные для защиты информации.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
– обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
– соблюдение конфиденциальности;
– реализацию права на доступ к информации.
Вопросы для самостоятельной работы
1. Принципы и условия обработки персональных данных.
2. Права собственника информации.
3. Как регламентируется законом использование информационных систем?
4. Как регламентируется законом принятие организационных и технических мер, направленных на защиту информации?
Литература для подготовки
Доктрина ИБ РФ, ФЗ РФ “Об информации, информационных технологиях и о защите информации» №149-ФЗ от 27.07.06, ФЗ «О персональных данных» №152-ФЗ от 27.07.06 , ФЗ РФ «О государственной тайне», ФЗ РФ “О безопасности”, ГОСТ Р ИСО/МЭК 13335-1, ГОСТ Р 50922, ГОСТ Р 51898 «Аспекты безопасности. Правила включения в стандарты», Руководящий документ ФСТЭК.
Вопросы для повторения
1. На какие виды подразделяется информация в зависимости от порядка ее предоставления или распространения?
2. Какими основными свойствами обладает информация и на что направлены правовые, организационные и технические меры, принимаемые для защиты информации?