- •Конспект лекций по дисциплине «Основы информационной безопасности»
- •1 Общеметодологические принципы теории информационной безопасности
- •1 Лекция №1
- •1 Лекция №2
- •1 Лекция №3
- •1 Лекция №4
- •1 Лекция №5
- •1 Лекция №6
- •Методы и средства обеспечения иб Лекция №1
- •2 Лекция №3
- •2 Лекция №5
- •2 Лекция №6
- •Нормативные документы и стандарты в информационной безопасности и защите информации Общие сведения
- •II группа – классы 2б и 2а
- •Лекция №4 Модель защиты от угроз нарушения конфиденциальности информации
- •4. Межсетевые экраны экспертного уровня.
- •2 Лекция №7
- •1.4.1. Принципы обеспечения целостности
- •Основы формальной теории защиты информации
- •2. Запись.
- •Формальные модели управления доступом Модель Харрисона-Руззо-Ульмана
- •Модель Белла-ЛаПадулы
- •Формальные модели целостности Модель Кларка-Вилсона
- •Модель Биба
- •1. Простое правило целостности (Simple Integrity, si).
- •Ролевое управление доступом
- •Скрытые каналы передачи информации
- •Лекция №8
- •2 Лекция №9
- •1 Криптографические методы и средства защиты информации
- •1.1 Симметричные криптосистемы
- •1.2 Системы с открытым ключом
- •1.3 Электронная подпись
- •1.4 Управление ключами
- •0.1 Обеспечение информационной безопасности на жизненном цикле автоматизированных систем
- •0.1.1 Методы защиты от несанкционированного изменения структур автоматизированных систем (ас): общие требования к защищенности ас от несанкционированного изменения структур
1 Лекция №2
Тема лекции: «Основные принципы обеспечения ИБ ».
Системность, комплексность, непрерывность защиты, разумная достаточность, гибкость управления и применения, открытость алгоритмов защиты, простота применения защитных средств.
Цель лекции
Дать студентам знания об основных принципах обеспечения информационной безопасности.
Задачи лекции
Обозначить основные принципы обеспечения информационной безопасности и раскрыть их суть.
Содержание лекции
К основным принципам обеспечения информационной безопасности можно отнести:
– системность;
Системный подход к защите АС предполагает необходимость учета всех взаимосвязей, взаимодействующих и изменяющихся во времени элементов, условий и факторов: при всех видах информационной деятельности и информационного проявления, во всех структурных элементах, при всех режимах функционирования, при всех этапах жизненного цикла, с учетом взаимодействия объекта защиты со внешней средой.
– комплексность;
В распоряжении специалистов по ИБ должен иметься широкий спектр методов и средств защиты АС: современные средства вычислительной техники, прикладные программы. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающей все существующие каналы реализации угроз.
– непрерывность защиты;
Защита информации – непрерывный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Разработка системы защиты информации ведется параллельно с разработкой самой защищаемой системы. Это позволяет создать более эффективные, как по затрате ресурсов, так и по стойкости защищающие системы. Большинству технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка (своевременная смена и обеспечение прав хранения и применения имен, паролей, ключей шифрования, переопределения полномочий). Перерывы в работе средств защиты информации могут быть использованы злоумышленниками для анализа применяемых методов защиты, внедрения специальных программных, аппаратных и других средств преодоления средств защиты после восстановления её функционирования.
– разумная достаточность защиты;
Создать абсолютно непреодолимую систему защиты не возможно. Например, криптографические средства защиты в большинстве случаев не гарантируют абсолютную стойкость, а лишь обеспечивают конфиденциальность информации в течение приемлемого для защищающейся стороны времени. Высокоэффективная система защиты дорого стоит и использует при работе существенную часть ресурсов АС. В этом случае имеет смысл говорить о некотором приемлемом уровне безопасности. Необходимо правильно выбрать этот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.
– гибкость управления и применения;
Очень часто система и средства ее защиты создаются в неопределенных условиях. Поэтому для обеспечения возможности изменения уровня защищенности системы средства защиты должны обладать определенной гибкостью. Особенно это свойство важно тогда, когда внешние условия с течением времени меняются или когда средства защиты необходимо устанавливать на работающую систему, не нарушая процесс её нормального функционирования. В таких ситуациях свойство гибкости спасает владельцев АС от принятия кардинальных мер по замене средств защиты на новые.
– открытость алгоритмов защиты;
Суть принципа открытости алгоритмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структуры организации и алгоритмов функционирования её систем. Однако, информация о системе защиты не обязательно должна быть общедоступна, поэтому необходимо обеспечить защиту от угрозы раскрытия параметров системы.
– простота применения защитных мер и средств.
Механизмы защиты должны быть просты в использовании и не должны требовать знания специальных языков или действий, требующих дополнительных затрат при работе обычных пользователей.
По ГОСТ Р ИСО/МЭК 13335-1 для создания эффективной программы безопасности ИТТ фундаментальными являются следующие высокоуровневые принципы безопасности:
- менеджмент риска — активы должны быть защищены путем принятия соответствующих мер. Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения;
- обязательства — важны обязательства организации в области безопасности ИТТ и в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности ИТТ;
- служебные обязанности и ответственность — руководство организации несет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью ИТТ, должны быть определены и доведены до сведения персонала;
- цели, стратегии и политика — управление рисками, связанными с безопасностью ИТТ, должно осуществляться с учетом целей, стратегий и политики организации;
- управление жизненным циклом — управление безопасностью ИТТ должно быть непрерывным в течение всего их жизненного цикла.
Вопросы для самостоятельной работы
1. В каких правовых документах обозначены основные принципы обеспечения информационной безопасности?
2. Какие методы и средства защиты АС используются специалистами по ИБ?
3. Влияние изменения внешних условий на средства защиты информации.
4. Каким образом регулируется открытость алгоритмов защиты информации?
Литература для подготовки
Доктрина ИБ РФ, ФЗ РФ “Об информации, информационных технологиях и о защите информации» №149-ФЗ от 27.07.06, ГОСТ Р ИСО/МЭК 13335-1, Руководящий документ ФСТЭК.
Вопросы для повторения
1. Каковы основные принципы обеспечения информационной безопасности? Дайте краткое описание каждого из них.
2. На что направлены правовые, организационные и технические меры, применяющиеся при защите информации?