- •1,1. Уровни защиты информации.
- •1.2 Виды угроз информационной безопасности
- •1.3Виды методов защиты информации.
- •1.4 Организационные методы защиты информации. Государственное регулирование, лицензирование, сертификация и аттестация средств защиты и объектов информации. Управление рисками.
- •1.6 Алгоритмы шифрования и электронная цифровая подпись.
- •Преимущество эцп:
- •1. 5 Пассивные и активные методы защиты информации от утечки по техническим каналам.
- •Методы разграничения доступа и способы их реализации в технических системах.
- •1.8 Информационная безопасность компьютерных систем и сетей.
- •1.9 Защита от вредоносного программного обеспечения. Антивирусное программное обеспечение
- •Защита информации в электронных платежных системах.
1.3Виды методов защиты информации.
Средства и методы защиты информации обычно делят на две большие группы: организационные и технические. Под организационными подразумеваются законодательные, административные и физические. Под техническими – аппаратные, программные и криптографические мероприятия, направленные на обеспечение защиты объектов, людей и информации.
При этом используются различные методы, обеспечивающие санкционированным лицам доступ к объектам и ИР. К ним относят аутентификацию и идентификацию пользователей.
Аутентификация – метод независимого от источника информации установления подлинности информации на основе проверки подлинности её внутренней структуры (“это тот, кем назвался?”).
Авторизация – в информационных технологиях это предоставление определённых полномочий лицу или группе лиц на выполнение некоторых действий в системе обработки данных (“имеет ли некто право выполнять данную деятельность?”). Посредством авторизации устанавливаются и реализуются права доступа к ресурсам.
Идентификация – это метод сравнения предметов или лиц по их характеристикам, путём опознавания по предметам или документам, определения полномочий, связанных с доступом лиц в помещения, к документам и т. д. (“это тот, кем назвался и имеет право выполнять данную деятельность?”).
Проверка подлинности пользователя компьютера или компьютерной программы обычно осуществляется операционной системой. Пользователь идентифицируется своим именем, а средством аутентификации служит пароль. Для эффективного использования этих методов, кроме физических мер охраны объектов, широко применяются программно-технические средства, основанные на использовании биометрических систем, криптографии и др.
Эффективность защиты информации в значительной степени зависит от своевременности обнаружения и исключения воздействий на неё, а, при необходимости, восстановления программ, информации, работоспособности компьютерных устройств и систем.
Одним из методов обеспечения безопасности данных от несанкционированных воздействий на них (защиты информации) является кодирование информации (шифрование, криптография), и, в первую очередь, электронная цифровая подпись (ЭЦП).
В большинстве случаев для защиты информации, ограничения несанкционированного доступа к ней, в здания, помещения и к другим объектам, а также в информационных компьютерных сетях одновременно используют программные и технические средства, системы и устройства.
1.4 Организационные методы защиты информации. Государственное регулирование, лицензирование, сертификация и аттестация средств защиты и объектов информации. Управление рисками.
Организационные (административные) меры и методы защиты - это меры и методы организационного характера, регламентирующие процессы функционирования системыобработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.
Организационные меры необходимы для обеспечения эффективного применения других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными физическими и техническими и всеми другими средствами. В связи с этим в системе организационного обеспечения компьютерной безопасности выделяют два направления: - направление связанное с реализацией мер организационно- правового характера и направление, связанное с реализацией мер организационно-технического характера.
Лицензирование в области защиты информации - деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации, и осуществлении контроля за лицензиатом.
Сертификация - это процесс, осуществляемый в отношении такой категории, как "изделие" (товар, средство), когда в результате выполнения комплекса мероприятий, определенных правилами и порядком ее проведения, устанавливается, удостоверяется или подтверждается качество изделия. Таким образом,сертификация есть деятельность некоторой третьей стороны, независимой от изготовителя (продавца) и потребителя продукции или услуг, по подтверждению соответствия этих продукции или услуг установленным требованиям.
Сертификация средств защиты информации - деятельность по подтверждению соответствия средств защиты информации требованиям государственных стандартов и требованиям по безопасности информации
Аттестация - это процесс, осуществляемый в отношении такой категории, как "объект информатики", в результате которого удостоверяется возможность обработки на данном конкретном объекте информатики информации с ограниченным доступом определенной категории (необходимая категория определяется собственником, владельцем, пользователем информации в соответствии с действующим законодательством). Схожесть процессов сертификации и аттестации заключается в том, что в обоих случаях используются одни и те же требования и нормы и объектом этих процессов зачастую выступают технические средства обработки информации.
Aттестация объекта в защищенном исполнении - официальное подтверждение наличия на объекте информатики условий, обеспечивающих выполнение установленных требований по безопасности информации;
Управление риском (риск-менеджмент) - процесс принятия и выполнения управленческих решений, которые минимизируют неблагоприятное влияние на организацию или лицо убытков, вызванных случайными событиями.
Данное определение сформулировано в наиболее общей форме независимо от специфики риска. Поэтому управление риском, понимаемое таким образом, может осуществляться на разных уровнях:
- на государственном уровне (например, система гражданской защиты населения); - на уровне фирмы (в частности, программа мер по обеспечению устойчивости ее бизнеса); - на индивидуальном уровне (личное страхование и страхование личного имущества).