- •Средства защиты информации:
- •Угрозы безопасности
- •4 Действия, которые могут содержать в себе угрозу: сбор, модификация, утечка и уничтожение.
- •Основные причины обострения проблемы обеспечения безопасности ит и способы решения:
- •Решение:
- •Уязвимость основных структурно-функциональных элементов распределенных ас:
- •Угрозы безопасности информации, ас и субъектов информационных отношений:
- •Основные виды угроз безопасности субъектов информационных отношений:
- •4. Виды мер и основные принципы обеспечения безопасности информационных технологий. Виды мер противодействия угрозам безопасности. Достоинства и недостатки различных мер защиты.
- •Основные принципы построения системы защиты ресурсов ас
- •Достоинства и недостатки различных мер защиты.
- •Основные понятия:
- •Принципы обеспечения безопасности:
- •Г осударственная система защиты информации
- •Аттестация
- •Гос ведомства:
- •Общие правила применения антивирусных средств в автоматизированных системах
- •Технологии обнаружения вирусов
- •12. Системы аутентификации. Службы каталогов (active directory, nds), инструментальные средства реализации.
Основные понятия:
Для защиты автоматизированных систем (АС) на основании руководящих документов ГТК могут быть сформулированы следующие понятия:
Информационная безопасность (ИБ) АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов.
ИБ АС обеспечивается комплексом программно технических средств и поддерживающих их организационных мер.
ИБ АС должна обеспечиваться на всех этапах обработки информации и во всех режимах функционирования
программно технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС.
неотъемлемой частью работ по ИБ является оценка эффективности средств защиты осуществляющейся по методике учитывающей всю совокупность технических характеристик оцениваемого объекта.
защита АС должна предусматривать контроль эффективности средств защиты.
Принципы обеспечения безопасности:
системности(Системный подход к защите компьютерных систем предполагает необходимость взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов при всех видах информационной деятельности и информационного проявления.При обеспечении ИБ ОС необходимо учитывать все слабые и наиболее уязвимые места системы, а так же характер, возможные объекты и направления атак на систему со стороны нарушителя, пути проникновения распределенной системы и НСД к информации.
Комплексности(Для обеспечения защиты имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающие все существующие каналы угроз и не содержащие слабых мест на стыках отдельных её компонентов)
неразрывной защиты(ЗИ это не разовое мероприятие и не конкретная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный направленный процесс предполагающий принятие соответствующих мер на всех этапах существования АС. Разработка системы защиты должна вестись параллельно обработке самой защищаемой системы.
разумной достаточности(Важно правильно выбрать тот уровень защиты при котором затраты риск и размер возможного ущерба были бы приемлемы и не создавали неудобств пользователю.
гибкость управления и применения (Часто приходится создавать систему защиты в условиях большой неопределенности поэтому принятые меры и средства защиты особенно в начальный период их эксплуатации могут оказывать как чрезмерный так и недостаточный уровень защиты. Для обеспечения уровня варьирования защищенности средство защиты должно обладать определенной гибкостью особенно если средство необходимо установить на работающую систему не нарушая процесса её нормального функционирования.
простоты применения защитных мер и средств. (Механизмы защиты должны быть интуитивно понятны и просты в применении. Применение средств защиты не должно быть связано со знанием каких либо языков или требовать дополнительных затрат на её применение, а так же не должно требовать выполнения рутинных малопонятных операций.
6. Правовые основы обеспечения безопасности информационных технологий.Законы Российской Федерации и другие нормативные акты, руководящие и нормативно-методические документы, регламентирующие отношения субъектов в информационной сфере и деятельность организации по защите информации.
Ключевым моментом политики государства в данной области является осознание необходимости защиты любых информационных ресурсов и информационных технологий, неправомерное обращение с которыми может нанести ущерб их собственнику, владельцу, пользователю или иному лицу.
Нормативные акты правового регулирования вопросов информатизации и защиты информации в Российской Федерации включают:
Законы Российской Федерации
Указы Президента Российской Федерации и утверждаемые этими указами нормативные документы
Постановления Правительства Российской Федерации и утверждаемые этими постановлениями нормативные документы (Положения, Перечни и т.п.)
Государственные и отраслевые стандарты
Положения, Порядки. Руководящие документы и другие нормативные и методические документы уполномоченных государственных органов (Гостехкомиссии России, ФАПСИ, ФСБ).
Федеральные законы и другие нормативные акты предусматривают:
разделение информации на категории свободного и ограниченного доступа, причем информация ограниченного доступа подразделяется на:
отнесенную к государственной тайне
отнесенную к служебной тайне (информацию для служебного пользования), персональные данные (и другие виды тайн)
и другую информацию, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу;
правовой режим защиты информации, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу, устанавливаемый:
в отношении сведений, отнесенных к государственной тайне, -уполномоченными государственными органами на основании Закона Российской Федерации "О государственной тайне" (от 21.07.93 г. N 5485-1);
в отношении конфиденциальной документированной информации -собственником информационных ресурсов или уполномоченным лицом на основании Закона Российской Федерации "Об информации, информатизации и защите информации" (от 20.02.95 г. N 24-ФЗ);
в отношении персональных данных - отдельным федеральным законом;
лицензирование деятельности предприятий, учреждений и организаций в области защиты информации;
аттестование автоматизированных информационных систем, обрабатывающих информацию с ограниченным доступом на соответствие требованиям безопасности информации при проведении работ со сведениями соответствующей степени конфиденциальности (секретности);
сертификацию средств защиты информации и средств контроля эффективности защиты, используемых в АС;
возложение решения вопросов организации лицензирования, аттестации и сертификации на органы государственного управления в пределах их компетенции, определенной законодательством Российской Федерации;
создание автоматизированных информационных систем в защищенном исполнении и специальных подразделений, обеспечивающих защиту информации с ограниченным доступом, являющейся собственностью государства, а также осуществление контроля защищенности информации и предоставление прав запрещать или приостанавливать обработку информации в случае невыполнения требований по обеспечению ее защиты;
определение прав и обязанностей субъектов в области защиты информации