- •Южно-уральский государственный университет
- •Курс лекций
- •Челябинск
- •Введение
- •Стандарты обеспечения информационной безопасности.
- •Раздел 1. Информация и ее свойства.
- •1.1 Основные определения. Законы информации1
- •1.2 Свойства информации
- •Раздел 2. Информационные технологии
- •2.1 Содержание информационной технологии
- •2.1.1 Определение информационной технологии4
- •2.1.2 Инструментарий информационной технологии
- •2.1.3 Информационная технология и информационная система
- •2.2 Этапы развития информационных технологий
- •2.3 Особенности современных информационных технологий
- •2.4 Проблемы использования информационных технологий
- •Раздел 3. Система информационной безопасности
- •3.1 Информационная безопасность – определение, цель, компоненты.
- •3.2 Место подсистемы иб в общей системе безопасности организации
- •Раздел 4. Нормативно-правовое обеспечение информационной безопасности
- •4.1 Нормативно-правовые акты в области защиты информации.
- •4.2 Стандарты обеспечения информационной безопасности
- •4.3 Виды и способы защиты информации
- •4.4 Виды тайн, предусмотренные законодательством России.
- •4.5 Ответственность за нарушения правил обращения с конфиденциальной информацией
- •4.5.1 Трудовой кодекс рф от 30.12.2001 № 195-фз.
- •4.5.2 Кодекс рф об административных правонарушениях от 30.12.2001 № 195-фз.
- •4.5.3 Уголовный кодекс Российской Федерации от 13.06.1996 № 63-фз.
- •Раздел 5. Нормативно-методическое обеспечение информационной безопасности
- •5.1 Значение нормативно-методического обеспечения
- •8.2 Модель угроз и модель нарушителя. 23
- •8.3 Методология формирования модели угроз
- •1 Этап - описать информационную систему.
- •Раздел 6. Организационно-техническое обеспечение информационной безопасности
- •6.1 Основные организационные мероприятия по обеспечению иб.
- •6.2 Технические методы обеспечения иб.
- •Раздел 7. Психологическое обеспечение информационной безопасности
- •7.1 Особенности использования полиграфа - детектора лжи.
- •7.2 Признаки сотрудника, работающего на злоумышленника.
- •Раздел 8 Документирование деятельности по обеспечению иб организации.31
- •Порядок проведения врутреннего служебного расследования34
- •Экспертное заключение
- •Служебная записка на имя директора
- •Приказ о создании комиссии по расследованию инцидента
- •Объяснительная записка нарушителя
- •Характеристика непосредственного руководителя нарушителя
- •Протокол заседания комиссии по расследованию
- •Заключение комиссии
- •Приказ о дисциплинарном взыскании
- •Приложение
Информация и ее свойства. Законы информации.
Информационные технологии.
Информация, информационные технологии и защита информации.
Стандарты обеспечения информационной безопасности.
Система информационной безопасности организации.
Виды информации, по категориям доступа.
Документирование деятельности по обеспечению ИБ организации.
Обеспечение психологической безопасности организации.
Раздел 1. Информация и ее свойства.
1.1 Основные определения. Законы информации1
Основные определения введены 1 февраля 2008 года Национальным стандартом РФ ГОСТ Р 50922-2006 (взамен ГОСТ Р 50922-1996) «Защита информации. Основные термины и определения» (утв. приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. № 373-ст).
|
термин |
определение |
1 |
Цель защиты информации |
достижение желаемого результата защиты информации (например, предотвращение ущерба собственнику, владельцу, пользователю информации в результате ее возможной утечки). |
2 |
Политика безопасности (информации в организации) |
совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. |
3 |
Объект защиты |
информация, носитель информации или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации. |
4 |
Способ защиты информации |
порядок и правила применения определенных принципов и средств защиты информации: защита информации от утечки, от несанкционированного воздействия, от непреднамеренного воздействия, от разглашения, от несанкционированного доступа, от преднамеренного воздействия, от [иностранной] разведки. |
5 |
Защита информации |
деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Различают: правовую, техническую, криптографическую и физическую ЗИ. |
6 |
Угроза (безопасности информации) |
совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. |
7 |
Фактор, воздействующий на защищаемую информацию |
явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней. |
8 |
Источник угрозы безопасности информации |
субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации. |
9 |
Мониторинг безопасности информации |
постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации. |
10 |
Эффективность защиты информации |
степень соответствия результатов защиты информации поставленной цели. |
11 |
Показатель эффективности защиты информации |
мера или характеристика для оценки эффективности защиты информации. |
12 |
Норма эффективности защиты информации |
значение показателя эффективности защиты информации, установленное нормативными и правовыми документами. |
Есть ряд терминов, воспринимаемых обычно как синонимы, но на самом деле имеющих несколько отличное наполнение.
Данные — факты, понятия или команды, представленные в формализованном виде и позволяющие осуществлять их передачу или обработку как вручную, так и с помощью средств автоматизации.
Сведения — общая или поверхностная осведомленность о чем-либо.
Знания — совокупность представлений о чем-либо, полученных в результате обучения, опыта.
Документ — зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. Таким образом, документ это средство закрепления информации на материальном носителе.
Информация — это осмысленные сведения, основанные на собранных, оцененных и истолкованных фактах, изложенных таким образом, что ясно видно их значение для принятия оптимального решения по какой-либо конкретной текущей задаче.
Качественные законы информации2
Прежде чем перейти к рассмотрению законов информации, необходимо разделить информацию на два вида: структурная (связанная), присущая объектам неживой природы естественного или искусственного происхождения и оперативная (рабочая).
Оперативная информация циркулирует между объектами материального мира и используется в процессе управления (в первую очередь явные и скрытые команды).
I. Общий закон сохранения информации.
Информация, являясь свойством материальных объектов, существует вечно, никогда не возникала и никогда не исчезает.
Информация существует вне зависимости от нашего желания или нежелания знать ее. Например, когда мы видим стол, мы получаем структурную информацию о нем: материал, форма, цвет и т.п. Эта информация неотъемлема от объекта (стола) и присуща именно ему. Но если мы его не видим, это не означает, что информации о нем нет, проста она нам, по каким-то причинам, недоступна.
II. Общий закон перехода информации.
Информационное поле обусловлено взаимодействиями структурной и оперативной информации и их взаимными превращениями друг в друга.
Например, мы знаем, что Петр не переносит мебель из пластика и в настоящий момент рассматривает предложение по смене мебели в своей квартире. Мы не хотим, чтобы компания А продала ему мебель. Мы передаем Петру информацию о том, что эта компания занимается только мебелью со скрытыми конструктивными элементами из пластика. Изначально эта структурная информация, но при попадании к Петру она становится оперативной (управляющей), побуждая Петра отказаться от услуг компании А.