Файловый архив студентов. Файловый архив студентов.
1301 вуз, 5075 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный университет аэрокосмического приборостроения
Предмет:
Информационная безопасность
Файл:
самыйсамыйконспект.docx
Скачиваний:
1
Добавлен:
12.04.2025
Размер:
1.09 Mб
Скачать
►Содержание►

Лекция 1.

Перестановка букв на рецепте глины.

Клинопись знать и жрецы

Криптография – наука о сокрытии шифрования и метод кодирования.

Шифрование- метод сокрытия информации, при котором каждый символ исходного текста заменяется на другой, по определенному алгоритму.

Для шифрования необходимо знать алгоритм и ключ. (Палка намотать ленту, ключ диаметр палки) Китала.

Промышленный шпионаж.

Разные способы сокрытия информации.

1945 первая ЭВМ

1981 первый персональный компьютер Apple.

Кодирование – способ сокрытия информации, при котором несколько символов слова или целая мысль может быть заменена одним или несколькими символами.

1975 статья о защите информации.

Сущность информационной безопасности и характеристика ее составляющей

ИБ - состояние защищенности обрабатываемых, хранимых и передаваемых информационных телекоммуникационных системах данных то незаконного ознакомления, преобразования и уничтожения, а также состояние защищенности информационных ресурсов от воздействий, направленных на нарушение их работоспособности.

НСД- насанкционированный досуп информации.

Под безопасностью информационной системы понимают защищенность системы от случайного или преднамеренного участия в процесс ее работы, от попыток несанкционированного получения информации, модификации или физического разрушения ее компонентов, иначе это способность противодействовать различным возмущающим воздействиям на ИС.

Основные характеристики ИБ:

  1. Конфиденциальность

  2. Целостность

  3. Доступность

Конфиденциальность – характеристика безопасности информации, отображающая ее свойства нераскрытости и недоступности без определенных полномочий. Фактически информация не может быть доступна неавторизованной стране. Авторская сторона (пользователи и персонал и специальные программы) , которым эти полномочия предоставлены может иметь полный доступ к информации.

Самый надежный способ безопасности – шифрование. Целостность – характеристика безопасности информации, определяющая ее свойства противостоять несанкционированному изменению. Например пользователь, который накапливает информацию хочет быть уверен, что содержимое его файла будет неизменным несмотря ни на что: на влияние, откзаз программы и аппаратных средств.

По это характеристике информация не подвергается никакому воздействию от неавторизованной стороны.

Доступность – характеристика безопасности информации, которая отображает ее свойства, состоящие в возможности использования соответствующих ресурсов в заданный момент времени, согласно предъявленным полномочиям. То есть авторская сторона по первой потребности получает неограниченный доступ нужной информации. Пример брокер реагирует на кодировки, нужно среагировать.

Неосновные характеристики:

Достоверность информации (журналистика, вооруженные силы, бизнес)

Неостлеживаемость действий клиента (мед история, банк, сайты)

Юридическая значимость (образование, суды)

Для банка отдельные стандарты ИБ.8 Банк должен защищать активы (люди информация)

Лекция 2.

Этапы развития информационной безопасности.

  1. Начальный этап

  2. Этап развитой защиты

  3. комплексный этап

С появлением вычислительной техники общие положения в деле защиты информации может быть характеризовано как предупреждение прежде всего НСД (несанкционированного доступа информации) и средство вычислительной техники людей или программ.

Первый начальный этап защиты характеризовался тем, что под защитой информации понималось предупреждение несанкционированного доступа к ней людей или программ не имеющих на это полномочий. При этом применялись формальные средства, работающие без участия человека.

Самыми распространенными механизмами защиты были:

  1. Проверки по паролю прав на доступ к информационной системе, с целю предупреждения доступа незарегистрированных пользователей.

  2. Разграничение доступа к массивам данных (бд) с целью предупреждения доступа зарегистрированных пользователей к данным, которые находятся за пределами их полномочий.

Недостаток проверки по паролю низкая надежность метода, потому что короткие пароли можно разгадать, длинные трудно запомнить, а опытный злоумышление может обойти.

Для повышения надежности проверки по паролю разработаны методы:

Увеличение длины алфавита.

Использование нескольких паролей

Шифрование эталонных паролей.

Разграничение доступа к массивам (базам) данных осуществлялось несколькими способами:

  1. делением массивов на зоны по степени секретности (делением

данных на области соответственно степени секретности с предоставлением каждому пользователю соответствующего уровня доступа;

  1. по выдаваемым пользователям мандатам, в которых указывались идентификаторы тех областей данных, доступ к которым им разрешен;

  2. по специально составленной матрице полномочий, по строкам которой размещались обозначения пользователей, по столбцам – элементов областей данных, а на пересечении – условное обозначение прав пользователя относительно соответствующего элемента данных

  3. (доступа нет, позволяется читать, позволено записывать и т. п.). (доступа нет, позволено читать или записывать)

Механизмы разграничения доступа оказались достаточно эффективными и настолько необходимыми, что в той или иной модификации используются до настоящего времени и будут использоваться в будущем.

Рассмотренные механизмы защиты реализовывались с помощью специальных программ, которые выполняли свои функции под управлением операционной системы, защищаемой ЭВМ.

Но для обеспечения эффективного их функционирования необходимы специальные организационные мероприятия: генерирование и распределение паролей, внесение эталонных паролей в память компьютера, формирование и ведение реквизитов разграничения доступа, общая организация защиты и др.

Вывод. Анализируя первый этап развития защиты информации, можно сделать вывод, что используемые механизмы защиты определенную защиту предоставляли, но вопрос защиты в целом

решен не был, так как опытные злоумышленники их успешно преодолевали.

Второй этап назван этапом развитой защиты. Он имеет следующие характеристики:

1. Приходит понимание того, что цели обеспечения информационной безопасности должны носить комплексный характер. Поэтому наряду с предупреждением несанкционированного

доступа (НСД) к информации одновременно стала решаться задача обеспечения ее целостности.

2. Существенное увеличение по количеству и разнообразию применяемых средств защиты. Повсеместное распространение получило комплексное применение технических, программных и организационных средств. (бронирование дверей, видеокамера). Широко стала практиковаться криптозащита информации. Появилась необходимость принятия законов, регулирующих подходы к защите.

3. Применяемые средства защиты в АСОД(автоматизированная система обработки данных) все более целенаправленно стали объединяться в функциональные самостоятельные системы или подсистемы зашиты.

АМДЗ – плата (модуль доверенной загрузки)

К примеру, для решения задачи распознавания пользователей разрабатывались методы и средства, которые базируются на следующих признаках:

1) усложненные пароли;

2) отпечатки пальцев, индивидуальность которых общеизвестна;

3) личная подпись человека, причем идентифицируемыми характеристиками служит графика написания букв, динамика подписи и давление пишущего инструмента и т д.

4) голос человека;

5) фотография человека;

6) геометрия руки, причем доказано, что по длине четырех пальцев руки человека можно опознать его с высокой степенью надежности;

7) рисунок сетчатки глаза, который тоже является индивидуальной характеристикой человека;

8) пластиковые карты, содержащие информацию о человеке и т д .

Определения, которые регулярно применяют при распознавании пользователей компьютерных систем:

Идентификация – процесс присвоения идентификатора и опознавания пользователя в информационной системе по предъявленному им идентификатору.

Аутентификация – процесс проверки подлинности субъекта, подтверждающий, что пользователь является тем, за кого себя выдает.

Чтобы обезопасить аккаунт, рекомендуется обязательно включать двухфакторную аутентификацию во всех сервисах, которые это позволяют. Для этого для входа в аккаунт применяют уникальные одноразовые коды. Их можно получать по смс либо с помощью голосового вызова или приложения на телефоне.

Многофакторная аутентификация настоящее время.

Вывод: II этап может характеризоваться весьма интенсивными поисками, разработкой и реализацией способов, методов и средств ЗИ.

Третий этап – этап комплексной защиты.

Характерная его особенность заключается в попытках аналитической обработки данных всего имеющегося опыта теоретических исследований и практического решения задач защиты и формирования на этой основе научно-методологического базиса защиты информации. То есть основная задача третьего этапа – перевод всего дела защиты информации на строгую научную основу.

Научная основа.

Наиболее характерной особенностью современной постановки задачи защиты информации является комплексность защиты. 2й

Комплексность понимается как решениев рамках единой концепции двух или более разноплановых задач

(целевая комплектность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или и то и другое (всеобщая комплексность).

Применительно к проблеме защиты в настоящее время речь должна идти о всеобщей комплексности, что обусловлено устойчивыми тенденциями развития систем и процессов обработки информации и подготовлено предшествующими исследованиями, и разработками проблем защиты.

Лекция 3

МЕСТО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СИСТЕМЕ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ

Логическая бомба- вредоносный программный код, работает по определенной программе.

Рассмотрим концепции национальной безопасности РФ.

Концепция национальной безопасности РФ определяет:

• место России в мировом сообществе на современном этапе развития государственности;

• национальные интересы России во всех сферах жизнедеятельности;

• угрозы национальной безопасности Российской Федерации;

• пути и силы обеспечения национальной безопасности.

Национальные интересы России в информационной сфере, заключаются в обеспечении конституционных прав и свобод граждан при получении и использования информации; в обеспечении бесперебойной работы информационной инфраструктуры (ИИ) (причем особое внимание уделяется критической ИИ); в развитии современных ИТ и электронной промышленности, развитии средств ИБ и оказанию услуг в области ИБ; в содействии работе по созданию системы международной ИБ при обеспечении защиты суверенитета РФ в информационном пространстве.

Главным документом России, определяющим систему мер, необходимых для устранения проблем информационной безопасности на основе актуальных в настоящее время угроз для ИБ РФ является Доктрина информационной безопасности РФ, подписанная в 2016 году Президентом Российской Федерации (Указ Президента РФ от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации»).

Все действующие в настоящее время законодательные и нормативные акты и стандарты по ИБ РФ в своих положениях опираются на настоящую Доктрину ИБ.

Доктрина разработана согласно Стратегии национальной безопасности РФ (утвержденной Указом Президента от 31.12.2015 № 683). В Доктрине ИБ РФ определены стратегические цели и способы обеспечения ИБ с учетом национальных интересов Росси, дано определение сил и средств ИБ РФ, системы обеспечения ИБ и т. п.

Силы обеспечения ИБ РФ составляют: Президент РФ, Федеральное собрание, Правительство РФ, Совет Безопасности РФ, Федеральные органы исполнительной власти, органы судебной власти, межведомственные и государственные комиссии, органы власти субъектов РФ и местного самоуправления.

В состав основных федеральных органов исполнительной власти, отвечающих за ИБ в стране входят:

• Федеральная служба безопасности России (ФСБ).

• Федеральная служба охраны России (ФСО).

• Министерство обороны России.

• Министерство внутренних дел России (МВД).

• Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры) – бывшее Министерство связи и массовых коммуникаций Российской Федерации (Минкомсвязь).

• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

• Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК).

Значение информационной безопасности на государственном уровне подчеркивается как важнейшее направление развития информационных и коммуникационных технологий в РФ также и в Указе Президента Российской Федерации от 09 мая 2017 г. № 203 «О стратегии развития информационного общества в Российской Федерации на 2017- 2030 годы» и других документах.

Рассматривая уровень отдельного предприятия (или организации), отметим, что здесь меры по обеспечению ИБ, предпринимаемые руководством, описываются в политике безопасности (ПИБ). В документе «Политика ИБ» описывают стратегию предприятия (организации) по обеспечению защиты информации (данных) и соответствующих ресурсов, а также порядок и количество выделяемых на эти цели средств.

Систему обеспечения информационной безопасности (СОИБ) РФ составляют силы обеспечения ИБ и используемые ими средства. СОИБ строится на основе разграничения полномочий органов законодательной, исполнительной и судебной власти в данной сфере, а также предметов ведения федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации.

Организационную структуру системы составляют: (выучить)

• органы государственной власти и управления РФ и ее субъектов, решающие задачи обеспечения ИБ в пределах своей компетенции (например, Комитет по политике информатизации при президенте РФ, ФАПСИ (Федеральное агентство правительственной связи и информации при президенте РФ));

• государственные и межведомственные комиссии и советы, специализирующиеся на проблемах информационной безопасности (например ФСТЭК);

• структурные и межотраслевые подразделения по защите информации органов государственной власти и управления, а также

структурные подразделения предприятий, проводящие работы с использованием сведений, отнесенных к государственной тайне, или специализирующиеся в области защиты информации;

• научно-исследовательские, проектные и конструкторские организации, выполняющие работы по обеспечению информационной безопасности;

• учебные заведения, осуществляющие подготовку и переподготовку кадров для работы в системе обеспечения информационной безопасности.

Рассмотрим документы, регламентирующие деятельность по обеспечению защиты информации.

Первые попытки создания единых стандартов ИТ относятся 1992 году – «Критерии безопасности компьютерных систем министерства обороны США» (оранжевая книга).

В настоящее время 35 стандартов.

Европейские требования были, Канадские.

1999 год единые общие критерии оценки безопасности инф технологий.

В России государственную концепцию защиты информации отражают ряд руководящих документов Гостехкомиссии РФ (позже переименована в ФСТЭК) от 1992 г.

Руководящие документы руководства инф без. В России:

  • «Концепция защиты средств вычислительной техники от НСД (несанкционированного доступа к информации) к информации» (обновлен 01.12.2014).

  • «Средства вычислительной техники. Защита от НСД, к информации. Показатели защищенности от НСД к информации» (обновлен: 17. 07.2017);

  • «Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по ЗИ».

  • «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств ЗИ от НСД в автоматизированных системах и средствах ВТ».

Основными характеристиками стандартов по ИБ являются: гибкость и универсальность, реализуемость и актуальность, а также гарантированность:

• Гибкость – возможность использования стандарта при постоянно совершенствующихся ИТ.

• Универсальность – определяет множество типов информационных систем, для которых он применим.

• Реализуемость – возможность адекватной реализации на практике. (прост в реализации)

• Актуальность – положения стандарта должны соответствовать постоянно меняющимся угрозам ИБ. (поэтому стандарты переписывают каждые несколько лет)

• Гарантированность определяет то, что рекомендуемые стандартом методы и средства анализа защищенности информационных систем являются верными (стандарты для разных систем).

Лекция 4

ЗАЩИЩАЕМАЯ ИНФОРМАЦИЯ (что такое зазщищанмая информация)

Рассмотрим понятие и виды защищаемой информации согласно законодательству РФ.

В ФЗ «Об информации, информационных технологиях и о защите информации» устанавливается 2 группы информационных ресурсов по категориям доступа: открытые информационные ресурсы и ресурсы, к которым доступ ограничен по закону.

В обоих случаях согласно ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года речь идет о документированной информации.

Документированная информация - это «зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель».

В соответствии с данным федеральным законом защите подлежат сведения ограниченного доступа, а степень защиты определяется их собственником. Ответственность за выполнение мер по ЗИ возлагается на собственника информации и на пользователя. Информация относится к категории с ограниченным доступом, если:

1) она документирована.

2) существует нормативный акт (закон), ограничивающий доступ к ней.

Выучить!

Сведения, которые не разрешается относить к информации с ограниченным доступом:

1. Законодательные и другие нормативные акты, которые устанавливают правовой статус органов государственной власти, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан и порядок их реализации.

2. Документы с информацией о чрезвычайных ситуациях, а также экологическую, метеорологическую, демографическую (продукты питания, катастрофа, вода испортилась), санитарно-эпидемиологическую и др. информацию, которая необходима для обеспечения безопасного функционирования населенных пунктов, объектов и безопасности граждан в целом.

3. Документы, содержащие информацию о деятельности органов государственной власти и органов местного самоуправления об использовании бюджетных средств и других государственных и местных ресурсах, о состоянии экономики и потребностях населения, за исключением отнесенных к государственной тайне (о нецелевом использовании бюджетных средств).

4. Документы, которые накапливаются в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющие общественный интерес и необходимые для реализации прав свобод и обязанностей граждан.

Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации (ФедЗак «О государственной тайне»).

Коммерческая тайна – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду

Информацию относят к коммерческой тайне, если она представляет ценность для предприятия или организации и обладает такими свойствами, как полезность, своевременность и достоверность.

Свойства:

Полезность – состоит в том, что она создает субъекту выгодные условия для принятия оперативного решения и получения эффективного результата. Полезность тесно связана со своевременностью получения информации достоверностью информации.

Причины возникновения недостоверных сведений:

1. Неправильное восприятие информации;

2. Умышленное искажение информации.

Информация, представляющая коммерческий интерес должна регулярно перепроверяться. Собственниками коммерческой информации могут быть российские граждане, а также граждане иностранных государств, объединения граждан, т. е. объединение коллективных предпринимателей.

Коммерческая тайна может стать тайной государственной, если она будет оценена как особо важная не только для ее собственника, но и для государства, и когда есть вероятность, что к данной информации может проявлять интерес иностранная спец. служба. Договорная основа.

Виды коммерческой информации:

она может быть:

• технической;

• организационной;

• финансовой;

• рекламной (когда как в каком виде сделали рекламу;

• информацией о спросе и предложении;

• информацией о конкурентах и т. д.

Однако коммерческие организации не имеют права скрывать:

1. Учредительные документы и устав предприятия (зачем создавалась с какой целью)

2. Документы, которые дают право заниматься предпринимательством (лицензии, патенты, удостоверения и т. д.);

3. Сведения о финансово-хозяйственной деятельности, которые необходимы для проверки начисления налогов;

4. Документы о платежеспособности (узнать насколько фирма успешна);

5. Сведения о численности и составе работников, об их зарплате и условиях труда, а также о наличии рабочих мест;

6. Сведения об уплаченных налогах и об обязательных платежах;

7. Сведения о загрязнении окружающей среды данным предприятием и несоблюдение условий труда, условий реализации продукции;

8. О размерах имущества предприятия и о его денежных средствах;

9. О вложении средств в доходные активы;

10. О кредитных обязательствах предприятия;

11. О договорах с негосударственными предприятиями, трудовыми коллективами или отдельными гражданами. Вышеуказанную информацию могут потребовать следующие органы: налоговые службы, правоохранительные органы, если возбуждено уголовное дело, прокурор, в рамках закона, аудиторские фирмы, профсоюзы, санэпидстанции, экологические организации, государственные предприятия и учреждения, коммерческие предприятия и частные лица, которые вступают в сделку с данной организацией.

У коммерческой тайны основная цель – обеспечение конкурентного превосходства и увеличение прибыли. В отличие от нее, служебная тайна главной задачей имеет обеспечение интересов клиентов или собственных интересов, которые непосредственно с коммерческой деятельностью не связаны. Например, к служебной тайне относят информацию о мерах по обеспечению безопасности сотрудников, по охране различных помещений и т. д.

К служебной тайне можно отнести сведения конфиденциального характера, содержащие данные о деятельности государственных органов, а также информацию, полученную ими в ходе осуществления своих функций.

Персональные данные

Основным нормативным документы, определяющие и регламентирующие действия с персональными данными: – Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

По закону «О персональных данных», ПДн представляют собой любую информацию о конкретном человеке, по которой его можно будет определить. Сюда входят и паспортные данные, и семейное положение, номер его мобильного телефона, и информация о его профессиональной деятельности, имуществе и т. п.

Специальные категории персональных данных (ПДн)

Существует четыре категории ПДн:

  • Общие (или общедоступные), специальные, биометрические и иные. Общие персональные данные – ФИО, дата рождения и адрес – все то, что указывается самим человеком при подписании различных договоров в общедоступные источники.

  • Специальные персональные данные – это данные о его национальности, взглядах на политические, религиозные и философских течения, о здоровье и интимной жизни.

  • Биометрические ПДн составляют сведения о физиологических и биологические особенности человекаю

  • Иные персональные данные – которые не указаны в приведенном выше перечне (хобби, пароли, логины, то что сами инициируем.

Лекция 5 (тема 4)

МЕТОДОЛОГИЧЕСКИЙ БАЗИС ТЕОРИИ ЗАЩИТЫ ИНФОРМАЦИИ

Теория защиты информации - совокупность основных идей касательно ЗИ, ее становления и развития во взаимосвязи с другими отраслями знаний; базирующаяся на многовековом опыте практического решения задач защиты, полученного как на основе интуитивных методов, так и с применением классических научных теорий; получившая существенное развитие с повсеместным распространением вычислительной техники.

В настоящее время знание основ теории ЗИ позволяет:

- сформулировать научную постановку задачи ЗИ для определенной ИС, отдельных групп объектов или целого предприятия; задействовать при этом новейшие методы и методологии ЗИ;

- выработать обобщенные стратегические установки для организации ЗИ на объекте с применением современных инструментальных средств защиты;

- составить научно-обоснованный анализ перспективных направлений развития теории и практики ЗИ.

Методологический базис теории ЗИ – совокупность методов и моделей, необходимых и достаточных для исследований проблемы ЗИ и решения соответствующих практических задач.

В качестве актуальной возникла задача расширения комплекса методов классической теории систем за счет включения в него методов, позволяющих адекватно моделировать процессы, которые существенно зависят от воздействия трудно предсказуемых факторов.

К настоящему времени наиболее подходящими для указанных целей оказались методы нечетких множеств, нестрогой математики, неформального оценивания, неформального поиска оптимальных решений.

На формирование этих методов большое влияние оказывает тот факт, что процессы защиты информации подвержены сильному влиянию случайных факторов и особенно тех из них, которые связаны со злоумышленными действиями людей.

Соседние файлы в предмете Информационная безопасность
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности