- •Базовые понятия и практические аспекты информационной безопасности План лекции
- •1. Что такое информационная безопасность
- •1.1.Значение информации и её защита. Роль информации в современном мире
- •Значение защиты информации
- •Аспекты защиты
- •1.2. Понятие информационной безопасности в широком смысле
- •1.3. Основные составляющие информационной безопасности (для информации в широком смысле)
- •1.3.1. Категории информационной безопасности.
- •1.3.2. Информационные ресурсы
- •1.3.3.Каналы распространения информации
- •1.3.4. Ценность информации
- •1.3.5. Основные определения и критерии классификации угроз информационной безопасности.
- •Наиболее распространенные угрозы доступности
- •2. Информационные технологии и информационная безопасность
- •2.1. Основные термины и определения
- •Информационная безопасность
- •2.2. Аспекты информационной безопасности
- •3. Исторические аспекты возникновения и развития проблемы защиты информации
- •3.1. Периоды развития средств и методов защиты информации
- •Первый период (с древнейших времён до 20-х годов хiх века)
- •Второй период (с двадцатых годов XIX века до тридцатых годов хх века)
- •Третий период (с тридцатых годов хх века по настоящее время)
- •3.2. Развития системы защиты информации в настоящее время
- •3.3. Структура систем защиты информации, применяемых в общемировой практике обеспечения информационной безопасности
- •Организационная защита информации
- •Программно-аппаратная защита
- •Технические средства
- •Программные средства
- •Криптографические средства
- •Компьютерная вирусология
- •4. Теоретико-концептуальный подход к проблеме защиты информации
- •5. Современная постановка задачи защиты информации
- •5.1. Повышение значимости информации как общественного ресурса.
- •5.2. Существенные изменения в организации информационных технологий.
- •1)Интегральное представление понятия комплексности защиты информации.
- •2)Расширение рамок защиты информации.
- •6. Комплексное организационное построение систем защиты информации.
- •7. Организация защиты от информации.
- •7.1. Живучесть информационных систем
1.3. Основные составляющие информационной безопасности (для информации в широком смысле)
1.3.1. Категории информационной безопасности.
Информационная безопасность - многогранная область деятельности, в которой успех может принеси только системный, комплексный подход.
Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории:
Доступность - это возможность за приемлемое время получить требуемую информационную услугу.
Целостность – это актуальность и непротиворечивость информации, её защищенность от разрушения и несанкционированного изменения.
Конфиденциальность - это защита от несанкционированного доступа к информации.
Если по тем или иным причинам предоставить информационные услуги пользователям становится невозможно, то это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, доступность является важнейший элементом информационной безопасности.
Особенно ярко ведущая роль доступности проявляется в разного рода системах управления.
Целостность подразделяют на:
- статическую (понимаемую как неизменность информационных объектов);
- и динамическую, (относящуюся к корректному выполнению сложных действий (транзакций)).
Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.
Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию", а именно:
- рецептура лекарств, предписанные медицинские процедуры,
- набор и характеристики комплектующих изделий,
- ход технологического процесса - все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным.
Недопустимо и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации.
Конфиденциальность - самый проработанный у нас в стране аспект информационной безопасности.
К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности:
- во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках;
- во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.
1.3.2. Информационные ресурсы
В соответствии с действующим Федеральным законом «Об информации, информатизации и защите информации» от 25.01.95г. информационные ресурсы предприятия, организации, учреждения, банка, компании и других государственных и негосударственных предпринимательских структур (далее по тексту - фирмы) включают в себя отдельные документы и отдельные массивы документов (дела), документы и комплексы документов в информационных системах (библиотеках, архивах, фондах, банках данных компьютеров и других информационных системах) на любых носителях, в том числе обеспечивающих работу вычислительной и организационной техники.
Информационные ресурсы (информация) являются объектами отношений физических и юридических лиц между собой и с государством. В совокупности они составляют информационные ресурсы России и защищаются законом наряду с другими видами ресурсов.
Документирование информации (создание официального документа) является обязательным условием включения информации в информационные ресурсы.
Следует учитывать, что документ может быть не только и даже не столько управленческим (деловым), имеющим в большинстве случаев текстовую, табличную или анкетную форму.
Значительно большие объемы наиболее ценных документов представлены в изобразительной форме:
- конструкторские документы;
- картографические;
- научно-технические;
- документы на фотографических, магнитных и иных носителях.
По принадлежности к тому или иному виду собственности информационные ресурсы могут быть государственными или негосударственными и как элемент состава имущества находиться в собственности граждан, органов государственной власти, исполнительных органов, органов местного самоуправления, государственных учреждений, организаций и предприятий, общественных объединений, предпринимательских структур.
В соответствии с интересами обеспечения национальной безопасности и степенью ценности для государства, а также правовыми, экономическими и другими интересами предпринимательских структур информационные ресурсы могут быть:
а) открытыми, т.е. общедоступными, используемыми в работе без специального разрешения, публикуемыми в средствах массовой информации, оглашаемыми на конференциях, в выступлениях и интервью;
б) ограниченного доступа и использования, т.е. содержащими сведения, составляющие тот или иной вид тайны и подлежащие защите, охране, наблюдению и контролю.
Запрещается относить к информации ограниченного доступа:
- законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, исполнительных органов, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
- документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;
- документы, содержащие информацию о деятельности органов государственной власти, исполнительных органов и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, относящихся к государственной тайне;
- документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, исполнительных органов, органов местного самоуправления, организаций, общественных объединений, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.
Накопители информационных ресурсов называются источниками (обладателями) информации.
Они представляют собой пассивные концентраторы этой информации и включают в себя:
- публикации о фирме и ее разработках;
- рекламные издания, выставочные материалы, документацию;
- персонал фирмы и окружающих фирму людей;
- физические поля, волны, излучения, сопровождающие работу вычислительной и другой офисной техники, различных приборов и средств связи.
Источники содержат информацию как открытого, так и ограниченного доступа.
Причем информация того и другого рода находится в едином информационном пространстве и разделить ее без тщательного содержательного анализа часто не представляется возможным. Например, систематизированная совокупность открытой информации может в комплексе содержать сведения ограниченного доступа. Документация как источник информации ограниченного доступа включает:
- документацию, содержащую ценные сведения, ноу-хау;
- комплексы обычной деловой и научно-технической документации, содержащей общеизвестные сведения, организационно-правовые и распорядительные документы;
- рабочие записи сотрудников, их служебные дневники, личные рабочие планы, переписку по производственным вопросам;
- личные архивы сотрудников фирмы. В каждой из указанных групп могут быть:
- документы на традиционных бумажных носителях (листах бумаги, ватмане, фотобумаге и т.п.); - документы на технических носителях (магнитных, фотопленочных и т.п.);
- электронные документы, банки электронных документов;
- изображения документов на экране дисплея (видеограммы).
При выполнении управленческих и производственных действий любая информация источника всегда распространяется во внешней среде. Тем самым увеличивается число опасных источников разглашения или утечки информации ограниченного доступа, источников, подлежащих учету и контролю.