Информационно-дидактический блок.

↑

▷ Содержание

⇐ ПредыдущаяСтр 2 из 6Следующая ⇒

Краткая теория

Информационная система – система сбора, хранения, обновления и выдачи информации, необходимой для управления объектом.

Компоненты ИС:

1. аппаратные средства: ЭВМ и составные части (процессы, мониторы, терминалы, периферийные устройства, дисководы, принтеры, контроллеры, кабели, линии связи) и т.д.;

2. программное обеспечение: приобретенные программы, исходные, объектные, загрузочные модули, операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы;

3. данные – хранимые временные и постоянно на магнитных носителях, печатные архивы, системные журналы и т.д.;

4. персонал – обслуживающий персонал и пользователи.

Цель защиты информационных систем (систем обработки информации) – противодействие угрозам безопасности, к которым относятся:

1. угрозы нарушения конфиденциальности обрабатываемой информации;
2. угрозы нарушения целостности обрабатываемой информации;
3. угрозы нарушения работоспособности системы.

Методы защиты ИС:

- управление;

- препятствия;

- маскировка;

- регламентация;

- побуждение;

- принуждение.

Средства защиты информационных систем:

1. Формальные:

• Технические (физические, аппаратные);
• Программные;
• Криптографические.

2. Неформальные:

• Организационные;
• Законодательные;
• Морально-этические.

Стандарты информационной безопасности создают основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационной технологии.

Угрозы информационной безопасности и каналы утечки информации

Под угрозой безопасности информации в компьютерной системе (КС) понимают событие или действие, которое может вызвать изменение функционирования КС, связанное с нарушением защищенности обрабатываемой в ней информации.

Уязвимость информации – это возможность возникновения на каком-либо этапе жизненного цикла КС такого ее состояния, при котором создаются условия для реализации угроз безопасности информации.

Атакой на КС называют действие, предпринимаемое нарушителем, которое заключается в поиске и ипользовании той или иной уязвимости. Иначе говоря, атака на КС является реализацей угрозы безопасности информации в ней.

Угрозы информационной безопасности могут быть разделены на угрозы, не зависящие от деятельности человека (естественные угрозы физических воздействий на информацию стихийных природных явлений), и угрозы, вызванные человеческой деятельностью (искусственные угрозы), которые являются гораздо более опасными.

Искусственные угрозы исходя из их мотивов разделяются на непреднамеренные (случайные) и преднамеренные (умышленные).

К непреднамеренным угрозам относятся:

ü Ошибки в проектировании КС;

ü Ошибки в разработке программных средств КС;

ü Случайные сбои в работе аппаратных средств КС, линий связи, энергоснабжения;

ü Ошибки пользователей КС;

ü Воздействия на аппаратные средства КС физических полей других электронных устройств (при несоблюдении условий их электромагнитной совместимости) и др.

К умышленным угрозам относятся:

ü Несанкционированные действия обслуживающего персонала КС (например, ослабление политики безопасности администратором, отвечающим за безопасность КС);

ü Несанкционированный доступ к ресурсам КС со стороны пользователей КС и посторонних лиц, ущерб от которого определяется полученными нарушителем полномочиями.

В зависимости от целей преднамеренных угроз безопасности информации в КС угрозы могут быть разделены на три основные группы:

ü Угроза нарушения целостности, т.е. преднамеренного воздействия на информацию, хранящуюся в КС или передаваемую между КС;

ü Угроза нарушения доступности информации, т.е. отказа в обслуживании, вызванного преднамеренными действиями одного из пользователей КС (нарушителя), при котором блокируется доступ к некоторому ресурсу КС со стороны других пользователей КС.

Опосредованной угрозой безопасности информации в КС является угроза раскрытия параметров подсистемы защиты информации, входящей в состав КС. Реализация этой угрозы дает возможность реализации перечисленных ранее непосредственных угроз безопасности информации.

Результатом реализации угроз безопасности информации в КС может быть утечка (копирование) информации, ее утрата (разрушение) или искажение (подделка), блокирование информации. Поскольку сложно заранее определить возможность их реализации, модель потенциальных угроз безопасности информации в КС должна создаваться совместно с собственником (владельцем) КС и специалистами по защите информации на этапе проектирования КС. Созданная модель должна затем уточняться в ходе эксплуатации КС.

Поскольку наиболее опасны угрозы информационной безопасности, вызванные пренамеренными действиями нарушителя, которые в общем случае являются неформальными, проблема защиты информации относится к формально неопределенным проблемам.

Отсюда следуют два основных вывода:

ü Надежная защита информации в КС не может быть обеспечена только формальными методами (например, только программными и аппаратными средствами);

ü Защита информации в КС не может быть абсолютной.

При решении задачи защиты информации в КС необходимо применять так называемый системно-концептуальный подход. В соответствии с ним решение задачи должно подразумевать:

ü Системность целевую, при которой защищенность информации рассматривается как составная неотъемлемая часть ее качества;

ü Системность пространственную, предполагающую взаимосвязанность защиты информации во всех элементах КС;

ü Системность временную, предполагающую непрерывность защиты информации;

ü Системность организационную, преполагающую единство организации всех работ по защите информации в КС и управления ими.

Концептуальность подхода к решению задачи защиты информации в КС предусматривает ее решение на основе единой концепции.

Обеспечение информационной безопасности КС является нерерывным процессом, целенаправленно проводимым на всех этапах ее жизненного цикла с комплексным применением всех имеющихся методов и средств.

Существующие методы и средства защиты информации можно подразделить на четыре основные группы:

ü Методы и средства организационно-правовой защиты информации;

ü Методы и средства инженерно-технической защиты информации;

ü Криптографические методы и средства защиты информации;

ü Программно-аппаратные методы и средства защиты информации.

Инженерно-технические методы и средства защиты информации

Под инженерно-техническими средствами защиты информации понимают физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий, средства пожаротушения и другие средства, обеспечивющие:

ü Защиту территории и помещений КС от проникновения нарушателей;

ü Защиту аппаратных средств КС и носителей информации от хищения;

ü Предотвращение возможности удаленного (из-за пределов охраняемой территории) видеонаблюдения (подслушивания) за работой персонала и функционированием технических средств КС;

ü Организацию доступа в помещения КС сотрудников;

ü Контроль над режимом работы персонала КС;

ü Контроль над перемещением сотрудников КС в различных производственных зонах;

ü Противопожарную защиту помещений КС;

ü Минимизацю материального ущерба от потерь информации, возникших в результате стихийных бедствий и техногенных аварий.

ü Важнейшей составной частью инженерно-технических средств защиты информации являются технические средства охраны, которые образуют первый рубеж защиты КС и являются необходимым, но недостаточным условием сохранения конфиденциальности и целостности информации в КС.

Познавательные статьи:



Алгоритмические операторы Matlab

Конструирование и порядок расчёта дорожной одежды

Исследования учёных: почему помогают молитвы?

Почему терпят неудачу многие предприниматели?