|
|
@@ -0,0 +1,106 @@
|
|
|
+# Основные понятия СЗИ
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+Средства защиты информации — это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.
|
|
|
+Защита информации — это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
|
|
|
+Объект защиты — информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
|
|
|
+Цель защиты информации — это желаемый результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.
|
|
|
+Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели.
|
|
|
+Защита информации от утечки — деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа (НСД) к защищаемой информации и получения защищаемой информации злоумышленниками.
|
|
|
+Защита информации от разглашения — деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
|
|
|
+Защита информации от НСД — деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником либо владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим НСД к защищаемой информации, может выступать государство, юридическое лицо, группа физических лиц, в т. ч. общественная организация, отдельное физическое лицо.
|
|
|
+Система защиты информации — совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
|
|
|
+
|
|
|
+АС можно разбить на следующие группы:
|
|
|
+• аппаратные средства — компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры, кабели, линии связи и т. д.);
|
|
|
+• программное обеспечение — приобретенные программы, исходные, объектные, загрузочные модули; ОС и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.;
|
|
|
+• данные — хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.;
|
|
|
+• персонал — обслуживающий персонал и пользователи.
|
|
|
+Одной из особенностей обеспечения информационной безопасности в АС является то, что таким абстрактным понятиям, как информация, объекты и субъекты системы, соответствуют физические представления в компьютерной среде:
|
|
|
+• для представления информации — машинные носители информации в виде внешних устройств компьютерных систем (терминалов, печатающих устройств, различных накопителей, линий и каналов связи), оперативной памяти, файлов, записей и т. д.;
|
|
|
+• объектам системы — пассивные компоненты системы, хранящие, принимающие или передающие информацию. Доступ к объекту означает доступ к содержащейся в нем информации;
|
|
|
+• субъектам системы — активные компоненты системы, которые могут стать причиной потока информации от объекта к субъекту или изменения состояния системы. В качестве субъектов могут выступать пользователи, активные программы и процессы.
|
|
|
+
|
|
|
+Информационная безопасность компьютерных систем достигается обеспечением конфиденциальности, целостности и достоверности обрабатываемых данных, а также доступности и целостности информационных компонентов и ресурсов системы. Перечисленные выше базовые свойства информации нуждаются в более полном толковании.
|
|
|
+Конфиденциальность данных — это статус, предоставленный данным и определяющий требуемую степень их защиты. К конфиденциальным данным можно отнести, например, следующие: личную информацию пользователей; учетные записи (имена и пароли); данные о кредитных картах; данные о разработках и различные внутренние документы; бухгалтерские сведения. Конфиденциальная информация должна быть известна только допущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.
|
|
|
+Установление градаций важности защиты защищаемой информации (объекта защиты) называют категорированием защищаемой информации.
|
|
|
+
|
|
|
+Под целостностью информации понимается свойство информации сохранять свою структуру и/или содержание в процессе передачи и хранения. Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т. е. если не произошло их случайного или преднамеренного искажения или разрушения. Обеспечение целостности данных является одной из сложных задач защиты информации.
|
|
|
+Достоверность информации — свойство информации, выражающееся в строгой принадлежности субъекту, который является ее источником, либо тому субъекту, от которого эта информация принята.
|
|
|
+Юридическая значимость информации означает, что документ, являющийся носителем информации, обладает юридической силой.
|
|
|
+Доступность данных. Работа пользователя с данными возможна только в том случае, если он имеет к ним доступ.
|
|
|
+Доступ к информации — получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств. Субъект доступа к информации — участник правоотношений в информационных процессах.
|
|
|
+Оперативность доступа к информации — это способность информации или некоторого информационного ресурса быть доступными для конечного пользователя в соответствии с его оперативными потребностями.
|
|
|
+Собственник информации — субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.
|
|
|
+Владелец информации — субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах прав, установленных законом и/или собственником информации.
|
|
|
+Пользователь (потребитель) информации — субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.
|
|
|
+Право доступа к информации — совокупность правил доступа к информации, установленных правовыми документами или собственником либо владельцем информации.
|
|
|
+Правило доступа к информации — совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям.
|
|
|
+Различают санкционированный и несанкционированный доступ к информации.
|
|
|
+Санкционированный доступ к информации — это доступ к информации, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права доступа к компонентам системы.
|
|
|
+Несанкционированный доступ к информации — нарушение установленных правил разграничения доступа. Лицо или процесс, осуществляющие НСД к информации, являются нарушителями правил разграничения доступа. НСД является наиболее распространенным видом компьютерных нарушений.
|
|
|
+
|
|
|
+Среди всех видов защиты базовыми являются правовая, организационная и техническая защита информации.
|
|
|
+Организационные меры защиты – меры организационного характера, предназначенные для регламентации функционирования информационных систем, работы персонала, взаимодействия пользователей с системой. Среди базовых организационных мер по защите информации можно выделить следующее:
|
|
|
+ - Формирование политики безопасности;
|
|
|
+ - Регламентация доступа в помещения;
|
|
|
+ - Регламентация допуска сотрудников к использованию ресурсов информационной системы и др.
|
|
|
+ - Определение ответственности в случае несоблюдения требований информационной безопасности.
|
|
|
+
|
|
|
+Техническая защита информации - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.
|
|
|
+ Объектами технической защиты информации могут быть:
|
|
|
+
|
|
|
+ - объект информатизации;
|
|
|
+ - информационная система;
|
|
|
+ - ресурсы информационной системы;
|
|
|
+ - информационные технологии;
|
|
|
+ - программные средства;
|
|
|
+ - сети связи.
|
|
|
+
|
|
|
+Физическая защита представляет собой совокупность средств, препятствующих физическому проникновению потенциального злоумышленника в контролируемую зону. Ими могут быть механические, электро- или электронно-механические устройства различного типа.
|
|
|
+
|
|
|
+Правовая защита - защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением
|
|
|
+
|
|
|
+Концепция защиты информации предполагает:
|
|
|
+
|
|
|
+ - Определение понятия, сущности и целей защиты информации.
|
|
|
+ - Какую информацию необходимо защищать, каковы критерии отнесения ее к защищаемой.
|
|
|
+ - Дифференциацию защищаемой информации: а) по степеням конфиденциальности, б) по собственникам и владельцам.
|
|
|
+ - Определение состава и классификации носителей защищаемой информации.
|
|
|
+ - Определение источников, видов и способов дестабилизирующего воздействия на информацию, причин, обстоятельств и условий воздействий, каналов, методов и средств несанкционированного доступа к информации.
|
|
|
+ - Определение методов и средств защиты информации.
|
|
|
+ - Кадровое обеспечение защиты информации.
|
|
|
+
|
|
|
+СЗИ должна быть:
|
|
|
+
|
|
|
+- непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;
|
|
|
+
|
|
|
+- плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);
|
|
|
+
|
|
|
+- целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;
|
|
|
+
|
|
|
+- конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;
|
|
|
+
|
|
|
+- активной. Защищать информацию необходимо с достаточной степенью настойчивости;
|
|
|
+
|
|
|
+- надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;
|
|
|
+
|
|
|
+- универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;
|
|
|
+
|
|
|
+- комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита – это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообусловливающих друг друга сторон, свойств, тенденций.
|
|
|
+
|
|
|
+# Вопросы
|
|
|
+
|
|
|
+1. В чем заключается понятие защиты и безопасности информации?
|
|
|
+
|
|
|
+ **это процесс обеспечения конфиденциальности, доступности, целостности и информации.**
|
|
|
+
|
|
|
+2. Каковы основные принципы безопасной системы?
|
|
|
+
|
|
|
+ **конфиденциальность, целостность, доступность.**
|
|
|
+
|
|
|
+3. Что включает в себя система защиты информации?
|
|
|
+
|
|
|
+ **совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая в соответствии с требованиями о защите информации.**
|
|
|
+
|
unknown
