Лекции по "Комплексной системе защиты информации"

Автор: Пользователь скрыл имя, 25 Марта 2011 в 16:25, курс лекций

Краткое описание

Работа содержит курс лекций по дисциплине "Комплексная система защиты информации".

Скачать в ZIP (271.05 Кб) Сколько стоит заказать работу?

Файлы: 15 файлов

11.doc

— 51.50 Кб (Открыть, Скачать)

13.doc

— 101.50 Кб (Открыть, Скачать)

14_15_16.doc

— 112.00 Кб (Открыть, Скачать)

8.doc

— 40.00 Кб (Открыть, Скачать)

9_10.doc

— 94.50 Кб (Открыть, Скачать)

Лекци1.doc

— 47.00 Кб (Открыть, Скачать)

Лекци2.doc

— 55.00 Кб (Открыть, Скачать)

Лекци3.doc

— 69.00 Кб (Скачать)

4. Определение и нормативное закрепление состава защищаемой информации

Эффективность государственного развития, достижение политико-экономических интересов неразрывно связано с процессом информатизации всего общества, всех сфер жизнедеятельности государства.

Информатизация общества - это социально-технологический процесс, который обеспечивает экономическую мощь развитых государств.

Защита информации - есть неразрывная составная часть информатизации, без которой как показывает мировой опыт, процесс информатизации развивается не эффективно и не обеспечивает защиту государственных интересов, прав и свобод личности.

Растущая зависимость промышленно развитых стран от источников информации, а также от уровня развития и эффективности использования средств передачи и переработки информации привели к формированию принципиально нового понятия - национальный информационный ресурс.

В современных условиях информационный ресурс государства выступает аналогом производительных сил и включает в себя:

собственно информацию в виде упорядоченных баз и банков данных; интеллектуальный потенциал людей, владеющих информацией и средствами информатизации; средства информации, в том числе математическое, программное, информационное, лингвистическое и организационное обеспечение, информационные системы, комплексы, системы передачи данных (информации).

Например, информация циркулирующая в компьютерных системах управления и связи, относит к критическому элементу, способному вызвать крупномасштабные аварии и военные конфликты. Утечка информации может оказаться причиной негативного воздействия на все сферы государственной деятельности, отдельных юридических и физических лиц является причиной:

разорения, банкротства; сокращения производства; снижения темпов экономического роста; ухудшения финансового состояния, не достижение планируемых показателей на прибыль; снижение престижа фирмы, моральный ущерб; приостановление внешнеэкономических операций, потеря рынков сбыта; снижение жизненного уровня, безработица; снижение конкурентной способности, монополизация.[34]

. В общем случае информационные ресурсы формируются в результате деятельности как органов государственной власти, так и государственных и негосударственных предприятий, научных, учебных и общественных организаций. Они включают информацию и знания, а также лингвистические средства для описания конкретной предметной области и обеспечения доступа к информации и знаниям. В процессе формирования и использования информационных ресурсов осуществляются сбор, обработка, распространение, хранение, поиск и выдача информации по запросам или регламенту.

По формам собственности информационные ресурсы подразделяются на государственные, межгосударственные, негосударственные (в том числе коммерческие) и смешанной собственности и как элемент состава имущества находятся в собственности граждан, органов государственной власти, органов местного самоуправления, организаций и общественных объединений. Права собственности на информационные ресурсы и отношения между их владельцами регулируются гражданским законодательством России. [41]

Определение 1. Под информацией будем понимать сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (их свойствах, характеристиках) в некоторой предметной области, используемые (необходимые) для оптимизации принимаемых решений в процессе управления данными объектами.

Информация может существовать в различных формах в виде совокупностей некоторых знаков (символов, сигналов и т.п.) на носителях различных типов. В связи с бурным процессом информатизации общества все большие объемы информации накапливаются, хранятся и обрабатываются в автоматизированных системах, построенных на основе современных средств вычислительной техники и связи.

Необходимые свойства информации

доступность информации, то есть свойство системы (среды, средств и технологии ее обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость;

целостность информации, то есть свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства - достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности;

конфиденциальность информации - субъективно определяемую (приписываемую) характеристику (свойство) информации, указывающую на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных интересов других субъектов информационных отношений.

Термин "безопасность информации" нужно понимать как защищенность информации от нежелательного ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования.

Определение требований к защищенности информации

Исторически сложившийся подход к классификации государственной информации (данных) по уровням требований к ее защищенности основан на рассмотрении и обеспечении только одного свойства информации - ее конфиденциальности (секретности). Требования же к обеспечению целостности и доступности информации, как правило, лишь косвенно фигурируют среди общих требований к системам обработки этих данных. Считается, что раз к информации имеет доступ только узкий круг доверенных лиц, то вероятность ее искажения (несанкционированного уничтожения) незначительна. Низкий уровень доверия к АС и предпочтение к бумажной информационной технологии еще больше усугубляют ограниченность данного подхода.

Если такой подход в какой-то степени оправдан в силу существующей приоритетности свойств безопасности важной государственной информации, то это вовсе не означает, что его механический перенос в другую предметную область будет иметь успех.

Во многих областях деятельности (предметных областях) доля конфиденциальной информации сравнительно мала. Для коммерческой и персональной информации, равно как и для государственной информации, не подлежащей засекречиванию, приоритетность свойств безопасности информации может быть иной. Для открытой информации, ущерб от разглашения которой несущественен, важнейшими могут быть такие качества, как доступность, целостность или защищенность от неправомерного тиражирования. К примеру, для платежных (финансовых) документов самым важным является свойство их целостности (достоверности, неискаженности). Затем, по степени важности, следует свойство доступности (потеря платежного документа или задержка платежей может обходиться очень дорого). Требований к обеспечению конфиденциальности отдельных платежных документов может не предъявляется вообще.

Попытки подойти к решению вопросов защиты такой информации с позиций традиционного обеспечения только конфиденциальности, терпят провал. Основными причинами этого являются узость существующего подхода к защите информации, отсутствие опыта и соответствующих проработок в плане обеспечения целостности и доступности информации, не являющейся конфиденциальной. (18)

Определение 2. Защищаемая информация - информация, являющаяся предметом
собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Примечание:

Собственником информации может быть - государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.(58)

Состав защищаемой информации.

Информация подразделяется по уровням требований к ее защищенности. Развитие системы классификации информации по уровням требований к ее защищенности предполагает введение ряда степеней (градаций) требований по обеспечению каждого из свойств безопасности информации: доступности, целостности, конфиденциальности и защищенности от тиражирования.

Определение 3. Категорирование защищаемой информации [объекта защиты] - установление градаций важности защиты защищаемой информации [объекта защиты]. (58)

Пример градаций требований к защищенности:

нет требований;

низкие;

средние;

высокие;

очень высокие.

Количество дискретных градаций и вкладываемый в них смысл могут различаться. Главное, чтобы требования к защищенности различных свойств информации указывались отдельно и достаточно конкретно.

В дальнейшем любой отдельный функционально законченный документ, содержащий определенные сведения, вне зависимости от вида носителя, на котором он находится, будем называть информационным пакетом.

Пример оценки требований к защищенности некоторого типа информационных пакетов приведен в таблице 1.

Таблица 1.

Субъекты	Уровень ущерба по свойствам информации
	Конфиденциальность	Целостность	Доступность	Защита от тиражирования
N 1	Нет	Средняя	Средняя	Нет
N 2	Высокая	Средняя	Средняя	Нет
N m	Низкая	Низкая	Низкая	Нет
В итоге	Высокая	Средняя	Средняя	Нет

(18)

Информация по уровню важности подразделяется на:

жизненно важная незаменимая информация;

важная информация;

полезная информация;

несущественная информация.

Жизненно важная незаменимая информация, наличие которой необходимо для функционирования организации.

Важная информация – информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами.

Полезная информация – информация, которую трудно восстановить, однако организация может функционировать без нее.

Несущественная информация – информация, которая больше не нужна организации.(60)

5. Определение объектов защиты

Поскольку субъектам информационных отношений ущерб может быть нанесен также посредством воздействия на процессы и средства обработки критичной для них информации, то становится очевидной необходимость обеспечения защиты всей системы обработки и передачи данной информации от несанкционированного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы.

Поэтому под безопасностью автоматизированной системы обработки информации (компьютерной системы) будем понимать защищенность всех ее компонентов (технических средств, программного обеспечения, данных и персонала) от подобного рода нежелательных для соответствующих субъектов информационных отношений воздействий. (18)

Определение1. Объект защиты - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации. (58)

Объекты защиты :

аппаратные средства АС (серверы, рабочие станции, периферийное оборудование и другие технические средства);

программные средства (операционные системы, специальное программное обеспечение, СУБД, интерфейсное и сетевое программное обеспечение);

информационное обеспечение (базы данных, файлы пользователей, справочная информация);