 |
Информационная безопасность КИС.
|
|
|
|
Информационная безопасность по отношению к процессу — это свойство процесса информатизации общества, которое характеризует состояние защищенности личности, общества и государства от возможных негативных последствий информатизации.
Безопасная система — система, которая управляется с помощью соответствующих средств доступа к информации. Добровольное управление доступом — метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую последний входит.
Идентификация и аутентификация. Каждый пользователь, прежде чем получить право совершать какие-либо действия в системе, должен идентифицировать себя ввод имени пользователя при входе в систему. Процесс проверки подлинности личности пользователя называется аутентификацией.
Метки безопасности. Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его уровень доступа, метка объекта -степень закрытости информации.
Безопасность автоматизированной информационной системы обеспечивается комплексом таких мер, как технологические и административные. Они применяются к программам, данным и аппаратным средствам с целью обеспечить доступность, целостность и конфиденциальность ресурсов. Наиболее характерные составляющие безопасности автоматизированных систем хранения:• компьютерная безопасность, • безопасность данных,• безопасность коммуникаций • безопасность программного обеспечения.
Компьютерная безопасность — совокупность технологических и административных мер, которая обеспечивает доступность, целостность и конфиденциальность ресурсам, связанным с данным компьютером.
|
|
|
Безопасность данных — защита данных от несанкционированной модификации, разрушения или раскрытия их.
Безопасность программного обеспечения — программное обеспечение, которое осуществляет безопасную обработку данных в компьютерной системе, а также дает возможность безопасно использовать ресурсы системы.
Безопасность коммуникаций — это меры по предотвращению предоставления неавторизованным лицам информации, которая может быть выдана системой в ответ на запрос по каналам связи.
28. Угрозы информационной безопасности и их классификация. Компьютерная преступность.
· Угроза безопасности — потенциальное нарушение безопасности, т.е. любое обстоятельство или событие, которое может явиться причиной нанесения ущерба системе в виде разрушения, раскрытия, модификации данных или отказа в обслуживании. По цели реализации угрозы делят на: нарушение конфиденциальности; целостности; доступности. По принципу доступности различают: с использованием доступа; с использованием скрытых каналов. По характеру воздействия делят на: активные; пассивные. По способу воздействия на объект атаки различают: непосредственное воздействие на объект атаки; воздействие на систему разрешений; опосредованное воздействие. По использованию средств атаки выделяют: с использованием штатного ПО; с использованием разработанного ПО. По состоянию объекта атаки: при хранении объекта; при передаче объекта; при обработке объекта. Существует классификация угроз, которая основывается на иерархическом разбиение угроз. Среди них выделяют: глобальные, региональные и локальные. По иерархическому признаку: глобальные, региональные, локальные.
Локальные факторы угрозы - дистанционное фотографирование; внедрение и использование компьютерных вирусов; использование программ-ловушек; включение в библиотеку программ специальных блоков типа «Троянский конь»;
|
|
|
Глобальные факторы угроз национальной безопасности: недружественную политику иностранных государств в области глобального информационного мониторинга; деятельность иностранных разведывательных и специальных служб; перехват электромагнитных излучений; применение подслушивающих устройств; К региональным факторам угроз относятся: рост преступности в информационной сфере; несоответствие информационного обеспечения государственных и общественных институтов современным требованиям; отсутствие в республике эффективных систем обеспечения целостности.Компьютерная преступность — любые незаконные неэтичные или неправомерные действия, связанные с автоматической обработкой данных или их передачей. Основные виды преступлений: Внедрение компьютерного вируса — процесс внедрение вредоносной программы с целью нарушения работы ПК. Вирусы могут быть внедрены в операционную систему, прикладную программу или в сетевой драйвер. Несанкционированный доступ к информации — может осуществляться с целью её хищения или же ради развлечения и последующего использования данной информации Подделка выходной информации — подделка информации может преследовать различные цели. Итогом подделки является то, что конечному потребителю информации будут предоставлены недостоверные данные. Несанкционированное копирование конфиденциальной информации — в процессе работы каждой компании неизбежны случаи утечки конфиденциальной информации. Организации несут огромные потери из-за несанкционированного распространения конфиденциальной информации.
31. Политика безопасности.
Политика безопасности — набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Задачи: 1 кому и какая инфа необход для выполн служебн обязанностей, 2 какая степень защиты необход для каждого вида инфы, 3 опред, какие именно сервисы информ безопасности и мехмы их реализ необход испол-ть в сис-ме, 4 как организ работу по ЗИ.
На практике политика безопасности трактуется несколько шире — как совокупность документированных административных решений, направленных на обеспечение безопасности информационного ресурса. Результатом политики являетсявысокоуровневый документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности. В политике безопасности должна быть утверждена схема управления распределением прав доступа к сервисам — централизованная или децентрализованная, или иная. Должно быть четко определено, кто распоряжается правами доступа к сервисам и какими именно правами. С практической точки зрения, политику безопасности целесообразно разделить на несколько уровней. Как правило, выделяют два-три уровня.
|
|
|
Верхний уровень носит общий характер и определяет политику организации в целом. Здесь основное внимание уделяется: порядку создания и пересмотра политики безопасности; целям, преследуемым организацией в области информационной безопасности; вопросам выделения и распределения ресурсов; принципам технической политики в области выбора методов и средств защиты информации; координированию мер безопасности. Средний уровень политики безопасности выделяют в случае структурной сложности организации либо при необходимости обозначить специфичные подсистемы организации. Это касается отношения к перспективным, еще не достаточно апробированным технологиям. Например, использование новых сервисов Internet, организация связи и обработка информации на компьютере и др.
Нижний уровень политики безопасности относится к конкретным службам или подразделениям организации и детализирует верхние уровни политики безопасности. На этом уровне описываются механизмы защиты информации и используемые программно-технические средства для их реализации в рамках, конечно, управленческого уровня, но не технического. За политику безопасности нижнего уровня отвечают системные администраторы
29. Классы безопасности. Стандарты информационной безопасности.
Первый критерий оценки безопасности компьютерных систем был разработан в США в 1988 г. Национальным центром - «Критерий оценки безопасности компьютерных систем» или стандарты TCSEC (Trusted Computer System Evalution Criteria) для министерства обороны США. В нем выделены общие требования к обеспечению безопасности обрабатываемой информации и определен перечень показателей защищенности. Было выделено шесть основных требований.
|
|
|
-класс D - подсистема безопасности. Она присваивается тем системам, которые не прошли испытаний на более высокий уровень защищенности, а также системам, которые для своей защиты используют лишь отдельные функции безопасности;
-класс С1 - избирательная защита. Средства защиты данного класса отвечают требованиям избирательного управления доступом. При этом обеспечивается разделение пользователей и данных. Каждый субъект идентифицируется и аутентифицируется в этом классе и ему задается перечень допустимых типов доступа;
-класс С2 - управляемый доступ. Требования данного класса такие же, что и в классе С1. При этом добавляются требования уникальной идентификации субъектов доступа, защиты и регистрации событий;
-класс В1 - меточная защита. Метки конфиденциальности присваиваются всем субъектам и объектам системы, которые содержат конфиденциальную информацию. Доступ к объектам внутри системы разрешается только тем субъектам, чья метка отвечает определенному критерию относительно метки объекта;
-класс В2 - структурированная защита. Требования данного класса включают в себя требования класса В1 и наличие требований хорошо определенной и документированной формальной модели политики безопасности и управления информационными потоками (контроль скрытых каналов) и предъявление дополнительного требования к защите механизмов аутентификации;
-класс ВЗ - область безопасности. В оборудовании систем данного класса реализована концепция монитора ссылок. Все взаимодействия субъектов с объектами должны контролироваться этим монитором. Действия должны выполняться в рамках областей безопасности, которые имеют иерархическую структуру и защищены друг от друга с помощью специальных механизмов/Механизм регистрации событий безопасности оповещает администратора и пользователя о нарушении безопасности;
-класс А1 - верифицированная разработка.
Для проверки спецификаций применяются методы формальной верификации - анализа спецификаций систем на предмет неполноты или противоречивости.
Международны стандарты: BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management Практические правила управления информационной безопасностью описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью СУИБ организации, определённых на основе лучших примеров мирового опыта best practices в данной области. Этот документ служит практическим руководством по созданию СУИБ BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems Спецификация системы управления информационной безопасностью определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации. BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности ISOIEC 17799:2005 — Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности. ISOIEC 27000 — Словарь и определения. ISOIEC 27001:2005 — Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования.
|
|
|
|
|
|
