 |
Угрозы безопасности информации и их классификация.
|
|
|
|
Угроза - это потенциально возможное событие, действие, процесс или явление, которое может привести к понятию ущерба чьим-либо интересам.
Нарушение безопасности - это реализация угрозы.
Естественные угрозы - это угрозы, вызванные воздействием на АС объективных физических процессов, стихийных природных явлений, не зависящих от человеека.
Естественные делятся на:
o природные (стихийные бедствия, магнитные бури, радиоактивное излучение, осадки)
o технические. Связаны надежностью технических средств, обработки информации и систем обеспечения.
Искусственные делят на:
o непреднамеренные - совершенные по незнанию и без злого умысла, из любопытности или халатности
o преднамеренные
Каналы проникновения в систему и их классификация:
1. По способу:
прямые
косвенные
2. По типу основного средства для реализации угрозы:
человек
аппаратура
программа
3. По способу получения информации:
физический
электромагнитный
информационный
Меры противодействия угрозам:
1. Правовые и законодательные.
Законы, указы, нормативные акты, регламентирующие правила обращения с информацией и определяющие ответственность за нарушение этих правил.
2. Морально-этические.
Нормы поведения, которые традиционно сложились или складываются в обществе по мере распространения вычислительной техники. Невыполнение этих норм ведет к падению авторитета, престижа организации, страны, людей.
3. Административные или организационные.
Меры организационного характера, регламентирующие процессы функционирования АС, деятельность персонала с целью максимального затруднения или исключения реализации угроз безопасности:
o организация явного или скрытого контроля за работой пользователей
|
|
|
o организация учета, хранения, использования, уничтожения документов и носителей информации.
o организация охраны и надежного пропускного режима
o мероприятия, осуществляемые при подборе и подготовке персонала
o мероприятия по проектированию, разработке правил доступа к информации
o мероприятия при разработке, модификации технических средств
4. Физические.
Применение разного рода технических средств охраны и сооружений, предназначенных для создания физических препятствий на путях проникновения в систему.
5. Технические.
Основаны на использовании технических устройств и программ, входящих в состав АС и выполняющих функции защиты:
o средства аутентификации
o аппаратное шифрование
o другие
Принципы построения систем защиты:
1. Принцип системности - системный подход предполагает необходимость учета всех взаимосвязанных и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности.
2. Принцип компетентности - предполагает построение системы из разнородных средств, перекрывающих все существующие каналы реализации угрозы безопасности и не содержащих слабых мест на стыке отдельных компонентов.
3. Принцип непрерывной защиты - защита должна существовать без разрыва в пространстве и времени. Это непрерывный целенаправленный процесс, предполагающий не только защиту эксплуатации, но и проектирование защиты на стадии планирования системы.
4. Принцип разумной достаточности. Вложение средств в систему защиты должно быть построено таким образом, чтобы получить максимальную отдачу.
5. Принцип гибкости управления и применения. При проектировании системы защита может получиться либо избыточной, либо недостаточной. Система защиты должна быть легко настраиваема.
|
|
|
6. Принцип открытости алгоритмов и механизмов защиты. Знание алгоритма механизма защиты не позволяет осуществить взлом системы.
7. Принцип простоты применения защитных мер и средств. Все механизмы защиты должны быть интуитивно понятны и просты в использовании. Пользователь должен быть свободен от выполнения малопонятной многообъемной рутиной работы и не должен обладать специальными знаниями.
Модель элементарной защиты.
Прочность защитной преграды является достаточной, если ожидаемое время преодоления ее нарушителем больше времени жизни предмета защиты, или больше времени обнаружения и блокировки его доступа при отсутствии путей скрытого обхода этой преграды.
Модель многозвенной защиты.
Модель многоуровневой защиты.
|
|
|
