 |
Важность и сложность проблемы ИБ
|
|
|
|
ИБ является одним из важнейших аспектов интегральной безопасности на каком бы уровне мы не рассматривали последнюю на национальном либо отраслевом, либо корпоративном или персональном. Например к доктрине ИБ РФ защита он несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных или телекоммуникационных систем выделены в качестве важных составляющих в национальных интересах РФ в информационной сфере.
Информационная безопасность есть составная часть информационных технологий.
Вопросы Д/З:
1) Что представляет собой информация без ограничения права доступа?
2) Что представляет собой информация с ограниченным правом доступа?
3) Что относится к объектам интеллектуальной собственности и иной общедоступной информации?
4) Какие существуют механизмы доступа к открытой информации?
Тема: меры обеспечения ИБ
1. Защита информации
2. Надежность информации
3. Несанкционированная модификация информации
4. Виды защищаемой информации
5. Дестабилизирующие факторы
6. Надежность системы
| 1. |
Защита информации - это комплекс мероприятий направленных на обеспечение информационной безопасности.
| 2. |
1. Физической целостности - это отсутствие искажение информации либо отсутствие элементов этой информации либо уничтожение элементов этой информации
2. Доверие информации - отсутствие подмены.
3. Безопасность информации - отсутствие несанкционированного получения данной информации лицами не имеющие соответствующие полномочия.
|
|
|
4. Уверенность в то что проданные или переданные владельцам программой или данные не будут размножаться и использоваться без его санкций.
Интегральная информационная безопасность - понимается комплексная совокупность мер по защите информации входе всего непрерывного процесса подготовки, обработки, хранения и передачи информации (меры защиты действуют непрерывно в течении всего защищаемого периода).
| 3. |
· Случайная модификация может являться следствием искажения некоторой информации в следствии ошибки людей, искажение записи адреса информации из-за сбоя ЭВМ.
· Злоумышленная модификация является результатом злоумышленных действий людей.
| 4. |
В автоматизированных системах обработки данных информация имеет свой жизненный цикл. Полученная информация сначала оценивается на достоверность и полезность.
Основными видами информации подлежащими защите в общем случае могут быть:
1. Исходные данные.
2. Производные данные- это те что получены процессе изготовки исходных данных.
3. Нормативно-справочные, служебные и вспомогательные данные. Сюда включает данные системы защиты.
4. Программы используемые для обработки данных.
5. Алгоритмы на основе которых разрабатывались программы (если они находятся на объектах входящих в состав автоматизированной системы обработки данных).
6. Методы и модели на основе которых разрабатывались алгоритмы.
7. Техническая, технологическая и другая документация.
| 5. |
Дестабилизирующими факторами являются такие процессы или события которые могут появляться на каком либо этапе функционирования информационной системы и следствием которых могут быть нежелательные (в смысле защищенности) воздействия на информацию.
|
|
|
В то же время регулярные методы решения задачи практически отсутствует поэтому в первую очередь формируют полный список типов дестабилизирующих факторов и источников их формирования. В соответствии с архитектурой, технологией и условиями функционирования современных ИС дестабилизирующими факторами являются:
1. Количественная недостаточность информационных систем.
2. Качественная недостаточность элементов информационных систем.
3. Отказы элементов ИС.
4. Сбои элементов ИС.
5. Ошибки элементов ИС.
6. Злоумышленные действия.
7. Побочные явления.
Названные типы факторов определяются следующим образом:
1) Количественная недостаточность - это физическая нехватка одного или нескольких компонентов ИС для обеспечения требуемых защищенности информации о рассматриваемом показателе.
2) Качественная недостаточность - это несовершенство конструкции или организации одного или нескольких компонентов ИС в следствии чего не обеспечивается требуемая защищенность информации.
3) Отказ - это нарушение работоспособности элементов ИС.
4) Сбой - это временное нарушение работоспособности ИС.
5) Ошибка - это неправильное выполнение одним элементом или несколькими элементами ИС одной или нескольких функций.
6) Злоумышленное действие - действие людей направленное на рушение защищенности информации.
7) Побочные явления - это явления сопутствующие выполнению элементом ИС своих основных функций, следствием которого может быть нарушение защищенности информации.
Источниками дестабилизирующих факторов т.е. средой их проявления могут быть как компоненты ИС так и внешняя среда.
| 6. |
Система считается надежной если она с использованием достаточных аппаратных и программных средств обеспечивает одновременную обработку информации разной степени секретности, группы пользователей без нарушения прав доступа.
|
|
|
Основными критериями оценки надежности являются:
1. Политика безопасности - безопасности отображает тот набор законов, правил и норм поведения которым пользуется конкретная организация при защите, обработки и распространении информации. Она является активным элементом защиты.
2. Гарантированность - отображает меру доверия которая может быть оказано архитектуре и реализацией системы.
В надежной системе должны регистрироваться все происходящие процессы и события которые касаются безопасности. При оценки степени гарантированности с которой систему можно считать надежной центральное место занимает надежная вычислительная база.
Надежная вычислительная база представляет собой полную совокупность защитных механизмов системы которые используются для осуществления политики безопасности.
Надежность базы зависит от ее реализации или от корректности вводимых данных. Границы вычислительной базы образуют периметр безопасности, компоненты находящиеся внутри этой границы должны быть надежными. Контроль допустимости выполнения субъектами определенных операций над объектами (функции мониторинга) выполняется достоверной вычислительной базой. При каждом обращении пользователя к программам или данным проверятся допустимость данного обращения (т.е. проверятся согласованность действия конкретного пользователя со списком разрешенных для него действий).
Вопросы Д/З:
1) Что представляют собой защита информации?
2) Надежность информации.
3) Дестабилизирующие факторы, типы факторов.
4) Что такое безопасная и надежная система?
5) Политика безопасности и гарантированность.
6) Что представляет собой достоверная вычислительная база, мониторинг?
Тема: объектно-ориентированный подход.
Объектно-ориентированный подход использует объектную декомпозицию т.е. поведение системы описывается в терминах взаимодействия объектов.
Класс - абстракция множества сущностей реального мира, объединенных общностью, структуры и поведения.
|
|
|
Объект - это элемент класса, т.е. абстракция определенной сущности. Объекты активны, у них есть не только внутренняя структура но и поведение которое описывается так называемыми методами объекта.
Пример: может быть определен класс «пользователь», характеризующий «пользователя вообще», т.е. ассоциированные с пользователями данные и их поведение (методы). После этого может быть создан объект «пользователь Петров» с соответствующей конкретизацией данных и возможных методов.
Следующую группу важнейших понятий объектного подхода составляют инкапсуляция, наследование, полиморфизм. Основным инструментов борьбы со сложностью в объектно-ориентированном подходе является инкапсуляция.
Инкапсуляция - это сокрытие реализации объектов (их внутренней структуры и детали реализации методов) с предоставлением только строго определенных интерфейсов.
Понятие полиморфизм определяется, как способность объекта принадлежать более чем одному классу. Введение этого понятия отражает необходимость смотреть на объекты под разными углами зрения, выделять при построении абстракций разные аспекты сущностей моделируемые объектной общности, не нарушая при этом целостности самого объекта.
Наследование - означает построение новых классов на основе существующих с возможностью добавления или переопределения данных и методов. Наследование является важным инструментов борьбы с размножением без необходимости. Общая информация не дублируется, указывается лишь то, что меняется.
Наследование и полиморфизм в совокупности наделяют объектно-ориентированную систему способностью к эволюции.
Объекты реального мира обладают как правило несколькими относительно независимыми характеристиками. Применительно к объектной модели такие характеристики называют гранями. Три основные грани ИБ это доступность, целостность и конфиденциальность.
Понятие уровня детализации важно не только для визуального представления объектов, но и для систематического рассмотрения сложных систем, представленных в иерархическом виде.
Есть 2 важных понятия:
1. Компонент - можно определить, как многократно используемый объект, допускающих обработку в графическом инструментальном окружении и сохранение в долговременной памяти.
2. Контейнер - может включать в себя множество компонентов, образуя общих контекст взаимодействия с другими компонентами и с окружением. Контейнеры могут выступать в роли компонентов других контейнеров.
Компонентные объектные среды обладают всеми достоинствами присущими к объектно-ориентированному подходу:
|
|
|
1. Инкапсуляция объектных компонентов скрывает сложность реализации, делая видимым представляемый интерфейс;
2. Наследование, позволяет развивать созданные ранее компоненты не нарушая целостность объектной оболочки;
3. Полиморфизм дает возможность группировать объекты характеристики которых можно считать сходными.
Тема: применение объектно-ориентированного подхода к рассмотрению защищаемых систем.
Проблема обеспечения информационной безопасности - защищать приходится сложные системы, и сами защитные средства тоже сложны, поэтому нам понадобиться все введенные понятия: доступность, целостность, конфиденциальность. А так же введем следующие грани:
1. Законодательные меры обеспечения информационной безопасности, ориентированы на всех субъектов информационных отношений независимо от их организационной принадлежности;
2. Административные меры (приказы и другие действия руководства организаций, связанных с защищаемыми ИС), ориентированы на всех субъектов в пределах организации;
3. Процедурные меры (меры безопасности, ориентированные на людей);
4. Программно- технические меры, ориентированы на оборудование и ПО;
|
|
|
