Студопедия  
Главная страница | Контакты | Случайная страница

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Основные составляющие информационной безопасности

Читайте также:
  1. AДействия населения при возникновении радиационной безопасности
  2. I. Основные богословские положения
  3. II Основные источники загрязнений гидросферы.
  4. II. Общие требования безопасности
  5. II. Основные положения учения Ф. де Соссюра о языке.
  6. II. Основные теории по анализу международных отношений.
  7. II.1.1 Основные источники информации для оценки эффективности строительной организации
  8. III. Назовите основные последствия прямохождения человека (т.е. изменения в строении, физиологии, поведении) в опорно-двигательной системе.
  9. III. Основные положения лингвистической концепции В. фон Гумбольдта.
  10. III. Основные положения синтетической теории эволюции

Понятие информационной безопасности.

Основные составляющие. Важность проблемы

Под информационной безопасностью (ИБ) следует понимать защиту интересов субъектов информационных отношений.

Словосочетание «информационная безопасность» в разных контекстах может иметь различный смысл.

В Доктрине информационной безопасности Российской Федерации термин «информационная безопасность» используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В Законе РФ «Об участии в международном информационном обмене» информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

В данном курсе наше внимание будет сосредоточено на хранении, обработке и передаче информации вне зависимости от того, на каком языке (русском или каком-либо ином) она закодирована, кто или что является ее источником, и какое психологическое воздействие она оказывает на людей. Поэтому термин «информационная безопасность» будет использоваться в узком смысле, так, как это принято, например, в англо-язычной литературе.

Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.


 

Вопрос 7. Понятие целостности информации. Вопрос 8. Понятие доступности информации. Вопрос 9. Понятие конфиденциальности информации.

Основные составляющие информационной безопасности

Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

 

Доступность – это возможность за приемлемое время получить требуемую информационную услугу.

Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Конфиденциальность – это защита от несанкционированного доступа к информации.

 

Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п.

Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации.

Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?

Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).


Вопрос 10. Понятие угрозы информационной безопасности.

 

Угроза – возможность возникновения такой ситуации, следствием которой может стать нарушение безопасности информации

Угрозы ИБ могут возникать на разных этапах жизненного цикла информационных систем и со стороны различных источников

Классификация

Угрозы ИБ

По характеру: случайные, преднамеренные.

По локализации: внешние, внутренние.

По отношению к процессу: в процессе, не зависимо от процесса.

По направленности: на конфиденциальность, на целостность, на доступность

По ориентации: на ПО…

 

Вопрос 11. Классификация угроз по характеру.

Случайные Преднамеренные
  Стихийные бедствия От пользователя Не от пользователя
Пожар, наводнение
  Случайные 1.Несанкц.доступ 2.Прсмотр вводимых данных 3.Просмотр мусора 4.Запоминание или копирование информации. 1. Маскировка по авторизированного пользователя. 2. Подключение к каналам связи. 3.Перехват ЭМИ 4. Внесение изменений в аппаратуру
Помехи, отключение электропитания, авария
  Ошибки процесса подготовки
Ошибки вывода данных, ошибки ОС, Пользовательские ошибки
  Ошибки процесса обработки Сбой аппаратуры, ошибки эксплуатации

 

Вопрос 12. Классификация угроз по локализации источника.

Опыт проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы.

Причинами случайных воздействий при эксплуатации могут быть:

аварийные ситуации из-за стихийных бедствий и отключений электропитания (природные и техногенные воздействия);

отказы и сбои аппаратуры;

ошибки в программном обеспечении;

ошибки в работе персонала;

помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные воздействия – это целенаправленные действия злоумышленника. В качестве злоумышленника могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами, например:

недовольством служащего служебным положением;

любопытством;

конкурентной борьбой;

уязвленным самолюбием и т. д.

Вопрос 13. Классификация угроз по цели реализации угрозы.

13. Классификация угроз по цели реализации угрозы

Целостность информации-свойство информации, которое заключается

в том, что информация не может быть модифицирована

неавторизированным пользователем и/или процессом, т.е. сохранность

исходных данных при выполнении над нами любой операции: передача,

хранение и т.д. Целостность можно подразделить на статическую

(неизменность инф. Объектов) и динамическую(транзакции).

Доступность -состояние информации, при котором субъекты, имеющие

право доступа (на чтение, изменение и т.д) могут реализовывать их

беспрепятственно

Конфиденциальность означает защиту информации от разглашения.

Достоверность информации - свойство информации быть правильно

воспринятой. Иначе - соответствие принятого сообщения переданному.


Вопрос 14. Понятие и классификация уязвимостей информации.

Уязвимости – слабое место (дефект) в защите инф. системы, которое может привести к нарушению инф. безопасности.

При организации защиты инф системы необходимо выявить в первую очередь уязвимости и проводить их анализ. Рекомендуется использовать источники информации по уязвимостям, проводить тестирование защищенности инф. системы и проводить контроль составляющих контрольным перечням требования безопасности.

Состав инф. системы: аппаратное обеспечение, программное об., данные, персонал

Типы рассматриваемых уязвимостей и методы их выявления зависят от спецификации инф. системы, а также этапов жизненного цикла, на котором она находится.

Проектирование  
   
Эксплуатация Реализация  

На этапе проектирования основное внимание уделяется требованиям безопасности, планируемым процедурам, анализу доступных защитных средств.

На этапе реализации привлекается дополнительная конкретная информация (разграничение доступа, шифрование).

На этапе эксплуатации проводится анализ используемых защитных средств.

Классификация в соответствии с этапами жизненного цикла:

-Уязвимости проектирования

-Уязвимости реализации

-Уязвимости эксплуатации

Наиболее опасны уязвимости проектирования, уязвимости свойственные проекту или алгоритмы даже при совершенной реализации останутся уязвимостями в инф. системе. (например TCP/IP).

Наиболее частые ошибки конфигурации ПО и аппаратного обесп.
Вопрос 15. Классификация уязвимостей по степени риска.

Классификация уязвимостей по степени риска:

§ высокий уровень риска — уязвимость позволяет атакующему получить доступ к узлу с правами администратора в обход средств защиты;

§

§ средний уровень риска — уязвимость позволяет атакующему получить информацию, которая с высокой степенью вероятности позволит получить доступ к узлу;

§

§ низкий уровень риска — уязвимости, позволяющие злоумышленнику осуществлять сбор критической информации о системе.

§

Такая классификация используется для оценки степени критичности уязвимостей при определении качества защищенности ИС.

Этот вариант классификации достаточно условный и разные источники предлагают свои варианты такой классификации. Соответственно, это очень субъективный метод классификации уязвимостей.

 


Вопрос 16. Список стандартных названий общепринятых уязвимостей.

Уязвимость - это любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы.

Примеры уязвимостей (база данных компании ISS):

Название: nt - getadmin - present

Описание: проблема одной из функций ядра ОС Windows NT, позволяющая злоумышленнику получить привилегии администратора

Уровень: ОС

Степень риска: высокая

Источник возникновения: ошибки реализации

Название: ip-fragment-reassembly-dos

Описание: посылка большого числа одинаковых фрагментов IP -датаграммы приводит к недоступности узла на время атаки

Уровень: сеть

Степень риска: средняя

Источник возникновения: ошибки реализации

Существует список стандартных названий для общеизвестных уязвимостей- Common Vulnerabilities and Exposures (CVE).




Дата добавления: 2015-02-16; просмотров: 374 | Поможем написать вашу работу | Нарушение авторских прав




lektsii.net - Лекции.Нет - 2014-2025 год. (0.014 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав