Урок по теме: Безопасность информации

Тема: Безопасность информации Безопасность информации – это состояние защищенности информации от  внутренних или внешних угроз, т.е. такое состояние, когда  несанкционированное получение информации субъектами доступа, не  имеющими соответствующих полномочий, невозможно, существенно  затруднено или сведено к уровню не выше допустимого. Аспекты информационной безопасности 1. Доступность для установленного круга лиц 2. Целостность (актуальность и непротиворечивость) 3. Конфиденциальность Цели защиты информации Предотвращение утечки, утраты, хищения, искажения, подделки информации; Предотвращение угроз безопасности личности, организации, государству; Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных; Предотвращение любых форм незаконного вмешательства в информационные ресурсы

Защита экономической информации Защита экономической информации Системы защиты информации представляют собой комплекс  Системы защиты информации представляют собой комплекс  специальных мер законодательного и административного  специальных мер законодательного и административного  характера, организационных мероприятий, физических и  характера, организационных мероприятий, физических и  технических средств обеспечения безопасности информации.   технических средств обеспечения безопасности информации. Под безопасностью информации понимается состояние  информации, информационных ресурсов и информационных  систем, при котором с требуемой вероятностью обеспечивается  защита информации от утечки, хищения, утраты,  несанкционированного уничтожения, искажения, модификации  (подделки), копирования, блокирования и т.п.  Безопасность информации ­ это состояние устойчивости информации к  случайным или преднамеренным внешним воздействиям,  исключающее недопустимый риск ее уничтожения, искажения и  раскрытия, которые приводят к материальному ущербу владельца  или пользователя информации.

Острота проблемы защиты информации и информационных  Острота проблемы защиты информации и информационных  систем определяется следующими факторами: систем определяется следующими факторами: высокими темпами роста парка средств вычислительной техники и связи;  высокими темпами роста парка средств вычислительной техники и связи;  вовлечением в процесс информационного взаимодействия большего числа людей и  вовлечением в процесс информационного взаимодействия большего числа людей и  организаций;  организаций;  повышением уровня доверия к АИС;  повышением уровня доверия к АИС;  отношением к информации, как к товару с присущим ему стремлением к  отношением к информации, как к товару с присущим ему стремлением к  конкуренции и, как следствие промышленному шпионажу в области создания и сбыта  конкуренции и, как следствие промышленному шпионажу в области создания и сбыта  информации услуг;  информации услуг;  концентрацией больших объемов информации различного назначения и  концентрацией больших объемов информации различного назначения и  принадлежности в определенных местах и на электронных носителях;  принадлежности в определенных местах и на электронных носителях;  наличием интенсивного обмена между участниками информационного процесса;  наличием интенсивного обмена между участниками информационного процесса;  количественным и качественным совершенствованием способов доступа  количественным и качественным совершенствованием способов доступа  пользователей к информационным ресурсам;  пользователей к информационным ресурсам;  обострением противоречий между объективно существующими потребностями  обострением противоречий между объективно существующими потребностями  общества и расширением свободного обмена информацией и чрезмерными или  общества и расширением свободного обмена информацией и чрезмерными или  недостаточными ограничениями на ее распространение и использование;  недостаточными ограничениями на ее распространение и использование;  дифференциацией уровня потерь от уничтожения, фальсификации, разглашения или  дифференциацией уровня потерь от уничтожения, фальсификации, разглашения или  незаконного тиражирования информации;  незаконного тиражирования информации;  многообразием видов угроз и возможных каналов несанкционированного доступа  многообразием видов угроз и возможных каналов несанкционированного доступа  (НСД) к информации;  (НСД) к информации;  ростом числа квалифицированных пользователей вычислительной техники и  ростом числа квалифицированных пользователей вычислительной техники и  возможностей по созданию ими программно­математических воздействий на систему;  возможностей по созданию ими программно­математических воздействий на систему;  развитием рыночных отношений в области разработки и обслуживания  развитием рыночных отношений в области разработки и обслуживания  вычислительной техники и программных средств.  вычислительной техники и программных средств.

Компоненты системы защиты Компоненты системы защиты область физической безопасности, к средствам которой можно  область физической безопасности, к средствам которой можно  отнести механические и электронные замки, охрану и охранную  отнести механические и электронные замки, охрану и охранную  сигнализацию и т.п.;  сигнализацию и т.п.;  безопасность персонала, где рассматривается защита  безопасность персонала, где рассматривается защита  сотрудников и защита от воздействия самих сотрудников. Это, в  сотрудников и защита от воздействия самих сотрудников. Это, в  первую очередь, шпионаж, воздействие криминальных структур;  первую очередь, шпионаж, воздействие криминальных структур;  правовая безопасность, аккумулирующая все проблемы  правовая безопасность, аккумулирующая все проблемы  законодательного регулирования вопросов защиты информации  законодательного регулирования вопросов защиты информации  и вычислительных систем;  и вычислительных систем;  безопасность оборудования, связанная с надежностью работы  безопасность оборудования, связанная с надежностью работы  устройств, изучением возможностей несанкционированного  устройств, изучением возможностей несанкционированного  перехвата информации и другими техническими аспектами;  перехвата информации и другими техническими аспектами;  безопасность программного обеспечения, исключающая  безопасность программного обеспечения, исключающая  воздействие различного рода программных вирусов или  воздействие различного рода программных вирусов или  непредусмотренных действий разработчиков;  непредусмотренных действий разработчиков;  безопасность телекоммуникационной среды, связанная с  безопасность телекоммуникационной среды, связанная с  проблемами распределения вычислительных систем. Это могут  проблемами распределения вычислительных систем. Это могут  быть и физические повреждения каналов связи и просто утеря,  быть и физические повреждения каналов связи и просто утеря,  подмена или неправомочная имитация законного пользователя.  подмена или неправомочная имитация законного пользователя.

Дестабилизирующие факторы   Дестабилизирующие факторы количественная недостаточность  количественная недостаточность  физическая нехватка одного или нескольких компонентов АИС для обеспечения   физическая нехватка одного или нескольких компонентов АИС для обеспечения  требуемой защищенности информации по рассматриваемым показателям;  требуемой защищенности информации по рассматриваемым показателям;  качественная недостаточность  качественная недостаточность  несовершенство конструкции или организации одного или нескольких компонентов   несовершенство конструкции или организации одного или нескольких компонентов  АИС, в силу чего не обеспечивается требуемая защищенность информации;  АИС, в силу чего не обеспечивается требуемая защищенность информации;  отказ  отказ  нарушение работоспособности какого­либо элемента системы, приводящее к   нарушение работоспособности какого­либо элемента системы, приводящее к  невозможности выполнения им своих функций;  невозможности выполнения им своих функций;  сбой  сбой   временное нарушение работоспособности какого­либо элемента АИС, следствием  временное нарушение работоспособности какого­либо элемента АИС, следствием  чего может быть неправильное выполнение им в этот момент своих функций;  чего может быть неправильное выполнение им в этот момент своих функций;  ошибка  ошибка  неправильное (одноразовое или систематическое) выполнение элементом системы   неправильное (одноразовое или систематическое) выполнение элементом системы  одной или нескольких функций, происходящее вследствие специфического  одной или нескольких функций, происходящее вследствие специфического  (постоянного или временного) его состояния;  (постоянного или временного) его состояния;  стихийное бедствие  стихийное бедствие   спонтанно возникающее неконтролируемое явление, проявляющееся как  спонтанно возникающее неконтролируемое явление, проявляющееся как  разрушительная сила;  разрушительная сила;  злоумышленные действия  злоумышленные действия  действия людей, специально направленные на нарушение защищенности   действия людей, специально направленные на нарушение защищенности  информации;  информации;  побочное явление  побочное явление  явление, сопутствующее выполнению элементом своих основных функций,   явление, сопутствующее выполнению элементом своих основных функций,  следствием которого может быть нарушение защищенности информации.  следствием которого может быть нарушение защищенности информации.

Угрозы безопасности информации По источнику  появления Внешние ­ возникают в  результате  деятельности  недобросовестных  конкурентов Внутренние По характеру целей преднамеренные непреднамеренные От стихийных  бедствий Способы реализации угроз • Хищение носителей • Применение программных ловушек • Ошибки в программах обработки данных • Неисправность аппаратуры • Компьютерные вирусы • Электромагнитное излучение

Угрозы безопасности информации Угрозы безопасности информации

Уровни защиты информации Аппаратно­программный процедурный административный Законодательный Основные законы Закон “Об информации, информатизации и защите информации” (1995) Закон “О связи” (1995) Закон “О банках и банковской деятельности” Закон “О правовой охране программ для вычислительных машин и баз данных” Закон “Об авторском праве и смежных правах” 1. 2. 3. 4. 5.

Формы защиты информации • Признание коммерческой тайной • Патентование • Применение норм обязательного права К коммерческой тайне не могут быть отнесены •Учредительные документы •Документы, дающие право заниматься предпринимательской деятельностью •Сведения по установленным формам отчетности о финансово – хозяйственной  деятельности •Документы о платежеспособности •Сведения о численности и составе работающих, заработной плате, условиях труда •Документы об уплате налогов и других обязательных платежах •Сведения о загрязнении окружающей среды, нарушениях антимонопольного  законодательства •Сведения об участии должностных лиц в кооперативах, малых предприятиях,  товариществах, акционерных обществах и т.п.

Методы и средства защиты Методы и средства защиты

Методы защиты Методы защиты 1.1. Управление доступом 2.2. Препятствие 3.3. Маскировка Управление доступом ­ метод защиты информации регулированием   ­ метод защиты информации регулированием  использования всех ресурсов системы, включающий следующие функции:  использования всех ресурсов системы, включающий следующие функции:  идентификация ресурсов системы;   идентификация ресурсов системы;  установление подлинности (аутентификация) объектов или субъектов   установление подлинности (аутентификация) объектов или субъектов  системы по идентификатору;  системы по идентификатору;  проверка полномочий в соответствии с установленным регламентом;   проверка полномочий в соответствии с установленным регламентом;  разрешение и создание условий работы в соответствии с регламентом;   разрешение и создание условий работы в соответствии с регламентом;  регистрация обращений к защищаемым ресурсам;   регистрация обращений к защищаемым ресурсам;  реагирование при попытках несанкционированных действий.   реагирование при попытках несанкционированных действий.  Препятствие ­ метод физического преграждения пути нарушителю к   ­ метод физического преграждения пути нарушителю к  защищаемым ресурсам системы.  защищаемым ресурсам системы.  Маскировка ­ метод защиты информации путем ее криптографического   ­ метод защиты информации путем ее криптографического  закрытия.  закрытия.  Регламентация ­ метод защиты информации, создающей такие условия   ­ метод защиты информации, создающей такие условия  автоматизированной обработки, хранения и передачи информации, при  автоматизированной обработки, хранения и передачи информации, при  которых возможности несанкционированного доступа к ней минимизируются.  которых возможности несанкционированного доступа к ней минимизируются.  Принуждение ­ метод защиты информации, при котором пользователи и   ­ метод защиты информации, при котором пользователи и  персонал системы вынуждены соблюдать регламент под угрозой  персонал системы вынуждены соблюдать регламент под угрозой  ответственности.  ответственности.  Побуждение ­ метод защиты информации, который мотивирует   ­ метод защиты информации, который мотивирует  пользователей и персонал системы соблюдать сложившиеся морально­ пользователей и персонал системы соблюдать сложившиеся морально­ этические нормы.  этические нормы.  4.4. Регламентация 5.5. Принуждение 6.6. Побуждение

Организационные средства  Организационные средства  защиты защиты Организационные меры защиты определяют  определяют  Организационные меры защиты  порядок:  порядок:  ведения системы защиты от несанкционированного  ведения системы защиты от несанкционированного  доступа;  доступа;  ограничения доступа в помещения;  ограничения доступа в помещения;  назначения полномочий по доступу;  назначения полномочий по доступу;  контроля и учета событий;  контроля и учета событий;  сопровождения ПО;  сопровождения ПО;  контроля за системой защиты.   контроля за системой защиты.

Программные средства защиты Программные средства защиты Программные средства защиты (ПСЗ) включают в себя:  (ПСЗ) включают в себя: Программные средства защиты систему разграничения доступа к вычислительным и  систему разграничения доступа к вычислительным и  информационным ресурсам системы;  информационным ресурсам системы;  средства криптографической защиты информации,  средства криптографической защиты информации,  хранящейся на магнитных носителях АРМ и файл­сервера  хранящейся на магнитных носителях АРМ и файл­сервера  системы;  системы;  средства регистрации и учета попыток НСД, событий в  средства регистрации и учета попыток НСД, событий в  системе, документов, выводимых на печать и т. д.;  системе, документов, выводимых на печать и т. д.;  средства обеспечения и контроля целостности программных  средства обеспечения и контроля целостности программных  файлов, в том числе средства борьбы с программами­ файлов, в том числе средства борьбы с программами­ вирусами;  вирусами;  средства контроля паузы неактивности пользователя системы. средства контроля паузы неактивности пользователя системы.

Аппаратные и криптографические средства защиты Аппаратные и криптографические средства защиты Аппаратные средства защиты, выбор которых определяется такими  , выбор которых определяется такими  Аппаратные средства защиты техническими характеристиками как: техническими характеристиками как: высокая надежность ­ с целью исключения искажения экономической  высокая надежность ­ с целью исключения искажения экономической  информации и преодоления рубежей защиты нарушителем;  информации и преодоления рубежей защиты нарушителем;  высокая производительность шифрования информации, которая должна  высокая производительность шифрования информации, которая должна  обеспечить время реакции системы на запрос пользователя не более 3 сек.  обеспечить время реакции системы на запрос пользователя не более 3 сек.  Криптографические средства защиты информации автоматизированной   информации автоматизированной  Криптографические средства защиты системы, среди которых самым примитивным методом можно назвать  системы, среди которых самым примитивным методом можно назвать  обмен паролями со всеми присущими ему недостатками. Одно из  обмен паролями со всеми присущими ему недостатками. Одно из  последних достижений в области криптографии ­ цифровая сигнатура. Это  последних достижений в области криптографии ­ цифровая сигнатура. Это  способ обеспечения целостности с помощью дополнения сообщения  способ обеспечения целостности с помощью дополнения сообщения  специальным свойством, которое может быть проверено только тогда,  специальным свойством, которое может быть проверено только тогда,  когда известен открытый ключ, присвоенный автору сообщения.  когда известен открытый ключ, присвоенный автору сообщения.  Криптографические средства предназначены для эффективной защиты  Криптографические средства предназначены для эффективной защиты  информации: информации: в случае кражи, утери компьютера или магнитного носителя;  в случае кражи, утери компьютера или магнитного носителя;  при выполнении ремонтных или сервисных работ посторонними лицами или  при выполнении ремонтных или сервисных работ посторонними лицами или  обслуживающим персоналом, не допущенным к работе с конфиденциальной  обслуживающим персоналом, не допущенным к работе с конфиденциальной  информацией;  информацией;  при передаче информации в виде зашифрованных файлов по незащищенным  при передаче информации в виде зашифрованных файлов по незащищенным  каналам связи;  каналам связи;  при использовании компьютера несколькими пользователями.  при использовании компьютера несколькими пользователями.

Этапы создания систем защиты Этапы создания систем защиты инженерно­техническое обследование и описание  инженерно­техническое обследование и описание  информационных ресурсов системы;  информационных ресурсов системы;  определение наиболее критичных, уязвимых мест  определение наиболее критичных, уязвимых мест  системы;  системы;  вероятностная оценка угроз безопасности  вероятностная оценка угроз безопасности  информационным ресурсам;  информационным ресурсам;  экономическая оценка возможного ущерба;  экономическая оценка возможного ущерба;  стоимостной анализ возможных методов и средств  стоимостной анализ возможных методов и средств  защиты информации;  защиты информации;  определение рентабельности применения системы  определение рентабельности применения системы  защиты информации.  защиты информации.

Методы защиты информации • Ограничение доступа • Разграничение доступа • Разделение привилегий • Криптографическое преобразование • Контроль и учет доступа Компьютерные вирусы По среде обитания загрузочные Файловые Файлово  ­загрузочные сетевые системные По степени  воздействия безвредные Неопасные опасные разрушитель ные По способу  заражения е ы н т н е д и з е р е ы н т н е д и з е р е н По  алгоритмической  особенности репликаторные Троянский конь Логическая бомба мутанты невидимки макровирусы