Защита информации

Общие положения защиты информации
Несанкционированные действия и методы воздействия на информацию, здания, помещения и людей
Средства и методы защиты информации
Мероприятия по обеспечению безопасности

Лекция 8. Информационные технологии безопасности и защиты

1

Безопасность - это состояние субъекта, или объекта, при котором отсутствует угроза нанесения им какого-либо ущерба

Общие положения защиты информации

Под безопасностью информации или информационной безопасностью понимают защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, способных нанести ущерб владельцам и пользователям информации и поддерживающей её структуре

Несанкционированный доступ – это неправомочное обращение к информационным ресурсам с целью их использования (чтения, модификации), а также порчи или уничтожения

2

В законе “Об информации, информатизации и защите информации” (ст. 20) определено, что целями защиты информации являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокировке информации

Общие положения защиты информации

В Доктрине информационной безопасности Российской Федерации указывается, что информационная безопасность характеризует состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства

3

В законе “Об информации, информатизации и защите информации” (ст. 20) определено, что целями защиты информации являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокировке информации

Общие положения защиты информации

В Доктрине информационной безопасности Российской Федерации указывается, что информационная безопасность характеризует состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства

4

В законе “Об информации, информатизации и защите информации” (ст. 20) определено, что целями защиты информации являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокировке информации

Общие положения защиты информации

В Доктрине информационной безопасности Российской Федерации указывается, что информационная безопасность характеризует состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства

5

Согласно Закону о безопасности под угрозой безопасности понимается совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства

Несанкционированные действия и методы воздействия на информацию, здания, помещения и людей

– стремление ряда стран к доминированию в мировом информационном пространстве;
– вытеснение государства с внутреннего и внешнего информационного рынка;
– разработка рядом государств концепции информационных войн;
– нарушение нормального функционирования информационных систем;
– нарушение сохранности информационных ресурсов, получение несанкционированного доступа к ним.

Ссылка на Закон о безопасности

6

Несанкционированные действия и методы воздействия на информацию, здания, помещения и людей

7

Несанкционированные действия и методы воздействия на информацию, здания, помещения и людей

Три основных мотива нарушений
Безответственность – пользователь целенаправленно или случайно производит разрушающие действия, не связанные со злым умыслом
Самоутверждение – пользователи считают получение доступа к системным наборам данных крупным успехом, затевая игру «против системы»
Корыстный интерес – пользователь целенаправленно пытается преодолеть систему защиты информации

8

Несанкционированные действия и методы воздействия на информацию, здания, помещения и людей

Компьютерный вирус - это специальная, способная к саморазмножению программа, обычно составляемая со злым умыслом.

9

Несанкционированные действия и методы воздействия на информацию, здания, помещения и людей

Типичными причинами нарушения безопасности на объекте являются:
1) ошибки индивидов или неточные их действия;
2) неисправность и (или) отказ используемого оборудования;
3) непредсказуемые и недопустимые внешние проявления;
4) неисправность и (или) отсутствие необходимых средств защиты;
5) случайные и преднамеренные воздействия на информацию, защищаемые элементы оборудования, человека и окружающую среду

10

Средства и методы защиты информации, зданий, помещений и людей в них

Средства и методы защиты информации обычно делят на две большие группы: организационные и технические. Под организационными подразумеваются законодательные, административные и физические, а под техническими – аппаратные, программные и криптографические мероприятия, направленные на обеспечение защиты объектов, людей и информации

11

Средства и методы защиты информации, зданий, помещений и людей в них

Системы охраны и безопасности объектов – это совокупность взаимодействующих радиоэлектронных приборов, устройств и электрооборудования, средств технической и инженерной защиты, специально подготовленного персонала, а также транспорта, выполняющих названную функцию.

12

Средства и методы защиты информации, зданий, помещений и людей в них

К методам защиты информации относятся
Препятствие – методы физического преграждения пути злоумышленнику к защищаемой информации
Управление доступом – метод защиты информации регулированием использования всех ресурсов
Маскировка – метод защиты информации путем ее криптографического закрытия
Регламентация – метод защиты, создающий такие условия автоматизированной обработки, при которой возможности несанкционированного доступа сводились к минимуму
Принуждение – метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила
Побуждение – побуждает пользователей не нарушать установленный порядок за счет сложившихся норм

13

Средства и методы защиты информации, зданий, помещений и людей в них

Программные средства защиты – это самый распространённый метод защиты информации в компьютерах и информационных сетях

14

Средства и методы защиты информации, зданий, помещений и людей в них

Основными мерами профилактики вирусов являются:
1) применение лицензионного программного обеспечения;
2) регулярное использование нескольких постоянно обновляемых антивирусных программ для проверки не только собственных носителей информации при переносе на них сторонних файлов, но и любых “чужих” дискет и дисков с любой информацией на них, в т.ч. и переформатированных;
3) применение различных защитных средств при работе на компьютере в любой информационной среде (например, в Интернете). Проверка на наличие вирусов файлов, полученных по сети;
4) периодическое резервное копирование наиболее ценных данных и программ

15

Средства и методы защиты информации, зданий, помещений и людей в них

Криптография - это тайнопись, система изменения информации с целью её защиты от несанкционированных воздействий, а также обеспечения достоверности передаваемых данных.

16

Цифровая подпись представляет последовательность символов. Она зависит от самого сообщения и от секретного ключа, известного только подписывающему это сообщение

Средства и методы защиты информации, зданий, помещений и людей в них

В качестве технического средства защиты применяют различные электронные ключи, например, HASP (Hardware Against Software Piracy), представляющие аппаратно-программную систему защиты программ и данных от нелегального использования и пиратского тиражирования. Электронные ключи Hardlock используются для защиты программ и файлов данных. В состав системы входит собственно Hardlock, крипто-карта для программирования ключей и программное обеспечение для создания защиты приложений и связанных с ними файлов данных

17

Средства и методы защиты информации, зданий, помещений и людей в них

К основным программно-техническим мерам, применение которых позволяет решать проблемы обеспечения безопасности ИР, относятся:
● аутентификация пользователя и установление его идентичности;
● управление доступом к БД;
● поддержание целостности данных;
● защита коммуникаций между клиентом и сервером;
● отражение угроз, специфичных для СУБД

18

Средства и методы защиты информации, зданий, помещений и людей в них

В целях защиты информации в БД важнейшими являются следующие аспекты информационной безопасности (европейские критерии):
● условия доступа (возможность получить некоторую требуемую информационную услугу);
● целостность (непротиворечивость информации, её защищённость от разрушения и несанкционированного изменения);
● конфиденциальность (защита от несанкционированного прочтения)

19

Средства и методы защиты информации, зданий, помещений и людей в них

Конфиденциальность – обеспечение пользователям доступа только к данным, для которых они имеют разрешение на доступ (синонимы – секретность, защищённость).
Целостность – обеспечение защиты от преднамеренного или непреднамеренного изменения информации или процессов её обработки

20

Средства и методы защиты информации, зданий, помещений и людей в них

Биометрия - это совокупность автоматизированных методов и средств идентификации человека, основанных на его физиологических или поведенческих характеристиках

21

С помощью биометрических систем осуществляются:
1) ограничение доступа к информации и обеспечение персональной ответственности за её сохранность;
2) обеспечение допуска сертифицированных специалистов;
3) предотвращение проникновения злоумышленников на охраняемые территории и в помещения вследствие подделки и (или) кражи документов (карт, паролей);
4) организация учёта доступа и посещаемости сотрудников, а также решается ряд других проблем

Мероприятия по обеспечению сохранности и защищенности

Организационные мероприятия
Социально-психологические мероприятия
Физические мероприятия

22

Мероприятия по обеспечению сохранности и защищенности

К инженерно-техническим средствам защиты относятся:
● специальное укрепление зданий и помещений;
● хранилища;
● системы пассивной безопасности (двери и металлоконструкции, замки, защитные стёкла, витрины и стенды, сейфы и металлические шкафы; преграждающие, ограждающие и запирающие устройства, ворота);
● средства индивидуальной защиты

23