Определение и задачи инф.безопасности.
Информационная безопасность может рассматриваться как:
состояние (качество) определённого объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.)
деятельность, направленная на обеспечение защищённого состояния объекта (в этом значении чаще используется термин «защита информации»).
Информационная безопасность — это процесс обеспечения конфиденциальности, целостности и доступности информации.
Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.
Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.
Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Информационная безопасность (англ. information security)[5] — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.
Безопасность информации (данных) (англ. information (data) security)[6][1] — состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.
Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.
Безопасность информации (при применении информационных технологий) (англ. IT security)[6] — состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.
Безопасность автоматизированной информационной системы[6] — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.
Информационная безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.
Вопрос 9. Защита информации. Виды и содержание мероприятий.
Безопасность информационной системы- это свойство, заключающее в способности системы обеспечить ее нормальное функционирование, то есть обеспечить целостность и секретность информации. Для обеспечения целостности и конфиденциальности информации необходимо обеспечить защиту информации от случайного уничтожения или несанкционированного доступа к ней. Существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа к ней в системах и сетях:
Перехват информации;модификация информации (исходное сообщение или документ изменяется или подменяется другим и отсылается адресату);подмена авторства информации (кто-то может послать письмо или документ от вашего имени);использование недостатков операционных систем и прикладных программных средств;копирование носителей информации и файлов с преодолением мер защиты;незаконное подключение к аппаратуре и линиям связи;маскировка под зарегистрированного пользователя и присвоение его полномочий;введение новых пользователей;внедрение компьютерных вирусов.
К средствам защиты информации ИС от действий субъектов относятся:
-средства защита информации от несанкционированного доступа;
-защита информации в компьютерных сетях;
-криптографическая защита информации;
-электронная цифровая подпись;
-защита информации от компьютерных вирусов.
Средства защита информации от несанкционированного доступа Получение доступа к ресурсам информационной системы предусматривает выполнение трех процедур: идентификация, аутентификация и авторизация.
Идентификация - присвоение пользователю (объекту или субъекту ресурсов) уникальных имен и кодов (идентификаторов).
Аутентификация - установление подлинности пользователя, представившего идентификатор или проверка того, что лицо или устройство, сообщившее идентификатор является действительно тем, за кого оно себя выдает. Наиболее распространенным 13
способом аутентификации является присвоение пользователю пароля и хранение его в компьютере.
Авторизация - проверка полномочий или проверка права пользователя на доступ к конкретным ресурсам и выполнение определенных операций над ними. Авторизация проводится с целью разграничения прав доступа к сетевым и компьютерным ресурсам.
Защита информации в компьютерных сетях
Локальные сети предприятий очень часто подключаются к сети Интернет. Для защиты локальных сетей компаний, как правило, применяются межсетевые экраны - брандмауэры (firewalls). Экран (firewall) - это средство разграничения доступа, которое позволяет разделить сеть на две части (граница проходит между локальной сетью и сетью Интернет) и сформировать набор правил, определяющих условия прохождения пакетов из одной части в другую. Экраны могут быть реализованы как аппаратными средствами, так и программными.
Криптографическая защита информации
Для обеспечения секретности информации применяется ее шифрование или криптография. Для шифрования используется алгоритм или устройство, которое реализует определенный алгоритм. Управление шифрованием осуществляется с помощью изменяющегося кода ключа.
Извлечь зашифрованную информацию можно только с помощью ключа. Криптография - это очень эффективный метод, который повышает безопасность передачи данных в компьютерных сетях и при обмене информацией между удаленными компьютерами.
Электронная цифровая подпись
Для исключения возможности модификации исходного сообщения или подмены этого сообщения другим необходимо передавать сообщение вместе с электронной подписью. Электронная цифровая подпись - это последовательность символов, полученная в результате криптографического преобразования исходного сообщения с использованием закрытого ключа и позволяющая определять целостность сообщения и принадлежность его автору при помощи открытого ключа.
Защита информации от компьютерных вирусов
Компьютерный вирус – это небольшая вредоносная программа, которая самостоятельно может создавать свои копии и внедрять их в программы (исполняемые файлы), документы, загрузочные сектора носителей данных и распространяться по каналам связи.
В зависимости от среды обитания основными типами компьютерных вирусов являются:
-Программные (поражают файлы с расширением .СОМ и .ЕХЕ) вирусы
-Загрузочные вирусы
-Макровирусы
-Сетевые вирусы
Вопрос 10. Основные положения законодательства о защите информации.1. УНИФИЦИРОВАННОЕ АЛГОРИТМИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ДЛЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ:
В связи с возрастающим числом компьютерных преступлений проблема защиты информации является приоритетной. Защита информации должна носить комплексный характер.
Комплексный характер защиты информации достигается за счёт использования унифицированного алгоритмического обеспечения для средств криптографической защитыв соответствии с российскими государственными стандартами: ГОСТ 28147-89 | Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. |
ГОСТ Р 34.10-94 | Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма. |
ГОСТ Р 34.11-94 | Информационная технология. Криптографическая защита информации. Функция хэширования. |
ГОСТ Р 50739-95 | Средства вычислительной техники. Защита от несанкционированного доступа информации. Общие технические требования. |
Данные алгоритмы реализованы в виде единого комплекса средств криптографической защиты информации (СКЗИ), сертифицированныхФАПСИ(Федеральным агентством правительственной связи и информации при Президенте РФ), а также единыхключевых систем.
2. ЗАКОНОДАТЕЛЬСТВО РФ В ОБЛАСТИ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ:
1) ФЗ:
1. Об электронной цифровой подписи.
2. О лицензировании отдельных видов деятельности.
3. Об информации, информационных технологиях и о защите информации
4. О связи
5. Об информации, информатизации и защите информации.
6. О правовой охране программ для электронных вычислительных машин и баз данных.
7. О стандартизации.
8. О государственной тайне.
9. Об участии в международном информационном обмене.
Указы Президента РФ.