КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Понятие информационной безопасности и защищенной системы. Определения, термины
ВВЕДЕНИЕ Прочие замечания Требования к учащимся
Чтобы мы не говорили на разных языках и для успешного понимания данного курса, Вы должны обладать следующими знаниями: - Сетевые технологии: семиуровневая модель взаимодействия открытых систем (Open System Interconnection) ISO OSI, семейство протоколов TCP/IP; - Знание операционных систем Windows2000/XP и Unix-подобных на уровне администратора. В процессе лекций, а особенно практических работ, я буду не раз приводить примеры конфигурационных файлов маршрутизаторов и коммутаторов ф.Cisco.
В тех местах, которые необходимо записывать я постараюсь говорить помедленнее. Также, я постараюсь приводить побольше реальных примеров связанных с ИБ Корпоративной Сети ВАЗа.
Рекомендуемая литература:
Майкл Уэнстром «Огранизация защиты сетей Cisco» Вильямс Москва 2003 Брюс Шнайер «Прикладная криптография» Триумф Москва 2003 Введение в криптографию / Под общ. ред. В.В. Ященко МЦНМО 2000
www.cert.org CERT - Computer Emergency Responce Team Координационный центр группы быстрого реагирования по компьютерной безопасности. Сайт, на котором публикуется информация о брешах в защите операционных систем и прикладных программ, а также даются рекомендации по устранению этих проблем. security.nnov.ru – Компьютерная безопасность (ежедневно обновляемая информация об уязвимостях ПО) www.cryptography.ru – Сайт, посвященный криптографии www.securitylab.ru – новости, описания уязвимостей и вирусов, специализированное ПО.
Остальную литературу я буду давать, по необходимости при изучении конкретных разделов.
Словосочетание «информационная безопасность» в разных контекстах может иметь различный смысл. Например, в Доктрине информационной безопасности Российской Федерации под термином «информационная безопасность» имеется ввиду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
Мы же под информационной безопасностью будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Под термином защита информации понимается комплекс мероприятий, направленных на обеспечение информационной безопасности. Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций. Правильный подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Говоря другими словами, угрозы информационной безопасности - это оборотная сторона использования информационных технологий. Из этого положения можно вывести два важных следствия: Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором - "да нет у нас никаких секретов, лишь бы все работало".
Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте. Как эквивалент термина ИБ существует термин «компьютерная безопасность». Но я считаю, что эти термины не совсем равноценны и термин «компьютерная безопасность» слишком узкий. Компьютеры - только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на бумажке, прилепленной к монитору). Обращу Ваше внимание, что в определении ИБ перед существительным «ущерб» стоит прилагательное "неприемлемый". Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений. Исходя из приведенных выше определений, можно вывести понятие «защищенная система». Защищенная система - это система, удовлетворяющая требованиям информационной безопасности использующих ее субъектов информационных отношений, в которой возможные риски сведены к допустимому минимуму.
Отсюда следует: - На практике абсолютно защищенной системы не существует! - Защищенность является качественной характеристикой системы, ее нельзя измерить в каких-либо единицах. - Для каждого конкретного случая понятие защищенной системы будет отличаться.
Пример. Любой шифр можно расшифровать. Но чем сильнее криптографическая защита, тем больше времени и компьютерных ресурсов требуется для расшифровки. Поэтому задача шифрования состоит не в том, чтобы обеспечить абсолютно недоступный для расшифровки код, а создать код, который вероятному противнику будет нереально расшифровать за время актуальности конфиденциальной информации.
Дата добавления: 2014-01-07; Просмотров: 1076; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |