КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Основные понятия
|
|
|
|
Информационная безопасность – одна из проблем, с которой столкнулось современное общество в процессе массового использования автоматизированных средств ее обработки (информационных технологий), что обусловлено возрастающей ролью информации в общественной жизни. Современное общество все более приобретает черты информационного общества..
Информационные отношения – отношения, возникающие в процессе взаимодействия субъектов по вопросам получения, хранения, обработки, распространения и использования информации. Участвующие в них субъекты называются субъектами информационных отношений.
В процессе информационных отношений субъекты могут выполнять различные функции, (роли), в том числе:
- источник информации;
- потребитель информации;
- собственников, владельцев, распорядителей информации;
- субъектов, о которых собирается информация;
- владельцев (участников) систем сбора, обработки и передачи информации.
Субъекты информационных отношений могут быть заинтересованы в:
- получении доступа к необходимой им информации за приемлемое время;
- сохранении в тайне определенной части информации;
- полноте и точности информации;
- защите от навязывания ложной информации;
- защите информации от незаконного использования и тиражирования;
- разграничении ответственности за нарушение прав других субъектов и установлении правил обращения с информацией;
и других.
Будучи заинтересованными в обеспечении хотя бы одного из вышеназванных требований субъект информационных отношений являются уязвимым, то есть потенциально подверженными нанесению ему ущерба (прямого или косвенного, материального или морального) посредством воздействия на критичную для него информацию или ее носители либо посредством неправомерного использования такой информации.
|
|
|
Поэтому субъекты информационных отношений заинтересованы в обеспечении своей информационной безопасности.
Информационная безопасность – защищенность субъектов в процессе информационных отношений от нанесения им неприемлемого ущерба.
Решение проблемы информационной безопасности должно начинаться с выявление субъектов информационных отношений и интересов этих субъектов, так как для эти интересы могут существенно различаться (пример – военные и коммерческие системы).
Основа информационной безопасности – обеспечение безопасности информации.
Спектр интересов субъектов, связанных с использованием информации, можно разделить на следующие категории: обеспечение доступности, достоверности (целостности) и конфиденциальности информации.
Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут его реализовать за заданное время. Утрата информации приводит к нарушению доступности.
Целостность – состояние информации, при котором ее изменение осуществляется только преднамеренно субъектами, имеющими на это право.
Статическая целостность - неизменность информации.
Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на это право, то есть субъективно определяемая характеристика, указывающая на необходимость ограничения круга субъектов, имеющих доступ к данной информации.
Безопасность информации – состояние защищенности информации, при котором обеспечивается ее конфиденциальность, целостность и доступность
Информационные технологии – приемы, способы и методы сбора, хранения, обработки, передачи и использования данных с использованием автоматизированных систем.
|
|
|
Автоматизированная система – это организационно-техническая система, представляющая собой совокупность следующих взаимосвязанных компонентов:
- технических средств обработки и передачи данных;
- методов и алгоритмов обработки в виде соответствующего ПО;
- информационных ресурсов на различных носителях;
- обслуживающего персонала и пользователей.
Информация, содержащаяся в системах или продуктах ИТ, является критическим ресурсом, позволяющим организациям успешно решать свои задачи. Кроме того, частные лица вправе ожидать, что их персональная информация, будучи размещенной в продуктах или системах ИТ, останется приватной, доступной им по мере необходимости и не сможет быть подвергнута несанкционированной модификации. При выполнении продуктами или системами ИТ их функций следует осуществлять надлежащий контроль информации, что обеспечило бы ее защиту от опасностей типа нежелательного или неоправданного распространения, изменения или потери. Термин "безопасность ИТ" охватывает предотвращение и уменьшение этих и подобных опасностей.
При использовании информационных технологий ущерб субъектам информационных отношений может быть нанесен как путем воздействия на критичную для них информацию и ее носители, так и путем воздействия на процессы и средства обработки этой информации в АС.
Поэтому безопасность ИТ определяется безопасностью реализующей ее АС и не сводится только к безопасности информации.
Однако всегда следует помнить, что уязвимыми, в конечном счете, являются именно заинтересованные СИО, так как информация и средства ее обработки не имеют своих интересов и, следовательно, им нельзя нанести ущерб.
Под безопасностью информационной технологии понимается состояние ИТ, определяющее защищенность информации и ресурсов ИТ от действия объективных и субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также способность ИТ выполнять предписанные функции без нанесения неприемлемого ущерба субъектам информационных отношений.
Конфиденциальность ресурсов автоматизированной информационной системы]): Состояние ресурсов автоматизированной информационной системы, при котором доступ к ним осуществляют только субъекты, имеющие на него право
|
|
|
Целостность ресурсов автоматизированной информационной системы: Состояние ресурсов автоматизированной информационной системы, при котором их изменение осуществляется только преднамеренно субъектами, имеющими на него право.
Доступность ресурсов автоматизированной информационной системы: Состояние ресурсов автоматизированной информационной системы, при котором субъекты,
имеющие право доступа, могут реализовать их беспрепятственно.
Примечание — К правам доступа относятся: право на чтение, изменение,
копирование, уничтожение информации, а также права на изменение,
использование, уничтожение ресурсов.
Другими словами, под безопасностью информационной технологии понимается состояние ИТ, определяющее защищенность информации и ресурсов АС от действия объективных и субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также способность АС выполнять предписанные функции без нанесения неприемлемого ущерба субъектам информационных отношений.
ВЫВОДЫ
1. Понятия информационная безопасность, безопасность ИТ и безопасность информации являются близкими, но не тождественными.
2. Цель защиты информационных технологий – обеспечение интересов субъектов информационных отношений. Поэтому цели могут различаться для разных субъектов и разных предметных областей.
3. Безопасность ИТ обеспечивается безопасностью всех ресурсов АС. Информация является лишь одним, хотя и важнейшим ресурсом АС, а защите подлежат все ресурсы АС. Объектом защиты являются все ресурсы АС, а не только информационные ресурсы.
4. Задачи защиты заключается в обеспечении конфиденциальности, доступности,
целостности, подотчетности и подлинности ресурсов АС,
2. МОДЕЛЬ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
При рассмотрении вопросов обеспечения безопасности информационных технологий можно использовать следующую модель, основанную на стандарте ГОСТ ISO/IEC 15408. Рисунок 1.1 иллюстрирует основные высокоуровневые понятия безопасности ИТ и их взаимосвязь.
|
|
|
Ресурсом или активом будем называть именованный элемент ИС, имеющий (материальную) ценность и подлежащий защите.
Безопасность ИТ связана с защитой активов ИС от угроз.
За безопасность активов отвечают их владельцы, для которых эти активы имеют ценность. Существующие или предполагаемые нарушители стремиться использовать их вопреки интересам их владельца. Владельцы будут воспринимать подобные угрозы как воздействия на активы, приводящие к понижению их ценности для владельца.
Угроза безопасности ИТ – потенциально возможное событие, действие, процесс или явление, которое посредством воздействия на информацию или другие ресурсы АС может прямо или косвенно привести к нанесению ущерба субъектам информационных отношений.
Атака – реализация угрозы, целенаправленное действие с целью нарушения безопасности ИТ.
К специфическим нарушениям безопасности обычно относят (но не обязательно ими ограничиваются): наносящее ущерб раскрытие актива несанкционированным получателем (потеря конфиденциальности), ущерб активу вследствие несанкционированной модификации (потеря целостности) или несанкционированное лишение доступа к активу (потеря доступности).
Уязвимость ИТ – недостаток или слабое место АС, предоставляющее возможность реализации угроз.
Риск – фактор, отражающий возможный ущерб субъектам информационных отношений в результате реализации угрозы. От угрозы риск отличает наличие количественной оценки возможных потерь и (возможно) оценки вероятности реализации угрозы.
Меры противодействия угрозам безопасности ИТ предпринимают для уменьшения уязвимостей владельцев активов. Но и после введения этих контрмер могут сохраняться остаточные уязвимости. Такие уязвимости могут использоваться нарушителями, представляя уровень остаточного риска для активов.
Перечень угроз и оценки вероятностей их реализации служат основой для проведения анализа риска и на его основе формулирования требований к системе защиты АС и обоснованный выбор мер противодействия..
Анализ риска – оценка ущерба субъектам информационных отношений с учетом вероятностей реализации угроз.
3. УГРОЗЫ БЕЗОПАСНОСТИ
Важнейшими аспектами проблемы обеспечения безопасности ИТ являются выявление, анализ и классификация возможных угроз безопасности АС.
Угроза должна быть описана с использованием понятий идентифицированного нарушителя, нападения и актива, который подвергается нападению.
Классификация угроз по природе источника угроз
Источник угрозы – субъект, материальный объект, физическое явление.
Угрозы:
1. Естественные
2. Искусственные
2.1. Непреднамеренные
2.2. Преднамеренные
Основное внимание – Искусственным преднамеренным угрозам.
По положению источника угроз (внешние, внутренние).
По характеру атаки (пассивные, активные).
По цели атаки (нарушение конфиденциальности, целостности, доступности, подлинности, незаконное тиражирование и т.д.) и типу ресурса, на который направлена атака (сервер, рабочая станция, сеть связи, БД, ПО и т.д.).
Другие.
МОДЕЛЬ НАРУШИТЕЛЯ
Нарушитель – это лицо, которое предприняло попытку выполнения запрещенных действий:
а) По ошибке, незнанию
б) Осознанно:
- с целью нанесения ущерба;
- без цели нанесения ущерба
и использует при этом различные возможности, методы и средства.
Злоумышленник – нарушитель, действующий умышленно с целью нанесения ущерба.
Нарушитель – ключевая фигура в области безопасности ИТ.
Облик нарушителя обычно формируется в виде модели нарушителя, в которой отражаются его практические и теоретические возможности, априорные знания, время и место действия и т.п. (компетентность, доступные ресурсы и мотивация, а также метод нападения и используемые уязвимости). Обычно в модели нарушителя определяют:
- категорию субъектов, к которой может принадлежать нарушитель;
внешние и внутренние (инсайдер). Оператор, прикладной программист, системный администратор, разработчик
- мотивы действия нарушителя (преследуемые цели);
Три основных причины нарушений: безответственность, самоутверждение и корыстный интерес.
- квалификация нарушителя и его техническая оснащенность (используемые методы и средства);
- ограничения и предположения о характере возможных действий.
характеру угрозы: пассивны и активные
путь нанесения ущерба (физический, технический канал утечки, информационный или их сочетание).
Потенциал нападения – прогнозируемый потенциал для успешного (в случае реализации) нападения, выраженный в показателях компетентности, ресурсов и мотивации. Потенциал нападения зависит от компетенции ресурсов и мотивации нарушителя.
4. УЯЗВИМОСТИ
Причины уязвимости – сложность современных систем.
Уязвимости возникают на всех этапах жизненного цикла АС:
Проектирование – несоответствие условий эксплуатации и модели нарушителя реальности.
Реализация – ошибки (переполнение), умышленно оставленные «тайные ходы» и другие недекларированные возможности – функциональные возможности ПО, не описанные в документации, закладки – средство съема информации или воздействия на нее, скрытно внедряемые в места возможного съема информации..
Эксплуатация – нарушение правил эксплуатации, модификация системы, несвоевременное обновление.
Утечка (информации) по техническому каналу:Неконтролируемое
распространение информации от носителя защищаемой информации через
физическую среду до технического средства, осуществляющего перехват
информации.
Вывод из эксплуатации.
|
|
|
|
|
Дата добавления: 2013-12-13; Просмотров: 447; Нарушение авторских прав?; Мы поможем в написании вашей работы!