 |
Главная |
Раздел 1. Информация и ее свойства
 2016-01-26 |
 486 |
 Обсуждений (0) |
из
5.00
|
КУРС ЛЕКЦИЙ
Информационная безопасность
Разработал: Кошкаров В.Н.
ЧЕЛЯБИНСК
Оглавление
Введение. 3
Раздел 1. Информация и ее свойства. 4
1.1 Основные определения. Законы информации. 4
1.2 Свойства информации. 5
Раздел 2. Информационные технологии. 8
2.1 Содержание информационной технологии. 8
2.1.1 Определение информационной технологии. 8
2.1.2 Инструментарий информационной технологии. 9
2.1.3 Информационная технология и информационная система. 9
2.2 Этапы развития информационных технологий. 10
2.3 Особенности современных информационных технологий. 11
2.4 Проблемы использования информационных технологий.. 12
Раздел 3. Система информационной безопасности. 13
3.1 Информационная безопасность – определение, цель, компоненты. 13
3.2 Место подсистемы ИБ в общей системе безопасности организации. 16
Раздел 4. Нормативно-правовое обеспечение информационной безопасности. 17
4.1 Нормативно-правовые акты в области защиты информации. 17
4.2 Стандарты обеспечения информационной безопасности. 19
4.3 Виды и способы защиты информации. 22
4.4 Виды тайн, предусмотренные законодательством России. 24
4.5 Ответственность за нарушения правил обращения с конфиденциальной информацией. 25
4.5.1 Трудовой кодекс РФ от 30.12.2001 № 195-ФЗ. 25
4.5.2 Кодекс РФ об административных правонарушениях от 30.12.2001 № 195-ФЗ. 25
4.5.3 Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ. 26
Раздел 5. Нормативно-методическое обеспечение информационной безопасности. 28
5.1 Значение нормативно-методического обеспечения. 28
8.2 Модель угроз и модель нарушителя. 31
8.3 Методология формирования модели угроз. 31
Раздел 6. Организационно-техническое обеспечение информационной безопасности. 35
6.1 Основные организационные мероприятия по обеспечению ИБ. 35
6.2 Технические методы обеспечения ИБ. 36
Раздел 7. Психологическое обеспечение информационной безопасности. 37
7.1 Особенности использования полиграфа - детектора лжи. 37
7.2 Признаки сотрудника, работающего на злоумышленника. 42
Раздел 8 Документирование деятельности по обеспечению ИБ организации. 45
Приложение. 50
Введение
В современных условиях развития общества возрастает роль информационных процессов. Это затрагивает, как организации, ориентированные на гибкую автоматизацию своей деятельности, так и духовную сферу, использующую традиционные информационные средства, но все шире переходящую на использование современных средств автоматизации.
Информация превратилась в особый ресурс (актив) любой деятельности, следовательно, как и всякий другой ресурс, нуждается в соответствующей защите, в обеспечении ее конфиденциальности, целостности и доступности. Развитие информационных технологий, их проникновение во все сферы человеческой деятельности приводит к тому, что проблемы информационной безопасности с каждым годом становятся всѐ более и более актуальными – и одновременно более сложными. Технологии обработки информации непрерывно совершенствуются, а вместе с ними меняются и практические методы обеспечения информационной безопасности.
Универсальных методов защиты не существует, во многом успех при построении системы информационной безопасности организации (предприятия) будет зависеть от индивидуальных особенностей организации, учѐт которых порой плохо подаѐтся формализации. Поэтому часто информационную безопасность рассматривают как некую совокупность неформальных рекомендаций по построению систем защиты информации того или иного типа.
В данном курсе рассматриваются ключевые разделы дисциплины «Основы информационной безопасности». Главная цель – заложить методически основы знаний, необходимые будущим специалистам-практикам в области экономики.
Курс включает в себя следующие разделы:
1. Информация и ее свойства. Законы информации.
2. Информационные технологии.
3. Информация, информационные технологии и защита информации.
4. Стандарты обеспечения информационной безопасности.
5. Система информационной безопасности организации.
6. Виды информации, по категориям доступа.
7. Документирование деятельности по обеспечению ИБ организации.
8. Обеспечение психологической безопасности организации.
Раздел 1. Информация и ее свойства.
1.1 Основные определения. Законы информации[1]
Основные определения введены 1 февраля 2008 года Национальным стандартом РФ ГОСТ Р 50922-2006 (взамен ГОСТ Р 50922-1996) «Защита информации. Основные термины и определения» (утв. приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. № 373-ст). Есть ряд терминов, воспринимаемых обычно как синонимы, но на самом деле имеющих несколько отличное наполнение. Данные — факты, понятия или команды, представленные в формализованном виде и позволяющие осуществлять их передачу или обработку как вручную, так и с помощью средств автоматизации. Сведения— общая или поверхностная осведомленность о чем-либо. Знания — совокупность представлений о чем-либо, полученных в результате обучения, опыта. Документ — зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. Таким образом, документ это средство закрепления информации на материальном носителе. Информация — это осмысленные сведения, основанные на собранных, оцененных и истолкованных фактах, изложенных таким образом, что ясно видно их значение для принятия оптимального решения по какой-либо конкретной текущей задаче. Качественные законы информации[2] Прежде чем перейти к рассмотрению законов информации, необходимо разделить информацию на два вида: структурная (связанная), присущая объектам неживой природы естественного или искусственного происхождения и оперативная (рабочая). Оперативная информация циркулирует между объектами материального мира и используется в процессе управления (в первую очередь явные и скрытые команды). I. Общий закон сохранения информации. Информация, являясь свойством материальных объектов, существует вечно, никогда не возникала и никогда не исчезает. Информация существует вне зависимости от нашего желания или нежелания знать ее. Например, когда мы видим стол, мы получаем структурную информацию о нем: материал, форма, цвет и т.п. Эта информация неотъемлема от объекта (стола) и присуща именно ему. Но если мы его не видим, это не означает, что информации о нем нет, проста она нам, по каким-то причинам, недоступна. II. Общий закон перехода информации. Информационное поле обусловлено взаимодействиями структурной и оперативной информации и их взаимными превращениями друг в друга. Например, мы знаем, что Петр не переносит мебель из пластика и в настоящий момент рассматривает предложение по смене мебели в своей квартире. Мы не хотим, чтобы компания А продала ему мебель. Мы передаем Петру информацию о том, что эта компания занимается только мебелью со скрытыми конструктивными элементами из пластика. Изначально эта структурная информация, но при попадании к Петру она становится оперативной (управляющей), побуждая Петра отказаться от услуг компании А. Свойства информации Свойства информации – это ее качественные характеристики, тесно взаимосвязанные между собой: ценность (полезность) – бесполезность; достоверность – недостоверность; полнота – неполнота; актуальность – неактуальность; объективность – необъективность. I. Ценность информации. Ценность информации является базовым критерием при принятии любого решения об ее защите. Защите подлежит информация, обладание которой позволит ее владельцу получить какой-либо выигрыш: моральный, материальный, политический. Ценность (полезность) информации - это степень ее важности, необходимости для принятия любого решения. Предлагается следующее деление информации по категориям важности: Существуют следующие группы лиц, связанные с обработкой информации: 1. обладатель информации — гражданин (физическое лицо), организация, муниципальное образование, субъект РФ, Российская Федерация (РФ); 2. источник информации — организация или лицо, поставляющее информацию; 3. нарушитель — организация или лицо, стремящееся незаконно получить информацию. Отношение этих групп к значимости одной и той же информации может быть различно: для одной группы информация может быть важная, для другой — нет. ПРИМЕР. Важная оперативная информация, такая, как список заказов на данную неделю и график производства, может иметь высокую ценность для держателя, тогда как для источника (например, заказчика) или нарушителя низка. Таким образом, на практике отнесение информации к той или иной категории важности может представлять собой трудную задачу. Ценность информации, а, следовательно, категория важности обычно изменяются со временем и зависят от степени отношения к ним различных групп потребителей и потенциальных нарушителей. Приведенные категории важности могут быть применены к любой информации. Это также согласуется с существующим принципом деления информации по уровням конфиденциальности. II. Уровень конфиденциальности[3] (секретности). Это административная или законодательная мера, соответствующая мере ответственности лица за утечку или утрату конкретной конфиденциальной (секретной) информации, регламентируемой специальным документом, с учетом государственных, военно-стратегических, коммерческих, служебных или частных интересов. Такой информацией может быть государственная, военная, коммерческая, служебная тайна. Отнесение информации к конфиденциальной (секретной) и ее засекречивание осуществляется в соответствии с принципами законности, обоснованности и своевременности. Уровень конфиденциальности информации должен соответствовать степени тяжести ущерба, который может быть нанесен системе безопасности организации (предприятия) вследствие неправомерного ее распространения. Основанием для засекречивания информации является ее соответствие действующим на данном предприятии перечням сведений, подлежащих засекречиванию. При засекречивании этих сведений их носителям присваивается соответствующий грифконфиденциальности. Если носителем конфиденциальной информации является человек, ему присваивается соответствующая форма допуска, определяющая категорию важности информации. Практика показала, что защищать необходимо не только конфиденциальную информацию. Несекретная информация, подвергнутая несанкционированным изменениям (например, модификации команд управления), может привести к утечке или потере связанной с ней конфиденциальной информации, а также к невыполнению автоматизированной системой заданных функций по причине получения ложных данных, которые могут быть не обнаружены пользователем системы. Суммарное количество, или статистика несекретных данных, в итоге может оказаться секретным. Аналогично сводные данные одного уровня конфиденциальности в целом могут являться информацией более высокого уровня конфиденциальности. Для защиты от подобных ситуаций широко применяется разграничение доступа к информации по функциональному признаку. При одинаковой степени важности информации, обрабатываемой, например, в системе обработки данных, информация делится в соответствии с функциональными обязанностями и полномочиями пользователей, устанавливаемыми администрацией организации — владельца автоматизированной системы обработки данных (АСОД). III. Достоверность. Недостоверной информация может быть по следующим причинам: — преднамеренное искажение (дезинформация); — искажение в результате воздействия помех (принцип - «испорченный телефон»); — непреднамеренное искажение (слухи). Дезинформация – это попытка создать ложное впечатление у получателя информации и, соответственно, подтолкнуть его к желаемым источнику ложной информации действиям или бездействиям. Качественно подготовленная дезинформация практически не отличается от достоверных данных и согласуется с ними. Дезинформацию можно условно разделить на следующие виды: 1) введение в заблуждение (конкретного лица или группы лиц); 2) манипулирование (поступками конкретного лица или группы лиц); 3) создание общественного мнения относительно какой-то проблемы или объекта. Слух – специфический вид информации, появляющийся спонтанно как средство заполнения вакуума, либо специально распространяемый. Для распространения слухов необходимо чтобы информация была значима для членов среды распространения; чтобы информация была понятна им; чтобы обладание такой информацией способствовало повышению престижа. IV. Полнота. Имеющейся информации достаточно для понимания ситуации и принятия решения. V. Актуальность (своевременность). ПРИМЕР. Сообщение «сейчас на улице идет дождь» актуально для человека, собирающегося идти на улицу, и неактуально для человека, который остается в помещении. Часто путают саму информацию и её носитель, что приводит к непониманию сути проблемы защиты и, следовательно, невозможности её решения. Информация – это сведения, которые зафиксированы (записаны) тем или иным расположением (состоянием) материального носителя.Например, порядком расположения букв на странице или величиной намагниченности ленты. Носителем информации может быть любой материальный объект, который всегда несёт на себе некую информацию (далеко не всегда имеющую для нас значение). Чтобы отличать информацию от её носителя, надо твёрдо помнить, что информация – это свойство материальных объектов. Всё, что является материальным объектом, информацией быть не может, а является её носителем. Важно различать два вида защиты – защита носителей и защита непосредственно информации. Защита носителей информации включает ряд методов (если мы рассматриваем только компьютерные носители), которые можно подразделить на программные, аппаратные и комбинированные. Метод защиты самой информации только один – использование криптографии, то есть, шифровка данных. Рис. 2.1 Жизненный цикл информации
термин
определение
Цель защиты информации
достижение желаемого результата защиты информации (например, предотвращение ущерба собственнику, владельцу, пользователю информации в результате ее возможной утечки).
Политика безопасности (информации в организации)
совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Объект защиты
информация, носитель информации или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.
Способ защиты информации
порядок и правила применения определенных принципов и средств защиты информации: защита информации от утечки, от несанкционированного воздействия, от непреднамеренного воздействия, от разглашения, от несанкционированного доступа, от преднамеренного воздействия, от [иностранной] разведки.
Защита информации
деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Различают: правовую, техническую, криптографическую и физическую ЗИ.
Угроза (безопасности информации)
совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
Фактор, воздействующий на защищаемую информацию
явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.
Источник угрозы безопасности информации
субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.
Мониторинг безопасности информации
постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.
Эффективность защиты информации
степень соответствия результатов защиты информации поставленной цели.
Показатель эффективности защиты информации
мера или характеристика для оценки эффективности защиты информации.
Норма эффективности защиты информации
значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.
Комментарий……………………………………………………………………… ………………………………………………………………………комментарий (конец)
Носители информации.
| 2016-01-26 |
486 |
Обсуждений (0) |
из
5.00
|
Обсуждение в статье: Раздел 1. Информация и ее свойства |
|
Обсуждений еще не было, будьте первым... ↓↓↓ |
Почему 1285321 студент выбрали МегаОбучалку...
Система поиска информации
Мобильная версия сайта
Удобная навигация
Нет шокирующей рекламы