Информационная безопасность и защита информации
Методическое пособие - Компьютеры, программирование
Другие методички по предмету Компьютеры, программирование
ципиально невозможно. Поэтому при проектировании системы безопасности имеет смысл вести речь о некотором ее приемлемом уровне. При этом необходимо понимать, что высокоэффективная система защиты дорого стоит, может существенно снижать производительность защищаемого объекта и создавать ощутимые неудобства для пользователя. Важно правильно выбрать тот уровень защиты, при котором затраты, риск взлома и размер возможного ущерба были бы приемлемыми.
Принцип разумной избыточности
Особенностью функционирования системы защиты является уровень защищенности непрерывно снижается в процессе функционирования системы. Это вызвано тем, что любая атака на систему (как успешная, так и нет) дает информацию злоумышленнику. Накопление информации приводит к успешной атаке. Данное утверждение находятся в противоречии с принципом разумной достаточности. Выход в компромиссе: на этапе разработки системы защиты в нее должна закладываться некая избыточность, которая позволила бы увеличить срок ее жизнеспособности.
Принцип гибкости управления и применения (адаптивность)
Как правило, система защиты проектируется в условиях большой неопределенности. Поэтому устанавливаемые средства защиты могут обеспечивать как чрезмерный, так и достаточный уровень защищенности. В связи с этим должны быть реализованы принципы гибкости управления, обеспечивающие возможность настройки механизмов в процессе функционирования системы.
Открытость алгоритмов и механизмов защиты
Суть состоит в том, что защита не должна обеспечиваться только за счет секретности структурной безопасности и алгоритмов функционирования ее подсистемы. Знание алгоритмов работы системы защиты не должно давать возможность преодоления этой системы.
Простота применения защиты, средств и мер
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Они должны обладать интуитивно понятным интерфейсом, автоматической и автоматизированной настройкой. Система защиты должна по возможности минимально мешать работе пользователей, поэтому должна функционировать в фоновом режиме, быть незаметной и ненавязчивой.
Унификация средств защиты
Современные системы защиты отличаются высоким уровнем сложности, что требует высокой квалификации обслуживающего персонала. С целью упрощения администрирования систем безопасности целесообразно стремиться к их унификации по крайней мере в пределах предприятия.
Понятие защищенности в автоматизированных системах
Защищенность является одним из важнейших показателей эффективности функционирования автоматизированных систем обработки данных (АСОД) наряду с такими показателями как производительность, надежность, отказоустойчивость и т.п.
Под защищенностью АСОД будем понимать степень адекватности реализованных в ней механизмов защиты информации, существующей в данной среде функционирования, связанной с осуществлением угроз безопасности информации.
На практике всегда существует большое количество не поддающихся точной оценке возможных путей осуществления угроз безопасности в отношении ресурсов АСОД. В идеале каждый путь осуществления угрозы должен быть перекрыт соответствующим механизмом защиты. Данное условие является первым фактором, определяющим защищенность АСОД.
Вторым фактором является прочность существующего механизма защиты, характеризующаяся степенью сопротивляемости этих механизмов попыткам их обхода или преодоления.
Третий фактор - величина ущерба, наносимого владельцу АСОД в случае успешного осуществления угроз безопасности.
Меры и средства защиты информации
На настоящий момент меры защиты информации можно разделить на следующие виды:
1.Правовые (законодательные). Определяются законодательными актами страны, которыми регламентируется правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Применительно к России: Конституция, доктрина информационной безопасности, кодексы, законы, указы президента, постановления правительства, ГОСТы в области защиты информации.
2.Морально-этические. К ним относятся нормы поведения, которые традиционно сложились по мере распространения сетевых и информационных технологий.
3.Организационные (административные). Представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации аппаратуры телекоммуникаций для обеспечения защиты информации.
4.Технические. Реализуются в виде механических, электрических и электронных устройств, предназначенных для препятствования проникновению и доступу потенциального нарушителя к компонентам защиты.
5.Программные. Представляют из себя программное обеспечение, предназначенное для выполнения функций защиты информации.
Правовое обеспечение информационной безопасности
Как сфера правового регулирования информационная сфера представляет собой совокупность субъектов, осуществляющих информационную деятельность, объектов права, по отношению к которым или в связи с которыми эта деятельность осуществляется и социальных отношений, регулируемых правом или подлежащих правовому регулированию.
Правовые аспекты обеспечения защиты информации направлены на достижение следующих целей:
1.Ф