Информационная безопасность и защита информации
Методическое пособие - Компьютеры, программирование
Другие методички по предмету Компьютеры, программирование
Введение в информационную безопасность
Информационная сфера (среда) - это сфера деятельности, связанная с созданием, распространением, преобразованием и потреблением информации. Любая система защиты информации имеет свои особенности и в то же время должна отвечать общим требованиям. Общими требованиями к системе защиты информации являются следующие:
1.Система защиты информации должна быть представлена как нечто целое. Целостность системы будет выражаться в наличии единой цели ее функционирования, информационных связей между ее элементами, иерархичности построения подсистемы управления системой защиты информации.
2.Система защиты информации должна обеспечивать безопасность информации, средств информации и защиту интересов участников информационных отношений.
.Система защиты информации в целом, методы и средства защиты должны быть по возможности прозрачными для пользователя, не создавать ему больших дополнительных неудобств, связанных с процедурами доступа к информации и в то же время быть непреодолимыми для несанкционированного доступа злоумышленника к защищаемой информации.
4.Система защиты информации должна обеспечивать информационные связи внутри системы между ее элементами для согласованного их функционирования и связи с внешней средой, перед которой система проявляет свою целостность и поступает как единое целое.
Таким образом, обеспечение безопасности информации, в том числе в компьютерных системах, требует сохранения следующих ее свойств:
1.Целостность. Целостность информации заключается в ее существовании в неискаженном виде, не измененном по отношению к некоторому ее исходному состоянию.
2.Доступность. Это свойство, характеризующее способность обеспечивать своевременный и беспрепятственный доступ пользователей к интересующим их данным.
3.Конфиденциальность. Это свойство, указывающее на необходимость введения ограничений на доступ к ней определенного круга пользователей.
Под угрозой безопасности понимается возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику или пользователю, проявляющегося в опасности искажения, раскрытия или потери информации. Реализация той или иной угрозы безопасности может производиться с целью нарушения свойств, обеспечивающих безопасность информации.
Основные принципы обеспечения информационной безопасности
Построение системы защиты должно основываться на следующих основных принципах:
1.Системность подхода
2.Комплексность подхода
.Разумная достаточность средств защиты
.Разумная избыточность средств защиты
.Гибкость управления и применения
.Открытость алгоритмов и механизмов защиты
.Простота применения защиты, средств и мер
.Унификация средств защиты
Системность подхода
Защита информации предполагает необходимость учета всех взаимосвязанных и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания решения проблемы обеспечения информационной безопасности.
При создании системы защиты необходимо учитывать все слабые и наиболее уязвимые места системой обработки информации, а также характер возможных объектов нарушения и атак на системы со стороны нарушителя, пути проникновения в систему для несанкционированного доступа к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения, но и с учетом возможности появления преимущественно новых путей реализации угроз безопасности.
Системный подход также предполагает непротиворечивость применяемых средств защиты. Различаются следующие виды системностей:
1.Системность целевая
Защищенность информации рассматривается как составная часть общего понятия качества информации.
2.Системность пространственная
Может практиковаться как увязка вопросов защиты информации
2.1.По вертикали
государство (правительственные органы)
министерство
корпоративные государственные учреждения
частные предприятия
вычислительные системы
2.2.По горизонтали
Предполагается увязка вопроса защиты информации в локальных узлах и территориях распределения элементов автоматизированных систем обработки данных.
3.Системность временная (принцип непрерывности функционирования системы защиты)
Защита информации - не разовое мероприятие, а непрерывный целенаправленный процесс, предполагаемый принятие соответствующих мер на всех этапах жизненного цикла защиты системы. Разработка системы защиты должна начинаться с момента проектирования системы, а ее адаптация и доработка - на протяжении всего времени функционирования системы.
4.Системность организационная
Единство организации всех работ по защите информации и их управления.
Комплексность подхода
Комплексное использование широкого спектра мер, методов и средств защиты информационных систем предполагает согласованное применение разнородных средств защиты при обеспечении информационной безопасности. Данный принцип предполагает учет всей совокупности возможных угроз при реализации систем защиты.
Принцип разумной достаточности
Создать абсолютно непреодолимую системы защиты прин