Главная страница
Навигация по странице:

  • Ущерб

  • Основные составляющие информационной безопасности

  • Конфиденциальность информации

  • Объекты защиты Основными объектами защиты

  • ФЗ "Об информации, информационных технологиях и о защите информации"

    		•

    привет. Лекция №4. Информационная безопасность


    Скачать 410.87 Kb.
    НазваниеИнформационная безопасность
    Анкорпривет
    Дата28.11.2021
    Размер410.87 Kb.
    Формат файлаpdf
    Имя файлаЛекция №4.pdf
    ТипДокументы
    #284219
    страница1 из 3
      1   2   3

    Информационная безопасность
    В Доктрине информационной безопасности Российской Федерации под термином
    информационная безопасность понимается состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
    В более узком смысле, под информационной безопасностью понимается состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера
    (информационных угроз, угроз информационной безопасности), которые могут нанести неприемлемый ущерб субъектам информационных отношений.
    Защита информации – комплекс правовых, организационных и технических мероприятий и действий по предотвращению угроз информационной безопасности и устранению их последствий в процессе сбора, хранения, обработки и передачи информации в информационных системах.
    Информационная безопасность – это одна из характеристик информационной системы, т.е. информационная система на определенный момент времени обладает определенным состоянием (уровнем) защищенности, а защита информации – это процесс, который должен выполняться непрерывно на всем протяжении жизненного цикла информационной системы
    2
    Под субъектами информационных отношений понимаются как владельцы, так и пользователи информации и поддерживающей инфраструктуры.
    К поддерживающей инфраструктуре относятся не только компьютеры, но и помещения, системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал.
    Ущерб может быть приемлемым или неприемлемым. Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.
    Информационная угроза – потенциальная возможность неправомерного или случайного воздействия на объект защиты, приводящая к потере, искажению или разглашению информации.
    Таким образом, концепция информационной безопасности, в общем случае, должна отвечать на три вопроса:
    - Что защищать?
    - От чего (кого) защищать?
    - Как защищать?
    Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие составляющие: обеспечение доступности, целостности и
    конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
    Иногда в число основных составляющих информационной безопасности включают защиту от несанкционированного доступа (НСД) к информации, под которым понимают доступ к информации, нарушающий правила разграничения доступа с использование штатных средств. В то же время обеспечение конфиденциальности как раз и подразумевает защиту от НСД.
    Основные составляющие информационной безопасности
    Ключевые принципы

    Триада CIA.
    В 1975 году Джерри Зальцер и Майкл Шрёдер в статье «Защита информации в компьютерных системах» впервые предложили разделить нарушения безопасности на три основных категории: неавторизованное раскрытие информации (англ. unauthorized information release), неавторизованное изменение информации (англ. Unauthorized information modification) и неавторизованный отказ в доступе (англ. Unauthorized denial of use) к информации. Позднее эти категории получили краткие наименования и стандартизированные определения:
    • Confidentiality с англ. — «конфиденциальность» — свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов;
    • Integrity с англ. — «целостность» — свойство сохранения правильности и полноты активов;
    • Availability с англ. — «доступность» — свойство быть доступным и готовым к использованию по запросу авторизованного субъекта.
    В совокупности эти три ключевых принципа информационной безопасности именуются триадой CIA.
    В 1992 году ОЭСР опубликовала свою собственную модель информационной безопасности, состоящую из девяти принципов: осведомлённость, ответственность, противодействие, этика, демократия, оценка риска, разработка и внедрение безопасности, управление безопасностью, пересмотр. В 1996 году на основе публикации ОЭСР 1992 года американский Национальный институт стандартов и технологий (NIST) сформулировал восемь основных принципов, которые гласят, что компьютерная безопасность
    «поддерживает миссию организации», «является неотъемлемой составляющей рационального менеджмента», «должна быть экономически эффективной», «требует всеобъемлющего и комплексного подхода», «ограничивается социальными факторами»,
    «должна периодически подвергаться пересмотру», «обязанности и ответственность за компьютерную безопасность должны быть чётко сформулированы», а «владельцы систем несут ответственность за безопасность за пределами своей организации». На основе этой модели в 2004 году NIST опубликовал 33 принципа инженерного проектирования систем информационной безопасности, для каждого из которых были разработаны практические руководства и рекомендации, которые по сей день постоянно развиваются и поддерживаются в актуальном состоянии.
    В 1998 году Донн Паркер дополнил классическую триаду CIA ещё тремя аспектами: владение или контроль (англ. Possession or Control), аутентичность (англ. Authenticity) и полезность (англ. Utility). Достоинства этой модели, получившей название Паркеровская гексада (от hexad с англ. — «группа из шести предметов»), являются предметом дискуссий среди специалистов по информационной безопасности.
    В 2009 году министерство обороны США опубликовало «Три основополагающих принципа компьютерной безопасности»: подверженность системы риску (англ. System
    Susceptibility), доступность уязвимости (англ. Access to the Flaw) и способность эксплуатировать уязвимость (англ. Capability to Exploit the Flaw).
    В 2011 году международный консорциум The Open Group опубликовал стандарт управления информационной безопасностью O-ISM3, в котором отказался от концептуального определения компонентов классической триады CIA в пользу их операционального определения. Согласно O-ISM3, для каждой организации можно идентифицировать индивидуальный набор целей безопасности, относящихся к одной из пяти категорий, которые соответствуют тому или иному компоненту триады: приоритетные цели безопасности (конфиденциальность), долгосрочные цели безопасности (целостность), цели качества информации (целостность), цели контроля доступа (доступность) и технические цели безопасности.
    Из всех упомянутых выше моделей информационной безопасности классическая триада CIA по-прежнему остаётся наиболее признанной и распространённой в международном профессиональном сообществе. Она зафиксирована в национальных и
    международных стандартах и вошла в основные образовательные и сертификационные программы по информационной безопасности, такие как CISSPи CISM. Некоторые российские авторы используют кальку с него — «триада КЦД». В литературе все её три составляющих: конфиденциальность, целостность и доступность синонимически упоминаются, как принципы, атрибуты безопасности, свойства, фундаментальные аспекты, информационные критерии, важнейшие характеристики или базовые структурные элементы.
    Между тем, в профессиональном сообществе не прекращаются дебаты о соответствии триады CIA стремительно развивающимся технологиям и требованиям бизнеса. В результате этих дискуссий появляются рекомендации о необходимости установки взаимосвязи между безопасностью и неприкосновенностью частной жизни, а также утверждения дополнительных принципов. Некоторые из них уже включены в стандарты Международной организации по стандартизации (ISO):
    ✓ подлинность (англ. authenticity) — свойство, гарантирующее, что субъект или ресурс идентичны заявленному;
    ✓ подотчётность (англ. accountability) — ответственность субъекта за его действия и решения;
    ✓ невозможность отказа (англ. non-repudiation) — способность удостоверять имевшее место событие или действие и их субъекты так, чтобы это событие или действие и субъекты, имеющие к нему отношение, не могли быть поставлены под сомнение;
    ✓ достоверность (англ. reliability) — свойство соответствия предусмотренному поведению и результатам.
    Доступность информации – свойство системы обеспечивать своевременный беспрепятственный доступ правомочных (авторизованных) субъектов к интересующей их информации или осуществлять своевременный информационный обмен между ними.
    Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).
    Целостность информации – свойство информации, характеризующее ее устойчивость к случайному или преднамеренному разрушению или несанкционированному изменению.
    Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений. Целостность оказывается важнейшим аспектом информационной безопасности в тех случаях, когда информация служит «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным.
    Конфиденциальность информации – свойство информации быть известной и доступной только правомочным субъектам системы (пользователям, программам, процессам). Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в
    России на серьезные трудности. Во-первых, сведения о технических каналах утечки
    информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.
    Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения? Наконец, конфиденциальная информация есть как у организаций, так и отдельных пользователей.
    Из всего выше приведенного следует два следствия.
    1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные заведения. В первом случае «пусть лучше все сломается, чем враг узнает хотя бы один секрет», во втором – «да нет у нас никаких секретов, лишь бы все работало».
    2. Информационная безопасность не сводится исключительно к защите от НСД к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от НСД, но и от поломки системы, вызвавшей перерыв в работе.
    Объекты защиты
    Основными объектами защиты при обеспечении информационной безопасности являются:
    - все виды информационных ресурсов. Информационные ресурсы (документированная
    информация) - информация, зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать;
    - права граждан, юридических лиц и государства на получение, распространение и использование информации;
    - система формирования, распространения и использования информации (информационные системы и технологии, библиотеки, архивы, персонал, нормативные документы и т.д.);
    - система формирования общественного сознания (СМИ, социальные институты и т.д.).
    ФЗ "Об информации, информационных технологиях и о защите информации"
    В российском законодательстве базовым законом в области защиты информации является ФЗ "Об информации, информационных технологиях и о защите информации" от
    27 июля 2006 года номер 149-ФЗ. Поэтому основные понятия и решения, закрепленные в законе, требуют пристального рассмотрения.
    Закон регулирует отношения, возникающие при:
    • осуществлении права на поиск, получение, передачу, производство и распространение информации;
    • применении информационных технологий;
    • обеспечении защиты информации.
    Закон дает основные определения в области защиты информации. Приведем некоторые из них:

    информация - сведения (сообщения, данные) независимо от формы их представления;

    информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

    информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;


    обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

    оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

    конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
    В статье 4 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:
    1. свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
    2. установление ограничений доступа к информации только федеральными законами;
    3. открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
    4. равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
    5. обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
    6. достоверность информации и своевременность ее предоставления;
    7. неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
    8. недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.
    Вся информация делится на общедоступную и ограниченного доступа. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. В законе, определяется информация, к которой нельзя ограничить доступ, например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
    Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.
    Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.
    Закон выделяет 4 категории информации в зависимости от порядка ее предоставления или распространения:
    1. информацию, свободно распространяемую;
    2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
    3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
    4. информацию, распространение которой в Российской Федерации ограничивается или запрещается.

    Закон устанавливает равнозначность электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи, и документа, подписанного собственноручно.
    Дается следующее определение защите информации - представляет собой принятие правовых, организационных и технических мер, направленных на:
    1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
    2. соблюдение конфиденциальности информации ограниченного доступа;
    3. реализацию права на доступ к информации.
    Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
    1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
    2. своевременное обнаружение фактов несанкционированного доступа к информации;
    3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
    4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
    5. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
    6. постоянный контроль за обеспечением уровня защищенности информации.
    Таким образом, ФЗ "Об информации, информационных технологиях и о защите информации" создает правовую основу информационного обмена в РФ и определяет права и обязанности его субъектов.
    В декабре 2017 года в России принята новая редакция Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.
    Доктрина – концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами
    «О государственной тайне», «Об информации», «О защите персональных данных» и другими.
    На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.
      1   2   3

    написать администратору сайта