Главная страница
Навигация по странице:

  • Защита информации и информационная безопасность

  • Основные понятия.

  • Основы информационной безопасности

  • Современное состояние проблемы информационной без­опасности

  • Программно-аппаратные методы защиты информации.

  • Криптографические методы защиты информации.

  • Системы обеспечения корпоративной безопасности ин­формации

  • 1.2.

  • 1.3. Угрозы конфиденциальной информации

    		•

    ПЗ 1 (Защита ИМ). Лабораторная работа 1 дисциплина Информационный менеджмент Защита информации и информационная безопасность


    Скачать 155.5 Kb.
    НазваниеЛабораторная работа 1 дисциплина Информационный менеджмент Защита информации и информационная безопасность
    Дата16.01.2023
    Размер155.5 Kb.
    Формат файлаdoc
    Имя файлаПЗ 1 (Защита ИМ).doc
    ТипЛабораторная работа
    #889668
    страница1 из 3
      1   2   3

    Лабораторная работа №1

    дисциплина Информационный менеджмент
    Защита информации и информационная безопасность


    1. Теоретический раздел

      1. Термины и понятия

    Цель: Познакомить студентов с проблемами информационной без­опасности и основными направлениями их решения; дать представление с принципах и подходах к решению задач защиты информации; вырабо­тать навыки разработки политики информационной безопасности, при­менения современных методов и средств защиты информационных ре­сурсов предприятий.

    • Основные понятия. Информационная безопасность и ее составные части. Понятия целостности, конфидециальности, аутентичности и доступности информации. Защищен­ность информационных ресурсов, систем и технологий.

    • Основы информационной безопасности. Концепция и общие направления обеспечения информационной безопас­ности. Угрозы безопасности, стратегия и тактика защиты информации.

    • Современное состояние проблемы информационной без­опасности. Категории информационной безопасности. Мо­дели защиты информации (Biba, Goguen-Mesenguer, Clark-Wilson). Технологии несанкционированного доступа к ин­формационным ресурсам и системам. Принципы построе­ния систем защиты информации. Стандарты безопасности информационных систем.

    • Программно-аппаратные методы защиты информации. Структура подсистем безопасности операционных систем (Windows, UNIX), их функции: идентификация, разграниче­ние доступа, аудит, защита обмена данных. Критерии защи­щенности OS. Защита PC: ограничение доступа, хранение ключевой информации, привязка программного обеспечения к аппаратному окружению и физическим носителям.

    • Криптографические методы защиты информации. Клас­сификация алгоритмов шифрования информации. Крипто­графические стандарты.

    • Безопасность компьютерных сетей. Защита серверов, рабочих станций, среды передачи информации, узлов ком­мутации сетей. Защита от вирусов, межсетевые экраны (Firewall), анализ трафика.

    • Системы обеспечения корпоративной безопасности ин­формации. Комплексный подход к проблеме защиты инфор­мации. Уровни (административный, процедурный, про­граммно-технический) и приоритеты политики безопасно­сти. Анализ рисков, исследование защищенности информа­ции. Обзор новейших технологий защиты информации.


    В современной рыночной экономике обязательным ус­ловием успеха предпринимателя в бизнесе, получения при­были и сохранения целостности созданной им организаци­онной структуры является обеспечение экономической без­опасности его деятельности. Одной из главных составных ча­стей экономической информации является информационная безопасность. Проблемы безопасности становятся все более сложными и практически значимыми в связи с массовым переходом информационных технологий в управление на безбумажную автоматизированную основу. Информацион­ная безопасность носит концептуальный характер и предпо­лагает решение комплекса задач поддержания безопасности информационных ресурсов фирмы (организации).

    Под безопасностью информационных ресурсов (инфор­мации) понимаются защищенности информации во време­ни и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функ­ционирования фирмы (организации) и условиях экстремаль­ных ситуаций: стихийных бедствий, других неуправляемых событий, пассивных и активных попыток злоумышленни­ка создать потенциальную или реальную угрозу несанкци­онированного доступа к документам, делам, базам данных.


    Необходимый уровень безопасности информационных ре­сурсов определяется в процессе различных аналитических исследований, которые предопределяют структуру и требуе­мую эффективность системы защиты этих ресурсов с учетом финансовых возможностей фирмы (организации).

    В решении проблемы информационной безопасности значительное место занимает построение эффективной сис­темы организации работы с персоналом, обладающим конфиденциальной информацией. В предпринимательских структурах персонал обычно включает в себя всех сотруд­ников данной фирмы (организации), в том числе и руково­дителей.

    Никакая, даже самая совершенная в организационном плане и великолепно оснащенная технически система защи­ты информации не может соперничать с изобретательнос­тью человека, задумавшего украсть или уничтожить цен­ную информацию. Многие специалисты по защите инфор­мации считают, что при правильной организации работы с персоналом защита информации фирмы (организации) сра­зу обеспечивает не менее чем на 80%, без применения ка­ких-либо дополнительных методов и средств защиты.

    Обеспечение безопасности информации в информацион­ных системах от случайных или преднамеренных воздей­ствий персонала, направленных на неправомерное исполь­зование, уничтожение, модификацию тех или иных данных, изменение степени доступности ценных сведений в машин­ной и внешнемашинной сферах предполагают наличие на­дежной защиты ценных для предпринимателя документов, прежде всего конфиденциальных документов. Необходимый уровень защищенности документированной информации достигается в значительной степени за счет использования в обработке традиционных, машиночитаемых и электронных конфиденциальных документов эффективной для конкрет­ной фирмы специализированной традиционной или авто­матизированной технологической системы, позволяющей решать задачи не только документального обеспечения уп­равленческой и производственной деятельности, но и со­хранности носителей и конфиденциальности информации.

    1.2. Информационные ресурсы и конфиденциальность информации

    Информационные ресурсы (информация) являются объек­тами отношений юридических и физических лиц между со­бой и с государством. В совокупности они составляют ин­формационные ресурсы России и защищаются наряду с дру­гими ресурсами. Документирование информации (создание официального документа) является обязательным услови­ем включения информации в информационные ресурсы. Следует учитывать, что документ может быть не только и даже не столько управленческим (деловым), имеющим в большинстве случаев текстовую, табличную или анкетную форму. Значительно большие объемы наиболее ценных документов представлены в изобразительной форме: кон­структорские документы, картографические, научно-техни­ческие, документы на фотографических, магнитных и иных носителях.

    В соответствии с интересами обеспечения национальной безопасности и степенью ценности, а также правовыми, эко­номическими и другими интересами предпринимательских структур информационные ресурсы могут быть:

    а) открытыми, то есть общедоступными, используемы­ми в работе без специального разрешения, публикуемые в средствах массовой информации, оглашаемыми на конфе­
    ренциях, в выступлениях и интервью;

    б) ограниченного доступа и использования, то есть со­держащие сведения, составляющие тот или иной вид тайны и подлежащие защите, охране, наблюдению и контролю.

    Накопители информационных ресурсов называются ис­точниками (обладателями) информации.
    Они включают в себя:

    1. публикации о фирме и ее разработках;

    2. рекламные издания, выставочные материалы, доку­ментацию;

    3. персонал фирмы и окружающих фирму людей;

    4) физические поля, волны, излучения, сопровождающие работу вычислительной и другой офисной техники, различных приборов и средств связи.

    Источники содержат информацию как открытого, так и ограниченного доступа. Причем информация того и друго­го рода находится в едином социальном пространстве и разделить ее без тщательного содержательного анализа ча­сто не представляется возможным.

    Документация как источник информации ограниченно­го доступа включает:

    • документацию, содержащую ценные сведения, ноу-хау;

    • комплексы обычной деловой и научно-технической документации, содержание общеизвестных сведений, организационно-правовые и распорядительные доку­менты;

    • рабочие записи сотрудников, их служебные дневни­ки, личные рабочие планы, переписку по производ­ственным вопросам;

    • личные архивы сотрудников фирмы.

    В каждой из указанной групп могут быть:

    • документы на обыкновенных бумажных носителях (листах бумаги, ватмане, фотобумаге и тому подоб­ное);

    • документы на технических носителях (магнитных, фотопленочных и другие);

    • электронные документы, банки электронных докумен­тов, видеограммы и тому подобное.

    Каналы распространения носят объективный характер, отличаются активностью и включают в себя:

    • деловые, управленческие, торговые, научные и дру­гие коммуникативные регламентированные связи;

    • информационные сети;

    • естественные технические каналы излучения, создания фона.

    Канал распространения информации представляет собой путь перемещения сведений из одного источника в другой в санкционированном режиме или в силу объективных зако­номерностей.

    Ценность информации может быть стоимостной катего­рией и характеризовать конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Ин­формация часто становится ценной ввиду ее правового зна­чения для фирмы или развития бизнеса. Обычно выделяют два вида информации, интеллектуально ценной для пред­принимателя:

    • техническая, технологическая: методы изготовления продукции, программное обеспечение, производствен­ные показатели, химические формулы, рецептуры, результаты испытаний опытных образцов, данные контроля качества и другие;

    • деловая: стоимостные показатели, результаты иссле­дования рынка, списки клиентов, экономические про­гнозы, стратегия действий на рынке и тому подобное.

    Ценная информация охраняется нормами права, товар­ным знаком или защищается включением ее в категорию информации, составляющей тайну фирмы. Состав этих све­дений фиксируется в специальном перечне, закрепляющем факт отнесения их к защищаемой информации и определя­ющем период конфиденциальности этих сведений, уровень (гриф) конфиденциальности, список сотрудников фирмы (организации), которым дано право использовать эти све­дения в работе. Перечень представляет собой классифици­рованный список типовой и конкретной ценной информа­ции о проводимых работах, производимой продукции, на­учных и деловых идеях, технологических новшествах и является постоянным рабочим материалом руководства фирмы и служб безопасности.

    Производственная или коммерческая ценность информа­ции, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, а также временем до патен­тования, опубликования и перехода в число общеизвест­ных.

    Под конфиденциальным (закрытым, защищаемым) до­кументом понимается необходимым образом оформленный носитель документированной информации, содержащий сведения ограниченного доступа или использования, кото­рые составляют интеллектуальную собственность юридиче­ского или физического лица.

    Конфиденциальные документы включают в себя:

    • в государственных структурах — служебную инфор­мацию ограниченного распространения, то есть ин­формацию, отнесенную к служебной тайне, а также документы, имеющие рабочий характер и не подле­жащие публикации в открытой печати (проекты до­кументов, сопутствующие материалы и так далее);

    • в предпринимательских структурах и направлениях подобной деятельности — сведения, которые их соб­ственник или владелец в соответствии с законодатель­ством имеет право отнести к коммерческой (предпри­нимательской) тайне, тайне фирмы, тайне мастерства;

    • независимо от принадлежности — любые персональ­ные (личные) данные о гражданах, а также сведения, содержащие профессиональную тайну, технические и технологические новшества (до их патентования), тай­ну предприятий связи, сферы обслуживания и тому подобное.

    Особенностью конфиденциального документа является то, что он представляет собой одновременно:

    • массовый носитель ценной, защищаемой информа­ции;

    • основной источник накопления и объективного рас­пространения этой информации, а также ее неправо­мерного разглашения или утечки;

    • обязательный объект защиты.

    Конфиденциальность документов всегда имеет значитель­ный разброс по срокам ограничения свободного доступа к ней персонала фирмы (от нескольких часов до значитель­ного числа лет). Следует учитывать, что основная масса конфиденциальных документов после окончания их исполнения или работы с ними теряет свою ценность. Период конфиденциальности документов определяется по перечню, указанному выше, и специфики деятельности фирмы.

    1.3. Угрозы конфиденциальной информации

    Под угрозой или опасностью утраты информации пони­мается единичное или комплексное, реальное или потенци­альное, активное или пассивное проявление неблагоприят­ных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информа­цию, документы и базы данных.

    Риск угрозы любым информационным ресурсам созда­ют стихийные бедствия, аварии технических средств и ли­ний связи, другие объективные обстоятельства, а также за­интересованные и незаинтересованные в возникновении уг­розы лица. К угрозам, создаваемым этими лицами, отно­сятся: несанкционированное уничтожение документов, ус­корение угасания (старения) текста или изображения, под­мена и изъятие документов, фальсификация текста или его части и другие.

    Основной угрозой безопасности информационных ресурсов ограниченного распространения является несанкционирован­ный доступ злоумышленника или постороннего лица к до­кументированной информации и, как результат, овладение информацией и противоправное ее использование или со­вершение иных действий. Целью и результатом может быть не только овладение ценными сведениями и их использова­ние, но и их видоизменение, подмена, уничтожение и тому подобное.

    Обязательным условием успешного осуществления по­пытки несанкционированного доступа к информационным ресурсам ограниченного доступа является интерес к ним со стороны конкурентов, определенных лиц, служб и организа­ций. При отсутствии такого интереса угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней постороннего лица. Основным ви­новником несанкционированного доступа к информацион­ным ресурсам является, как правило, персонал, работаю­щий с документами, информацией и базами данных. При этом надо иметь в виду, что утрата информации происхо­дит в большинстве случаев не в результате преднамерен­ных действий, а из-за невнимательности и безответственно­сти персонала.

    Следовательно, утрата информационных ресурсов огра­ниченного доступа может наступить:

    • при наличии интереса конкурента, учреждений, фирм или лиц к конкретной информации;

    • при возникновении риска угрозы, организованной злоумышленником, или при случайно сложившихся обстоятельствах;

    • при наличии условий, позволяющих злоумышленни­ку осуществить необходимые действия и овладеть ин­формацией.

    Утрата информации характеризуется двумя условиями: информация переходит

    • непосредственно к заинтересованному лицу — конку­ренту, злоумышленнику;

    • случайному, третьему лицу.

    Переход информации к третьему лицу представляется достаточно частным явлением, и его можно назвать непред­намеренным, стихийным, хотя при этом факт разглашения информации, нарушения ее безопасности имеет место.

    Непреднамеренный переход информации к третьему лицу возникает в результате:

    • утери или неправильного уничтожения документа, пакета с документами, дела, конфиденциальных запи­сей;

    • игнорирования или умышленного невыполнения со­трудником требований по защите документированной информации;

    • излишней разговорчивости сотрудников при отсут­ствии злоумышленника (с коллегами по работе, родственниками, друзьями, иными лицами в местах об­щего пользования, транспорте и тому подобное);

    • работы с документами ограниченного доступа при посторонних лицах, несанкционированной передачи их другому сотруднику;

    • использование сведений ограниченного доступа в от­крытой документации, публикациях, интервью, лич­ных записях, дневниках и тому подобное;

    • отсутствия маркировки (грифования) информации и документов ограниченного доступа (в том числе до­кументов на технических носителях);

    • наличия в документах излишней информации огра­ниченного доступа;

    • самовольного копирования сотрудником документов в служебных или коллекционных целях.

    В отличие от третьего лица злоумышленник или его со­общник целенаправленно охотятся за конкретной инфор­мацией и преднамеренно, противоправно устанавливают контакт с источником этой информации или преобразуют канал ее объективного разглашения или утечки. Такие ка­налы всегда являются тайной злоумышленника.

    Каналы несанкционированного доступа могут быть двух типов: организационные и технические. Обеспечиваются они легальным и нелегальным методами.

    Организационные каналы разглашения информации от­личаются большим разнообразием видов и основаны на установлении разнообразных, в том числе законных, взаи­моотношений злоумышленника с фирмой или ее сотруд­ником для последующего несанкционированного доступа к интересующей информации.

    Организационные каналы отбираются или формируют­ся злоумышленником индивидуально или в соответствии с его профессиональным умением, конкретной ситуацией, прогнозировать их крайне сложно.

    Широкие возможности несанкционированного получе­ния подобных сведений создает техническое обеспечение офисных технологий. Любая управленческая деятельность всегда связана с обсуждением ценной информации в каби­нетах или по линиям связи, проведением расчетов и анали­за ситуации на ЭВМ, изготовлением, размножением доку­ментов.

    Технические каналы утечки информации возникают при использовании специальных технических средств промыш­ленного шпионажа, позволяющих получать информацию без непосредственного контакта с персоналом фирмы, до­кументами, делами и базами данных. Технический канал представляет собой физический путь утечки информации от источника или канала объективного распространения ин­формации к злоумышленнику.

    В целях практической реализации поставленных задач могут быть определены не только каналы несанкциониро­ванного доступа к информации фирмы, но и совокупность методов получения этой информации.

    Легальные методы входят в содержание понятий «невин­ного шпионажа» и «разведки в бизнесе», отличаются право­вой безопасностью и, как правило, предопределяют возник­новение интереса к конкурирующей фирме. Они дают зло­умышленнику основную массу интересующей его информа­ции и позволяют определить состав отсутствующих сведе­ний, которые предстоит добыть нелегальными методами.

    Нелегальные методы получения ценной информации все­гда носят незаконный характер и используются в целях до­ступа к защищаемой информации, которую невозможно получить легальным путем. Нелегальные методы предпо­лагают: воровство, продуманный обман, подделку иденти­фицирующих документов, взяточничество, инсценирова­ние или организацию экстремальных ситуаций, использо­вание различных криминальных приемов.

    В результате эффективного использования каналов не­санкционированного доступа к информации ограниченно­го доступа и различных методов ее добывания злоумыш­ленник получает:

    • подлинник или официальную копию документа (бу­мажного, машиночитаемого, электронного), содер­жащего информацию ограниченного доступа;

    • несанкционированно сделанную копию этого доку­мента (рукописную или изготовленную с помощью копировального аппарата, фототехники, компьютера);

    • диктофонную, магнитофонную, видеокассету с запи­сью текста документа, переговоров, совещания;

    • письменное или устное изложение за пределами фир­мы содержания документа, ознакомление с которым осуществлялось санкционировано или тайно;

    • устное изложение текста документа по телефону, пе­реговорному устройству, специальной радиосвязи;

    • аналог документа, переданного по факсимильной свя­зи или электронной почте;

    • речевую или визуальную запись текста документа, вы­полненную с помощью технических средств разведки.

    Получение ценных документов или информации огра­ниченного доступа может быть единичным явлением или регулярным процессом, протекающим на протяжении от­носительно длительного времени.
      1   2   3

    написать администратору сайта