Информационная безопасность в профессиональной деятельности. ЛЕКЦИЯ 1. Лекция 1Основные понятия теории информационной безопасности

Лекция 1
Основные понятия теории информационной безопасности

История становления теории информационной безопасности
Методы и средства защиты информации в каждую историческую эпоху тесно связаны с уровнем развития науки и техники.
Категории защищаемой информации определялись экономическими, политическими и военными интересами государства.
На современном этапе развития общества информация выступает как форма собственности, и следовательно, имеет определенную ценность. Чтобы подчеркнуть роль информации в обществе, говорят об «информационном обществе», в отличие от предыдущей фазы развития общества — «индустриальном обществе».

Основные подходы к рассмотрению вопросов информационной безопасности
Неформальный, или описательный
При этом комплекс вопросов построения защищённых систем делится на основные направления, соответствующие угрозам, разрабатывается комплекс мер и механизмов защиты по каждому направлению.
Формальный
Основан на понятии политики безопасности и определении способов гарантирования выполнения её положений.

История становления теории информационной безопасности
Теория информационной безопасности постоянно развивается т.к. в связи с развитием технологий обработки и передачи информации постоянно возникают новые задачи по обеспечению информационной безопасности.
Особую роль в развитии теории информационной безопасности как науки и отрасли промышленности играют так называемые центры информационной безопасности. К ним относятся государственные, общественные и коммерческие организации, а также неформальные объединения, основные направления деятельности которых — координация усилий, направленных на актуализацию проблем защиты информации, проведение теретических исследований и разработка конкретных практических решений в области безопасности, аналитическая деятельность и прогнозирование.

Центры информационной безопасности в России:
➢ Федеральная служба технического и экспортного контроля (ФСТЭК) https://fstec.ru/
➢ Институт криптографии, связи и информатики
Академии федеральной службы безопасности (ИКСИ) http://academy.fsb.ru/index_i.html
➢ Академия криптографии Российской Федерации (АК
РФ)
https://cryptoacademy.gov.ru/

Центры информационной
безопасности
Информационно- аналитические
В основном занимаются сбором и распространением информации об известных уязвимых местах систем, атаках и вторжениях, программных и аппаратных средствах профилактики и защиты. Регулярно публикуются и рассылаются аналитические обзоры, проводятся интернет- конференции, посвященные защите информации.

Центры информационной
безопасности
Оперативного реагирования
Для этих центров ключевым аспектом деятельности является оказание практической помощи тем, чьим интересам был нанесен ущерб в результате нарущения информационной безопасности.

Центры информационной
безопасности
Консультационные
Преимущественно занимаются оказанием консалтинговых услуг организациям, испытывающим трудности с выбором или внедрением программных, аппаратных или комплексных мер защиты, разработкой политики безопасности или использованием нормативно-правовой базы, регламентирующей вопросы применения мер защиты.

Центры информационной
безопасности
Научно- исследовательские
Как правило, функционируют на базе факультетов крупных учебных заведений или подразделений государственных организаций и сосредоточены на изучении и совершенствовании теоретических основ информационной безопасности, исследовании и разработке моделей безопасных систем, синтезе и анализе защитных механизмов, совершенствовании законодательной базы.

Центры информационной
безопасности
Центры сертификации
Реализуют программы тестирования, сравнения и сертификации средств защиты, а также разрабатывают подходы к сертификации и методики тестирования. Существуют государственные и независимые центры сертификации.

Предметная область теории информационной безопасности:
· информация и ее свойства;
· угрозы безопасности информации и ее собственникам;
· политика безопасности и модели безопасности;
· способы, методы и средства защиты информации;
· классификация систем защиты;
· требования к защищенности информационных систем;
· методология оценки защищенности информационных систем и проектирования защиты.
· конкретные системы защиты информации, применяемые в различных органах управления, учреждениях и на предприятиях различных форм собственности.

Основные понятия в области информационной безопасности
Информационная безопасность
— состояние защищенности информационных ресурсов
(информационной среды) от внутренних и внешних угроз, способных нанести ущерб интересам личности, общества, государства
(национальным интересам).
Безопасность информации
— защищенность информации от нежелательного (для соответствующих субъектов информационных отношений) ее разглашения (нарушения конфиденциальности), искажения
(нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования.

защита информации направлена на
обеспечение безопасности информации,
безопасность информации обеспечивается
с помощью ее защиты

Основные термины и понятия
Информация
сведения (сообщения, данные) независимо от формы их представления.

Основные термины и понятия
Информационные
технологии
процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Основные термины и понятия
Информационная
система
совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Основные термины и понятия
Информационно-
телекоммуникационная
сеть
технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

Основные термины и понятия
Обладатель
информации
лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким- либо признакам.

Основные термины и понятия
Доступ к
информации
возможность получения информации и ее использования.

Основные термины и понятия
Предоставление
информации
действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц

Основные термины и понятия
Распространение
информации
действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.

Основные термины и понятия
Защищаемая
информация
информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Собственником информации может
быть: государство, юридическое лицо,
группа физических лиц, отдельное
физическое лицо.

Защита информации;
Это принятие правовых, организационных и технических мер, направленных:
1) на обеспечение защиты информации от неправомерного доступа уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.

Цель защиты информации;
Это заранее намеченный результат защиты информации.
Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.

Эффективность защиты информации;
Это степень соответствия результатов защиты информации поставленной цели

Защита информации:
Организация
защиты
информации
содержание и порядок действий, направленных на обеспечение защиты информации.

Защита информации:
Система
защиты
информации
совокупность органов и
(или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно- распорядительными и нормативными документами в области защиты информации.

Защита информации:
Мероприятия
по
защите
информации
совокупность действий, направленных на разработку и (или) практическое применение способов и средств защиты информации.

Защита информации:
Техника
защиты
информации
средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

Защита информации:
Объект
защиты
информации
информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.

Защита информации:
Способ
защиты
информации
порядок и правила применения определенных принципов и средств защиты информации.

Установленные термины обязательны для
применения во всех видах документации.
Для каждого понятия установлен один
термин.
Применение его синонимов не допускается

Основные принципы
построения систем защиты
Для защиты информации в информационных системах
могут быть сформулированы следующие принципы:

1. Законность и обоснованность защиты
Принцип законности и обоснованности предусматривает то, что защищаемая информация по своему правовому статусу относится к информации, которой требуется защита в соответствии с законодательством.

2. Системность
Системный подход к защите информационной системы предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов.
При обеспечении безопасности информационной системы необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей, пути проникновения в распределенные системы и пути несанкционированного доступа к информации.
Система защиты должна строиться не только с учетом всех известных каналов проникновения, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

3. Комплексность
Комплексное использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

4. Непрерывность защиты
Защита информации — это непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла информационной системы, начиная с самых ранних стадий проектирования.
Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы.

5. Разумная достаточность
Создать абсолютно непреодолимую систему защиты принципиально невозможно: при достаточных времени и средствах можно преодолеть любую защиту. Следовательно, возможно достижение лишь некоторого приемлемого уровня безопасности.
Высокоэффективная система защиты требует больших ресурсов
(финансовых, материальных, вычислительных, временных) и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень зашиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

6. Гибкость
Внешние условия и требования с течением времени меняются. Принятые меры и установленные средства защиты могут обеспечивать как чрезмерный, так и недостаточный уровень защиты.
Для обеспечения возможности варьирования уровня защищенности средства защиты должны обладать определенной гибкостью.

7. Открытость алгоритмов и механизмов защиты
Суть принципа открытости механизмов и алгоритмов защиты состоит в том, что знание алгоритмов работы системы защиты не должно давать возможности ее преодоления даже разработчику защиты. Однако это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна, необходимо обеспечивать защиту от угрозы раскрытия параметров системы.

8. Простота применения средств защиты
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения малопонятных ему операций.

Эффективное обеспечение защиты
информации возможно только на основе
комплексного использования всех известных
методов и подходов к решению данной
проблемы.

Функция защиты
Это совокупность однородных в функциональном отношении мероприятий, регулярно осуществляемых в информационной системе различными средствами и методами в целях создания, поддержания и обеспечения условий, объективно необходимых для надежной защиты информации.

Полное множество функций защиты:
1.
предупреждение возникновения условий, благоприятствующих появлению дестабилизирующих факторов;
2.
предупреждение непосредственного проявления дестабилизирующих факторов;
3.
обнаружение проявившихся дестабилизирующих факторов;
4. предупреждение воздействия на защищаемую информацию проявившихся дестабилизирующих факторов;
5. обнаружение воздействия дестабилизирующих факторов;
6. локализация воздействия дестабилизирующих факторов;
7. ликвидация последствий локализованного воздействия дестабилизирующих факторов.

Полнота множества функций защиты имеет
значение для оптимизации систем защиты
информации. Осуществление функций защиты
связано с расходованием ресурсов.

С учетом этого задачу защиты информации
можно сформулировать как
оптимизационную
: определить перечень
мероприятий, при которых заданный уровень
защиты обеспечивается при минимальных
затратах.

Возможна и другая постановка: достичь
максимально возможного уровня
защищенности информации при
определенном уровне затрат на защиту.

Средства реализации комплексной защиты информации:
Формальные
выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека.
Неформальные
определяются целенаправленной деятельностью человека либо регламентируют эту деятельность.

Средства защиты:
Технические
средства
реализуются в виде электрических, электромеханических и электронных устройств.
Вся совокупность технических средств делится на аппаратные и физические.

Технические средства защиты:
Аппаратные технические средства.
Устройства, встраиваемые непосредственно в телекоммуникационную аппаратуру, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.
Физические средства.
Реализуются в виде автономных устройств и систем.
Это могут быть, например замки на дверях помещений, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.

Средства защиты:
Программные
средства
представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.

Средства защиты:
Организационн
ые
средства
представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации аппаратуры телекоммуникаций для обеспечения защиты информации.
Организационные мероприятия охватывают все структурные элементы системы на всех этапах их жизненного цикла
(строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и эксплуатация).

Средства защиты:
Законодательн
ые
средства
определяются законодательными актами страны, которыми регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Средства защиты:
Морально
-
этические
средства
реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в данной стране или обществе. Эти нормы большей частью не являются обязательными, как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета и престижа человека.

Итак, информационная безопасность является важной
составляющей национальной безопасности России.
Политика государства в этой сфере деятельности направлена
в первую очередь на организацию защиты государственной
тайны и развитие правовых основ защиты информации.
Правовая защита информации выступает как один из
наиболее важных способов и методов защиты
информации.

Конец лекции 1.
Спасибо за внимание!