Базовые понятия

Базовые понятия Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. Конфиденциальная информация - документированная информация, доступ к которой ограничивается законодательством РФ. Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов, установленными собственниками информации. Собственники информации:  • государство, • юридическое лицо, • группа физических лиц, • отдельное физическое лицо Информационные ресурсы (активы) - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных). Правовые нормы Правовой режим информационных ресурсов определяется нормами, устанавливающими: • порядок документирования информации; • право собственности на отдельные документы и отдельные массивы документов; • категорию информации по уровню доступа к ней; • порядок правовой защиты информации. Информационные системы  Информационные системы представляют собой организационно-упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы. Сегодня любая информационная система является автоматизированной информационной системой (АИС, АС). Среди свойств информационных систем можно выделить следующие: • производительность;  • управляемость;  • интегрируемость; • целостность; • масштабируемость; • адаптивность; • безопасность. Информационная безопасностью - это состояние защищенности информационных ресурсов, технологии их создания, обработки и использования, а также прав субъектов информационной деятельности. В качестве составляющих понятия информационной безопасности можно выделить три компонента: • конфиденциальность или защита от несанкционированного доступа (НСД); • целостность или защита от несанкционированного изменения информации; • обеспечение доступа к информации в соответствии с полномочиями пользователя. Основные объекты обеспечения информационной безопасности • информационные ресурсы, содержащие сведения, отнесенные к конфиденциальной информации; • средства вычислительной техники, вычислительные сети и системы; • операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение; • помещения, предназначенные для обработки конфиденциальной информации; • помещения, предназначенные для ведения закрытых переговоров. Угроза информационной безопасности Методы, способы и средства безопасности информации разрабатываются на основе анализа угроз безопасности информации. Под угрозой безопасности информации понимается потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации. Реализация угрозы называется нарушением безопасности или уязвимостью. Источники угрозы информационной безопасности • разработчики программного или аппаратного обеспечения; • обслуживающий персонал; • пользователи; • посторонние лица; • злоумышленники. Классификация угроз безопасности  Классификация угроз безопасности представлена на рис. 1. Рис. 1. Классификация угроз безопасности Естественные угрозы - это угрозы, вызванные воздействиями природных явлений, объективных физических процессов, независящих от человека. Искусственные угрозы - это угрозы, вызванные деятельностью человека: • непреднамеренные (случайные, неумышленные); • преднамеренные (умышленные). Непреднамеренные угрозы безопасности могут быть следующие ситуации: • отключение оборудования или изменение режимов работы устройств и программ; • ввод ошибочных данных; • использование несертифицированных программ; • заражение компьютера вирусами; • наличие алгоритмических и программных ошибок в программах; • некомпетентное использование программ; • пересылка данных по ошибочному адресу абонента; • неосторожные действия, приводящие к разглашению конфиденциальной информации; • разглашение, передача или утрата паролей, идентификационных карточек пользователей; • вход в информационную систему в обход средств защиты; • некомпетентное использование или неправомерное отключение средств защиты; • сбои и отказы вычислительных средств информационных систем. Преднамеренные угрозы: • отключение или вывод из строя подсистем обеспечения функционирования вычислительных средств: электропитания, водяного или воздушного охлаждения и вентиляции, линий связи; • несанкционированное копирование информации, хищение носителей информации или производственных отходов (распечаток, записей); • чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств; • несанкционированное использование паролей пользователей; • внедрение в аппаратные и программные изделия компонентов для  перехвата информации; • применение подслушивающих устройств, дистанционной фото и видео съемки. Схема процесса обеспечения безопасности  (см. рис. 2) Рис. 2. Схема обеспечения безопасности Определение защиты информации Защита информации – это деятельность, направленная на предотвращение утечки защищенной информации, несанкционированных  и непреднамеренных воздействий на защищенную информацию. Направления защиты информации 1. Правовая защита – включают подготовку законодательных актов и нормативных документов, правил, обеспечивающих защиту информации и контроль за их выполнение. 2. Техническая защита – состоит из разработки, использования и совершенствования аппаратных, программных и некриптографических средств защиты информации, методов контроля их эффективности. 3. Криптографическая защита. 4. Физическая защита – защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных лиц. Средства защиты информации - это технические, программные, программно-технические инструменты, предназначенные для защиты информации. Отдельно выделяются: • средства контроля эффективности защиты информации; • криптографические средства защиты; • средства физической защиты информации. Защита информации от несанкционированного доступа (НДС) Защита информации от НДС направлена на предотвращение получения защищенной информации заинтересованными субъектами с нарушением правил разграничения доступа к защищенной информации. Правила устанавливаются: • нормативными и правовыми документами (актами); • обладателями информации. Методы защиты от НСД 1. Идентификация 2. Аутентификация 3. Управление доступом Идентификация - установление тождественности неизвестного объекта известному на основании совпадения признаков (распознание). Присвоение объектам идентификаторов (ID) – уникальных имен или меток, под которыми АС может выполнить распознавание.  Объекты идентификации: пользователи, группы пользователей, ресурсы, события (для ведения журнала событий). Аутентификация - установление подлинности, проверка принадлежности объекту (пользователю) предъявляемого им идентификатора. Основывается на двух параметрах (логин и пароль) и более. В АИС идентифицирует объект по имени и аутентифицирует по сопоставлению его с введенным паролем. Методы аутентификации представлена на рис. 3.  Рис. 3. Методы аутентификации в АИС Биометрические методы аутентификации: • Статические (отпечатки пальцев, рисунок радужной оболочки глаз, геометрия кисти рук, фотография). • Динамические (голосовое воспроизведение, «клавиатурный почерк»). • Комбинированные. Парольные системы аутентификации - это программный или программно-аппаратный комплекс, реализующий функции идентификации и аутентификации пользователей информационной системы путем проверки пароля. Включают: • интерфейс пользователя; • интерфейс администратора; • базу учетных записей; • модули системы безопасности. Выполняют функции разграничения прав доступа, регистрацию событий, могут выполнять генерацию криптографических ключей. Парольные системы состоят из: • идентификатора пользователя – имя учетной записи системы; • пароля пользователя – секретная информация, используемая для прохождения аутентификации. Пароли могут быть многоразовыми или одноразовыми. Рекомендации по администрированию парольной системы с многоразовыми паролями 1. Задание минимальной длины пароля. 2. Требование наличие разных групп символов. 3. Проверка качества паролей путем имитации атак (подбор пароля). 4. Установление максимального и минимального сроков жизни пароля (принудительная смена старых паролей). 5. Ограничение числа неудачных попыток ввода пароля (блокирование учетной записи после заданного числа неудачных попыток войти в систему). 6. Ведение журнала истории паролей, чтобы пользователи не могли выбрать старый (скомпрометированный) пароль