Гарантия того что информация сейчас существует в ее исходном виде
Составляющие информационной безопасности
Обеспечение информационной безопасности в большинстве случаев связано с комплексным решением трех задач:
1) обеспечением доступности информации;
2) обеспечением целостности информации;
3) обеспечением конфиденциальности информации.
Именно доступность, целостность и конфиденциальность являются равнозначными составляющими информационной безопасности.
Доступность – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время.
Фактор времени в определении доступности информации в ряде случаев является очень важным, поскольку некоторые виды информации и информационных услуг имеют смысл только в определенный промежуток времени.
Целостность информации условно подразделяется на статическую и динамическую. Статическая целостность информации предполагает неизменность информационных объектов от их исходного состояния, определяемого автором или источником информации. Динамическая целостность информации включает вопросы корректного выполнения сложных действий с информационными потоками, например, анализ потока сообщений для выявления некорректных сообщений, контроль правильности передачи сообщений, подтверждение отдельных сообщений и др.
Целостность является важнейшим аспектом информационной безопасности в тех случаях, когда информация используется для управления различными процессами, например техническими, социальными и т. д.
Целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений.
Конфиденциальность – гарантия доступности конкретной информации только тому кругу лиц, для кого она предназначена.
Конфиденциальная информация есть практически во всех организациях. Это может быть технология производства, программный продукт, анкетные данные сотрудников и др. Применительно к вычислительным системам в обязательном порядке конфиденциальными данными являются пароли для доступа к системе.
Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. Так, нарушение доступности приводит к отказу в доступе к информации, нарушение целостности приводит к фальсификации информации и, наконец, нарушение конфиденциальности приводит к раскрытию информации.
11.4. Информационная безопасность и ее основные компоненты
11.4. Информационная безопасность и ее основные компоненты
Под информационной безопасностью понимают состояние информационной защищенности среды общества от внутренних и внешних угроз, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств (Закон РФ «Об участии в международном информационном обмене»).
К системе безопасности информации предъявляются определенные требования:
– четкость определения полномочий и прав пользователей на доступ к определенным видам информации;
– предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;
– сведение к минимуму числа общих для нескольких пользователей средств защиты;
– учет случаев и попыток несанкционированного доступа к конфиденциальной информации;
– обеспечение оценки степени конфиденциальной информации;
– обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.
Под системой безопасности понимают организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.
Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий.
Категории информационной безопасности
С точки зрения информационной безопасности информация обладает следующими категориями:
1. Конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для которого она предназначена; нарушение этой категории называется хищением либо раскрытием информации.
2. Целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения.
3. Ааутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения.
4. Апеллируемость – довольно сложная категория, но часто применяемая в электронной коммерции – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости – сам автор пытается «откреститься» от своих слов, подписанных им однажды.
Угрозы конфиденциальной информации
Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.
Такими действиями являются:
• ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;
• модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;
• разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.
Действия, приводящие к неправомерному овладению конфиденциальной информацией:
1. Разглашение – это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним.
2. Утечка – это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.
3. Несанкционированный доступ – это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам.
Данный текст является ознакомительным фрагментом.
Продолжение на ЛитРес
Читайте также
Проект 2. Информационная страница
Проект 2. Информационная страница Занимаясь следующими шаблонами, мы будем использовать принципы расположения, компоновки и конфигурации элементов страницы, которые разработали для шаблона статьи. Такой подход обеспечит единый стиль оформления. Вместе с тем мы
1.3. Информационная безопасность в условиях функционирования в России глобальных сетей
1.3. Информационная безопасность в условиях функционирования в России глобальных сетей Цель мероприятий в области информационной безопасности – защитить интересы субъектов информационных отношений. Интересы эти многообразны, но все они концентрируются вокруг трех
ГЛАВА 3 Основные компоненты языка UML
ГЛАВА 3 Основные компоненты языка UML Язык UML представляет собой общецелевой язык визуального моделирования, который разработан для спецификации, визуализации, проектирования и документирования компонентов программного обеспечения, бизнес-процессов и других систем.
Основные компоненты сервера
Основные компоненты сервера Перед тем как углубиться в описание следующих файлов, осталось определить еще несколько параметров на сервере. Выполнение соответствующих сервисов в собственной сети обеспечит возможность автоматической настройки аппаратов Polycom при их
20.2.4 Управляющая информационная база
20.2.4 Управляющая информационная база Управляющая информационная база (Management Information Base — MIB) является логическим описанием всех управляющих данных. Существует много документов RFC, присваивающих набор соответствующих переменных. Каждый из этих документов описывает модуль
7.1 Общая информационная модель и стандарт WBEM
7.1 Общая информационная модель и стандарт WBEM Протокол SNMP (Simple Network Management Protocol) представляет собой стабильную технологию управления, имеющую свои преимущества и недостатки. Он обеспечивает эффективный мониторинг систем, однако не подходит для моделирования
Основные компоненты
Основные компоненты • Компилятор MinGW32 (скачать: сетевой автоустановщик) • Исходники библиотеки Qt (скачать: версию 4.3.4 или версию 4.3.2 )
Основные компоненты
Основные компоненты Этот раздел содержит некоторые основные шаблонные функции и классы, которые используются в остальной части
5.2.2.1. Основные компоненты системного блока
5.2.2.1. Основные компоненты системного блока Рассмотрим более подробно основные компоненты системного блока.Часть компонентов системного блока конструктивно располагается на системной или материнской плате (motherboard или mainboard). Плата представляет собой конструктивный
Информационная безопасность 2010 Алексей Лукацкий
Информационная безопасность 2010 Алексей Лукацкий За последний год меня часто спрашивали будущие выпускники ВУЗов и аспирантур о том, какую тему выбрать им для своего диплома/диссертации, какие направления информационной безопасности наиболее актуальны сейчас и будут
Глава 4 Основные компоненты ноутбука
Глава 4 Основные компоненты ноутбука • Платформа• Процессор• Оперативная память• Винчестер• Привод компакт-дисков и DVD• Система охлаждения• Беспроводные интерфейсы• Разъемы и порты• Факс-модем• Сетевой адаптер• Клавиатура• Координатное
Лекция 3. Основные компоненты и сервисы PKI
Лекция 3. Основные компоненты и сервисы PKI Рассматриваются основные компоненты PKI, описываются функции удостоверяющего и регистрационного центров, репозитория, архива сертификатов, серверных компонентов PKI, приводится краткая характеристика сервисов PKI и сервисов,
Основные компоненты PKI
Основные компоненты PKI Нельзя утверждать, что PKI сама по себе является инфраструктурой безопасности, но она может быть основой всеобъемлющей инфраструктуры безопасности. Инфраструктура открытых ключей представляет собой комплексную систему, сервисы которой
Информационная зависимость и перенасыщенность: две стороны медали
Информационная зависимость и перенасыщенность: две стороны медали В настоящее время информация играет огромную роль в жизни людей. Для некоторых, например бизнесменов, она является основой рабочей деятельности.Повышенная потребность в информации, а также
Информационная безопасность
Информация, особенно в электронном виде, может быть представлена в разных видах. Информацией можно считать и отдельный файл, и базу данных, и одну запись в ней, и целиком программный комплекс. Все эти объекты могут подвергнуться и подвергаются атакам со стороны асоциальных лиц. При хранении, поддержании и предоставлении доступа к любому информационному объекту его владелец или уполномоченное им лицо накладывает набор правил по работе с ней. Умышленное их нарушение классифицируется как атака на информацию.
1. Ситуация в области информационной безопасности.
2. Категории безопасности.
3. Модели защиты информации.
Сазерлендская модель защиты делает акцент на взаимодействии субъектов и потоков информации. Здесь используется машина состояний со множеством разрешенных комбинаций состояний и набором начальных позиций. В данной модели исследуется поведение множественных композиций функций перехода из одного состояния в другое.
4. Известные методы взлома.
Например, при работе в сети Интернет не существует надежного автоматического подтверждения того, что данный пакет пришел именно от того отправителя (IP-адреса), который заявлен в пакете. Это позволяет даже при применении надежного метода идентификации первого пакета подменять все остальные, просто заявляя, что все они пришли тоже с этого IP-адреса.
Все это заставляет разработчиков защищенных систем постоянно помнить о простых и очевидных способах проникновения в систему и предупреждать их в комплексе.
5. Терминалы защищенной системы.
При использовании терминалов с физическим доступом нужно соблюдать следующие требования. Защищенность терминала должна соответствовать защищенности помещения. Терминалы без пароля могут присутствовать только в тех помещениях, куда имеют доступ лица с соответствующим лил более высоким уровнем доступа. Отсутствие имени регистрации возможно только в том случае, если к терминалу имеет доступ только один человек, либо если на группу лиц, имеющих доступ, распространяются общие меры ответственности. Терминалы, установленные в публичных местах должны всегда запрашивать имя регистрации и пароль. Системы контроля за доступом в помещение с установленным терминалом должны работать полноценно и в соответствии с общей схемой доступа к информации. В случае установки терминала в местах с большим скоплением народа клавиатура и дисплей должны быть оборудованы устройствами, позволяющему видеть их только работающему в данный момент клиенту (непрозрачные пластмассовые или стеклянные ограждения).
Безотносительно от физического или коммутируемого доступа к терминалу, линия, соединяющая терминал с зоной ядра информационной системы должна быть защищена от прослушивания или весь обмен информацией должен вестись по конфиденциальной схеме идентификации и надежной схеме аутентификации клиента. Дальнейшие действия взломщика, получившего доступ к терминальной точке входа могут развиваться по двум основным направлениям. Попытки выяснения пароля прямо или косвенно и попытки входа в систему, совершенно без знания пароля, основываясь на ошибках в реализации программного или аппаратного обеспечения.
Гарантия того что информация сейчас существует в ее исходном виде
Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельно
jar—> txt fb2 ePub html
на телефон придет ссылка на файл выбранного формата
Не нашли что искали?
Если вам нужен индивидуальный подбор или работа на заказа — воспользуйтесь этой формой.
Обеспечить управление и поддержку в области информационной безопаснос
Категории информационной безопасности
Информация с точки зрения информационной безопасности обладает следующими категориями:
конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации
целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения
аутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения
апеллируемость – довольно сложная категория, но часто применяемая в электронной коммерции – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости – сам автор пытается «откреститься» от своих слов, подписанных им однажды.
В отношении информационных систем применяются иные категории:
надежность – гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано
точность – гарантия точного и полного выполнения всех команд
контроль доступа – гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются
контролируемость – гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса
контроль идентификации – гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает
устойчивость к умышленным сбоям – гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.
Основные определения и критерии классификации угроз
Атака на информацию – это умышленное нарушение правил работы с информацией. На сегодняшний день примерно 90% всех атак на информацию производят ныне работающие либо уволенные с предприятия сотрудники. При хранении, поддержании и предоставлении доступа к любому информационному объекту его владелец, либо уполномоченное им лицо, накладывает явно либо самоочевидно набор правил по работе с ней. Умышленное их нарушение классифицируется как атака на информацию.
Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).
Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС.
Если речь идет об ошибках в ПО, то окно опасности «открывается» с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих.
1. должно стать известно о средствах использования пробела в защите;
2. должны быть выпущены соответствующие заплаты;
3. заплаты должны быть установлены в защищаемой ИС.
Угрозы можно классифицировать по нескольким критериям:
1. по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;
2. по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
3. по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);
4. по расположению источника угроз (внутри/вне рассматриваемой ИС).
Наиболее распространенные угрозы доступности
Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.
Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе.
Другие угрозы доступности классифицируем по компонентам ИС, на которые нацелены угрозы:
внутренний отказ информационной системы;
отказ поддерживающей инфраструктуры.
Обычно применительно к пользователям рассматриваются следующие угрозы:
нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);
невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.);
невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).
Основными источниками внутренних отказов являются:
отступление (случайное или умышленное) от установленных правил эксплуатации;
выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);
ошибки при (пере)конфигурировании системы;
отказы программного и аппаратного обеспечения;
разрушение или повреждение аппаратуры.
По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:
нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
разрушение или повреждение помещений;
невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).
Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны нанести немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.
Похожие вопросы
найдено похожих страниц:10
Словарь терминов «Защита информации»
Онлайн-конференция
«Современная профориентация педагогов
и родителей, перспективы рынка труда
и особенности личности подростка»
Свидетельство и скидка на обучение каждому участнику
СЛОВАРЬ ТЕРМИНОВ
Информационная безопасность – это защищенность ин формации и поддерживающей ее инфраструктуры от случай ных или преднамеренных воздействий естественного или искус ственного характера, которые могут нанести ущерб владельцам или пользователям информации.
Защита информации – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Доступность – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время.
Целостность – гарантия того, что информация сейчас су ществует в ее исходном виде, то есть при ее хранении или пере даче не было произведено несанкционированных изменений.
Конфиденциальность – гарантия доступности конкретной информации только тому кругу лиц, для кого она предназначена.
Государственная тайна – защищаемые государством све дения в области его военной, внешнеполитической, экономи ческой, разведывательной, контрразведывательной и оператив но-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Система защиты государственной тайны – совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государствен ную тайну, и их носителей, а также мероприятий, проводимых в этих целях.
Средства защиты информации – технические, криптогра фические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, сред ства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Политика безопасности – это комплекс предупредитель ных мер по обеспечению информационной безопасности органи зации. Политика безопасности включает правила, процедуры и руководящие принципы в области безопасности, которыми руководствуется организация в своей деятельности.
Угроза «информационной безопасности» – это потенци альная возможность нарушения режима информационной безопасности. Преднамеренная реализация угрозы называется атакой на информационную систему.
Программный вирус – это исполняемый или интерпрети руемый программный код, обладающий свойством несанкцио нированного распространения и самовоспроизведения в автома тизированных системах или телекоммуникационных сетях с целью изменить или уничтожить программное обеспечение и/или данные, хранящиеся в автоматизированных системах.
Удаленная угроза – потенциально возможное информаци онное разрушающее воздействие на распределенную вычисли тельную сеть, осуществляемая программно по каналам связи.
Идентификация – присвоение субъектам и объектам до ступа личного идентификатора и сравнение его с заданным.
Аутентификация (установление подлинности) – проверка принадлежности субъекту доступа предъявленного им иденти фикатора и подтверждение его подлинности.
Электронная цифровая подпись – представляет собой от носительно небольшое количество дополнительной аутентифи- цирующей информации, передаваемой вместе с подписываемым текстом.
Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день).
Активный аудит – оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации.
Межсетевой экран (брандмауэр, firewall ) – это программ ная или программно-аппаратная система, которая контролиру ет информационные потоки, поступающие в информационную систему и/или выходящие из нее, также обеспечивает защиту информационной системы посредством фильтрации информации. Фильтрация информации состоит в анализе информации по со вокупности критериев и принятии решения о ее приеме и/или передаче.