История политических и правовых учений

Угрозы безопасности информации и их классификация.

Угроза - это потенциально возможное событие, действие, процесс или явление, которое может привести к понятию ущерба чьим-либо интересам.

Нарушение безопасности- это реализация угрозы.

Естественные угрозы - это угрозы, вызванные воздействием на АС объективных физических процессов, стихийных природных явлений, не зависящих от человеека.

 

Естественные делятся на:

o природные (стихийные бедствия, магнитные бури, радиоактивное излучение, осадки)

o технические. Связаны надежностью технических средств, обработки информации и систем обеспечения.

Искусственные делят на:

o непреднамеренные - совершенные по незнанию и без злого умысла, из любопытности или халатности

o преднамеренные

Каналы проникновения в систему и их классификация:

1. По способу:

прямые

косвенные

2. По типу основного средства для реализации угрозы:

человек

аппаратура

программа

3. По способу получения информации:

физический

электромагнитный

информационный

 

Меры противодействия угрозам:

1. Правовые и законодательные.

Законы, указы, нормативные акты, регламентирующие правила обращения с информацией и определяющие ответственность за нарушение этих правил.

2. Морально-этические.

Нормы поведения, которые традиционно сложились или складываются в обществе по мере распространения вычислительной техники. Невыполнение этих норм ведет к падению авторитета, престижа организации, страны, людей.

3. Административные или организационные.

Меры организационного характера, регламентирующие процессы функционирования АС, деятельность персонала с целью максимального затруднения или исключения реализации угроз безопасности:

o организация явного или скрытого контроля за работой пользователей

o организация учета, хранения, использования, уничтожения документов и носителей информации.

o организация охраны и надежного пропускного режима

o мероприятия, осуществляемые при подборе и подготовке персонала

o мероприятия по проектированию, разработке правил доступа к информации

o мероприятия при разработке, модификации технических средств

 

4. Физические.

Применение разного рода технических средств охраны и сооружений, предназначенных для создания физических препятствий на путях проникновения в систему.

5. Технические.

Основаны на использовании технических устройств и программ, входящих в состав АС и выполняющих функции защиты:

o средства аутентификации

o аппаратное шифрование

o другие

 

Принципы построения систем защиты:

1. Принцип системности - системный подход предполагает необходимость учета всех взаимосвязанных и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности.

2. Принцип компетентности - предполагает построение системы из разнородных средств, перекрывающих все существующие каналы реализации угрозы безопасности и не содержащих слабых мест на стыке отдельных компонентов.

3. Принцип непрерывной защиты - защита должна существовать без разрыва в пространстве и времени. Это непрерывный целенаправленный процесс, предполагающий не только защиту эксплуатации, но и проектирование защиты на стадии планирования системы.

4. Принцип разумной достаточности. Вложение средств в систему защиты должно быть построено таким образом, чтобы получить максимальную отдачу.

5. Принцип гибкости управления и применения. При проектировании системы защита может получиться либо избыточной, либо недостаточной. Система защиты должна быть легко настраиваема.

6. Принцип открытости алгоритмов и механизмов защиты. Знание алгоритма механизма защиты не позволяет осуществить взлом системы.

7. Принцип простоты применения защитных мер и средств. Все механизмы защиты должны быть интуитивно понятны и просты в использовании. Пользователь должен быть свободен от выполнения малопонятной многообъемной рутиной работы и не должен обладать специальными знаниями.

 

Модель элементарной защиты.

Прочность защитной преграды является достаточной, если ожидаемое время преодоления ее нарушителем больше времени жизни предмета защиты, или больше времени обнаружения и блокировки его доступа при отсутствии путей скрытого обхода этой преграды.

Модель многозвенной защиты.

 

Модель многоуровневой защиты.