Понятие безопасности

Защита информации в ИС

автоматизированных информационных систем (АИС)

 

Вопросы:

  1. Что включает в себя понятие «Безопасность АИС»?
  2. Перечислите цели защиты информации.
  3. Что включает в себя защита информации в ИС ?
  4. Что такое угроза?
  5. Опишите случайные и преднамеренные угрозы.
  6. Перечислите классификацию угроз.
  7. Наиболее распространенные угрозы безопасности АИС
  8. Какие меры включает в себя система защиты АИС? Охарактеризовать их.
  9. Перечислить универсальные способы зашиты АИС.

 

Безопасность АИС – защищенность информационной системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушение ее компонентов. Безопасность АИС это: безопасность сотрудников, безопасность помещений, ценностей, информационная безопасность. Различают внешнюю и внутреннюю. безопасность АИС. Внешняя - защита от стихийных бедствий и проникновения злоумышленника извне в целях хищения, получения доступа к носителям информации или вывода системы из строя. Внутренняя - обеспечение надежной и правильной работы системы, целостности ее программ и данных. Безопасность информации - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации от утечки, хищения, утраты и т.д.

Защита информации в ИС включает в себя:

§ защиту от несанкционированного доступа;

§ защиту от помех и сбоев электропитания;

§ антивирусная защита;

§ защиту от неправильных действий некомпетентного пользователя;

Цели защиты информации:

1. Предотвращение хищений, подделок, искажений информации

2. Предотвращение несанкционированного действия по уничтожению модификации, блокированию, копированию информации.

3. Сохранение конфиденциальности информации.

4. Обеспечение прав разработчиков АИС.

Факторы, повышающие необходимость защиты информации: повышение степени криминальности, конкуренция, отсутствие единых стандартов безопасности, отсутствие законодательного обеспечения защиты интересов субъектов информационных отношений, развитие компьютерных вирусов, широкое использование однотипных стандартных вычислительных средств.

УГРОЗЫ БЕЗОПАСНОСТИ. ПОНЯТИЕ И КЛАССИФИКАЦИЯ

Угроза - целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой системы информации и приводит к ее случайному или предумышленному изменению или уничтожению.

Угрозы бывают:

1. Случайные: ошибки персонала, пропуски, форс-мажор, ошибки автоматизированных и программных средств (повреждения компьютеров, периферии).

2. Преднамеренные угрозы, создающиеся специалистами, работающими в данной системе людьми из внешней среды (хакеры). Преднамеренные угрозы включают вирусы.

Угрозы можно объединить в следующие группы:

- прерывание (прекращение нормальной обработки информации);

- перехват (незаконное копирование, чтение данных системы);

- модификация (доступ и изменение информации, манипуляция);

- разрушение (необратимая потеря данных).

Общая классификация угроз

1.Угрозы конфиденциальности данных и программ. При несанкционированном доступе к данным, программам или каналам связи. Полезная информация может быть получена и при перехвате электромагнитного излучения, создаваемого аппаратурой системы. Определенные сведения о работе компьютерной системы извлекаются даже в том случае, когда ведется наблюдение за характером процесса обмена сообщениями без доступа к их содержанию.

2.Угрозы целостности данных, программ, аппаратуры. При несанкционированном уничтожении, добавлении лишних элементов и модификации данных, изменении порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, активной ретрансляции сообщений с их задержкой. Целостность аппаратуры нарушается при ее повреждении, похищении или незаконном изменении алгоритмов работы.

3.Угрозы доступности данных. Когда объект (пользователь или процесс) не получает доступа к законно выделенным ему службам или ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации. Эта угроза может привести к ненадежности или плохому качеству обслуживания в системе и поэтому будет влиять на достоверность и своевременность доставки платежных документов.

4.Угрозы отказа от выполнения транзакций. Когда легальный пользователь выполняет транзакции (передает или принимает платежные документы) в системе, а затем отрицает свое участие в них, чтобы снять с себя ответственность.