Понятие безопасности
Защита информации в ИС
автоматизированных информационных систем (АИС)
Вопросы:
- Что включает в себя понятие «Безопасность АИС»?
- Перечислите цели защиты информации.
- Что включает в себя защита информации в ИС ?
- Что такое угроза?
- Опишите случайные и преднамеренные угрозы.
- Перечислите классификацию угроз.
- Наиболее распространенные угрозы безопасности АИС
- Какие меры включает в себя система защиты АИС? Охарактеризовать их.
- Перечислить универсальные способы зашиты АИС.
Безопасность АИС – защищенность информационной системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушение ее компонентов. Безопасность АИС это: безопасность сотрудников, безопасность помещений, ценностей, информационная безопасность. Различают внешнюю и внутреннюю. безопасность АИС. Внешняя - защита от стихийных бедствий и проникновения злоумышленника извне в целях хищения, получения доступа к носителям информации или вывода системы из строя. Внутренняя - обеспечение надежной и правильной работы системы, целостности ее программ и данных. Безопасность информации - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации от утечки, хищения, утраты и т.д.
Защита информации в ИС включает в себя:
§ защиту от несанкционированного доступа;
§ защиту от помех и сбоев электропитания;
§ антивирусная защита;
§ защиту от неправильных действий некомпетентного пользователя;
Цели защиты информации:
1. Предотвращение хищений, подделок, искажений информации
2. Предотвращение несанкционированного действия по уничтожению модификации, блокированию, копированию информации.
3. Сохранение конфиденциальности информации.
4. Обеспечение прав разработчиков АИС.
Факторы, повышающие необходимость защиты информации: повышение степени криминальности, конкуренция, отсутствие единых стандартов безопасности, отсутствие законодательного обеспечения защиты интересов субъектов информационных отношений, развитие компьютерных вирусов, широкое использование однотипных стандартных вычислительных средств.
УГРОЗЫ БЕЗОПАСНОСТИ. ПОНЯТИЕ И КЛАССИФИКАЦИЯ
Угроза - целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой системы информации и приводит к ее случайному или предумышленному изменению или уничтожению.
Угрозы бывают:
1. Случайные: ошибки персонала, пропуски, форс-мажор, ошибки автоматизированных и программных средств (повреждения компьютеров, периферии).
2. Преднамеренные угрозы, создающиеся специалистами, работающими в данной системе людьми из внешней среды (хакеры). Преднамеренные угрозы включают вирусы.
Угрозы можно объединить в следующие группы:
- прерывание (прекращение нормальной обработки информации);
- перехват (незаконное копирование, чтение данных системы);
- модификация (доступ и изменение информации, манипуляция);
- разрушение (необратимая потеря данных).
Общая классификация угроз
1.Угрозы конфиденциальности данных и программ. При несанкционированном доступе к данным, программам или каналам связи. Полезная информация может быть получена и при перехвате электромагнитного излучения, создаваемого аппаратурой системы. Определенные сведения о работе компьютерной системы извлекаются даже в том случае, когда ведется наблюдение за характером процесса обмена сообщениями без доступа к их содержанию.
2.Угрозы целостности данных, программ, аппаратуры. При несанкционированном уничтожении, добавлении лишних элементов и модификации данных, изменении порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, активной ретрансляции сообщений с их задержкой. Целостность аппаратуры нарушается при ее повреждении, похищении или незаконном изменении алгоритмов работы.
3.Угрозы доступности данных. Когда объект (пользователь или процесс) не получает доступа к законно выделенным ему службам или ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации. Эта угроза может привести к ненадежности или плохому качеству обслуживания в системе и поэтому будет влиять на достоверность и своевременность доставки платежных документов.
4.Угрозы отказа от выполнения транзакций. Когда легальный пользователь выполняет транзакции (передает или принимает платежные документы) в системе, а затем отрицает свое участие в них, чтобы снять с себя ответственность.