Понятие ИБ ИБ-Защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Три кита Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Целостностью - актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Конфиденциальность – это защита от несанкционированного доступа к информации

Понятие ИБ "Компьютерная безопасность" (как эквивалент или заменитель ИБ) слишком узкий подход Компьютеры – только одна из составляющих информационных систем Безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).

«Неприемлемый ущерб» Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя

Угроза – это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, – злоумышленником (malicious) Потенциальные злоумышленники называются источниками угрозы.

Классификация угроз по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь; по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); по способу осуществления (случайные/преднамеренные действия природного/техногенного характера); по расположению источника угроз (внутри/вне рассматриваемой ИС).

Угрозы доступности Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. По некоторым данным, до 65% потерь – следствие непреднамеренных ошибок. Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе. Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками – максимальная автоматизация и строгий контроль

Отказ пользователей Нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками); Невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.); Невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).

Внутренние отказы Отступление (случайное или умышленное) от установленных правил эксплуатации; Выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.); Ошибки при (пере)конфигурировании системы; Отказы программного и аппаратного обеспечения; Разрушение данных; Разрушение или повреждение аппаратуры.

Отказ поддерживающей инфраструктуры Нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования; Разрушение или повреждение помещений; Невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

"обиженные" сотрудники Весьма опасны так называемые "обиженные" сотрудники – нынешние и бывшие. Как правило, они стремятся нанести вред организации- "обидчику", например: испортить оборудование; встроить логическую бомбу, которая со временем разрушит программы и/или данные; удалить данные. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

Стихийные бедствия стихийные бедствия и события, воспринимаемые как стихийные бедствия,– грозы, пожары, наводнения, землетрясения, ураганы. По статистике, на долю огня, воды и тому подобных "злоумышленников" (среди которых самый опасный – перебой электропитания) приходится 13% потерь, нанесенных информационным системам

Вредоносное программное обеспечение Вредоносная функция; Способ распространения; Внешнее представление. Т.н. "бомбы" предназначаются для: внедрения другого вредоносного ПО; получения контроля над атакуемой системой; агрессивного потребления ресурсов; изменения или разрушения программ и/или данных.

По механизму распространения различают: вирусы – код, обладающий способностью к распространению (возможно, с изменениями) путем внедрения в другие программы; "черви" – код, способный самостоятельно, то есть без внедрения в другие программы, вызывать распространение своих копий по ИС и их выполнение (для активизации вируса требуется запуск зараженной программы).

Основные угрозы целостности Статическая целостность ввести неверные данные; изменить данные. Динамическая целостность нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

Основные угрозы конфиденциальности Служебная информация (пароли) Предметная информация Перехват данных - Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их, например на кабельную сеть, может кто угодно, так что эту угрозу нужно принимать во внимание по отношению не только к внешним, но и к внутренним коммуникациям Маскарад-представление за другого Злоупотребление полномочиями

Первый шаг при построении системы ИБ организации – детализация аспектов: доступность, целостность, конфиденциальность Важность проблематики ИБ объясняется двумя основными причинами: ценностью накопленных информационных ресурсов; критической зависимостью от информационных технологий. Разрушение важной информации, кража конфиденциальных данных, перерыв в работе вследствие отказа – все это выливается в крупные материальные потери, наносит ущерб репутации организации. Проблемы с системами управления или медицинскими системами угрожают здоровью и жизни людей.

Подтверждением сложности проблематики ИБ является параллельный (и довольно быстрый) рост затрат на защитные мероприятия и количества нарушений ИБ в сочетании с ростом среднего ущерба от каждого нарушения. (Последнее обстоятельство - еще один довод в пользу важности ИБ.)

Российская ситуация Российские правовые акты в большинстве своем имеют ограничительную направленность. Лицензирование и сертификация не обеспечивают безопасности. К тому же в законах не предусмотрена ответственность государственных органов за нарушения ИБ. Реальность такова, что в России в деле обеспечения ИБ на помощь государства рассчитывать не приходится. (Кто переходит на зеленый сигнал светофора).

Оранжевая книга абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе. "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".

Элементы политики безопасности произвольное управление доступом метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. (может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту) безопасность повторного использования объектов для областей оперативной памяти и дисковых блоков и магнитных носителей в целом метки безопасности Метка субъекта описывает его благонадежность, метка объекта – степень конфиденциальности содержащейся в нем информации. принудительное управление доступом Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. Смысл сформулированного правила понятен – читать можно только то, что положено.

Стандарт ISO/IEC "Критерии оценки безопасности информационных технологий" идентификация и аутентификация; защита данных пользователя; защита функций безопасности (требования относятся к целостности и контролю данных сервисов безопасности и реализующих их механизмов); управление безопасностью (требования этого класса относятся к управлению атрибутами и параметрами безопасности); аудит безопасности (выявление, регистрация, хранение, анализ данных, затрагивающих безопасность объекта оценки, реагирование на возможное нарушение безопасности); доступ к объекту оценки; приватность (защита пользователя от раскрытия и несанкционированного использования его идентификационных данных); использование ресурсов (требования к доступности информации); криптографическая поддержка (управление ключами); связь (аутентификация сторон, участвующих в обмене данными); доверенный маршрут/канал (для связи с сервисами безопасности).

Административный уровень Главная задача мер административного уровня – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Разработка политики и программы безопасности начинается с анализа рисков, первым этапом которого, в свою очередь, является ознакомление с наиболее распространенными угрозами

Главные угрозы – внутренняя сложность ИС, непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. На втором месте по размеру ущерба стоят кражи и подлоги. Реальную опасность представляют пожары и другие аварии поддерживающей инфраструктуры.

Необходимым условием для построения надежной, экономичной защиты является рассмотрение жизненного цикла ИС и синхронизация с ним мер безопасности. Этапы жизненного цикла: инициация; закупка; установка; эксплуатация; выведение из эксплуатации.

Сервисы безопасности идентификация и аутентификация; управление доступом; протоколирование и аудит; шифрование; контроль целостности; экранирование; анализ защищенности; обеспечение отказоустойчивости; обеспечение безопасного восстановления; туннелирование; управление.

Проблема информационной безопасности личности, общества и государства. Правовое регулирование проблем, связанных с информацией и компьютерами. Проблема информационной безопасности личности, общества и государства.

• По мере продвижения к информационному обществу все более острой становится проблема защиты права личности, общества и государства на конфиденциальность определенных видов информации. Уже сегодня в странах, в которых в массовом порядке используются компьютерные сети, предпринимаются огромные усилия по охране информации. каждый человек, доверяющий информацию о себе государственному органу или фирме, вправе рассчитывать на то, что она не будет разглашена или использована ему во вред.
• В России в 2000 г. принята Доктрина информационной безопасности РФ .

К объектам информационной безопасности РФ относятся:

• все виды информационных ресурсов;
• права граждан, юридических лиц и государства на получение, распространение и использование информации, защиту информации и интеллектуальной собственности;
• система информирования, распространения и использования информационных ресурсов, включающая в себя информационные системы различного класса и назначения, библиотеки, архивы, базы и банки данных и др.
• информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации и др.
• система формирования общественного сознания, базирующая на средствах массовой информации и пропаганды.

Национальные интересы РФ включают в себя:

• а) соблюдение конституционных прав и свобод человека и гражданина в области получения информации и ее использования, обеспечение духовного становления России, сохранение и укрепление ценностей общества;
• б) информационное обеспечение государственной политики РФ, связанное с доведением до российской и международной общественности достоверной информации о государственной политике РФ;
• в) развитие современных информационных технологий общественной индустрии информации;
• г) защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

В доктрине формулируются страны, включая правовые, организационно-технические и экономические, а также особенности обеспечения информационной безопасности РФ в различных сферах общественной жизни: экономической, политической, в сфере обороны, науки и техники и др.

• В доктрине формулируются методы обеспечения информационной безопасности страны, включая правовые, организационно-технические и экономические, а также особенности обеспечения информационной безопасности РФ в различных сферах общественной жизни: экономической, политической, в сфере обороны, науки и техники и др.
• Одной из важнейших проблем в обсуждаемой сфере доктрина объявляет проблему информационного неравенства .

Методы обеспечения информационной безопасности Особенно важно преодоление проявлений информационного неравенства в образовании, поскольку:

• появилась тенденция разделения образовательных учреждений на элитные и массовые с соответствующей разницей в ресурсном обеспечении;
• велико различие уровней доходов семей учащихся;
• значителен разрыв в размерах финансового обеспечения образовательных учреждений в различных регионах страны.

Правовое регулирование проблем, связанных с информацией и компьютерами. Правовое регулирование в информационной сфере является новой и сложной задачей для государства. В РФ существует ряд законов в этой области. Закон «О правовой охране программ для ЭВМ и баз данных» Он определил, что авторское право распространяется на указанные объекты, являющиеся результатом творческой деятельности автора. Авторы имеют исключительное право на выпуск в свет программ и баз данных, их распространение, модификацию и иное использование. Однако имущественные права на указанные объекты, созданные в порядке выполнения служебных обязанностей или по заданию работодателя, принадлежат работодателю. Для современного состояния нашего общества именно вопросы, связанные с нарушением авторских прав и имущественных прав, являются наиболее актуальными. Закон «Об информации, информатизации и защите информации». Закон создает условия для включения России в международный информационный обмен, закладывает основы предотвращения бесхозяйственного отношения к информационным ресурсам и информатизации, частично обеспечивает информационную безопасность и права юридических и физических лиц на информацию. Закон рассматривает информационные ресурсы в двух аспектах: как материальный продукт, который можно покупать и продавать, и как интеллектуальный продукт, на который распространяется право интеллектуальной собственности, авторское право. В 1996 году в уголовный кодекс был впервые внесен раздел «Преступления в сфере компьютерной информации». Он определил меру наказания за некоторые виды преступлений: В 1996 году в уголовный кодекс был впервые внесен раздел «Преступления в сфере компьютерной информации». Он определил меру наказания за некоторые виды преступлений:

• неправомерный доступ к компьютерной информации;
• создание, использование и распространение вредоносных программ для ЭВМ;
• умышленное нарушение правил эксплуатации ЭВМ и их сетей.

Спасибо за внимание!

Слайдов: 37 Слов: 2177 Звуков: 0 Эффектов: 0

Защита информации. Обеспечение безопасности информации. Постоянное повышение роли информации. Потенциально возможное событие. Классификация угроз информации. Естественные угрозы. Искусственные угрозы. Воздействие сильных магнитных полей. Ошибки в работе аппаратуры. Разглашение. Преднамеренные (умышленные) угрозы. Вывод из строя подсистем. Вскрытие шифров криптозащиты. Несанкционированный доступ к информации. Несанкционированный доступ. Особенности НСД. Необходимость обеспечения юридической значимости. Электромагнитные излучения. Утечка информации. Несанкционированная модификация структур. - Информационная безопасность.ppt

Аспекты информационной безопасности

Слайдов: 20 Слов: 807 Звуков: 0 Эффектов: 5

Гуманитарные аспекты информационной безопасности. Информационная безопасность. Гуманитарный аспект. Комплексная проблема. Гуманитарные проблемы информационной безопасности. Место и роль. Стратегия развития информационного общества. Технология образовательного процесса. Семинары в Середниково. Формирование культуры информационного общества. Культура информационной безопасности. Система ценностей. Индустрия. Вектор развития. Общество. Образование. Многонациональное образование. Сохранение национальной культуры. Наследие Чингисхана. Спасибо за внимание. - Аспекты информационной безопасности.ppt

Проблема информационной безопасности

Слайдов: 32 Слов: 2176 Звуков: 0 Эффектов: 0

Информационная безопасность. Понятие информационной безопасности. Проблемы информационной безопасности. Компьютерная преступность. Глобальное исследование. Угрозы информационной безопасности. Свойства информации. Примеры реализации угрозы. Угрозы нарушения целостности данных. Вредоносное программное обеспечение. Защита информации. Примеры реализации угрозы отказа в доступе. Понятие атаки на информационную систему. Классификация атак. Классификация сетевых атак. Сетевые атаки. Передаваемые сообщения. Модификация потока данных. Создание ложного потока. Повторное использование. - Проблема информационной безопасности.ppt

Основы информационной безопасности

Слайдов: 50 Слов: 1388 Звуков: 0 Эффектов: 0

Основы информационной безопасности. Основные документы. Основные законы. Понятие «информационная безопасность». Государственная политика. Информационная война. Национальные интересы. СМИ. Угрозы информационной безопасности. Объекты защиты информации. Конфиденциальность информации. Целостность информации. Доступность информации. Аппаратно-программные средства. Угрозы проникновения. Противодействие техническим средствам разведки. Способы реализации угроз информационной безопасности. Угрозы раскрытия параметров системы. Угроза нарушения конфиденциальности. Угроза отказа доступа. - Основы информационной безопасности.ppt

Обеспечение информационной безопасности

Слайдов: 21 Слов: 463 Звуков: 0 Эффектов: 3

Информационная безопасность. Динамика изменений информационной среды. Информационное общество и образование. Структура «параллельной школы». Параллельная школа. Цветные гравюры. Еженедельные приложения. Добродетельная гейша. Перспективы современного образования. Требования к образованию. Медиакультура. Медиаобразование в современной образовательной среде. Пути формирования медиакультуры в школе. Школьные СМИ. Техническая оснащенность. Школьная пресса. Региональный центр медиаобразования. Школьное телевидение. Цели формирования медиакультуры. Цели формирования медиакультуры. - Обеспечение информационной безопасности.ppt

Правовые основы информационной безопасности

Слайдов: 26 Слов: 2336 Звуков: 0 Эффектов: 59

Основы информационной безопасности. Информационная безопасность. Меры по обеспечению информационной безопасности. Правовые основы информационной безопасности. Федеральный закон. Деяния, приводящие к повреждению или уничтожению информации. О персональных данных. Уголовный кодекс Российской Федерации. Неправомерный доступ к охраняемой законом компьютерной информации. Создание программ для ЭВМ. Нарушение правил эксплуатации ЭВМ. Наказания за создание вредоносных программ. Знаменитые хакеры. Основы лицензионной политики. Виды ПО. Коммерческое ПО. Пробные версии программ. - Правовые основы информационной безопасности.ppt

Концепция информационной безопасности

Слайдов: 12 Слов: 555 Звуков: 0 Эффектов: 48

Информационная безопасность. Совокупность мер по защите информационной среды. Информационные угрозы. Каналы. Как можно сохранить информацию. Соблюдение режима. Коммерческое программное обеспечение. Программное обеспечение. Интернет. Безопасность. Контрольные вопросы. Клинцовский педагогический колледж. - Концепция информационной безопасности.ppsx

Безопасность персональных данных

Слайдов: 33 Слов: 2583 Звуков: 0 Эффектов: 25

Обеспечение безопасности персональных данных. С чего все началось. Нормативная база по защите ПД. Законодательство о персональных данных. Подзаконные нормативные акты Правительства РФ. Подзаконные нормативные акты ведомств. Методические документы ФСТЭК («ДСП»). Методические документы ФСБ. Полный перечень нормативных правовых актов. Государственные органы. Роскомнадзор. ФЗ «О персональных данных». Определил понятие ПД, выделил специальные категории ПД. Персональные данные - любая информация. Конфиденциальность персональных данных. Информационные системы подразделяются на типовые и специальные. - Безопасность персональных данных.ppt

Класс ИСПДн

Слайдов: 15 Слов: 1401 Звуков: 0 Эффектов: 2

Методология определения класса ИСПДн. Этапы проведения классификации. Исходные данные. Категории персональных данных. Законодательство. Персональные данные. Биометрические персональные данные. Персональные данные субъектов. Типы информационных систем. Структура информационных систем. Технические средства. Классы информационных систем. Таблица для определения класса. Таблица-подсказка. Результаты классификации информационных систем. -

Описание презентации по отдельным слайдам:

1 слайд

Описание слайда:

2 слайд

Описание слайда:

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации. *

3 слайд

Описание слайда:

На практике важнейшими являются три аспекта информационной безопасности: доступность (возможность за разумное время получить требуемую информационную услугу); целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения); конфиденциальность (защита от несанкционированного прочтения). *

4 слайд

Описание слайда:

5 слайд

Описание слайда:

Методами обеспечения защиты информации в организации являются: Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (сигнализация, замки и т.д.). *

6 слайд

Описание слайда:

Управление доступом – метод защиты информации, связанный с регулированием использования всех ресурсов информационной системы. УД включает следующие функции защиты: идентификацию сотрудников и ресурсов информационной системы; аутентификацию (установления подлинности) объекта по предъявленному им идентификатору (имени). Как правило, к таким средствам относятся пароли; проверку полномочий - авторизация пользователей; *

7 слайд

Описание слайда:

Маскировка – метод защиты информации в информационной системе организации путем ее криптографического закрытия. Регламентация – метод защиты информации, создающий определенные условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней (сетевых атак) сводилась бы к минимуму. *

8 слайд

Описание слайда:

Принуждение – метод защиты, при котором пользователи системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной и уголовной ответственности. Побуждение – метод защиты информации, который мотивирует сотрудников не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм. *

9 слайд

Описание слайда:

Средства защиты информации Основными средствами защиты являются: физические, аппаратные, программные, аппаратно-программные, криптографические, организационные, законодательные и морально-этические. Физические средства защиты предназначены для внешней охраны территории объектов и защиты компонентов информационной системы организации. Аппаратные средства защиты – это устройства, встроенные в блоки информационной системы (сервера, компьютеры и т.д.). Они предназначены для внутренней защиты элементов вычислительной техники и средств связи Программные средства защиты предназначены для выполнения функций защиты информационной системы с помощью программных средств (Антивирусная защита, Межсетевые экраны и т.д.) Аппаратно-программные средства защиты. *

10 слайд

Описание слайда:

Криптографические средства – средства защиты информации, связанные с применением инструментов шифрования. Организационные средства – мероприятия регламентирующие поведение сотрудника организации. Законодательные средства – правовые акты, которые регламентирующие правила использования, обработки и передачи информации и устанавливающие меры ответственности. Морально-этические средства – правила и нормы поведения сотрудников в коллективе. *

11 слайд

Описание слайда:

12 слайд

Описание слайда:

можно разбить на пять групп: Системы идентификации (распознавания) и аутентификации (проверки подлинности) пользователей. Системы шифрования дисковых данных. Системы шифрования данных, передаваемых по сетям. Системы аутентификации электронных данных. Средства управления криптографическими ключами. *

13 слайд

Описание слайда:

1. Системы идентификации (распознавания) и аутентификации (проверки подлинности) пользователей. Применяются для ограничения доступа случайных и незаконных пользователей к ресурсам компьютерной системы. Общий алгоритм работы заключается в полчении от пользователя информацию, удостоверяющую его личность, проверить ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой. *

14 слайд

Описание слайда:

Выделяют следующие типы: секретная информация, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.); пользователь должен запомнить эту информацию или же для нее могут быть применены специальные средства хранения; физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т.п.) или особенности поведения (особенности работы на клавиатуре и т.п.). Системы, основанные на первом типе информации, считаются традиционными. Системы, использующие второй тип информации, называют биометрическими. *

15 слайд

Описание слайда:

2. Системы шифрования дисковых данных Чтобы сделать информацию бесполезной для противника, используется совокупность методов преобразования данных, называемая криптографией [от греч. kryptos - скрытый и grapho - пишу]. Системы шифрования могут осуществлять криптографические преобразования данных на уровне файлов или на уровне дисков. К программам первого типа можно отнести архиваторы типа ARJ и RAR, которые позволяют использовать криптографические методы для защиты архивных файлов. Примером систем второго типа может служить программа шифрования Diskreet, входящая в состав популярного программного пакета Norton Utilities, Best Crypt. *

16 слайд

Описание слайда:

Большинство систем, предлагающих установить пароль на документ, не шифрует информацию, а только обеспечивает запрос пароля при доступе к документу. К таким системам относится MS Office, 1C и многие другие. *

17 слайд

Описание слайда:

3. Системы шифрования данных, передаваемых по сетям Различают два основных способа шифрования: канальное шифрование Оконечное (абонентское) шифрование. *

18 слайд

Описание слайда:

В случае канального шифрования защищается вся информация, передаваемая по каналу связи, включая служебную. Этот способ шифрования обладает следующим достоинством - встраивание процедур шифрования на канальный уровень позволяет использовать аппаратные средства, что способствует повышению производительности системы. Однако у данного подхода имеются и существенные недостатки: шифрование служебных данных осложняет механизм маршрутизации сетевых пакетов и требует расшифрования данных в устройствах промежуточной коммуникации (шлюзах, ретрансляторах и т.п.); шифрование служебной информации может привести к появлению статистических закономерностей в шифрованных данных, что влияет на надежность защиты и накладывает ограничения на использование криптографических алгоритмов. *

19 слайд

Описание слайда:

Оконечное (абонентское) шифрование позволяет обеспечить конфиденциальность данных, передаваемых между двумя абонентами. В этом случае защищается только содержание сообщений, вся служебная информация остается открытой. Недостатком является возможность анализировать информацию о структуре обмена сообщениями, например об отправителе и получателе, о времени и условиях передачи данных, а также об объеме передаваемых данных. *

20 слайд

Описание слайда:

4. Системы аутентификации электронных данных При обмене данными по сетям возникает проблема аутентификации автора документа и самого документа, т.е. установление подлинности автора и проверка отсутствия изменений в полученном документе. Для аутентификации данных применяют код аутентификации сообщения (имитовставку) или электронную подпись. Имитовставка вырабатывается из открытых данных посредством специального преобразования шифрования с использованием секретного ключа и передается по каналу связи в конце зашифрованных данных. Имитовставка проверяется получателем, владеющим секретным ключом, путем повторения процедуры, выполненной ранее отправителем, над полученными открытыми данными. Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной аутентифицирующей информации, передаваемой вместе с подписываемым текстом. Отправитель формирует цифровую подпись, используя секретный ключ отправителя. Получатель проверяет подпись, используя открытый ключ отправителя. Таким образом, для реализации имитовставки используются принципы симметричного шифрования, а для реализации электронной подписи - асимметричного. Подробнее эти две системы шифрования будем изучать позже. *

21 слайд

Описание слайда:

5. Средства управления криптографическими ключами Безопасность любой криптосистемы определяется используемыми криптографическими ключами. В случае ненадежного управления ключами злоумышленник может завладеть ключевой информацией и получить полный доступ ко всей информации в системе или сети. Различают следующие виды функций управления ключами: генерация, хранение, и распределение ключей. Способы генерации ключей для симметричных и асимметричных криптосистем различны. Для генерации ключей симметричных криптосистем используются аппаратные и программные средства генерации случайных чисел. Генерация ключей для асимметричных криптосистем более сложна, так как ключи должны обладать определенными математическими свойствами. Подробнее на этом вопросе остановимся при изучении симметричных и асимметричных криптосистем. Функция хранения предполагает организацию безопасного хранения, учета и удаления ключевой информации. Для обеспечения безопасного хранения ключей применяют их шифрование с помощью других ключей. Такой подход приводит к концепции иерархии ключей. В иерархию ключей обычно входит главный ключ (т.е. мастер-ключ), ключ шифрования ключей и ключ шифрования данных. Следует отметить, что генерация и хранение мастер-ключа является критическим вопросом криптозащиты. Распределение - самый ответственный процесс в управлении ключами. Этот процесс должен гарантировать скрытность распределяемых ключей, а также быть оперативным и точным. Между пользователями сети ключи распределяют двумя способами: с помощью прямого обмена сеансовыми ключами; используя один или несколько центров распределения ключей. *

22 слайд

Описание слайда:

Перечень документов О ГОСУДАРСТВЕННОЙ ТАЙНЕ. Закон Российской Федерации от 21 июля 1993 года № 5485-1 (в ред. Федерального закона от 6 октября 1997 года № 131-ФЗ). ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ. Федеральный закон Российской Федерации от 20 февраля 1995 года № 24-ФЗ. Принят Государственной Думой 25 января 1995 года. О ПРАВОВОЙ ОХРАНЕ ПРОГРАММ ДЛЯ ЭЛЕКТРОННЫХ ВЫЧИСЛИТЕЛЬНЫХ МАШИН И БАЗ ДАННЫХ. Закон Российской Федерации от 23 февраля 1992 года № 3524-1. ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ. Федеральный закон Российской Федерации от 10 января 2002 года № 1-ФЗ. ОБ АВТОРСКОМ ПРАВЕ И СМЕЖНЫХ ПРАВАХ. Закон Российской Федерации от 9 июля 1993 года № 5351-1. О ФЕДЕРАЛЬНЫХ ОРГАНАХ ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ И ИНФОРМАЦИИ. Закон Российской Федерации (в ред. Указа Президента РФ от 24.12.1993 № 2288; Федерального закона от 07.11.2000 № 135-ФЗ. Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации / Государственная техническая комиссия при Президенте Российской Федерации. Инструкция о порядке маркирования сертификатов соответствия, их копий и сертификационных средств защиты информации / Государственная техническая комиссия при Президенте Российской Федерации. *

23 слайд

Описание слайда:

Положение по аттестации объектов информатизации по требованиям безопасности информации / Государственная техническая комиссия при Президенте Российской Федерации. Положение о сертификации средств защиты информации по требованиям безопасности информации: с дополнениями в соответствии с Постановлением Правительства Российской Федерации от 26 июня 1995 года № 608 "О сертификации средств защиты информации" / Государственная техническая комиссия при Президенте Российской Федерации. Положение о государственном лицензировании деятельности в области защиты информации / Государственная техническая комиссия при Президенте Российской Федерации. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации. Защита информации. Специальные защитные знаки. Классификация и общие требования: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации. Защита от несанкционированного доступа к информации. Термины и определения: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации. *

24 слайд

Описание слайда:

Использованные ресурсы http://univer-nn.ru/ib/metodi-bezopasnosti.php http://protect.htmlweb.ru/p01.htm http://blog.cntiprogress.ru/tag/informacionnaya-bezopasnost/ *

Определения по ГОСТ Р 50922-96Информация (от лат. informatio - «разъяснение,
изложение, осведомлённость») - сведения об
окружающем мире, независимо от формы их
представления.
Защита информации – это деятельность по
предотвращению утечки защищаемой информации,
несанкционированных и непреднамеренных воздействий
на защищаемую информацию.
Объект защиты – информация, носитель информации
или информационный процесс, в отношении которых
необходимо обеспечить защиту в соответствии с
поставленной целью защиты информации.
Цель защиты информации – предотвращение ущерба от
несанкционированного доступа, изменения или
уничтожения информации.
Эффективность защиты информации – степень
соответствия результатов защиты информации цели.

Защита информации от утечки - деятельность по
предотвращению неконтролируемого распространения
защищаемой информации, её разглашения и получения
к ней несанкционированного доступа (НСД).
Защита информации от НСД – это деятельность по
предотвращению получения защищаемой информации
заинтересованным субъектом с нарушением
действующего законодательства, прав или правил
доступа к информации, установленных её собственником
или владельцем.
Система защиты информации –совокупность органов
и/или исполнителей, используемая ими техника защиты
информации, а также объект защиты, организованные и
функционирующие по правилам, установленным
соответствующими правовыми, организационнораспорядительными и нормативными документами по
защите информации.
Под информационной безопасностью (ИБ) понимают
защищенность информации от незаконного
ознакомления, преобразования и уничтожения, а также
защищенность информационных ресурсов от
воздействий, направленных на нарушение их
работоспособности.

К объектам, которым следует обеспечить информационную безопасность, относятся:

Информационные ресурсы;
Система создания, распространения и использования
информационных ресурсов;
Информационная инфраструктура (информационные
коммуникации, сети связи, центры анализа и
обработки данных, системы и средства защиты
информации);
Средства массовой информации;
Права человека и государства на получение,
распространение и использование информации;
Защита интеллектуальной собственности и
конфиденциальной информации

Компоненты автоматизированных систем обработки информации

аппаратные средства - компьютеры, их
составные части, мобильные устройства,
средства АСУ на производстве, транспорте,
связи.
программное обеспечение – приобретенное
ПО, исходные коды программ, операционные
системы, микропрограммы контроллеров и т.п.
данные – хранимые временно или постоянно,
на носителях, архивы, системные журналы.
персонал – обслуживающий персонал и
пользователи системы.

И еще несколько определений…

Конфиденциальность данных - статус, предоставленный
данным и определяющий требуемую степень их защиты.
Конфиденциальная информация должна быть известна только
допущенным (авторизованным) субъектам системы
(пользователям, процессам, программам).
Категорированием защищаемой информации называют
установление градаций важности защищаемой информации.
Под целостностью информации понимается свойство
информации сохранять свою структуру и/или содержание в
процессе передачи и хранения.
Достоверность информации – свойство информации,
выражающееся в строгой принадлежности субъекту, который
является её источником, либо тому субъекту, от которого эта
информация принята.
Юридическая значимость информации означает, что документ
обладает юридической силой.
Доступ к информации – получение субъектом возможности
ознакомления с информацией.
Субъект доступа к информации – участник правоотношений в
информационных процессах.

Собственник информации - субъект, в полном
объеме реализующий полномочия владения,
пользования, распоряжения информацией в
соответствии с законодательством.
Владелец информации – субъект,
осуществляющий владение и пользование
информацией в соответствии с
законодательством.
Пользователь (потребитель) информации –
субъект, пользующийся информацией,
полученной от собственника, владельца или
посредника в соответствии с установленными
правами и правилами доступа к информации.
Правило доступа к информации – совокупность
правил, регламентирующих порядок и условия
доступа субъекта к информации и её
носителям.

Санкционированный доступ к информации - доступ, не

доступа.
Несанкционированный доступ к информации – доступ,
нарушающий установленные правила разграничения
доступа.
Идентификация субъекта – процедура распознавания
субъекта информационного обмена по его
идентификатору (некоторой информации, уникальным
образом связанной с субъектом).
Аутентификация субъекта – проверка подлинности
субъекта с данным идентификатором.
Угроза безопасности АС – действия, способные прямо
или косвенно нанести ущерб её безопасности.
Ущерб безопасности – нарушение состояния
защищенности информации.
Уязвимость АС – присущее системе неудачное свойство,
которое может привести к реализации угрозы.

Атака на АС - поиск и/или использование
злоумышленником уязвимости АС, т.е. реализация
угрозы безопасности АС.
Защищенная система – это система со средствами
защиты которые успешно и эффективно противостоят
угрозам безопасности.
Способы защиты информации – порядок и правила
применения определенных средств защиты информации.
Средство защиты информации – техническое,
программное средство, вещество и/или материал,
предназначенные или используемые для защиты
информации.
Комплекс средств защиты(КСЗ) – совокупность средств
защиты информации, создаваемых и поддерживаемых
для обеспечения ИБ в соответствии с принятой
политикой безопасности.
Политика безопасности – это совокупность норм, правил
и практических рекомендаций, регламентирующих
работу средств защиты АС от заданного множества
угроз.

Источники основных информационных угроз (по природе возникновения)

Естественные источники
Стихийные бедствия
Физические явления
Старение носителей
Живая природа
Искусственные источники
Преступная
деятельность
Ошибки в ОС и ПО
«Закладки»
Социальная инженерия

Источники основных информационных угроз (по положению источника угрозы)

Вне контролируемой АС
Перехват данных
Подбор паролей
Поиск уязвимостей
DDOS-атаки
В пределах АС
В самой АС
Прослушка
Хищение носителей
Вербовка персонала

Классификация угроз АС (по степени воздействия на АС)

Пассивные угрозы
Угроза копирования
Угроза разглашения
Активные угрозы
Внедрение троянцев
Вирусы
«Закладки»
DDOS-атаки

Угрозы на этапе доступа

До доступа к ресурсу
(несанкционированный доступ)
После разрешения доступа к
ресурсу (нарушение прав и
политики безопасности)

Преднамеренные угрозы

Хищение информации
Распространение компьютерных
вирусов
Физическое воздействие на аппаратуру

Компьютерные вирусы
«троянские кони»
Сетевые атаки

Случайные угрозы

Ошибки пользователя компьютера;
Ошибки профессиональных разработчиков
информационных систем: алгоритмические,
программные, структурные;
Отказ и сбои аппаратуры, в том числе помехи
и искажения сигналов на линиях связи;
Форс-мажорные обстоятельства

Значимость безопасности информации для различных специалистов с позиции компании и заинтересованных лиц

Прикладные
задачи
Управленческие
задачи
Информационные услуги
Коммерческая деятельность
Банковская деятельность

Прикладные задачи
Управленческие задачи
Сохранность личной
информации
пользователя
Обеспечения полноты
управленческих
документов
Информационные услуги
Обеспечения доступности
и безопасной работы
Коммерческая деятельность
Предотвращение утечки
информации
Банковская деятельность
Обеспечения целостности
информации

Политика безопасности – это совокупность
технических, программных и организационных
мер, направленных на защиту информации на
предприятии.
Методы защиты
информации от
преднамеренных
информационных угроз
Ограничение доступа к
информации
Шифрование
информации
Контроль доступа к
аппаратуре
Законодательные
меры
Методы защиты
информации от
случайных
информационных угроз
Повышение надёжности работы
электронных и механических
узлов и элементов
Структурная избыточность –
дублирование или утроение
элементов, устройств
Функциональный контроль с
диагностикой отказов