Понятие и основные составляющие информационной безопасности. Наиболее распространенные угрозы. Принципы защиты информации от несанкционированного доступа. Криптографические основы безопасности. Создание системы защиты конфиденциальной информации.
Курс лекцийИнформационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Согласно статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. · пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею. Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.
Список литературы
1. Инструкция по обеспечению режима конфиденциальности на предприятии.
2. Требования к пропускному и внутриобъектовому режиму.
3. Общие требования к системе разграничения доступа в помещения (СРД).
4. Регламент взаимодействия Службы обеспечения конфиденциальности и Службы безопасности.
Документы по работе с кадрами
1. Инструкция по работе с кадрами, подлежащими допуску к конфиденциальной информации.
2. Требования к лицам, оформляемым на должность, требующую допуска к конфиденциальной информации.
Документы по защите АС и СВТ
1. Режим конфиденциальности при обработке конфиденциальной информации с применением средств вычислительной техники.
2. Определение требований к защищенности Автоматизированной системы.
3. Концепция безопасности Автоматизированной системы (АС).
4. Анализ существующей АС.
Документы определяют работу комплексной системы защиты информации: · в штатном режиме;
· изменения в штатном режиме работы;
· нештатный режим (аварийные ситуации).
Техническое направление работ по созданию КСЗИ
Техническая компонента КСЗИ - комплекс технических средств и технологий защиты информации (ЗИ) при ее обработке, хранении и передаче, включая криптографические средства. Техническая компонента создается в рамках технического направления работ. При реализации технического направления проводится сбор исходных данных для разработки технических предложений по оснащенности автоматизированной системы (АС) обработки, хранения и передачи информации средствами ЗИ, позволяющими реализовать требуемый уровень защищенности.
АС является составляющей информационной системы предприятия, поэтому подготовка технических предложений хронологически следует за разработкой общей концепции КСЗИ.
Подготовка технических решений проблемы соответствия параметров Автоматизированной Системы установленным требованиям защищенности (определяются в Концепции безопасности) возможна в двух направлениях: 1. Разработка АС "с нуля" с учетом требований защищенности;
2. Встраивание механизмов защиты в существующую АС посредством наложения некоторого набора аппаратно-программных средств ЗИ, имеющих сертификаты ГТК и ФАПСИ.
Выбор направления предполагает взвешенный анализ сопоставимости результата объемам инвестиций в построение системы, проводимый в соответствии с методикой оценки рисков, описанной в Методологии построения комплексной системы защиты конфиденциальной информации.
Заключение
Цель мероприятий в области информационной безопасности - защитить интересы субъектов информационных отношений. Интересы эти многообразны, но все они концентрируются вокруг трех основных аспектов: · доступность;
· целостность;
· конфиденциальность.
Первый шаг при построении системы ИБ организации - ранжирование и детализация этих аспектов.
Важность проблематики ИБ объясняется двумя основными причинами: · ценностью накопленных информационных ресурсов;
· критической зависимостью от информационных технологий.
Разрушение важной информации, кража конфиденциальных данных, перерыв в работе вследствие отказа - все это выливается в крупные материальные потери, наносит ущерб репутации организации. Проблемы с системами управления или медицинскими системами угрожают здоровью и жизни людей.
Современные информационные системы сложны и, значит, опасны уже сами по себе, даже без учета активности злоумышленников. Постоянно обнаруживаются новые уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи между компонентами.
Меняются принципы построения корпоративных ИС. Используются многочисленные внешние информационные сервисы; предоставляются вовне собственные; получило широкое распространение явление, обозначаемое исконно русским словом "аутсорсинг", когда часть функций корпоративной ИС передается внешним организациям. Развивается программирование с активными агентами.
Подтверждением сложности проблематики ИБ является параллельный (и довольно быстрый) рост затрат на защитные мероприятия и количества нарушений ИБ в сочетании с ростом среднего ущерба от каждого нарушения. (Последнее обстоятельство - еще один довод в пользу важности ИБ.)
Успех в области информационной безопасности может принести только комплексный подход, сочетающий меры четырех уровней: · законодательного;
· административного;
· процедурного;
· программно-технического.
Проблема ИБ - не только (и не столько) техническая; без законодательной базы, без постоянного внимания руководства организации и выделения необходимых ресурсов, без мер управления персоналом и физической защиты решить ее невозможно. Комплексность также усложняет проблематику ИБ; требуется взаимодействие специалистов из разных областей.
В качестве основного инструмента борьбы со сложностью предлагается объектно-ориентированный подход. Инкапсуляция, наследование, полиморфизм, выделение граней объектов, варьирование уровня детализации - все это универсальные понятия, знание которых необходимо всем специалистам по информационной безопасности.
Законодательный, административный и процедурный уровни
Законодательный уровень является важнейшим для обеспечения информационной безопасности. Необходимо всячески подчеркивать важность проблемы ИБ; сконцентрировать ресурсы на важнейших направлениях исследований; скоординировать образовательную деятельность; создать и поддерживать негативное отношение к нарушителям ИБ - все это функции законодательного уровня.
На законодательном уровне особого внимания заслуживают правовые акты и стандарты.
Российские правовые акты в большинстве своем имеют ограничительную направленность. Но то, что для Уголовного или Гражданского кодекса естественно, по отношению к Закону об информации, информатизации и защите информации является принципиальным недостатком. Сами по себе лицензирование и сертификация не обеспечивают безопасности. К тому же в законах не предусмотрена ответственность государственных органов за нарушения ИБ. Реальность такова, что в России в деле обеспечения ИБ на помощь государства рассчитывать не приходится.
На этом фоне поучительным является знакомство с законодательством США в области ИБ, которое гораздо обширнее и многограннее российского.
Среди стандартов выделяются "Оранжевая книга", рекомендации X.800 и "Критерии оценки безопасности информационных технологий".
"Оранжевая книга" заложила понятийный базис; в ней определяются важнейшие сервисы безопасности и предлагается метод классификации информационных систем по требованиям безопасности.
Рекомендации X.800 весьма глубоко трактуют вопросы защиты сетевых конфигураций и предлагают развитый набор сервисов и механизмов безопасности.
Международный стандарт ISO 15408, известный как "Общие критерии", реализует более современный подход, в нем зафиксирован чрезвычайно широкий спектр сервисов безопасности (представленных как функциональные требования). Его принятие в качестве национального стандарта важно не только из абстрактных соображений интеграции в мировое сообщество; оно, как можно надеяться, облегчит жизнь владельцам информационных систем, существенно расширив спектр доступных сертифицированных решений.
Главная задача мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов.
Разработка политики и программы безопасности начинается с анализа рисков, первым этапом которого, в свою очередь, является ознакомление с наиболее распространенными угрозами.
Главные угрозы - внутренняя сложность ИС, непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.
На втором месте по размеру ущерба стоят кражи и подлоги.
Реальную опасность представляют пожары и другие аварии поддерживающей инфраструктуры.
В общем числе нарушений растет доля внешних атак, но основной ущерб по-прежнему наносят "свои".
Для подавляющего большинства организаций достаточно общего знакомства с рисками; ориентация на типовые, апробированные решения позволит обеспечить базовый уровень безопасности при минимальных интеллектуальных и разумных материальных затратах.
Существенную помощь в разработке политики безопасности может оказать британский стандарт BS 7799:1995, предлагающий типовой каркас.
Разработка программы и политики безопасности может служить примером использования понятия уровня детализации. Они должны подразделяться на несколько уровней, трактующих вопросы разной степени специфичности. Важным элементом программы является разработка и поддержание в актуальном состоянии карты ИС.
Необходимым условием для построения надежной, экономичной защиты является рассмотрение жизненного цикла ИС и синхронизация с ним мер безопасности. Выделяют следующие этапы жизненного цикла: · инициация;
· закупка;
· установка;
· эксплуатация;
· выведение из эксплуатации.
Безопасность невозможно добавить к системе; ее нужно закладывать с самого начала и поддерживать до конца.
Меры процедурного уровня ориентированы на людей (а не на технические средства) и подразделяются на следующие виды: · управление персоналом;
· физическая защита;
· поддержание работоспособности;
· реагирование на нарушения режима безопасности;
· планирование восстановительных работ.
На этом уровне применимы важные принципы безопасности: · непрерывность защиты в пространстве и времени;
· разделение обязанностей;
· минимизация привилегий.
Здесь также применимы объектный подход и понятие жизненного цикла. Первый позволяет разделить контролируемые сущности (территорию, аппаратуру и т.д.) на относительно независимые подобъекты, рассматривая их с разной степенью детализации и контролируя связи между ними.
Понятие жизненного цикла полезно применять не только к информационным системам, но и к сотрудникам. На этапе инициации должно быть разработано описание должности с требованиями к квалификации и выделяемыми компьютерными привилегиями; на этапе установки необходимо провести обучение, в том числе по вопросам безопасности; на этапе выведения из эксплуатации следует действовать аккуратно, не допуская нанесения ущерба обиженными сотрудниками.
Информационная безопасность во многом зависит от аккуратного ведения текущей работы, которая включает: · поддержку пользователей;
· поддержку программного обеспечения;
· конфигурационное управление;
· резервное копирование;
· управление носителями;
· документирование;
· регламентные работы.
Элементом повседневной деятельности является отслеживание информации в области ИБ; как минимум, администратор безопасности должен подписаться на список рассылки по новым пробелам в защите (и своевременно знакомиться с поступающими сообщениями).
Нужно, однако, заранее готовиться к событиям неординарным, то есть к нарушениям ИБ. Заранее продуманная реакция на нарушения режима безопасности преследует три главные цели: · локализация инцидента и уменьшение наносимого вреда;
· выявление нарушителя;
· предупреждение повторных нарушений.
Выявление нарушителя - процесс сложный, но первый и третий пункты можно и нужно тщательно продумать и отработать.
В случае серьезных аварий необходимо проведение восстановительных работ. Процесс планирования таких работ можно разделить на следующие этапы: · выявление критически важных функций организации, установление приоритетов;
· идентификация ресурсов, необходимых для выполнения критически важных функций;
· определение перечня возможных аварий;
· разработка стратегии восстановительных работ;
· подготовка к реализации выбранной стратегии;
· проверка стратегии.
Программно-технические меры
Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей - оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности.
На этом рубеже становятся очевидными не только позитивные, но и негативные последствия быстрого прогресса информационных технологий. Во-первых, дополнительные возможности появляются не только у специалистов по ИБ, но и у злоумышленников. Во-вторых, информационные системы все время модернизируются, перестраиваются, к ним добавляются недостаточно проверенные компоненты (в первую очередь программные), что затрудняет соблюдение режима безопасности.
Сложность современных корпоративных ИС, многочисленность и разнообразие угроз их безопасности можно наглядно представить, ознакомившись с информационной системой Верховного суда Российской Федерации.
Меры безопасности целесообразно разделить на следующие виды: · превентивные, препятствующие нарушениям ИБ;
· меры обнаружения нарушений;
· локализующие, сужающие зону воздействия нарушений;
· меры по выявлению нарушителя;
· меры восстановления режима безопасности.
В продуманной архитектуре безопасности все они должны присутствовать.
С практической точки зрения важными также являются следующие принципы архитектурной безопасности: · непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;
· следование признанным стандартам, использование апробированных решений;
· иерархическая организация ИС с небольшим числом сущностей на каждом уровне;
· усиление самого слабого звена;
· невозможность перехода в небезопасное состояние;
· минимизация привилегий;
· разделение обязанностей;
· эшелонированность обороны;
· разнообразие защитных средств;
· простота и управляемость информационной системы.
Центральным для программно-технического уровня является понятие сервиса безопасности. В число таких сервисов входят: · идентификация и аутентификация;
· управление доступом;
· протоколирование и аудит;
· шифрование;
· контроль целостности;
· экранирование;
· анализ защищенности;
· обеспечение отказоустойчивости;
· обеспечение безопасного восстановления;
· туннелирование;
· управление.
Эти сервисы должны функционировать в открытой сетевой среде с разнородными компонентами, то есть быть устойчивыми к соответствующим угрозам, а их применение должно быть удобным для пользователей и администраторов. Например, современные средства идентификации/аутентификации должны быть устойчивыми к пассивному и активному прослушиванию сети и поддерживать концепцию единого входа в сеть.
Выделим важнейшие моменты для каждого из перечисленных сервисов безопасности: 1. Предпочтительными являются криптографические методы аутентификации, реализуемые программным или аппаратно-программным способом. Парольная защита стала анахронизмом, биометрические методы нуждаются в дальнейшей проверке в сетевой среде.
2. В условиях, когда понятие доверенного программного обеспечения уходит в прошлое, становится анахронизмом и самая распространенная - произвольная (дискреционная) - модель управления доступом. В ее терминах невозможно даже объяснить, что такое "троянская" программа. В идеале при разграничении доступа должна учитываться семантика операций, но пока для этого есть только теоретическая база. Еще один важный момент - простота администрирования в условиях большого числа пользователей и ресурсов и непрерывных изменений конфигурации. Здесь может помочь ролевое управление.
Протоколирование и аудит должны быть всепроникающими и многоуровневыми, с фильтрацией данных при переходе на более высокий уровень. Это необходимое условие управляемости. Желательно применение средств активного аудита, однако нужно осознавать ограниченность их возможностей и рассматривать эти средства как один из рубежей эшелонированной обороны, причем не самый надежный. Следует конфигурировать их таким образом, чтобы минимизировать число ложных тревог и не совершать опасных действий при автоматическом реагировании.
Все, что связано к криптографией, сложно не столько с технической, сколько с юридической точки зрения; для шифрования это верно вдвойне. Данный сервис является инфраструктурным, его реализации должны присутствовать на всех аппаратно-программных платформах и удовлетворять жестким требованиям не только к безопасности, но и к производительности. Пока же единственным доступным выходом является применение свободно распространяемого ПО.
Надежный контроль целостности также базируется на криптографических методах с аналогичными проблемами и методами их решения. Возможно, принятие Закона об электронной цифровой подписи изменит ситуацию к лучшему, будет расширен спектр реализаций. К счастью, к статической целостности есть и некриптографические подходы, основанные на использовании запоминающих устройств, данные на которых доступны только для чтения. Если в системе разделить статическую и динамическую составляющие и поместить первую в ПЗУ или на компакт-диск, можно в корне пресечь угрозы целостности. Разумно, например, записывать регистрационную информацию на устройства с однократной записью; тогда злоумышленник не сможет "замести следы".
Экранирование - идейно очень богатый сервис безопасности. Его реализации - это не только межсетевые экраны, но и ограничивающие интерфейсы, и виртуальные локальные сети. Экран инкапсулирует защищаемый объект и контролирует его внешнее представление. Современные межсетевые экраны достигли очень высокого уровня защищенности, удобства использования и администрирования; в сетевой среде они являются первым и весьма мощным рубежом обороны. Целесообразно применение всех видов МЭ - от персонального до внешнего корпоративного, а контролю подлежат действия как внешних, так и внутренних пользователей.
Анализ защищенности - это инструмент поддержки безопасности жизненного цикла. С активным аудитом его роднит эвристичность, необходимость практически непрерывного обновления базы знаний и роль не самого надежного, но необходимого защитного рубежа, на котором можно расположить свободно распространяемый продукт.
Обеспечение отказоустойчивости и безопасного восстановления - аспекты высокой доступности. При их реализации на первый план выходят архитектурные вопросы, в первую очередь - внесение в конфигурацию (как аппаратную, так и программную) определенной избыточности, с учетом возможных угроз и соответствующих зон поражения. Безопасное восстановление - действительно последний рубеж, требующий особого внимания, тщательности при проектировании, реализации и сопровождении.
Туннелирование - скромный, но необходимый элемент в списке сервисов безопасности. Он важен не столько сам по себе, сколько в комбинации с шифрованием и экранированием для реализации виртуальных частных сетей.
Управление - это инфраструктурный сервис. Безопасная система должна быть управляемой. Всегда должна быть возможность узнать, что на самом деле происходит в ИС (а в идеале - и получить прогноз развития ситуации). Возможно, наиболее практичным решением для большинства организаций является использование какого-либо свободно распространяемого каркаса с постепенным "навешиванием" на него собственных функций.
Миссия обеспечения информационной безопасности трудна, во многих случаях невыполнима, но всегда благородна.
Основные тезисы
Безопасность - не продукт, она сама является процессом.
Ухищрения - вот точное определение для безопасности на сегодняшний день, поскольку обезопасить сложную систему, подобную Интернет трудно именно в силу ее сложности.
Реальные системы не подчиняются теоретическим решениям.
Хорошая защита объединяет три звена: безопасное хранилище, чтобы сохранить ценности, сигнализацию, чтобы обнаружить грабителей, и полицию, которая отреагирует на сигнал тревоги. В системах компьютерной безопасности наблюдается тенденция полагаться в основном на упреждающие меры: криптографию, брандмауэры и т.д. В большинстве случаев в них не заложено обнаружения и почти никогда нет реагирования и преследования.
Опасности в цифровом мире отображают опасности физического мира. Нападения в цифровом мире могут иметь те же цели, что и в физическом мире, но они будут проще и шире распространены. Будет сложнее проследить, поймать и доказать вину злоумышленников. И их действие будет более разрушительным. У Интернета есть три новых свойства, которые помогают осуществить атаку. Любое из них угроза, все вместе они способны вселить ужас. Автоматизация. Действие на расстоянии. Распространение технических приемов.
Поэтому Упреждающие меры вместо ответных.
Преступные атаки (как получить максимальную выгоду, разрушительные атаки, кража интеллектуальной собственности («пиратство»), присвоение личности, кража фирменной марки)
Противники - те же самые, что и в обычном мире: уголовные преступники, жаждущие обогащения, промышленные шпионы, хакеры, ищущие тайные ходы, разведка.
Аутентификация Секретность и анонимность важны для общественного и делового благосостояния, но аутентификация необходима для выживания.
Существуют два различных типа аутентификации. Это аутентификация сеанса и аутентификация транзакции (покупка с использованием кредитной карты).
Целостность Когда мы говорим об аутентификации, на самом деле имеем в виду целостность. Аутентификация имеет дело с источником данных. Целостность имеет отношение к действительности данных. Целостность не то же самое, что точность. Точность характеризует степень соответствия данной величины ее истинному значению; целостность описывает отношение данной величины самой себе через какое-то время. В физическом мире используют материальную копию объекта как доказательство целостности. В любой сетевой системе лучше проводить проверку целостности, чтобы застраховать от ошибок (рецепты и лечение). В мире, в котором нет возможности потрогать, людям нужен новый способ проверки того, что они видят.
Аудит с трудом может быть применен к компьютерам (как двойная запись в бухгалтерском учете).
Криптография - это технология, позволяющая обеспечить безопасность в киберпространстве и бороться с теми атаками и злоумышленниками, о которых шла речь выше.
Симметричное шифрование Алгоритм и ключ. Стандарт шифрования DES - общепринятый криптографический алгоритм (1997 г.) С помощью ключей решается задача включения и исключения людей из группы избранных. Алгоритм доступен для всех, а общающиеся стороны договариваются о секретном ключе, который применяется для этого алгоритма. Такие алгоритмы называют симметричными, потому что отправитель и получатель используют один и тот ключ. Ключ представляет собой случайную строку битов некоторой длины (128 битов).
Секретность должна соблюдаться как во время использования ключа так и после.
Компьютерная безопасность
Компьютерная защита объединяет такие разные вещи, как контроль санкционированного (и несанкционированного) доступа, управление учетными записями и привилегиями пользователя, защиту от копирования, от вирусов и защиту баз данных. В принципе, к защите компьютерной информации также относится защита от подсоединения других пользователей через сеть, от подбора паролей и от проникновения вирусов.
Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.)
Контроль доступа. Совместное обеспечение конфиденциальности, неприкосновенности и доступности сводится к контролю доступа. Эта проблема связана не только с компьютерами. Существует два способа задать условия контроля доступа. Можно оговорить, что разрешено делать различным субъектам, или оговорить, что позволено делать с различными объектами.
Модели безопасности. Многоуровневые модели безопасности. документы.
Виды секретности документов.
Ядра безопасности и надежная вычислительная база. Многие операционные системы имеют встроенные средства безопасности. Для них разработан собственный набор понятий: монитор обращений, надежная вычислительная база, ядро безопасности.
Ядро безопасности реализует концепцию монитора обращений. «Распухание ядра» Философия Windows NT - отдавать предпочтение простому над безопасным.
Тайные каналы. Это способ для субъекта с доступом более высокого уровня послать сообщение на более низкий уровень защиты. Можно создать программы, которые тайно собирают данные, оставаясь в тени.
Критерии оценки. Есть два способа получить гарантию надежности защиты вычислительной системы: первый - «независимая проверка и верификация», второй(более дешевый) оценить систему по какому-то независимому набору критериев и присвоить ей определенный рейтинг безопасности. Первым набором критериев была «Оранжевая книга».
Будущее безопасных компьютеров. Из тех систем, которые сейчас находятся в употреблении, практически ни одна не создана по формальной модели безопасности. На рынке существуют надежные операционные системы, но все еще мало известны потребителям. Это не относится к ОС Windows.
Тесты-определения по информационной безопасности
Информационная безопасность - это
1. Отсутствие недопустимого риска, связанного с возможностью нанесения ущерба субъекту информационных отношений
2. Состояние защищенности физических и юридических лиц, государства в информационной сфере.
3. Состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
4. Защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
5. Скрытость информационных ресурсов
Информационная безопасность имеет следующие основные составляющие: 1. конфиденциальность
2. , целостность
3. доступность.
4. скрытость
Конфиденциальность информации - это
1. защита чувствительной информации от несанкционированного доступа.
2. гриф секретности
Целостность информации - это
1. защита точности и полноты информации и программного обеспечения
2. невозможность искажения информации
Доступность информации - это
1. обеспечение доступности информации и основных услуг для пользователя в нужное для него время.
2. Право на получение необходимой информации
Информационная война
1. Действия, предпринятые для достижения информационного превосходства путем нанесения ущерба информации, процессам, основанным на информации, и информационным системам противника при одновременной защите собственной информации, процессов, основанных на информации, и информационных систем.
2. Открытые или скрытые целенаправленные информационные воздействия систем друг на друга с целью получения определенного выигрыша в материальной, военной, политической или же идеологической сферах.
3. Уничтожение информационных систем противника
Межсетевой экран (МЭ), брандмауэр - это
1. Локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль пакетов, поступающих в абонентский пункт (АП) и (или) выходящих из абонентского пункта в рамках определенных протоколов. МЭ обеспечивает защиту АП посредством фильтрации пакетов, т. е. их анализа по совокупности критериев и принятия решения об их распространении в (из) АП на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной сети к объектам другой сети.
2. Вычислительная система или комбинация систем, создающая защитный барьер между двумя или большим количеством сетей и предотвращающая нежелательные вторжения в частную сеть (интранет). МЭ служат виртуальными барьерами для передачи пакетов из одной сети в другую и отслеживают движение данных между сетями Интернет и интранет.
3. Устройство, реализующее изоляцию сетей друг от друга.
Несанкционированный доступ к информации
1. Доступ к информации, нарушающий установленные правила ее получения.
2. Преднамеренное обращение пользователя к данным, доступ к которым ему не разрешен, с целью их чтения, обновления или разрушения.
3. Доступ субъектов к информации или действия с информацией с использованием штатных средств объекта информатизации (сети передачи данных), нарушающий установленные правила получения и работы с информацией.
4. Получение информации без соответствующего разрешения на доступ.
Доступ к информации
1. Ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.
2. Получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств.
3. Ознакомление с информацией или получение возможности ее обработки .
4. Право на получение информации
Доступность информации
1. Свойство информации быть (свободно) полученной.
2. Свойство информации быть легкой в восприятии.
Достоверная вычислительная база
1. Совокупность защитных механизмов вычислительной системы, включая программные и аппаратные компоненты, ответственные за поддержание политики безопасности. Д. в. б. состоит из одной или нескольких компонент, которые вместе отвечают за реализацию единой политики безопасности в рамках системы. Способность Д. в. б. корректно проводить единую политику безопасности зависит в первую очередь от механизмов самой Д. в. б, а также от корректного управления со стороны администрации системы
2. Вычислительная база, гарантирующая результаты с заданной точностью.
Доступ к сведениям, составляющим государственную тайну
1. Санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну.
2. Доступ к сведениям, имеющим определенный гриф секретности.
Модель защиты
1. Абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и (или) организационных мер защиты от несанкционированного доступа.
2. Совокупность средств защиты информации
Сутьь политики безопасности
1. Формальное представление политики безопасности, разработанной для системы. Оно должно содержать формальное описание требований, определяющих управление, распределение и защиту критической информации .
2. Формализованное описание средств защиты информации.
Модель угроз информации (техническими средствами)
1. Формализованное описание технических каналов утечки, сведений о методах и средствах осуществления угроз информации
2. Формализованное описание возможных сбоев в работе технических средств, представляющих угрозу информации.
Защита информации от несанкционированного доступа
1. Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
2. Предотвращение или существенное затруднение несанкционированного доступа к программам и данным путем использования аппаратных, программных и криптографических методов и средств защиты, а также проведение организационных мероприятий. Наиболее распространенным программным методом защиты является система паролей .
3. Совокупность мер по защите информации
Защита информации от разглашения - это
1. Деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации .
2. Присвоение информации грифа секретности.
Защита информации от утечки - это
1. Деятельность по предотвращению неконтролируемого распространения защищаемой информации, ее разглашения и несанкционированного доступа к защищаемой информации (иностранными) разведками.
2. Защита информации от несанкционированных технических каналов доступа.
Защита информации -это
3. Деятельность, направленная на обеспечение конфиденциальности, сохранности и доступности информации .
4. Совокупность методов и средств, обеспечивающих целостность, конфиденциальность и доступность информации в условиях воздействия на нее угроз естественного и искусственного характера, реализация которых может привести к нанесению ущерба владельцам или пользователям информации.
5. Включает в себя комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.
6. Деятельность, направленная на сохранение государственной, служебной (коммерческой) или личной тайн, а также на сохранение носителей информации любого содержания. Существуют три основные формы защиты информации: правовая, организационно-техническая и страховая.
7. Совокупность методов и средств, обеспечивающих целостность, конфиденциальность и доступность информации в условиях воздействия на нее угроз естественного и искусственного характера, реализация которых может привести к нанесению ущерба владельцам или пользователям информации.
8. Определение степени конфиденциальности информации и путей ее возможной утечки.
Защита компьютера, защита вычислительной системы -это
1. Защита данных и ресурсов соответствующими мерами, обычно предпринимаемыми от случайных или умышленных действий. Такими действиями могут быть неавторизованное изменение, уничтожение, доступ, раскрытие или получение информации .
2. Регламентирование доступа к компьютеру и вычислительной системе.
Защита от копирования - это
1. Применение специальных средств для обнаружения или предотвращения неавторизованного копирования данных, программных средств или программно-аппаратных средств.
2. Установления ключа на диски
Защита прав субъектов в сфере информационных процессов и информатизации
1. Осуществляется в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба.
2. Реализуется на законодательном уровне информационной безопасности
Защита тайны личной жизни
1. Меры, принимаемые для обеспечения тайны личной жизни. Меры включают защиту данных и ограничения на сбор, накопление и обработку данных об отдельных лицах.
2. Законодательные меры для обеспечения тайны личной жизни.
Защищаемая информация
1. Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, установленными собственником информации.
