Построение систем защиты от угроз нарушения конфиденциальности информации. Организационные меры.

ТоибасеГ ответеГ

Основные понятия информационной безопасности. Конфиденциальность, целостность, доступность информации. Общая классификация методов обеспечения информационной безопасности.

Информация - всё то, что может быть представлено в символах конечного (например, бинарного) алфавита.

автоматизированной системой обработки информации (АС) понимается совокупность следующих объектов:

1. средств вычислительной техники;

2. программного обеспечения;

3. каналов связи;

4. информации на различных носителях;

5. персонала и пользователей системы.

Информационная безопасность АС рассматривается как состояние системы, при

котором:

1. Система способна противостоять дестабилизирующему воздействию

внутренних и внешних угроз.

2. Функционирование и сам факт наличия системы не создают угроз для внешней

среды и для элементов самой системы.

На практике информационная безопасность обычно рассматривается как

совокупность следующих трёх базовых свойств защищаемой информации:

− конфиденциальность, означающая, что доступ к информации могут получить

только легальные пользователи;

− целостность, обеспечивающая, что во-первых, защищаемая информация

может быть изменена только законными и имеющими соответствующие

полномочия пользователями, а во-вторых, информация внутренне

непротиворечива и (если данное свойство применимо) отражает реальное

положение вещей;

− доступность, гарантирующая беспрепятственный доступ к защищаемой

информации для законных пользователей.

Деятельность, направленную на обеспечение информационной безопасности,

принято называть защитой информации.

Угрозы информационной безопасности. Критерии классификации угроз. Методы перечисления угроз.

угрозой принято понимать потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. В свою очередь, угроза информационной безопасностиавтоматизированной системы - это возможность реализации воздействия на информацию, обрабатываемую в АС, приводящего к нарушению конфиденциальности, целостности или доступности этой информации, а также возможность воздействия на компоненты АС, приводящего к их утрате, уничтожению или сбою функционирования.

Критерии классификации угроз (основная классификация):

1. Угрозы нарушения конфиденциальности информации, в результате реализации

которых информация становится доступной субъекту, не располагающему

полномочиями для ознакомления с ней.

2. Угрозы нарушения целостности информации, к которым относится любое

злонамеренное искажение информации, обрабатываемой с использованием АС.

3. Угрозы нарушения доступности информации, возникающие в тех случаях, когда

доступ к некоторому ресурсу АС для легальных пользователей блокируется.

Отметим, что реальные угрозы информационной безопасности далеко не всегда можно строго

отнести к какой-то одной из перечисленных категорий. Так, например, угроза хищения носителей информации может быть при определённых условиях отнесена ко всем трём категориям.

Более расширенная классификация: по природе возникновения, по степени преднамеренности, источник угрозы (санкционированное ПО и аппаратные средства, несанкционированное ПО и аппаратные средства, от человека, природная среда).

Методы перечисления угроз:

1. Построение произвольных списков угроз. Возможные угрозы выявляются экспертным путём и фиксируются случайным и неструктурированным образом. Для данного подхода характерны неполнота и противоречивость получаемых результатов.

2. Построение деревьев угроз . Угрозы описываются в виде одного или нескольких деревьев. Детализация угроз осуществляется сверху вниз, и в конечном итоге каждый лист дерева даёт описание конкретной угрозы. Между поддеревьями в случае необходимости могут быть организованы логические связи.

Основные принципы обеспечения информационной безопасности в автоматизированных системах. Причины и виды утечки информации.

Хз что отвечать. Причины и виды: технический канал утечки информации, человеческий фактор, причины – несовершенство оборудования, болтливость персонала. Основной принцип ИБ: затраты на защиту информации не должны превышать стоимость самой информации (грубо говоря, нет смысла защищать информацию, ущерб от раскрытия которой незначителен). Также информация должна быть доступна легальным пользователям и недоступна для пользователей, не имеющих прав на доступ. В общем, вопрос творческий какой-то.

Построение систем защиты от угроз нарушения конфиденциальности информации. Организационные меры.

Обычно применяется эшелонированная модель защиты. первичная защита осуществляется за счёт реализуемых организационных мер и механизмов контроля физического доступа к АС. В

дальнейшем, на этапе контроля логического доступа, защита осуществляется с использованием различных сервисов сетевой безопасности. Во всех случаях параллельно должен быть развёрнут комплекс инженерно-технических средств защиты информации, перекрывающих возможность утечки по техническим каналам. На рисунке ниже показано. (Примечание – этот кусок общий для вопросов 4-6)

Организационные меры.

- развёртывание системы контроля и разграничения физического доступа к

элементам автоматизированной системы.

- создание службы охраны и физической безопасности.

- организацию механизмов контроля за перемещением сотрудников и посетителей (с использованием систем видеонаблюдения, проксимити-карт и т.д.);

- разработку и внедрение регламентов, должностных инструкций и тому подобных регулирующих документов;

- регламентацию порядка работы с носителями, содержащими конфиденциальную информацию.

Не затрагивая логики функционирования АС, данные меры при корректной и адекватной их реализации являются крайне эффективным механизмом защиты и жизненно необходимы для обеспечения безопасности любой реальной системы.