лекция 1 основные понятия кб

Понятие информационной безопасности

Информация – это сведения (сообщения, данные) независимо от формы

их представления

Виды информации

Общедоступная информация

Свободно используется любым лицом и передается одним лицом

другому лицу

Информация ограниченного

доступа (конфиденциальная

информация)

Установлены ограничения доступа к информации либо требования к порядку ее предоставления или

распространения

Приведите примеры

Общедоступная информация

Информация ограниченного

доступа (конфиденциальная

информация)

•Свобода поиска, получения, передачи, производства и распространения информации любым законным способом.•Установление ограничений доступа к информации только федеральным законом.•Открытость, свободный доступ к информации о деятельности государственных органов и органов местного самоуправления.

Основные принципы правового регулированияотношений в сфере информации и ее защиты

•Обеспечение безопасности РФ при создании информационных систем, их эксплуатации и защите содержащейся в них информации.•Достоверность информации и своевременность ее предоставления.•Неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни без его согласия.

Основные принципы правового регулированияотношений в сфере информации и ее защиты

Одним из принципов правового регулирования отношений, возникающих в сфере информации, информационных технологий и защиты информации является "обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации", по иному - обеспечение информационной безопасности нашего государства.

Основные принципы правового регулированияотношений в сфере информации и ее защиты

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.

Понятие безопасности

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.

Понятие безопасности

Информационная безопасность - защищенность информации и поддерживающей

инфраструктуры от случайных или преднамеренных воздействий естественного или

искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации

и поддерживающей инфраструктуры.

Информационная безопасность – состояние защищенности объекта безопасности от внешних и внутренних угроз.

Понятие безопасности

В случае, когда объектом информационной безопасности является коммерческое предприятие, содержание понятия "информационная безопасность"заключается в защищенности интересов собственника информации, удовлетворяемых путем использования, обработки и применения информации, или связанных с защитой наиболее важных сведений, содержащихся в этой информации.

Понятие безопасности

Объектом безопасности в данном случае являются интересы собственника, представляющие собой совокупность информации, способной удовлетворить интересы собственника, и его действий по овладению этой информацией (ее сокрытием).

Понятие безопасности

Понятие безопасности

Деятельность по обеспечению информационной безопасности - комплекс планируемых и проводимых в целях защиты информационных ресурсов мероприятий, направленных на ликвидацию угроз информационной безопасности и минимизацию возможного ущерба, который может быть нанесен объекту безопасности вследствие их реализации.

Понятие безопасности

Под субъектами обеспечения информационной безопасности понимаются государственные органы, предприятия, должностные лица, структурные подразделения, принимающие непосредственное участие в организации и проведении мероприятий по обеспечению информационной безопасности.

Понятие безопасности

Средства, с помощью которых достигаются цели деятельности по обеспечению информационной безопасности, - это системы, объекты, способы, методы и иные механизмы непосредственного решения задач обеспечения информационной безопасности. Прежде всего, они представляют собой совокупность правовых и организационных средств обеспечения информационной безопасности.

Понятие безопасности

Обеспечение информационной безопасности в колледже

Деятельность 1.2.3.

Субъект 1.2.3.

Средства 1.2.3.

Целью комплексной информационной безопасности является сохранение информационной системы предприятия в целости и сохранности, защита и

гарантирование полноты и точности выдаваемой ею информации, минимизация разрушений и модификация

информации, если таковые случаются.

Компьютеры ненадежны, но люди еще ненадежнее.

Первый закон Джилба

«Любая система, зависящая от человеческой надежности, ненадежна»

Второй закон Джилба

Основными задачами информационной безопасности являются: обеспечение целостности и сохранности данных; соблюдение конфиденциальности информации; доступность информации для всех авторизованных

пользователей при условии контроля за всеми процессами использования ими получаемой информации;беспрепятственный доступ к информации в любой

момент, когда она может понадобиться предприятию.

Доступность – это возможность за приемлемое время получить требуемую информационную услугу.

Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Конфиденциальность – это защита от несанкционированного доступа к информации.

Доступная информация

Целостная информация

Конфиденциальная информация

Приведите примеры

Принципы обеспечения информационной

безопасности

Принцип системности предполагает необходимость учета всех слабых и уязвимых мест АС, возможных объектов и направлений атак, высокую квалификацию злоумышленника, текущих и возможных в будущем каналов реализации угроз.

Принцип комплексности. В распоряжении специалистов по информационной безопасности (ИБ) имеется широкий спектр мер, методов и средств защиты компьютерных систем. Принцип комплексности предполагает согласование работы разнородных СЗИ при построении целостной системы защиты, отсутствие слабых мест при стыковке различных СЗИ, покрытие ими всех существенных каналов реализации угроз.

Принцип непрерывности защиты. Защита информации – это не разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Например, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.).

Перерывы в работе СЗИ могут быть использованы злоумышленником для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.

Принцип разумной достаточности. Создать абсолютно защищенную систему защиты принципиально невозможно, взлом системы – это вопрос только времени и средств. Например, любые средства криптографической защиты не гарантируют абсолютной стойкости, а обеспечивают конфиденциальность информации в течение приемлемого для защищающейся стороны времени.

В связи с этим, при проектировании СЗИ имеет смысл вести речь только о некотором приемлемом уровне безопасности. Важно выбрать золотую середину между стойкостью защиты и ее стоимостью, потреблением вычислительных ресурсов, удобством работы пользователей и другими характеристиками СЗИ.

Принцип гибкости управления и применения системы защиты предполагает возможность варьировать уровень ее защищенности. При определенных условиях функционирования АС, СЗИ, обеспечивающие ее защищенность могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Гибкость управления и применения системы защиты спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые при смене условий функционирования АС.

Принцип открытости алгоритмов и механизмов защиты говорит о том, что защита не должна обеспечиваться только за счет секретности структурной организации СЗИ и алгоритмов функционирования ее подсистем. Знание алгоритма защиты не должно давать злоумышленнику возможности ее преодоления или снижать стойкость защиты.

Принцип простоты применения защитных мер и средств говорит о том, что механизмы защиты должны быть интуитивно понятны и просты в использовании.

Основные принципы и условия организационной защиты

информации

Организационная защита информации по своей сути является организационным началом, так называемым "ядром" в общей системе защиты конфиденциальной информации предприятия. От полноты и качества решения руководством предприятия организационных задач зависит эффективность решения проблем в данной области в целом.

Организационная защита

Организационная защита информации - составная часть системы защиты информации, определяющая и вырабатывающая порядок и правила функционирования объектов защиты и деятельности должностных лиц в целях обеспечения защиты информации.

Организационная защита

Организационно-правовая защита информации - регламентация производственной деятельности и взаимоотношений субъектов (сотрудников предприятия) на нормативно-правовой основе, исключающая или ослабляющая нанесение ущерба данному предприятию

Организационная защита

Основными принципами организационной защиты информации являются: 1)Принцип комплексного подхода. Заключается в использовании сил, средств, способов и методов защиты информации для решения поставленных задач в зависимости от конкретной складывающейся ситуации и наличия факторов, ослабляющих или усиливающих угрозу возможной утечки конфиденциальной информации.

Принципы организационной защиты

2) Принцип оперативности принятия управленческих решений существенно влияет на эффективность функционирования и гибкость системы защиты информации и отражает целеустремленность должностных лиц на решение задач защиты информации.

Принципы организационной защиты

3) Принцип персональной ответственности заключается в наиболее эффективном и полном распределении сил структурных подразделений предприятия, участвующих в процессе защиты информации.

Организационная защита