А. Артемов - Информационная безопасность. Курс лекций
- Название:Информационная безопасность. Курс лекций
- Автор:
- Жанр:
- Издательство:Литагент «МАБИВ»50b47336-5b4f-11e4-af45-002590591ed2
- Год:2014
- Город:Орел
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
А. Артемов - Информационная безопасность. Курс лекций краткое содержание
Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем сопровождаются существенным ростом посягательств на информацию как со стороны иностранных государств, так и со стороны преступных элементов и граждан, не имеющих доступа к ней. Несомненно, в создавшейся обстановке одной из первоочередных задач, стоящих перед правовым государством, является разрешение глубокого противоречия между реально существующим и необходимым уровнем защищенности информационных потребностей личности, общества и самого государства, обеспечение их ИБ.
Предназначено для преподавателей и студентов вузов по специальности «Информационная безопасность», специалистов по безопасности, менеджеров и руководителей компаний.
Информационная безопасность. Курс лекций - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
• широкое развитие локальных и глобальных ВС, способствующее быстрому распространению РПС.
В связи с перечисленными факторами, вопросы информационной безопасности и защиты информации в автоматизированных системах обработки информации (АСОИ) в настоящее время становятся все более актуальными.
Однако, безопасность (в подавляющем большинстве случаев) является качественной характеристикой системы: ее трудно измерить в каких-либо единицах; у различных групп специалистов, занимающихся проблемами безопасности может быть свой взгляд на безопасность и средства ее достижения. Для согласования всех точек зрения на проблему создания защищенных систем разрабатываются стандарты информационной безопасности. Это документы, регламентирующие основные понятия и концепции информационной безопасности на государственном или межгосударственном уровне, определяющие понятие "защищенная система" посредством стандартизации требований и критериев безопасности, образующих шкалу оценки степени защищенности ВС.
Вопрос 1. Основные положения по обеспечению ИБ
Руководствуясь целями обеспечения защиты информации в автоматизированных системах Гостехкомиссия (ГТК) при Президенте Российской федерации (РФ) опубликовала ряд руководящих документов, посвященных вопросам защиты от несанкционированного доступа к информации:
1. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. М.: 1997
2. Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанцционированного доступа к информации. М.: 1997
3. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М.: 1997
4. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М.: 1997.
5. Гостехкомиссия России. Руководящий документ. Межсетевые экраны. Защита от несанкционированного доступа к информации. М.: 1997.
6. Гостехкомиссия России. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. М.: 1997.
Следует отметить, что идейной основой этих документов является «Концепция защиты средств вычислительной техники от несанкционированного доступа к информации (НСД)», содержащая систему взглядов ГТК на проблему информационной безопасности и основные принципы защиты компьютерных систем, как основы для построения автоматизированных систем обработки информации (АСОИ) и автоматизированных систем управления (АСУ).
Концепция определяет следующие основные положения:
ОПРЕДЕЛЕНИЕ НСД
ОСНОВНЫЕ ПРИНЦИПЫ ЗАЩИТЫ
МОДЕЛЬ НАРУШИТЕЛЯ В АС
ОСНОВНЫЕ СПОСОБЫ НСД
ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ОТ НСД
ОСНОВНЫЕ ХАРАКТЕРИСТИКИ ТЕХНИЧЕСКИХ СРЕДСТВ ЗАЩИТЫ ОТ НСД
КЛАССИФИКАЦИЯ АС
ОРГАНИЗАЦИЯ РАБОТ ПО ЗАЩИТЕ
Концепция предназначена для заказчиков, разработчиков и пользователей СВТ и АС, которые используются для обработки, хранения и передачи требующей защиты информации. Она является базой нормативно-технических и методических документов, направленных на решение следующих задач:
✓ выработка требований по защите СВТ и АС от НСД к информации;
✓ создание защищенных СВТ и АС, т. е. защищенных от НСД к информации;
✓ сертификация защищенных СВТ и АС. Концепция предусматривает существование двух относительно самостоятельных направлений в проблеме защиты информации от НСД. Это – направление, связанное с СВТ, и направление, связанное с АС.
Отличие в том, что СВТ разрабатываются и поставляются на рынок как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации. При этом, защищенность СВТ есть потенциальная защищенность, т. е. свойство предотвращать или существенно затруднять НСД к информации в дальнейшем при использовании СВТ в АС.
Помимо пользовательской информации при создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации.
1. ОПРЕДЕЛЕНИЕ НСД
НСД определяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС.
2. ОСНОВНЫЕ ПРИНЦИПЫ ЗАЩИТЫ
Защита СВТ и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите от НСД к информации.
Защита СВТ обеспечивается комплексом программно-технических средств.
Защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.
Защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.
Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС).
Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты.
Защита АС должна предусматривать контроль эффективности средств защиты от НСД. (периодический или по мере необходимости).
3. МОДЕЛЬ НАРУШИТЕЛЯ В АС
В качестве нарушителя рассматривается субъект, имеющий доступ к работе с штатными средствами АС и СВТ как части АС.
Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяется четыре уровня этих возможностей. Каждый следующий уровень включает в себя функциональные возможности предыдущего.
✓ Первый уровень – запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
✓ Второй уровень – возможность создания и запуска собственных программ с новыми функциями по обработке информации.
Читать дальшеИнтервал:
Закладка:
