Информационная безопасность Безопасность информации данных Информационная безопасность

Информационная безопасность

Безопасность информации (данных) (Информационная безопасность ) n n состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность; защита конфиденциальности, целостности и доступности информации.

Основные информации n n n характеристики безопасности Конфиденциальность: обеспечение доступа к информации только авторизованным пользователям. Целостность: обеспечение достоверности и полноты информации и методов её обработки. Доступность: обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Угрозы безопасности информации n n n организация утечки информации; угроза искажений (дезинформация, подделка, повтор); угроза уничтожения информации; угроза интеллектуальной собственности (незаконное копирование, воспроизведение и т. д. ); помехи функционирования информационных систем; телекоммуникации (отказ от получения, отправления информации)

Источники угроз информационной безопасности n n n n Некомпетентные служащие Хакеры и кракеры Нечестные служащие Организованная преступность Террористические группы Экономический, политический, военный шпионаж И другое

Направления обеспечения информационной безопасности n n n Законодательная защита информации. Защита информации от уничтожения в результате реализации угроз природного и техногенного характера (пожар, землетрясение и т. д. ). Защита от несанкционированного копирования, в том числе защита интеллектуальной собственности.

Направления обеспечения информационной безопасности n n Защита от вредоносных программ (вирусы, программные закладки). Защита информации от утечки в каналах связи (несанкционированное подключение к каналам связи и оборудование) Защита информации от утечки по техническим каналам. Обеспечение юридической значимости электронных документов.

Защита информации: средства Средства защиты информации — это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

Классификация средств защиты информации n n Организационные. Технические. Программные. Смешанные.

Организационные средства защиты информации n n Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами и др. ) и организационно-правовых (законодательство и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества: позволяют решать множество разнородных проблем; просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки — высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

Технические средства защиты информации Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др. ), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки.

Технические средства защиты информации 1. 2. 3. Преимущества: надежность; независимость от субъективных факторов; высокая устойчивостью к модификации. Недостатки: недостаточная гибкость; относительно большие объем и масса; высокая стоимость.

Программные средства защиты информации Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др.

Программные средства защиты информации Преимущества: универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки: ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Смешанные средства защиты информации Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

Технические (аппаратные) средства защиты информации К аппаратным средствам защиты относятся различные электронные, электронно-механические, электроннооптические устройства.

Технические (аппаратные) средства защиты информации n n специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности; устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации; схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных. устройства для шифрования информации (криптографические методы)

Технические (аппаратные) средства защиты информации Для защиты периметра информационной системы создаются: • системы охранной и пожарной сигнализации; • системы цифрового видео наблюдения; • системы контроля и управления доступом (СКУД).

Технические (аппаратные) средства защиты информации Защита информации от ее утечки техническими каналами связи обеспечивается следующими средствами и мероприятиями: • использованием экранированного кабеля и прокладка проводов и кабелей в экранированных конструкциях; • установкой на линиях связи высокочастотных фильтров;

Технические (аппаратные) средства защиты информации построение экранированных помещений ( «капсул» ); n использование экранированного оборудования; n установка активных систем зашумления; n создание контролируемых зон. n

Программные средства защиты информации n n Встроенные средства защиты информации. Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства. Кроме программ шифрования и криптографических систем, существует много других доступных внешних средств защиты информации.

Специализированные программные средства n Межсетевые экраны (также называемые брандмауэрами или файрволами — от нем. Brandmauer, англ. firewall — «противопожарная стена» ). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью.

Специализированные программные средства n n Proxy-servers (proxy — доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью — маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. VPN - (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми.

Криптография (от греч. криптос — скрытый и графо — пишу) — наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации. Изначально криптография изучала методы шифрования информации.

Шифрование — способ преобразования открытой информации в закрытую и обратно. Применяется для хранения важной информации в ненадёжных источниках или передачи её по незащищённым каналам связи.

Разделы криптографии n n n симметричная криптография ассиметричная криптография системы электронной цифровой подписи (ЭЦП) хеш-функции управление ключами и другое

Ключ — секретная информация, используемая криптографическим алгоритмом при шифровании/расшифровке сообщений.

Разделы криптографии Симметричные криптосистемы — способ шифрования, в котором для шифрования и расшифровывания применяется один и тот же криптографический ключ.

Разделы криптографии Асимметричные криптосистемы — способ шифрования, в котором для шифрования и расшифровывания применяются разные ключи.

Разделы криптографии Электронная цифровая подпись (ЭЦП) — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки.

Разделы криптографии Хеширование (иногда хэширование, англ. hashing) — преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины.