Кемерово 2012 сведения об окружающем

Зарегистрируйтесь, чтобы просмотреть полный документ!

Кемерово 2012

– сведения об окружающем мире и протекающих в нем процессах, воспринимаемые человеком или специальным устройством. Может существовать в различных формах – звуковая, текстовая, графическая, … Обладает свойствами: Объективность – отражает реальное состояние объекта, а не чье-то мнение об этом; Полнота – информации достаточно для принятия решения на ее основе; Актуальность – соответствие текущему положению дел. В противном случае информация устаревшая; И др.

По степени информация делится на: Жизненно важную Важную Полезную Несущественную Степень важности определяется потребителем информации

можно: Собирать; Хранить; Преобразовывать из одной формы в другую (например, из звуковой – текстовую); Создавать новую на основе имеющейся; Передавать другим пользователям, нуждающимся в ней. Процессы сбора, хранения, обработки и передачи информации называются используемые при этом – , а методы, .

( ) – совокупность следующих компонентов: - самой информации, хранящейся на каких-либо носителях; - технических средств обработки и передачи информации; - методов и алгоритмов обработки информации; - обслуживающего персонала, осуществляющего ее обработку, а также пользователи системы. Если для обработки информации используется вычислительная техника (компьютеры), такая информационная система называется ( или ).

- это комплекс мероприятий, направленных на обеспечение информационной безопасности. ( )– защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений (владельцам и/или пользователям информации и поддерживающей инфраструктуры).

Защита информации направлена на обеспечение трех базовых свойств информации:

- состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на нее право - возможность получить требуемую информацию за приемлемое время при наличии соответствующих прав доступа к ней - защищенность информации от разрушения либо изменения, случайного (отказ программных или аппаратных средств) или преднамеренного (несанкционированный доступ к информации)

Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (например, возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении). Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Угрозы ИБ можно классифицировать по: расположению источника угроз (внутри/вне рассматриваемой ИС). способу осуществления (случайные/преднамеренные); компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь.

По расположению источника угроз: внутренние угрозы: программное обеспечение; сотрудники организации; аппаратное обеспечение. внутренние угрозы могут проявляться в… ошибках пользователей и системных администраторов; нарушениях сотрудниками установленных регламентов сбора, обработки, передачи и уничтожения информации (некомпетентность, злоупотребления полномочиями, «обиженные» сотрудники); ошибках в работе программного обеспечения, отказах и сбоях в работе оборудования.

внешние угрозы: организации и отдельные лица; компьютерные вирусы и вредоносные программы; природные явления и стихийные бедствия. внешние угрозы могут проявляться в… заражении компьютеров вирусами или вредоносными программами; несанкционированный доступ к информации; информационный шпионаж со стороны конкурентов; действия государственных структур, сопровождающиеся изъятием, модификацией и уничтожением информации; аварии, пожары, неблагоприятные воздействия климата, техногенные катастрофы.

По свойствам информации: Угрозы конфиденциальности данных и программ. Угрозы целостности данных, программ, аппаратуры. Угрозы доступности данных. Возникают в том случае, Реализуются при несанкционированном доступе к данным, программам или каналам связи. Реализуются при несанкционированном уничтожении, добавлении лишних элементов и модификации записей, изменении порядка расположения данных, формирования фальсифицированных документов. когда пользователь не получает доступа к нужной ему информации. Реализуются захватом оборудования, блокированием линий связи.

Способы проведения атак на объекты информационной безопасности подразделяются на: информационные программно-математические физические радиоэлектронные организационно-правовые (нарушение адресности и своевременности информационного обмена, противозаконный сбор и использование информации; несанкционированный доступ к информационным ресурсам; манипулирование информацией (дезинформация, сокрытие или искажение информации); незаконное копирование данных в информационных системах; нарушение технологии обработки информации) (внедрение компьютерных вирусов; установку программных и аппаратных закладных устройств; уничтожение или модификацию данных в автоматизированных информационных системах) (уничтожение или разрушение средств обработки информации и связи; уничтожение, разрушение или хищение машинных или других оригинальных носителей информации; хищение программных или аппаратных ключей и средств криптографической защиты информации; воздействие на персонал; поставку «зараженных» компонентов автоматизированных информационных систем) (перехват информации в технических каналах ее возможной утечки; внедрение электронных устройств перехвата информации в технические средства и помещения; перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи; воздействие на парольно-ключевые системы; радиоэлектронное подавление линий связи и систем управления) (невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере; неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию)

Обеспечение информационной безопасности - сложная задача, для решения которой требуется комплексный подход. Выделяют следующие уровни защиты информации: законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества; административный – комплекс мер, предпринимаемых локально руководством организации; процедурный– меры безопасности, реализуемые людьми; программно-технический – непосредственно средства защиты информации.

Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года. Конституция Ст. 23 гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений Ст. 29 гарантирует право свободно искать, получать, передавать, производить и распространять информацию любым законным способом Ст. 24: органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом Ст. 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей. Ст. 42 – право на знание достоверной информации о состоянии окружающей среды.

Гражданский Кодекс РФ (редакция от 15 мая 2001 года) определяет такие понятия, как банковская, коммерческая и служебная тайна. Уголовный Кодекс РФ (редакция от 14 марта 2002 года), Глава 28 «Преступления в сфере компьютерной информации» , содержит три статьи: Ст. 272. Неправомерный доступ к информации; С. 273. Создание, использование и распространение вредоносных программ для ЭВМ; Ст. 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Ст. 138 защищает конфиденциальность персональных данных (наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений).

Федеральное законодательство в области обеспечения информационной безопасности: ФЗ «Об информации, информационных технологиях и защите информации» (149 -ФЗ от 27 июля 2006 года) ФЗ «О персональных данных» (152 -ФЗ от 8 июля 2006 года) Федеральные законы «О безопасности» , «Об электронной цифровой подписи» , «О государственной тайне» , «Об участии в международном информационном обмене» и другие.

Нормативные правовые акты Президента РФ, Правительства РФ: Доктрина информационной безопасности РФ (Пр-1895 от 09. 2000) "О концепции национальной безопасности Российской Федерации" (№ 24 от 10. 01. 2000) "О перечне сведений, отнесенных к государственной тайне" (№ 61 от 24. 01. 1998) "О сертификации средств защиты информации" (№ 608 от 26. 06. 1995) Руководящие документы Гостехкомиссии России.

К административному уровню относятся действия общего характера, предпринимаемые руководством организации. Цель – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя ресурсы и контролируя состояние дел.

Основной документ – , отражающий подход организации к защите своих информационных ресурсов. Строится на основе анализа рисков, которые признаются реальными для ИС организации. Содержит руководящие принципы, правила, процедуры и практические приемы, регулирующие управление, защиту и распределение информации. ПРИМЕР ПОЛИТИКИ БЕЗОПАСНОСТИ на сайте http: /securitypolicy. ru

После разработки «Политики безопасности» приступают к составлению программы ее реализации и собственно реализации. состоит из двух уровней: - верхнего, охватывающего всю организацию и имеющего цели: оценка рисков, выбор эффективных средств защиты; координация деятельности в области информационной безопасности, пополнение и распределение ресурсов; стратегическое планирование; контроль деятельности в области ИБ. - нижнего, обеспечивающего надежную и экономичную защиту конкретного сервиса или группы однородных сервисов.

Меры процедурного уровня ориентированы в первую очередь на людей, а не на технические средства. Акцент следует делать не на военной или криминальной стороне дела, а на гражданских аспектах, связанных с поддержанием нормального функционирования аппаратного и программного обеспечения, то есть концентрироваться на обеспечении доступности и целостности данных.

Классы мер данного уровня: управление персоналом; физическая защита; поддержание работоспособности ИС; реагирование на нарушения режима безопасности; планирование восстановительных работ.

Ключевым звеном в построении надежной системы обеспечения информационной безопасности (ИБ) является человек. Причем, как показывают исследования, проводимые ежегодно различными компаниями, человек является самым слабым звеном в защите. С небрежностью, недостаточной компетентностью и безответственностью персонала связано сегодня 80% нарушений ИБ организаций. 9% 4% 2% ошибки персонала проблемы электропитания нечестные сотрудники 10% обиженные сотрудники 55% 20% вирусы внешние нападения

- Приветик, это новая рассылка тем про кошек. Интересно? - Привет, ух ты, у меня как раз есть кошка! А вы уже по аське (примечание - русское разговорное название ICQ) рассылаете? - Да, завоевываем сердца клиентов. Кстати, твоя аватарка просто супер, это ты на ней? - Да, я, спасибо за комплимент. Действительно, завоевываете сердца. - А как тебя зовут? Меня - Леша. - А меня - Алена. - Очень приятно. Ален, так говоришь, у тебя есть кошка? - Да, персидская, такая хорошенькая. - Мммм, чистокровная? - Да, да. Приятно, когда молодой человек разбирается в кошках. - Стараюсь, а чем вы ее кормите? Кормом или "домашним"? - О, домашним, кормам не доверяем. - Согласен, у нас как раз в рассылке иногда есть рецепты. - Ой, супер. А как получить-то рассылку? - Тут надо, чтоб ты ответила на несколько вопросов. - Хорошо. - 1) Ты замужем? ))))))) - Ой, ну засмущал…. - Ладно, теперь серьезно – сколько лет твоей кошке? - 4. - Отлично, как ее зовут? - Ладка. - Ой, какое милое имя. Ну вот в принципе и все, раз в неделю тебе будет приходить наша рассылка. Приходить будет сюда, ок? - Да, договорились, конечно. - Пока, Ален - Пока.

Звонок в фирму 10 часов утра. - Алло, здравствуйте, секретарь Кристина, чем могу помочь? - Привет, Кристин, я - Петр, из отдела техподдержки сетей. У нас тут сеть перестала работать на вашем узле. - Да? Странно, 5 минут назад работала. - А сейчас не работает. В общем, тут серьезная неполадка. Меня начальник на куски разорвет, если узнает. - Да, я понимаю. - Ты не могла бы мне сказать свой пароль к сети? - А зачем, она же не работает. - Дело в том, что мы потеряли свои пароли в отделе…. - Что? - Да, да , я поэтому и говорю, что начальник нас разнесет. - Ого…. . Так зачем мой пароль? - Я быстро зайду под твоим паролем в сеть и поменяю нам наши пароли. - Ну, мммм, я не знаю. - Слушай, Кристин, тут, правда, плохо дело, простой сети сейчас обратит внимание начальника, и мы получим. Пожалуйста, помогай. - Ладно, хорошо, gasdas мой пароль. - Спасибо, сейчас мы быстро управимся, и можешь через 10 минут пользоваться сетью. - Хорошо, не за что.

Основаны на использовании специальных программ и аппаратуры, выполняющих функции защиты: идентификацию и аутентификацию пользователей; разграничение доступа к ресурсам; протоколирование и аудит; шифрование; экранирование; обеспечение отказоустойчивости; обеспечение безопасного восстановления; мониторинг и сигнализацию соблюдения правильности работы системы; создание резервных копий ценной информации.

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, иному аппаратнопрограммному компоненту) назвать себя. Аутентификация позволяет доказать, что субъект действительно тот, за кого себя выдает.

Три метода аутентификации, основанные на наличии у каждого пользователя: индивидуального объекта заданного типа (удостоверения, пропуска, магнитные карты и др. ); знания некоторой известной только ему информации (парольная защита); индивидуальных биометрических характеристик (тембр голоса, отпечатки пальцев, структура радужной оболочки глаз и др. ).

Управление доступом (логическое) – программное распределение прав доступа к информации, когда с помощью ограничивающего интерфейса пользователя лишают самой возможности попытаться совершить несанкционированное действие, включив в число видимых ему объектов только те, к которым он имеет доступ.

Протоколирование – сбор и накопление информации о событиях, происходящих в информационной системе. Аудит – анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день). Задачи: - обеспечение подотчетности пользователей и администраторов; - обеспечение возможности реконструкции последовательности событий; - обнаружение попыток нарушений ИБ; - предоставление информации для выявления и анализа проблем.

Шифрование Исходное сообщение называется открытым текстом. Процесс маскировки сообщения способом, позволяющим скрыть его суть, называется зашифрованием. Зашифрованное сообщение называется шифртекстом. Процедура обратного превращения шифртекста в открытый текст называется расшифрованием. Алгоритм зашифрования – шифр, может быть закрытым, может быть открыт, опубликован и проанализирован. Но знание алгоритма злоумышленником не имеет значения, т. к. в операциях зашифрования и расшифрования используется ключ.

Методы шифрования: симметричный. Ключ одинаковый для зашифрования и для расшифрования данных. Недостатки: 1) Ключ должен быть известен как отправителю сообщения, так и получателю; 2) Любой, кто знает ключ, может шифровать и расшифровывать сообщения, т. е. невозможно установить подлинность отправителя сообщения. асимметричный. Два ключа – один для зашифрования, другой – для расшифрования. Ключ для шифрования – несекретный, может публиковаться вместе с другими сведениями о пользователе, им может воспользоваться любой желающий, чтобы отправить сообщение получателю, для расшифрования – секретный, известен только получателю и только владелец секретного ключа сможет расшифровать и прочитать сообщение.

На основании асимметричных алгоритмов шифрования в 1976 г. Уитфилдом Диффи и Мартином Хеллманом была предложена концепция «электронной цифровой подписи» .

Согласно ФЗ № 1 от 10 января 2002 года, Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Сравнительный анализ обычной и цифровой подписи: Обычная подпись Каждая личность использует индивидуальные, только ей присущие характеристики – почерк, давление на ручку и т. д. Попытка подделки подписи обнаруживается с помощью графологического анализа Подпись и подписываемый документ передаются только вместе на одном листе бумаги; передавать подпись отдельно от документа нельзя; подпись не зависит от содержания документа, на котором она поставлена Копии подписанных документов недействительны, если каждая из этих копий не имеет своей настоящей (а не скопированной) подписи Цифровая подпись Каждая личность использует для подписи документов свой уникальный секретный ключ Любая попытка подписать документ без знания соответствующего секретного ключа практически не имеет успеха Цифровая подпись документа вычисляется в зависимости от содержания этого документа и секретного ключа; цифровая подпись может передаваться отдельно от документа Копия документа с цифровой подписью не отличается от его оригинала

Важной проблемой при пользовании ЭЦП является управление открытыми ключами. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзыв ключа в случае его компрометации. Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какоголибо доверенного лица. В России юридически значимый сертификат электронной подписи выдаёт Удостоверяющий центр.

Удостоверяющий центр: изготавливает сертификаты ключей подписей; создает ключи электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи; приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их; ведет реестр сертификатов ключей подписей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем; проверяет уникальность открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра; выдает сертификаты ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии; осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей; может предоставлять участникам информационных систем иные связанные с использованием электронных цифровых подписей услуги.

Галатенко В. А. Основы информационной безопасности: курс лекций: учебное пособие. – М. : ИНТУИТ. РУ «Интернет-университет Информационных Технологий» , 2006. Громов Ю. Ю. , Драчев В. О. , Иванова О. Г. , Шахов Н. Г. Информационная безопасность и защита информации: учебное пособие. – Старый Оскол: ТНТ, 2010. Скрипник Д. А. Обеспечение безопасности персональных данных: курс лекций. http: //www. intuit. ru/department/security/enspdata/

Спасибо за внимание!

Скачать презентацию Кемерово 2012 сведения об окружающем

Инф.безопасность.ppt

Количество слайдов: 42