Сделай Сам Свою Работу на 5

Угрозы информационной безопасности и их классификация. Компьютерная преступность.





Угроза информационной безопасности — сов-ть условий и факторов, создающих опасность нарушения информационной безопасности.

1. по общему назначению: политические, экономические, организационно-технические.

2. по иерархическому признаку: глобальные, региональные, локальные

3. по цели реализации:нарушение конфиденциальности, нарушение целостности, нарушение доступности.

4. по принципу доступности: с использованием доступа, с использованием скрытых каналов.

5. по характеру воздействия: активные, пассивные.

6. по способу воздействия на объект атаки: непосредственное воздействие, воздействие на систему разрешений, опосредованное воздействие.

7. по использованию средств атаки: с использованием штатного ПО (вирусы), с использованием разработанного ПО.

8. по состоянию объекта атаки: при хранении, при передаче,при обработке.

Компьютерная преступность-любые незаконные, неправомерные, неэтические действия, связанные с автоматической обработкой и передачей данных. Причины активизации комп. преступности: усложнение программных средств, объединение вычислительных систем.

Для успешной борьбы с компьютерной преступностью обязательны три составляющих:



-гармонизация национального законодательства по борьбе с компьютерной преступностью с требованиями международного права;

-высокая профессиональная подготовка правоохранительных органов — от следователя до судебной системы;

-сотрудничество и правовой механизм по взаимодействию правоохранительных органов различных государств.

Классы безопасности. Стандарты информационной безопасности

Первый критерий оценки безопасности компьютерных систем был разработан в США. Было выделено шесть основных требований.

-класс D - подсистема безопасности -не прошли испытаний на более высокий уровень защищенности.

-класс С1 - избирательная защита. Средства защиты отвечают требованиям избирательного управления доступом, каждый субъ-ект идентифицируется и аутентифицируется в этом классе и ему задается перечень допустимых типов доступа;

-класс С2 - управляемый доступ - добавляются требования уникальной идентификации субъектов доступа, защиты и регистрации событий;



-класс В1 - меточная защита. Метки присваиваются всем субъектам и объектам системы, которые содержат конфиденциальную информацию. Доступ - только тем субъектам, чья метка отвечает определенному критерию относительно метки объекта;

-класс В2 - структурированная защита.

-класс ВЗ - область безопасности

-класс А1 – высший класс – управление всем жизн.циклом ИС.

По стандарту ISO: критерии функциональности, гарантированность, классы безопасности.

 

 

Информационная безопасность корпоративной сети.

Информационный ресурс корпорат. уровня особенно уязвим и требует качественной и надежной защиты. Мероприятия по защите корпор. инф-и должны обеспечивать выполнение след задач:

-защита от проникновения в КС и утечки инф-и из сети по каналам связи

-разграничение потоков инф-и между сегментами сети.

-защита наиболее критичных ресурсов сети от вмешательства в норм. процесс функционирования.

-защита рабочих мест и ресурсов от несанкционированного доступа

-криптографическая защита наиболее важных инф. ресурсов

-идентификация и аутентификация, управление доступом, технологии обнаружения атак, протоколирование и регистрация, сетевая защита, экранирование.

 

Политика безопасности.

ПБ - это совокупность норм и правил, мер, направленных на защиту инф-х ресурсов. ПБ определяет: безопасность внутри организации; место каждого служащего в системе безопасности.

Политика безопасности состоит из 2 частей: общих принципов и конкретных правил работы с ИС для различных категорий пользователей.



-организационный раздел – описание подразделений, кот. обеспечивают ИБ.

-классификационный – мат. и инф. ресурсы и уровни их защиты.

-штатный – меры безопасности к персоналу.

-раздел физической защиты инф-и.

-правила разграничения доступа.

-порядок разработки и внедрения системы.

-меры по обеспечению непрерывн. работы организации.

-юридич. раздел. – соответствие законодательству.

 

Функции ПБ: Определение способов развертывания системы безопасности, определение надлежащих механизмов для защиты информации и систем, правильная настройка компьютерных систем и сетей в соответствии с требованиями физической безопасности.

Политика устанавливает порядок осуществления служащими своих обязанностей, связанных с вопросами безопасности, определяет поведение пользователей при использовании компьютерных систем, размещенных в организации. И самое главное, она устанавливает порядок реагирования в случае каких-либо непредвиденных обстоятельств. При нарушении безопасности или сбое в работе системы, политики и процедуры устанавливают порядок действий и выполнения задач, направленные на устранение последствий этого инцидента.

 

32. Методы и средства защиты информации. Криптографический метод защиты. Электронная цифровая подпись. Компьютерная стеганография.

Методы: законодательные - комплекс мер, направленных на создание и поддержание в обществе негативного отношения к нарушениям и нарушителям инф-й безопасности (законы, нормативные акты, стандарты), административно-организационные - (действие общего характера направленные на работу с людьми), программно-технические - защита от вирусов, защита информации.

Физич-е средства – создание препятствий (замок, решетка).

Аппаратные – защита от разглашения, утечки, несанк.доступа (камера).

Программные –

идентификация – предост. идинтификаторов.

аутинтификация – сравнение идентификаторов с хранимыми в системе.

авторизация – предоставление соотв. прав пользователя.

хранение паролей, защита от вирусов, взлома, восстановление инф-и,

Криптографический метод защиты - это мат. формула, описывающая процессы зашифрования и расшифрования. Криптоалгоритм работает в сочетании с ключом- словом, числом. Это спец. методы шифрования, кодирования или иного преобразования инф-и, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Кр. метод самый надежный, т.к. охраняется сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя), реализуется в виде программ или пакетов программ.

Компьютерная стеганография – это сокрытие сообщения или файла в другом сообщении или файле. Например, можно спрятать аудио- или видеофайл в другом инф-м или в большом графическом файле.

Эл. цифровая подпись - это реквизит эл-о документа, предназначенный для удостоверения источника данных и защиты электронного документа от подделки. Это присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.

 


 


33. Правовое обеспечение информационной безопасности в Республике Беларусь.

Совок. законодат. и морально-этических средств, регламентирующих правила и нормы поведения при обработке и использовании ин-и, инф-ых ресурсов и ИС.

Законодательные средства - зак. акты страны, кот. регламентируются правила использования обработки инф-и ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

В соответствии с нормами бел. закон-ва документированная информация может быть двух видов: открытая (общедоступная) и инф-я ограниченного доступа.

Документированная информация с ограниченным доступом делится на две категории: государственные секреты (защищаемые государством сведения в соответствии с законом «О защите государственных секретов») и конфиденциальная информация, представляющая собой документ-ю инф-ю, доступ к кот. ограничен в соответствии с законодательством РБ.

Информация составляет коммерческую тайну, если она имеет действительную или потенциальную ком. ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законных основаниях,собственник информации принимает меры к её охране. Правовые методы защиты программных продуктов также включают: патентную защиту, присвоение статуса производственных секретов, лицензионные соглашения и контракты.

Лицензионные соглашения распространяются на все аспекты правовой охраны программных продуктов, включая авторское право, патентную защиту, производственные секреты. Лицензия — договор на передачу одним лицом (лицензиаром) другому лицу (лицензиату) права на использование имени, продукции, технологии или услуги. В лицензионном соглашении оговариваются все условия эксплуатации программных продуктов. Автором программных продуктов признается физ. лицо, в результате творческой деятельности которого они созданы. Программные продукты могут использоваться третьими лицами —

В РБ существуют следующие стандарты информационной безопасности:- стандарт защиты информации (основные термины и определения);- стандарт средств вычислительной техники (защита от несанкционированного доступа к информации)

- стандарт системы обработки информации (модель услуг и сертификации протокола)

Кроме стандартов используются системы правовой сертификации: 1. "Оранжевая книга" - разработана Министерством безопасности США. Определяет перечень, по которому выделяется та или иная категория безопасности

2. Система европейской сертификации. Для инфо-й безопасности используются спец.ключи, сертификаты (электронные документы, содержащие цифровую информацию (ключ), которая подтверждает безопасность сервера, соотнося схему шифрования с имеющимся ключом) и протоколы.

 








Не нашли, что искали? Воспользуйтесь поиском по сайту:



©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.