Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4605 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Дальневосточный Государственный Университет Путей Сообщения
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Билеты Осн ИБ / 38.docx
Скачиваний:
37
Добавлен:
13.04.2015
Размер:
39.49 Кб
Скачать
►Содержание►

Вопрос № 2: «Угрозы нарушения конфиденциальности, целостности и доступности информации»

Существует три разновидности угроз.

1. Угрозы нарушения доступности.

2. Угрозы нарушения целостности.

3. Угрозы нарушения конфиденциальности.

Доступность информации – свойство системы (среды, средств и технологии обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость.

Нарушение доступности представляет собой создание таких условий, при которых доступ к услуге или информации будет либо заблокирован, либо возможен за время, которое не обеспечит выполнение тех или иных бизнес-целей.

Целостность информации – существование информации в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Чаще субъектов интересует обеспечение более широкого свойства – достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, т.е. ее неискаженности.

Угрозы нарушения целостности – это угрозы, связанные с вероятностью модификации той или иной информации, хранящейся в ИС. Нарушение целостности может быть вызвано различными факторами – от умышленных действий персонала до выхода из строя оборудования.

Причины нарушения целостности информации:

    1. Субъективные

    1. Преднамеренные.

      1. Диверсия (организация пожаров, взрывов, повреждений электропитания и др.).

      2. Непосредственные действия над носителем (хищение, подмена носителей, уничтожение информации).

      3. Информационное воздействие (электромагнитное облучение, ввод в компьютерные системы разрушающих программных средств, воздействие на психику личности и психотропным оружием).

    2. Непреднамеренные.

      1. Отказы обслуживающего персонала (гибель, длительный выход из строя).

      2. Сбои людей (временный выход из строя).

      3. Ошибки людей.

  1. Объективные, непреднамеренные.

    1. Отказы (полный выход из строя) аппаратуры, программ, систем питания и жизнеобеспечения).

    2. Сбои (кратковременный выход из строя) аппаратуры, программ, систем питания и жизнеобеспечения).

    3. Стихийные бедствия (наводнения, землетрясения, ураганы).

    4. Несчастные случаи (пожары, взрывы, аварии).

    5. Электромагнитная несовместимость.

Конфиденциальность – способность системы обеспечивать целостность и сохранность информации ее законных пользователей.

Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Она имеет место всякий раз, когда получен доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда, в связи с угрозой нарушения конфиденциальности, используется термин «утечка». Подобные угрозы могут возникать вследствие «человеческого фактора» (например, случайное делегировании тому или иному пользователю привилегий другого пользователя), сбоев работе программных и аппаратных средств.

Реализация каждой из указанных угроз в отдельности или их совокупности приводит к нарушению информационной безопасности предприятия.

Собственно говоря, все мероприятия по обеспечению информационной безопасности должны строиться по принципу минимизации указанных угроз.

Все мероприятия по обеспечению информационной безопасности условно можно рассматривать на двух основных уровнях: на уровне физического доступа к данным и на уровне логического доступа к данным, которые являются следствием административных решений (политик).

На уровне физического доступа к данным рассматриваются механизмы защиты данных от несанкционированного доступа и механизмы защиты от повреждения физических носителей данных. Защита от несанкционированного доступа предполагает размещения серверного оборудования с данными в отдельном помещении, доступ к которому имеет лишь персонал с соответствующими полномочиями. На этом же уровне в качестве средств защиты возможно создание географически распределенной системы серверов. Уровень защиты от физического повреждения предполагает организацию различного рода специализированных систем, предотвращающих подобные процессы.

Уровень защиты от логического доступа к данным предполагает защиту от несанкционированного доступа в систему (здесь под системой понимается система, предназначенная для порождения, хранения и обработки данных любого класса – от простых учетных систем до решений класса ERP) как на уровне баз данных, так и на уровне ядра системы и пользовательских форм. Защита на этом уровне предполагает принятие мер по предотвращению доступа к базе данных как из Интернет, так и из локальной сети организации (на последний аспект обеспечения безопасности традиционно обращается мало внимания, хотя этот аспект напрямую связан с таким явлением, как промышленный шпионаж). Защита ядра системы предполагает, наряду с обозначенными выше мерами, вычисление контрольных сумм критических частей исполнимого кода и периодический аудит этих контрольных сумм.

К этому же уровню защиты относится механизм сертификации, когда в обмене между пользовательской формой и сервером, а также подлинность самой пользовательской формы подтверждается третьим участником обмена – центром сертификации.

Соседние файлы в папке Билеты Осн ИБ
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности