- •2. Место информационной безопасности в общей системе безопасности предприятия
- •3.Цели обеспечения информационной безопасности
- •4.Обеспечение конфиденциальности в безопасной информационной системе.
- •5.Обеспечение доступности в безопасной информационной системе.
- •6.Обеспечение целостности в безопасной информационной системе.
- •7. Виды конфиденциальной информации
- •8. Защита персональных данных (пд)
- •10. Коммерческая и служебная тайна.
- •11. Особенности режима защиты информационных ресурсов в зависимости от статуса информационного ресурса.
- •12. Документирование информационных ресурсов
- •13. Понятие о режиме защиты информации.
- •14 Классификация защищаемых объектов информатизации.
- •15. Основные технические средства и системы
- •16. Вспомогательные технические средства и системы
- •17. Защищаемые помещения.
- •18. Понятие угрозы информационной безопасности.
- •20. Оценка информации как ресурса.
- •22. Классификация угроз информационной безопасности
- •21 Классификация уязвимостей проявления угроз.
- •22. Антропогенные источники угроз иб
- •23. Техногенные источники угроз иб.
- •24. Объективные и субъективные уязвимости проявления угроз.
- •25. Классификация возможных атак (проявлений деструктивных факторов)
- •26.27. Классификация методов парирования атак
- •28.Правила категорирования информационных ресурсов.
- •29. Методы оценки информационных рисков
- •1. Метод Дельфи
- •2. Методом анализа иерархий Саати.
- •30. Классы защищенности свт с точки зрения информационной безопасности.
- •31. Классификация ас с точки зрения информационной безопасности.
- •32. Классификация межсетевых экранов с точки зрения информационной безопасности.
- •33.Система обеспечения информационной безопасности. Основное назначение. Решаемые задачи
- •36. Архитектура соби.
- •42. Структура политики информационной безопасности учреждения
- •44 Система обеспечения информационной безопасности как технологическая система сети связи общего пользования.
- •41 Задачи, решаемые при проведении комплексного обследования иб кис.
- •40 Средства обеспечения иб телекоммуникационных систем и уровни эмвос.
Понятие информационной безопасности.
Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и гос-ва.
В Законе РФ "Об участии в международном информационном обмене" информационная безопасность определяется как состояние защищенности информ. среды общества, обеспеч-ее ее формирование, использование и развитие в интересах граждан, орг-й, гос-ва.
В нашем курсе под ИБ понимается хранение, обработка и передача информации вне зависимости от того, на каком языке она закодирована, кто или что является ее источником и какое психологическое воздействие она оказывает на людей.
Под ИБ будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Рассмотрение проблем информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
ФЗ №149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации» Статья 16.1
• ЗИ представляет собой принятие правовых, организационных и технических мер, направленных на:
• 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• 2) соблюдение конфиденциальности информации ограниченного доступа,
• 3) реализацию права на доступ к информации.
Из этого положения можно вывести два важных следствия:
Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектовможет существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – "да нет у нас никаких секретов, лишь бы все работало".
ИБ не сводится исключительно к защите от несанкционированного доступа (НСД) к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
Термин "компьютерная безопасность" (как эквивалент ИБ) представляется нам слишком узким. Компьютеры – только одна из составляющих ИС, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасностьопределяется всей совокупностьюсоставляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).
Согласно определению ИБ, она зависит не только откомпьютеров, но иот поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.
Застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет матер. (денежное) выражение, а целью защиты инфы становится уменьш. размеров ущерба до допуст. значений.
Основные составляющиеИБ:
ИБ – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.
Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
Важность и сложность проблемы информационной безопасности:
ИБявляется одним из важнейшихаспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю – национальном, отраслевом, корпоративном или персональном.
В Доктрине информационной безопасности РФзащита от НСД к информационным ресурсам, обеспечение безопасностиинформационных и телекоммуникационныхсистем выделены в качестве важныхсоставляющих национальных интересов РФ в информационной сфере.
При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что ИБесть составная часть информационных технологий (ИТ) – области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.
2. Место информационной безопасности в общей системе безопасности предприятия
Безопасность предприятия (организации):
1) Физическая безопасность
2) Пожарная безопасность
3) Информационнаябезоп-ть-> Техническая защита (ТЗ) конфиденциальной информации
4) Экономическая безопасность
5) Экологическая безопасность
До настоящего времени нет единого подхода к определению понятия «система безопасности предприятия». Чтобы дать такое определение, необходимо предварительно выявить элементы этой системы. Целью обеспечения безопасности предприятия является комплексное воздействие на потенциальные и реальные угрозы, позволяющее ему успешно функционироватьв нестабильных условиях внешней и внутренней среды.
Система безопасности предприятия включает в себя ряд следующих подсистем:
Экономическая безопасность — состояние наиболее эффективного использования всех видов ресурсов в целях предотвращения (нейтрализации, ликвидации) угроз и обеспечения стабильного функционирования предприятия в условиях рыночной экономики.
Техногенная безопасность — совокупность действий по обеспечению проектирования, строительства и эксплуатации сложных технических устройствссоблюдением необходимых требований безаварийной их работы.
Экологическая безопасность — состояние защищенности жизненно важных интересов персонала предприятия и его имуществаот потенциальных или реальных угроз, создаваемых последствиями антропогенного воздействияна окружающую среду, а также от стихийных бедствийикатастроф.
Информационная безопасность — это способность персонала предприятия обеспечить защитуинформационныхресурсов и потоков от угрозНСД к ним.
Психологическая безопасность — состояние защищенностиот негативных психологическихвоздействийперсонала предприятия и других лиц, вовлеченных в ее деятельность.
Физическая безопасность — состояние защищенностижизни и здоровья отдельных лиц (групп, всех лиц) предприятия отнасильственныхпреступлений.
Научно-техническая безопасность — способность персонала предприятия обеспечитьзащиту собственной ценной научно-технической продукцииот недобросовестных конкурентов.
Пожарная безопасность — состояние объектов предприятия, при котором мерыпредупрежденияпожаровипротивопожарнойзащиты соответствуют нормативным требованиям.
ФЗ №149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации» Статья 16.1
Защита информации (ЗИ) представляет собой принятие правовых, организационных и техническихмер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; (целостность)
2) соблюдение конфиденциальности информации ограниченного доступа,
3) реализацию права на доступ к информации.
Из этого утверждения вытекает два важных следствия:
Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектовможет существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – "да нет у нас никаких секретов, лишь бы все работало".
ИБ не сводится исключительно к защите от несанкционированного доступа (НСД) к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
Термин "компьютерная безопасность" (как эквивалент ИБ) представляется нам слишком узким. Компьютеры – только одна из составляющих ИС, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасностьопределяется всей совокупностьюсоставляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).
Согласно определению ИБ, она зависит не только откомпьютеров, но иот поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.
Застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет матер. (денежное) выражение, а целью защиты инфы становится уменьш. размеров ущерба до допуст. значений.