Для защиты ИС, на основании руководящих документов гостехкомиссии, могут быть сформулированы следующие положения:

1) информационная безопасность ИС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов

2) ИБ обеспечивается комплексом инженерно-технических средств и поддерживающих их организационных мер

3) ИБ должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе и при проведении ремонтных и регламентных работ

4) Инженерно-технические средства защиты не должны существенно ухудшать функциональные характеристики ИС (надёжность, быстродействие, возможность изменения конфигурации)

5) Неотъемлемой частью работ по ИБ является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты

6) Защита ИС должна предусматривать контроль эффективности средств защиты, этот контроль может быть периодическим или выполняемым по необходимости.

Основные принципы обеспечения ИБ:

1. системности : предполагает необходимость учёта всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов: а) при всех видах инф деятельности, б) во всех структурных элементах, в) при всех режимах функционирования, г) на всех этапах ЖЦ, д) с учётом взаимодействия объекта защиты с внешней средой. Система защиты должна стоится с учётом возможности появления принципиально новых путей реализации угроз ИБ.

2. принцип комплексности : предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающей все существующие каналы реализации угроз и не содержащей слабых мест на стыках отдельных компонентов.

3. принцип непрерывности защиты : защита инф не разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах ЖЦ (с самого начала стадии проектирования). Разработка системы защиты должна вестись должна вестись параллельно с разработкой самой ИС.

4. принцип разумной достаточности : предполагает выбор такого уровня защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.

5. принцип гибкости системы защиты: предполагает возможность варьирования уровня защищённости ИС.

6. принцип открытости алгоритмов и механизмов защиты: предполагает, что защита не должна обеспечиваться только за счёт секретности, структурной организации и алгоритмов функционирования её подсистем. Знание алгоритмов работы системы защиты не должно давать возможности её преодоления даже разработчиками. Принцип открытости алгоритмов и механизмов защиты не предполагает что информация о конкретной системе защиты должна быть общедоступна. Необходимо обеспечивать защиту от угрозы раскрытия параметров системы.

7. принцип простоты применения средств защиты: предполагает, что механизмы защиты должны быть интуитивно понятны и просты и использовании; применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат, при обычной работе законных пользователей.

Направления обеспечения информационной безопасности

1. Правовая защита; 2. Организационно методические мероприятия; 3. Инженерно технические средства.

Правовая защита

Правовая защита – это специальные законы, нормативные акты, правила и процедуры, мероприятия обеспечивающие защиту информации на правовом уровне.

Об информации, информатизации и защите информации. - Об участии в международном информационном обмене. - О связи. - Об авторском праве и смежных правах. - О государственной тайне. - О коммерческой тайне. - О правовой охране программ ЭВМ и топологии микросхем. - Об органах государственной безопасности. - Об архивах. - О патентах. - О страховании. - О создании гостех комиссии при президенте РФ.

Коммерческая тайна – не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью, разглашение утечка и несанкционированный доступ к которой может нанести ущерб их владельцам.

ГОСТ 29.339-92 «Информационная технология. Защита информации от утечки за счёт побочного электромагнитного излучения и наводок при её обработке»

ГОСТ-Р 50.752 «Защита информации от утечки за счёт побочного электромагнитного излучения и наводок при её обработке средствами ВТ. Методы испытаний.»

- «Нормы эффективности защиты АСУ и ЭВМ от утечки информации за счёт побочных электромагнитных излучений и наводок.»

ГОСТ 50.739-95 «Средства ВТ. Защита от несанкционированного доступа к информации.»

ГОСТ 28.147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.»

ГОСТ-Р 34.10-94 «Процедуры выработки и проверки электронной подписи на базе ассиметрического криптографического алгоритма.»

ГОСТ-Р.В 50.170-92 «Противодействие инженерно-технической разведке. Термины и определения.»

Правовые меры обеспечения безопасности являются основой порядка деятельности и поведения сотрудников предприятия и определяют меры их ответственности за нарушение установленных норм.

7. Организационная защита

Это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерный доступ к конфиденциальной информации и проявление внутренних и внешних угроз.

Организационные меры:

- организация охраны и режима: При создании охраны и режима необходимо предусмотреть необходимость создания специальных производственных зон для работы с конфиденциальной информацией.

- организация работы сотрудников: Включает в себя подбор и расстановку персонала, обучение его правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение защиты информации на предприятии.

- организационная работа с документами, документированной информацией и их носителями: Сюда относится организация разработки и использования документов и их носителей, их учёт, использование, возврат, хранение и уничтожение.

- организация использования технических средств сбора, обработки, накопления и хранения информации.

- организация работ по анализу внутренних и внешних угроз и выработки мер по защите.

- организация работ по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических средств.

Всю организационную работу по защите информации должна проводить специально выделенная в составе предприятия служба безопасности. Подчиняется служба безопасности непосредственно руководителю предприятия.

Организационно служба безопасности должна состоять из: подразделения режима и охраны, подразделения обработки документов конфиденциального характера, инженерно-технического подразделения, информационно-аналитического подразделения.

К основным документам которые должны разработать служба безопасности на любом предприятии:

Положение о сохранении конфиденциальности информации; Перечень сведений составляющих конфиденциальную информацию; Инструкция о порядке допуска сотрудников к сведениям составляющих конфиденциальную информацию; Положение о специальном делопроизводстве и документообороте; Перечень сведений разрешённых к опубликованию в открытой печати; Обязательство сотрудника о сохранении конфиденциальности информации; Памятка сотруднику о сохранении коммерческой тайны.

Основными принципами обеспечения информационной безопасности в АСОИ являются :

1. Системность.

2. Комплексность.

3. Непрерывность защиты.

4. Разумная достаточность.

5. Гибкость управления и применения.

6. Открытость алгоритмов и механизмов защиты.

7. Простота применения защитных мер и средств.

Принцип системности предполагает необходимость учета всех слабых и уязвимых мест АСОИ, возможных объектов и направлений атак, высокую квалификацию злоумышленника, текущих и возможных в будущем каналов реализации угроз.

Принцип комплексности предполагает согласование работы разнородных систем защиты информации (СЗИ) при построении целостной системы защиты, отсутствие слабых мест при стыковке различных СЗИ.

Принцип непрерывности защиты учитывает то, что защита информации не есть разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Например, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе СЗИ могут быть использованы злоумышленником для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.

Принцип разумной достаточности опирается на то, что создать абсолютно защищенную систему принципиально невозможно, взлом системы есть вопрос только времени и средств. В связи с этим, при проектировании СЗИ имеет смысл вести речь только о некотором приемлемом уровне безопасности. Важно выбрать золотую середину между стойкостью защиты и ее стоимостью, потреблением вычислительных ресурсов, удобством работы пользователей и другими характеристиками СЗИ.

Принцип гибкости управления и применения системы защиты предполагает возможность варьировать уровень защищенности автоматизированной системы (АС). При определенных условиях функционирования АС СЗИ, обеспечивающая ее защищенность может обеспечивать как чрезмерный, так и недостаточный уровень защиты. Гибкость управления и применения системы защиты спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые при смене условий функционирования АС.

Принцип открытости алгоритмов и механизмов защиты говорит о том, что защита не должна обеспечиваться только за счет секретности структурной организации СЗИ и алгоритмов функционирования ее подсистем. Знание алгоритма защиты не должно давать злоумышленнику возможности ее преодоления или снижать стойкость защиты.

Принцип простоты применения защитных мер и средств говорит о том, что механизмы защиты должны быть интуитивно понятны и просты в использовании.

Для защиты АС на основании руководящих документов Гостехкомиссии сии могут быть сформулированы следующие положения.

1. ИБ АС основывается на положениях требованиях существующих законов, стандартов и нормативно-методических документов.

2. ИБ АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.

3. ИБ АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

4. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС).

5. Неотъемлемой частью работ по ИБ является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты.

6. Защита АС должна предусматривать контроль эффективности средств защиты. Этот контроль может быть периодическим либо инициироваться по мере необходимости пользователем АС или контролирующим органом.

Рассмотренные подходы могут быть реализованы при обеспечении следующих основных принципов:

Принцип системности . Системный подход к защите информационных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов:

При всех видах информационного проявления и деятельности;

Во всех структурных элементах;

При всех режимах функционирования;

На всех этапах жизненного цикла;

С учетом взаимодействия объекта защиты с внешней средой.

Система защиты должна строиться не только с учетом всех известных каналов проникновения, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Принцип комплексности . В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем (современные СВТ, ОС, инструментальные и прикладные программные средства обладающие теми или иными встроенными элементами защиты). Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

Принцип непрерывности защиты. Защита информации – это не разовое мероприятие и даже не конкретная совокупность уже проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы. Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.

Разумная достаточность. Создать абсолютно непреодолимую систему защиты принципиально невозможно; при достаточных времени и средствах можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов ИС и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень зашиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.

Гибкость системы защиты . Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности средства защиты должны обладать определенной гибкостью. Особенно важно это свойство в тех случаях, к средствам защиты необходимо устанавливать на работающую систему, нарушая процесс ее нормального функционирования.

Открытость алгоритмов и механизмов защиты . Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защиту не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления. Но это вовсе не означает, что информация конкретной системе защиты должна быть общедоступна - необходимо обеспечивать защиту от угрозы раскрытия параметров системы.

Принцип простоты применения средств защиты. Механизмы защиты должны быть интуитивно понятны и просты в использовании, применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных непонятных ему операций (ввод нескольких паролей и имен и т.д.).

6.2. Анализ угроз информационной безопасности

6.2.1. Понятие угрозы информационной безопасности

Угроза – это потенциальная возможность определенным образом нарушить информационную безопасность.

Угроза – это потенциально возможно событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.

Угрозой информационной безопасности АС называется возможность реализации воздействия на информацию, обрабатываемую АС, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также возможность воздействия на компоненты АС, приводящего к утрате, уничтожению или сбою функционирования носителя информации, средства взаимодействия с носителем или средства его управления.

Попытка реализации угрозы называется атакой , а тот, кто предпринимает такую попытку, – злоумышленником . Потенциальные злоумышленники называются источниками угрозы .

Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).

Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности , ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС.

Если речь идет об ошибках в ПО, то окно опасности "открывается" с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих.

Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда – недель), поскольку за это время должны произойти следующие события:

Должно стать известно о средствах использования пробела в защите;

Должны быть выпущены соответствующие заплаты;

Заплаты должны быть установлены в защищаемой ИС.

Новые уязвимые места и средства их использования появляются постоянно; это значит, во-первых, что почти всегда существуют окна опасности и, во-вторых, что отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат – как можно более оперативно.

Некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания.

Рассмотрение наиболее распространенных угроз, которым подвержены современные информационные системы дает представление о возможных угрозах, а также об уязвимых местах, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.

Угрозы, как и все в ИБ, зависят от интересов субъектов информационных отношений (и от того, какой ущерб является для них неприемлемым). Задание возможных угроз информационной безопасности проводится с целью определения полного перечня требований к разрабатываемой системе защиты. Перечень угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для анализа риска реализации угроз и формулирования требований к системе защиты АС. Кроме выявления возможных угроз, должен быть проведен их анализ на основе классификационных признаков. Каждый из признаков классификации отражает одно из обобщенных требований к системе защиты. При этом угрозы, соответствующие каждому признаку классификации, позволяют детализировать отражаемое этим признаком требование.

Угрозы можно классифицировать по нескольким критериям:

- по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;

- по компонентам информационных систем , на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

- по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);

- по расположению источника угроз (внутри/вне рассматриваемой ИС).

Необходимость классификации угроз ИБ АС обусловлена тем, что архитектура современных средств автоматизированной обработки информации, организационное, структурное и функциональное построение информационно-вычислительных систем и сетей, технологии и условия автоматизированной обработки информации такие, что накапливаемая, хранимая и обрабатываемая информация подвержена случайным влияниям чрезвычайно большого числа факторов, в силу чего становится невозможным формализовать задачу описания полного множества угроз. Как следствие, для защищаемой системы определяют не полный перечень угроз, а перечень классов угроз.

Классификация всех возможных угроз информационной безопасности АС может быть проведена по ряду базовых признаков.

По природе возникновения.

1.1. Естественные угрозы -угрозы, вызванные воздействиями на АС и ее компоненты объективных физических процессов или стихийных природных явлений, независящих от человека.

1.2. Искусственные угрозы - угрозы информационной безопасности АС, вызванные деятельностью человека.

Похожая информация.

Базовые принципы информационной безопасности.

Под безопасностью автоматизированной информационной системы организации (учреждения) понимается ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс функционирования, а также от попыток хищения, модификации или разрушения ее компонентов. Безопасность системы достигается обеспечением конфиденциальности обрабатываемой ею информации, а также целостности и доступности компонентов и ресурсов системы.

· Конфиденциальность компьютерной информации - это свойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам системы (пользователям, программам, процессам и т. д.).

· Целостность компонента (ресурса) системы - свойство компонента (ресурса) быть неизменным (в семантическом смысле) при функционировании системы.

· Доступность компонента (ресурса) системы - свойство компонента (ресурса) быть доступным для использования авторизованными субъектами системы в любое время.

· Законность/Этичность использования компонента (ресурса) системы - свойство компонента (ресурса) быть соответствующим законодательным и этическим нормам для использования субъектами системы.

Безопасность системы обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств, программ, данных и служб с целью обеспечения доступности, целостности и конфиденциальности связанных с компьютерами ресурсов; сюда же относятся и процедуры проверки выполнения системой определенных функций в строгом соответствии с их запланированным порядком работы.

Систему обеспечения безопасности системы можно разбить на следующие подсистемы:

· компьютерную безопасность;

· безопасность данных;

· безопасное программное обеспечение;

· безопасность коммуникаций.

1) Компьютерная безопасность обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности связанных с ним ресурсов.

2) Безопасность данных достигается защитой данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашения.

3) Безопасное программное обеспечение представляет собой общецелевые и прикладные программы и средства, осуществляющие безопасную обработку данных в системе и безопасно использующие ресурсы системы.

4) Безопасность коммуникаций обеспечивается посредством аутентификации телекоммуникаций за счет принятия мер по предотвращению предоставления неавторизованным лицам критичной информации, которая может быть выдана системой в ответ на телекоммуникационный запрос.

2. Возможные объекты воздействия со стороны хакеров.
В качестве возможных объектов воздействия могут быть:

1. операционная система, обслуживающая сеть (в настоящее время только отдельные операционные системы сертифицированы на определенный класс защиты, предусматривающий требование защиты самой себя от изменений);

2. служебные, регистрационные таблицы и файлы обслуживания сети - это файлы паролей, прав доступа пользователей к ресурсам, ограничения по времени, функциям и т.д.;

3. программы и таблицы шифровки информации, циркулирующей в сети. Любое воздействие на эти компоненты вызовет отказ в работе или серьезные сбои, но наиболее опасно копирование, которое может открыть возможность дешифровки информации;

4. операционные системы компьютеров конечных пользователей;

5. специальные таблицы и файлы доступа к данным на компьютерах конечных пользователей - это пароли файлов или архивов, индивидуальные таблицы шифровки /дешифровки данных, таблицы ключей и т.д. Степень опасности воздействия на них зависит от принятой системы зашиты и от ценности защищаемой информации. Наиболее опасным воздействием является копирование этой информации;

6. прикладные программы на компьютерах сети и их настроечные таблицы (здесь для разработчиков новых прикладных программ серьезную угрозу представляет копирование, так как в ходе разработки большинство программ существуют в незащищенном, виде);

7. информационные файлы компьютеров сети, базы данных, базы знаний экспертных систем и т.д. Наибольший ущерб наносит копирование и последующее распространение этой информации;

8. текстовые документы, электронная почта и т.д.;

9. параметры функционирования сети - это главным образом ее производительность, пропускная способность, временные показатели обслуживания пользователей. Здесь признаками возможного несанкционированного воздействия на сеть, сопровождаемого ухудшением параметров ее функционирования, являются: замедление обмена информацией в сети или возникновение необычно больших очередей обслуживания запросов пользователей, резкое увеличение трафика (данных пользователей) в сети или явно преобладающее время загрузки процессора сервера каким-либо отдельным процессором. Все эти признаки могут быть выявлены и обслужены только при четко отлаженном аудите и текущем мониторинге работы сети.

Основными принципами обеспечения информационной безопасности в АСОИ являются следующие .

1. Системности.

2. Комплексности.

3. Непрерывности защиты.

4. Разумной достаточности.

5. Гибкости управления и применения.

6. Открытости алгоритмов и механизмов защиты.

7. Простоты применения защитных мер и средств.

Принцип системности предполагает необходимость учета всех слабых и уязвимых мест АСОИ, возможных объектов и направлений атак, высокую квалификацию злоумышленника, текущих и возможных в будущем каналов реализации угроз.

Принцип комплексности. В распоряжении специалистов по информационной безопасности (ИБ) имеется широкий спектр мер, методов и средств защиты компьютерных систем. Принцип комплексности предполагает согласование работы разнородных СЗИ при построении целостной системы защиты, отсутствие слабых мест при стыковке различных СЗИ, покрытие ими всех существенных каналов реализации угроз.

Принцип непрерывности защиты . Защита информации – это не разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Например, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе СЗИ могут быть использованы злоумышленником для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.

Принцип разумной достаточности . Создать абсолютно защищенную систему защиты принципиально невозможно, взлом системы – это вопрос только времени и средств. Например, любые средства криптографической защиты не гарантируют абсолютной стойкости, а обеспечивают конфиденциальность информации в течение приемлемого для защищающейся стороны времени. В связи с этим, при проектировании СЗИ имеет смысл вести речь только о некотором приемлемом уровне безопасности. Важно выбрать золотую середину между стойкостью защиты и ее стоимостью, потреблением вычислительных ресурсов, удобством работы пользователей и другими характеристиками СЗИ.

Принцип гибкости управления и применения системы защиты предполагает возможность варьировать уровень ее защищенности. При определенных условиях функционирования АС, СЗИ, обеспечивающие ее защищенность могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Гибкость управления и применения системы защиты спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые при смене условий функционирования АС.

Принцип открытости алгоритмов и механизмов защиты говорит о том, что защита не должна обеспечиваться только за счет секретности структурной организации СЗИ и алгоритмов функционирования ее подсистем. Знание алгоритма защиты не должно давать злоумышленнику возможности ее преодоления или снижать стойкость защиты.

Принцип простоты применения защитных мер и средств говорит о том, что механизмы защиты должны быть интуитивно понятны и просты в использовании.

7)Три базовых принципа, которые должна обеспечивать информационная безопасность: целостность данных(защита от сбоев, ведущих к потере информации, защита от неавторизованного создания или уничтожения данных); конфедициальность данных; доступность данных бля всех авторизованных пользователей.

8)Основными фуекциями обеспечения информационной безопасности являются защита от гроз террористического характера и информационных угроз, нарушающих адекватную модель мира.

9)Защита информации-деятельность , направленная на обеспечение защищенного состояния объекта. В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

§ конфиденциальность (англ. confidentiality ) - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на нее право;

§ целостность (англ. integrity ) - избежание несанкционированной модификации информации;

§ доступность (англ. availability ) - избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

§ неотказуемость или апеллируемость (англ. non-repudiation ) [источник не указан 644 дня ] - невозможность отказа от авторства;

§ подотчётность (англ. accountability ) - обеспечение идентификации субъекта доступа и регистрации его действий;

§ достоверность (англ. reliability ) - свойство соответствия предусмотренному поведению или результату;

§ аутентичность или подлинность (англ. authenticity ) - свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

11)Государственная политика обеспечения инфорационной безопасности РФ основывается на следующих основных принципах:

· Соблюдение конституции РФ, законодательства РФ,общепринятых принципов и норм международного права при осуществлении деятельности по обеспечению ИБ РФ;

· Открытость в реализациифункций федеральных органов гос.власти

· Правовое равенство всех участников процесса информационного взаимодействия;

· Приоритетное развитие отечественных современных информационных и телекоммуникационныхтехнологий;

12)Отличительные признаки защищаемой информации:

1. Засекречивать информацию может только её собственник или доверенное лицо

2. Собственник определяет различную степень секретности

3. Защищаемая информация должна приносить пользу её собственнику

Основной признак защищаемой информации это ограничения, вводимые собственником на её распространение пользование.

13)Угроза- множество взаимосвязанных взаимообусловленных событий, реализация которых способна причинить ущерб. Целью информационной угрозы является активизация алгоритмов, ответсвенных за нарушение привычного режима функционирования, т.е.выход системы за пределы допустимого состояния. Источник угрозы может быть как внешнип, по отношению к системе, так и внутренним. Причины внешних угроз в случае целенаправленного информационного воздействия скрыты в борьбе конкурирующих информационных систем за общие ресурсы. Причины внешних угроз обязаны своим существованием появлению внутри системы множества элементов, подструктур, для которых привычный режим функционирования стал недопустимым в силу ряда обстоятельств.

14)Угрозы делятся на внешние и внутренние. Внешние на осознаваемые(реальные и нереальные) и скрытые. Внутренние на осознаваемые(реальные и нереальные) и скрытые.

15)Источниками угроз являются конкуренты, преступники и коррупционеры.

16)Информационная система- это система, осущесивляющаю получение входных данных, их обработку, изменение собственного внутреннего состояния, выдачу результата(изменение внешнего состояния). Составляющими ИС являются функциональная, обеспечивающая и организационная подсистемы.

17)Под ценностью информации понимается её свойство, характеризующее потери собственника данной информации при реализации определенной угрозы, выраженные в стоимостном, временном либо в ином эквиваленте. Способы оценки ценности: аддитивная модель,анализ риска,порядковая шкала, метод решетки ценностей.

18)Поступающая информация может быть подсунута источнику как дезинформация, искажена или преднамерено изменена в ходе передачи. Информация, циркулирующая горизонтально, искажается меньше, чем циркулирующая вертикально. Виды дезинформации: заведомая ложь и утонченная полуправда. Приемы дезинформации:

· Прямое сокрытие файлов

· Тенденциозный подбор файлов

· Нарушение логических и временных связей между событиями

· Подача правды в ином контексте

· Изложение правды на ярком фоне отвлекающих сведений

· Смешивание разнородных сведений и фактов

· Неупоминание ключевых деталей

19) · активные и пассивные технические средства, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при применении средств ее обработки;

· программные и программно-технические средства, обеспечивающие разграничение доступа к информации на различных уровнях, идентификацию и аутентификацию пользователей;

· программные и программно-технические средства, обеспечивающие защиту информации и подтверждение ее подлинности при передаче по каналам связи;

· программно-аппаратные средства, обеспечивающие целостность программного продукта и защиту от несанкционированного его копирования;

· программные средства, обеспечивающие защиту от воздействия программ-вирусов и других вредоносных программ;

· физико-химические средства защиты, обеспечивающие подтверждение подлинности документов, безопасность их транспортировки и защиту от копирования.