Основы информационной безопасности.

⇐ ПредыдущаяСтр 4 из 6Следующая ⇒

Информационная безопасность – защищённость информации и поддерживающих инфраструктуру систем от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб субъектам информационных отношений. Средства и методы информационный безопасности должны обеспечивать:

- доступность (информация, ресурсы, сдвиги, средства взаимодействия должны быть доступны и готовы к работе в любое время);

- целостность (сохранить структуру информации, сохранять содержание процесса передачи и хранения информации):

а) статистическая - информационные объекты неизменны.; б) динамическая – необходима корректировка выполнения трансзакций.

- конфиденциальность – обеспечение доступа к информации только ограниченному кругу субъектов.

Доступ к информации – возможность получения информации и её исполнения для конкретной работы. 2 вида доступа:

- санкционированный – не нарушает установленные правила разграничения;

- несанкционированный – характеризуется нарушением установленных правил.

Право доступа – это совокупность правил, которые регламентируют порядок и условия доступа субъекта информации, её носителям и др. ресурсам.

Атака на информационную систему – это действия, которые предпринимают злоумышленники с целью поиска и использования уязвимости системы. Угроза информационной безопасности – это событие или действие, которые могут привести к искажению, несанкционированному использованию или разрушению информационных ресурсов в управляемой системе.

Защита информации – это деятельность, направленная на сохранение государственной, служебной, коммерческая или личной тайной.

Политика безопасности – это совокупность норм и правил, которые определяют принятые в организационные меры по обеспечении безопасности информации и информационных ресурсов.

2 части:

- общее принципы – берутся из законов.

- конкретные правила работы с информационными ресурсами.

Критерии оценки информационной безопасности.

Первые исследования в области обеспечения безопасности данных в ИС были вызваны потребностями военной сферы, где проблема безопасности стоит особенно остро. Начало было положено исследованиями вопросов защиты компьютерной информации, проведенными в конце 70-х — начале 80-х гг. XX в. Национальным центром компьютерной безопасности Министерства обороны США. Результатом этих исследований явилась публикация в 1983 г. документа под названием «Критерии оценки надежных компьютерных систем», по цвету обложки получившего название «Оранжевая книга». Этот документ стал первым стандартом в области создания защищенных компьютерных систем и впоследствии основой организации системы их сертификации по критериям защиты информации.

В 1999 г. ИСО приняла стандарт (ISO 15408) под названием «Общие критерии оценки безопасности информационных технологий» (сокращенно — Common Criteria), который способствовал унификации национальных стандартов в области оценки безопасности информационных технологий на основе взаимного признания сертификатов. Этот документ содержит обобщенное и формализованное представление знаний и опыта, накопленного в области обеспечения информационной безопасности.

Стандарт ISO 15408 определяет инструменты оценки безопасности ИТ и порядок их использования, ряд ключевых понятий, лежащих в основе концепции оценки защищенности продуктов ИТ: профиля защиты, задания по безопасности и объекта оценки.

Профиль защиты — документ, содержащий обобщенный стандартный набор функциональных требований и требовании доверия для определенного класса продуктов или систем (например, профиль защиты может быть разработан на межсетевой экран корпоративного уровня, систему электронных платежей), описания угроз безопасности и задач защиты, обоснования соответствия между угрозами безопасности, задачами защиты и требованиями безопасности.

Задание по безопасности — документ, содержащий требования безопасности для конкретного объекта оценки и специфицирующий функции безопасности и меры доверия.

Под объектом оценки понимается произвольный продукт информационных технологий или вся ИС в целом (КИС предприятия, процессы обработки данных, подготовки решений и выработки управляющих воздействий; программные коды, исполняемые вычислительными средствами в процессе функционирования КИС; данные в БД; информация, выдаваемая потребителям и на исполнительные механизмы; коммуникационная аппаратура и каналы связи; периферийные устройства коллективного пользования; помещения и др.)«

В данном стандарте представлены две категории требований безопасности: функциональные (определяют совокупность функций объекта оценки, обеспечивающих его безопасность) и требования адекватности (свойство объекта оценки, дающее определенную степень уверенности в том, что механизмы его безопасности достаточно эффективны и правильно реализованы) механизмов безопасности.

Безопасность в данном стандарте рассматривается не статично, а в привязке к жизненному циклу объекта.

Использование стандарта позволяет:

т сравнивать между собой результаты различных сертификационных испытаний ИС и контролировать качество оценки безопасности;

• единообразно использовать имеющиеся результаты и методики оценок различных стран;

• определять общий набор понятий, структур данных и язык для формулирования вопросов и утверждений относительно ИБ;

• потенциальным пользователям ИС, опираясь на результаты сертификации, определить, удовлетворяет ли данный программный продукт или система их требованиям безопасности;

• постоянно улучшать существующие критерии, вводя новые концепции и уточняя содержание имеющихся критериев.

В разных странах дополнительно разработаны отраслевые стандарты, нормативные документы и спецификации по обеспечению информационной безопасности, которые применяются национальными организациями при разработке программных средств, ИС и обеспечения качества и безопасности их функционирования.

Дата добавления: 2018-02-18; просмотров: 244; Мы поможем в написании вашей работы!

Поделиться с друзьями:

⇐ Предыдущая 1 2 345 6 Следующая ⇒

Мы поможем в написании ваших работ!