Ответы для государственного экзамена по курсу Информационная безопасность (ИБ) специальность Бизнес-информатика 080500 - файл n1.doc

приобрести
Ответы для государственного экзамена по курсу Информационная безопасность (ИБ) специальность Бизнес-информатика 080500
скачать (359.5 kb.)
Доступные файлы (1):
n1.doc360kb.14.09.2012 23:12скачать

n1.doc

  1   2   3   4
1.Информационная безопасность: сущность, понятие, схема обеспечения.

Информационная безопасность (information security) - защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, способных нанести ущерб владельцам и пользователям информации и поддерживающей её структуре.

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Термин "компьютерная безопасность" (как эквивалент или заменитель ИБ) представляется нам слишком узким. Компьютеры – только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).

Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.

Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю – национальном, отраслевом, корпоративном или персональном.

К сожалению, современная технология программирования не позволяет создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения ИБ. Следует исходить из того, что необходимо конструировать надежные системы (информационной безопасности) с привлечением ненадежных компонентов (программ). В принципе, это возможно, но требует соблюдения определенных архитектурных принципов и контроля состояния защищенности на всем протяжении жизненного цикла ИС.

Увеличение числа атак – еще не самая большая неприятность. Хуже то, что постоянно обнаруживаются новые уязвимые места в программном обеспечении (выше мы указывали на ограниченность современной технологии программирования) и, как следствие, появляются новые виды атак.

В таких условиях системы информационной безопасности должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным. Иногда нападение длится доли секунды; порой прощупывание уязвимых мест ведется медленно и растягивается на часы, так что подозрительная активность практически незаметна. Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять.

Информационная безопасность РФ — состояние защищённости национальных интересов в информационной сфере, определяющихся сбалансированной совокупностью интересов личности, общества и государства.

information security – информационная безопасность, защита информации

информационная безопасность — это состояние защищенности информационной среды (имеет чаще всего научный, теоретический окрас)

защита информации — представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния (практическая направленность, практические мероприятия).

Безопасность информации - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования информации и т.п.

Информационная безопасность имеет три основные составляющие:
-1- конфиденциальность - защита чувствительной информации от несанкционированного доступа;
-2- целостность - защита точности и полноты информации и программного обеспечения;
-3- доступность - обеспечение доступности информации и основных услуг для пользователя в нужное для него время.

Защита информации достигается решением 3 проблем:

- защита находящейся в системе информации от внутренних и внешних угроз

-защита элементов системы

- защита внешней среды

Основные компоненты безопасности: персонал, матер-е и фин-е рес-сы, инф-я.


2. Модель безопасности CIA, другие категории модели безопасности.

Стандартная модель безопасности — CIA (Confidentiality, Integrity, and Availability — конфиденциальность, целостность и доступность). Эта модель из трёх составляющих является общепризнанной при оценке рисков, связанных с важной информацией, и при утверждении политики безопасности. Ниже модель CIA описана более подробно:

Конфиденциальность — Важная информация должна быть доступна только ограниченному кругу лиц. Неправомерная передача и использование информации должны быть запрещены. В частности, конфиденциальность информации гарантирует, что финансовая или личная информация клиента не будет получена неавторизованными лицами, например, с целью кражи личности или использования чужой кредитной карточки.

Целостность — Изменения информации, приводящие к её потере или искажению, должны быть запрещены. Неавторизованные пользователи не должны иметь возможность изменять или разрушать важную информацию.

Доступность — Информация должна быть доступна авторизованным пользователем, когда она им необходима. Доступность — это гарантия того, что информацию можно получать в оговорённом временном интервале. Часто этот интервал определяется в процентах и оговаривается в договоре поддержки, заключаемом между провайдерами сетевой службы и их клиентами.

Другие категории модели безопасности:

Аутентичность — возможность установления автора информации;

Апеллируемость — возможность доказать, что автором является именно заявленный человек, и никто другой.

Для этого большинством информационных систем используются стандартные подходы, ставшие результатом накопления разработчиками систем защиты опыта создания и эксплуатации подобных систем. Существуют специальные модели безопасности -- системы, функционирующие в соответствии со строго определенным набором формализованных правил, и реализующие какую-либо политику безопасности.

Остановимся на трех ключевых математических моделях безопасности компьютерных систем, как на наиболее эффективных и используемых в настоящее время. Это модели систем дискреционного, мандатного и ролевого разграничений доступа.

Модель систем дискреционного разграничения доступа


Данная модель характеризуется разграничением доступа между поименованными субъектами и объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Для каждой пары (субъект--объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту). Возможны, по меньшей мере, два подхода к построению дискреционного управления доступом:
  1   2   3   4


1.Информационная безопасность: сущность, понятие, схема обеспечения
Учебный материал
© nashaucheba.ru
При копировании укажите ссылку.
обратиться к администрации