Общее
Здесь оставляете контрольную работу в формате пдф с подписью (подпись - синего цвета - требование при аккредитации)
1. Понятие информационной безопасности и ее значение
Современным мир находится на таком этапе своего развития, который специалисты определяют, как информационное общество. Информация стала определяющим ресурсом для успешной деятельности почти любого предприятий.
Напомним, что информация должна удовлетворять следующим требованиям:
· полнота, т.е. достаточность для принятия правильного решения;
· достоверность, т.е. отсутствие в полученной информации искажений;
· своевременность, т.е. получение информации в тот момент времени, когда это необходимо.
Как известно, информация – один из наиболее важных управленческих ресурсов. Получение неполной или искаженной информации, а также блокирование доступа к ней, могут привести к принятию неправильных решений в области управления. Кроме того, в большинстве случаев информация имеет наибольшую ценность только в силу неизвестности конкурентам. Такую информацию называю конфиденциальной или информацией, составляющей коммерческую тайну организации. Подобная информация должна быть защищена от утечек.
Утечка информации – процесс ее неконтролируемого распространения за пределы круга лиц, имеющих право на работу с данной информацией. По оценкам западных специалистов, утечка 20 % конфиденциальной информации в 60 случаях из ста приводит к банкротству фирмы.
Существуют такие информационные ресурсы, наибольшим вредом для которых будут не утечка информации, а их утрата (уничтожение). Обычно это та информация, восстановление которой невозможно или очень сложно, например обширные банки данных, архивы предприятий и т.п. Информация, ценность которой зависит от своевременности предоставления пользователю, нуждается в защите от блокировки.
Удовлетворение перечисленных требований позволяет говорить о соблюдении информационной безопасности. Информационная безопасность – такое состояние информационных ресурсов, при котором они защищены от любых негативных воздействий, способных привести к нарушению полноты, целостности, доступности этих ресурсов или вызвать утечку или утрату содержащейся в них информации.
Таким образом, информационная безопасность должна решать широкий круг задач, которые обычно делят на два направления: удовлетворение информационных потребностей субъектов и защита информации.
Удовлетворение информационных потребностей состоит в предоставлении пользователям необходимой им информации. Защита информации отвечает за полноту, достоверность, своевременность и сохранность информации.
Существуют следующие направления обеспечения защиты информации: правовая, организационная, инженерно-техническая, программно-аппаратная (в том числе и криптографическая).
В понятие правовой защиты входит в соблюдение всех норм правовых документов, регулирующих вопросы использования информационных ресурсов.
Организационная защита информации подразумевает создание в организации комплекса административных мер, позволяющих разрешить или запретить доступ сотрудников к определенной информации и средствам ее обработки, выработать правила работы с защищаемой информацией, определить систему наказаний за несоблюдение таких правил и т.п.
Инженерно-техническая защита информации означает обеспечение защиты от средств технической разведки, установку в организации технических средств охраны, а также принятие мер по обеспечению защиты информации от утечки по техническим каналам.
Программно-аппаратная защита включает в себя комплекс мер по защите информации, обрабатываемой на ЭВМ, в том числе и в вычислительных сетях.
Процесс создания системы защиты информации в автоматизированных системах подразумевает прохождение следующих этапов:
· выявление угроз защищаемой информации;
· определение политики безопасности;
· создание механизмов поддержки политики безопасности;
· оценка защищенности системы;
2. Классификация угроз информационной безопасности
Под угрозой защищаемой информации понимают некоторую ситуацию (или потенциальную возможность ее осуществления), которая может привести к нарушению установленного статуса информации. Понятие угрозы информации является комплексным и включает в себя несколько составляющих:
· источники угроз,
· виды угроз;
· способы их реализации.
В качестве источников угроз защищаемой информации могут выступать:
1. Человек – наиболее опасная угроза, т.к. в отличии от остальных может производить не только непреднамеренные действия, но и преднамеренное воздействие на информацию.
2. Средства передачи, обработки и хранения информации. Могут представлять угрозу в случае выхода из строя и появления сбоев в работе. Технические средства и системы, непосредственно не связанные с обработкой информации (водоснабжение, отопление и т.п.). Могут оказывать негативное воздействие на средства обработки информации.
3. Стихийные бедствия и природные явления. Могут создавать аварийные ситуации, при которых вычислительная техника выходит из строя или временно находится в нерабочем состоянии.
Информация, обрабатываемая при помощи вычислительной техники, может подвергаться следующим видам угроз:
· Уничтожение информации или ее носителя.
· Несанкционированное получение или распространение конфиденциальной информации.
· Модификация информации.
· Создание ложных сообщений.
· Блокирование доступа к информации или ресурсам системы, в том числе отказ в обслуживании.
· Несанкционированное или ошибочное использование информационных ресурсов системы. Может нанести вред самой информационной системе.
· Отказ в получении или отправки информации.
Способы реализации угроз делят на:
· активные – преодоление защиты или прекращение ее работы путем воздействия на саму систему;
· пассивные – использование уже существующих ошибок защиты, программного и организационного обеспечения.
Возможны следующие методы реализации угроз для информации с применением вычислительной техники на практике:
1. Вредоносные программы. Эти программы прямо или косвенно нарушают процесс обработки информации и способствуют реализации различных угроз. Самые известные среди них – вирусы и трояны.
2. Повторное использование ресурсов. Осуществляется попытка считывание остаточной информации, оставшейся после работы пользователя (удаленные и временные файлы, оставшиеся команды принтера и т.п.).
3. Маскарад. Выполнение действий в системе одним пользователем от имени другого, т.е. идет присвоение чужих прав доступа и полномочий.
4. Разрыв линии. При этом методе происходит переключение каналов связи от законного пользователя (при окончании связи или ее разрыве) на стороннего пользователя. При этом данное событие не регистрируется в системе работы с информацией, и она работает со сторонним пользователем как с законным.
В конкретной системе вовсе не обязательно присутствуют с одинаковой вероятностью все виды угроз и способы их реализации. Поэтому при построении системы защиты необходимо определить, какие угрозы наиболее опасны. И именно на защиту от этих угроз и должна быть рассчитана создаваемая система защиты информации.
3. Методы борьбы с угрозами информационной безопасности
На основании определенного перечня угроз создается политика безопасности. В широком смысле политика безопасности представляет собой правила обращения с информацией. Применительно к защите информации в информационных системах можно сформулировать, что политикой безопасности называется правил, законов и практических рекомендаций, на основе которых строится управление, защита и распределение конфиденциальной информации в системе.
Политика безопасности должна охватывать все особенности процесса обработки информации и определять поведение системы в различных ситуациях. Политика безопасности представляет собой набор требований, реализуемых с помощью организационных мер и программно-аппаратных средств. Эти требования определяют архитектуру системы защиты информации.
Реализация политики безопасности для конкретной автоматизированной системы осуществляется при помощи конкретных механизмов защиты и средств управления ими. Для конкретной организации политика безопасности должна быть индивидуальной, зависящей от применяемых технологий обработки информации, используемых программных и технических средств, существующих угроз защищаемой информации и прочих условий. Механизмами поддержки политики безопасности являются специальные программные и аппаратные средства, которые применяются в системах защиты, а также ее соответствующие подсистемы.
К механизмам поддержки политики безопасности относятся:
· средства идентификации и аутентификации пользователей;
· средства контроля доступа;
· криптографические средства (т.е. средства шифрования информации);
· средства электронно-цифровой подписи; средства контроля целостности;
· средства аудита, т.е. фиксации действий пользователей системы;
· механизмы защиты трафика; механизмы защиты маршрутизацией;
Средства идентификации и аутентификации пользователей. Идентификация пользователя – процесс распознавания пользователя системы по некоторому признаку. Обычно для идентификации используют некоторое кодовое имя пользователя. Аутентификация – подтверждение того факта, что пользователь, предъявляющей системе некоторый идентификатор, действительно является тем, за кого себя выдает. В простейшем случае для подтверждения своей подлинности пользователь должен предъявить пароль – набор некоторых символов, который предполагается известным только данному конкретному пользователю. Кроме пары «имя – пароль» для идентификации и аутентификации пользователей системы применяются и другие параметры. Так, например, широкое распространение получили системы с использованием пластиковых или магнитных карточек. Перспективным направлением развития этого направления является разработка систем, основанных на считывание биометрических параметров человека.
Средства контроля доступа. Средства контроля доступа тесно связаны с работой предыдущей подсистемы, т.к. решение о предоставлении некоторому субъекту доступа к информационным ресурсам решается на основании предоставленных им признамов, идентифицирующих его как правомочного пользователя системы. Можно выделить несколько уровней контроля доступа: контроль доступа при входе в систему контроля доступа к отдельным объектам системы контроль доступа к отдельным устройствам системы
Криптографические средства являются основными при построении защиты компьютерных систем. Исходный текст называется открытым текстом. Процесс преобразования открытого текста в шифрованный называется шифрованием. Некоторая информация, позволяющая производить шифрование, а также обратное преобразование для прочтения открытого текста законным получателем, называется ключом.
Средства электронно-цифровой подписи используются для подтверждения авторства сообщения. С помощью специальных математических алгоритмов вычисляется электронная подпись как функция от конкретного подписанного сообщения. Использование механизмов электронно-цифровой подписи эффективно также для организации защиты от отказов от посылки сообщения или его получения. В этом случае наличие электронной подписи является достаточным доказательством того, что он посылал данное сообщение.
Средства контроля целостности. Обеспечение контроля целостности идет по двум направлениям: контроль целостности наборов данных контроль целостности программной среды Это позволяет гарантировать защищенность от проникновения в нее вредоносных программ. Обычно контроль целостности осуществляется путем счета контрольной суммы файлов данных и программ.
Средства аудита предназначены для фиксации различных действий пользователей, в первую очередь, действий нарушающих политику безопасности. Это позволяет, с одной стороны, выявлять злоумышленников, а с другой – контролировать правильность работы системы защиты, обнаруживать ее недостатки.
Механизмы контроля трафика необходимо в том случае, когда интенсивность обмена данными между пользователями является закрытой информацией, а также сам факт соединения двух пользователей должен оставаться конфиденциальным.
Механизмы управления маршрутизацией позволяют менять канал прохождения информации при возникновении опасности утечки информации или возможности угрозы типа «отказ в обслуживании».
Для выполнения этого задания вам нужно зарегистрироваться на сайте
https://www.exactfarming.com/и дальнейшие задания выполняются в этой системе.
Для выполнения задания вам вполне хватит базового бесплатного аккаунта.
Методические указания прикреплены.
Техкарта, видео-инструкция и образец ответа - в следующих "заданиях"
Итоговая оценка будет выставлена только после сдачи практического задания, контрольной работы (в электронном виде пдф с подписью) и теста