Файл: Понятие конфиденциальности информации.pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 26.06.2023

Просмотров: 208

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАНОЙ ЛИТЕРАТУРЫ

ВВЕДЕНИЕ

Что следует понимать под информационной безопасностью (далее ИБ) - защиту интересов субъектов информационных отношений. Ниже будут описаны основные составляющие ИБ. А именно – конфиденциальность, целостность, доступность. Также приведётся статистика нарушений ИБ, будет описываться наиболее характерные случаи нарушения ИБ.

Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций. Очевиден факт - застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.

  1. Общие понятия об информационной безопасности

Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только системный, комплексный подход.

Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Из этого положения можно вывести два важных следствия:

  1. Описание проблем, связанных с информационной безопасностью, для разных категорий субъектов может сильно различаться. К примеру: можно сопоставить режимные государственные организации и учебные институты: в первом случае "пусть лучше вся аппаратура выйдет из строя, но секретные биты ценнейшей, секретной информации будут скрыты от глаз врага", а во втором – "у нас нет никаких секретов ни от кого, лишь бы все работало и функционировало".
  2. Информационная безопасность не сводится только лишь к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций, например - учебных, собственно говоря, защита от несанкционированного доступа к информации стоит по важности далеко не на первом месте.
    1. Понятие конфиденциальности информации

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры. В данной главе рассмотрим само понятие конфиденциальности и, непосредственно, её значение в обеспечении защиты информации.

Вообще, что такое конфиденциальная информация. Можно сказать, эта та информация, которая, по сути и по факту, равнозначно относится к «доверительной, не подлежащей огласке, секретной». Можно не боясь сравнить данный термин с понятиями тайны или секрета.

Рассматривая ИБ, конфиденциальность – это защита от несанкционированного доступа к информации. То есть: создание средств (криптографические кодировщики, шифровальные программы) для скрытия особо ценной, или вовсе секретной, информации от посторонних глаз.

Конфиденциальность является самым проработанным аспектом информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

    1. Понятие целостности информации и ее доступность

Целостность информации – термин, который означает что данные не были изменены при выполнении какой-либо операции над ними, будь то передача, хранение или отображение. В широком смысле, в ИБ целостность данных означает сохранение данных в том виде, в каком они были созданы. К примеру:

  • Злоумышленник хочет изменить номер счета в банковской транзакции;
  • Попытка подделки документа (подделка печати, подписи и т.д.);
  • Преднамеренное изменение фактов средствами массовой информации для достижения цели – манипулирование общественным мнением.

Целостность данных – свойство, при выполнении которого данные сохраняют заранее определённый вид и качество.

Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации.

  1. Категории модели безопасности
    1. Стандартная модель безопасности

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

  • конфиденциальность (англ. confidentiality) — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;
  • целостность (англ. integrity) — избежание несанкционированной модификации информации;
  • доступность (англ. availability) — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.
    1. Другие (необязательные) категории модели безопасности

Выделяют и другие не всегда обязательные категории модели безопасности:

  • неотказуемость или апеллируемость (англ. non-repudiation) — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты;
  • подотчётность (англ. accountability) — свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.;
  • достоверность (англ. reliability) — свойство соответствия предусмотренному поведению или результату;
  • аутентичность или подлинность (англ. authenticity) — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
  1. Реализация понятия «Информационная безопасность»

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

  • Законодательная, нормативно-правовая и научная база.
  • Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
  • Организационно-технические и режимные меры и методы (Политика информационной безопасности).
  • Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:

  • выявить требования защиты информации, специфические для данного объекта защиты;
  • учесть требования национального и международного Законодательства;
  • использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
  • определить подразделения, ответственные за реализацию и поддержку СОИБ;
  • распределить между подразделениями области ответственности в осуществлении требований СОИБ;
  • на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
  • реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
  • реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
  • используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

  1. Угрозы информационной безопасности

Угроза информационной безопасности — это совокупность условий и факторов, создающих опасность нарушения информационной безопасности.

Под угрозой в общем понимается потенциально возможное событие, действие или воздействие, процесс или явление, которые могут привести к нанесению ущерба чьим-либо интересам.

Под угрозой интересам субъектов информационных отношений понимают потенциально возможное событие, процесс или явление которое посредством воздействия на информацию или другие компоненты информационной системы может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.

    1. Классификация угроз

В целом говоря об угрозе ИБ, они могут быть классифицированы по следующим признакам:

  • По аспекту ИБ, на который направлена угроза;
  • По расположению источника угроз;
  • По размерам наносимого ущерба;
  • По степени воздействия на ИБ;
  • По природе возникновения;

Рассмотрим каждый из данных признаков в отдельности.

По аспекту ИБ, на который направлена угроза. В данном случае угроза направлена на нарушение конфиденциальности, целостности и доступности информации.

Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Она имеет место, когда получен доступ к некоторой информации ограниченного доступа, хранящейся в вычислительной системе или передаваемой от одной системы к другой. В связи с угрозой нарушения конфиденциальности, используется термин «утечка». Подобные угрозы могут возникать вследствие «человеческого фактора» (например, случайное делегировании тому или иному пользователю привилегий другого пользователя), сбоев работе программных и аппаратных средств. К информации ограниченного доступа относится государственная тайна и конфиденциальная информация (коммерческая тайна, персональные данные, профессиональные виды тайна: врачебная, адвокатская, банковская, служебная, нотариальная, тайна страхования, следствия и судопроизводства, переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений (тайна связи), сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации (ноу-хау) и др.).

Угрозы нарушения целостности – это угрозы, связанные с вероятностью модификации той или иной информации, хранящейся в информационной системе. Нарушение целостности может быть вызвано различными факторами – от умышленных действий персонала до выхода из строя оборудования.

Нарушение доступности представляет собой создание таких условий, при которых доступ к услуге или информации будет либо заблокирован, либо возможен за время, которое не обеспечит выполнение тех или иных бизнес-целей.

Расположение угрозы может быть внутреннее, то есть находиться непосредственно внутри системы, и внешнее – находиться удаленно, вне системы, и производить атаку посредством сетевого проникновения (удаленное управление).

Размеры наносимого ущерба можно разбить на три категории: общие, локальные и частные. Под общим размером понимается следующее - нанесение ущерба объекту безопасности в целом, причинение значительного ущерба. Локальный - причинение вреда отдельным частям объекта безопасности. Частный - причинение вреда отдельным свойствам элементов объекта безопасности.

Степень воздействия на ИБ подразделяется на пассивную и активную. В пассивной степени структура и содержание системы не подвергаются изменениям, в то время как в активной степени вся система полностью (или частично) подвержена изменениям в структуре файлов и их содержании.

Природа возникновения может быть естественной и искусственной, либо объективной и субъективной соответственно.

Естественная (объективная) природа возникновения подразумевает под собой воздействие на информационную среду объективных физических процессов или стихийных природных явлений, не зависящих от воли человека.

Говоря об искусственной (субъективной) природе нужно понимать следующее – это воздействие на информационную сферу человека. Среди искусственных угроз в свою очередь выделяют:

  • Непреднамеренные (случайные) угрозы – любые ошибки программного обеспечения, персонала, сбои в работе систем, отказы вычислительной и коммуникационной техники;
  • Преднамеренные (умышленные) угрозы - неправомерный доступ к информации, разработка специального программного обеспечения, используемого для осуществления неправомерного доступа, разработка и распространение вирусных программ и т.д. Преднамеренные угрозы обусловлены действиями людей. Основные проблемы информационной безопасности связаны прежде всего с умышленными угрозами, так как они являются главной причиной преступлений и правонарушений.
    1. Источники угроз информационной безопасности

Смотрите также файлы