Учебная работа. Реферат: Понятие об информационной безопасности

Учебная работа. Реферат: Понятие об информационной безопасности

понятие о информационной сохранности

Словосочетание «информационная сохранность» в различных контекстах может иметь разный смысл. В Доктрине информационной сохранности Русской Федерации термин «информационная сохранность» употребляется в широком смысле. Имеется в виду состояние защищенности государственных интересов в информационной сфере, определяемых совокупой равновесных интересов личности, общества и страны.

В Законе РФ

Наше внимание будет сосредоточено на хранении, обработке и передаче инфы вне зависимости от того, на каком языке (российском либо каком-либо ином) она закодирована, кто либо что является ее источником и какое психологическое действие она оказывает на людей. Потому термин «информационная сохранность» будет употребляться в узеньком смысле, так, как это принято, к примеру, в английской литературе.

мы будем осознавать защищенность инфы и поддерживающей инфраструктуры от случайных либо намеренных действий естественного либо искусственного нрава, которые могут нанести неприемлемый вред субъектам информационных отношений, в том числе обладателям и юзерам инфы и поддерживающей инфраструктуры. (Чуток далее мы поясним, что следует осознавать под поддерживающей инфраструктурой.)

– это комплекс мероприятий, направленных на обеспечение информационной сохранности.

Таковым образом, верный с методологической точки зрения подход к дилеммам информационной сохранности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с внедрением информационных систем (ИС). Опасности информационной сохранности – это обратная сторона использования информационных технологий.

Из этого положения можно вывести два принципиальных следствия:

Трактовка заморочек, связанных с информационной сохранностью, для различных категорий субъектов может значительно различаться. Для иллюстрации довольно сравнить режимные муниципальные организации и учебные университеты. В первом случае «пусть лучше все сломается, чем неприятель выяснит хоть один скрытый бит», во 2-м – «да нет у нас никаких секретов, только бы все работало».

Информационная сохранность не сводится только к защите от несанкционированного доступа к инфы, это принципно наиболее обширное понятие. Субъект информационных отношений может пострадать (понести убытки и/либо получить моральный вред) не только лишь от несанкционированного доступа, да и от поломки системы, вызвавшей перерыв в работе. Наиболее того, для почти всех открытых организаций (к примеру, учебных) фактически защита от несанкционированного доступа к инфы стоит по значимости никак не на первом месте.

Ворачиваясь к вопросцам терминологии, отметим, что термин «компьютерная сохранность» (как эквивалент либо заменитель ИБ) представляется нам очень узеньким. Компы – лишь одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено сначала на инфы, которая хранится, обрабатывается и передается при помощи компов, ее сохранность определяется всей совокупой составляющих и, сначала, самым слабеньким звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, к примеру, собственный пароль на «горчичнике», прилепленном к монитору).

Согласно определению информационной сохранности, она зависит не только лишь от компов, да и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондюки, средства коммуникаций и, естественно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную Ценность, но нас будет заинтересовывать только то, как она влияет на выполнение информационной системой предписанных ей функций.

Обратим внимание, что в определении ИБ перед существительным «вред» стоит прилагательное «неприемлемый». Разумеется, застраховаться от всех видов вреда нереально, тем наиболее нереально создать это экономически целесообразным методом, когда стоимость защитных средств и мероприятий не превосходит размер ожидаемого вреда. означает, с кое-чем приходится мириться и защищаться следует лишь от того, с чем смириться никак недозволено. время от времени таковым недопустимым вредом является нанесение вреда здоровью людей либо состоянию окружающей среды, но почаще порог неприемлемости имеет вещественное (валютное) выражение, а целью защиты инфы становится уменьшение размеров вреда до допустимых значений.

Информационная сохранность – многогранная, можно даже сказать, многомерная область деятельности, в какой фуррор может принести лишь системный, полный подход.

Диапазон интересов субъектов, связанных с внедрением информационных систем, можно поделить на последующие группы: обеспечение
и
информационных ресурсов и поддерживающей инфраструктуры.

время от времени в число главных составляющих ИБ включают защиту от несанкционированного копирования инфы, но, на наш взор, это очень специфичный нюанс с непонятными шансами на фуррор, потому мы не станем его выделять.

– это возможность за применимое время получить требуемую информационную услугу.

предполагается актуальность и непротиворечивость инфы, ее защищенность от разрушения и несанкционированного конфигурации.

– это защита от несанкционированного доступа к инфы.

Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем либо другим причинам предоставить эти услуги юзерам становится нереально, это, разумеется, наносит вред всем субъектам информационных отношений. Потому, не противопоставляя доступность остальным нюансам, мы выделяем ее как важный элемент информационной сохранности.

В особенности ярко ведущая роль доступности проявляется в различного рода системах управления – созданием, транспортом и т.п. Снаружи наименее драматичные, но также очень противные последствия – и вещественные, и моральные – может иметь долгая недоступность информационных услуг, которыми пользуется огромное количество людей (продажа жд и авиабилетов, банковские услуги и т.п.).

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). средства контроля динамической целостности используются, а именно, при анализе потока денежных сообщений с целью выявления кражи, переупорядочения либо дублирования отдельных сообщений.

Целостность оказывается важным нюансом ИБ в тех вариантах, когда информация служит «управлением к действию». Рецептура фармацевтических средств, предписанные мед процедуры, набор и свойства девайсов изделий, ход технологического процесса – все это примеры инфы, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной инфы, будь то текст закона либо страничка Web-сервера какой-нибудь правительственной организации. Конфиденциальность – самый проработанный у нас в стране нюанс информационной сохранности. К огорчению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в Рф на суровые трудности. Во-1-х, сведения о технических каналах утечки инфы являются закрытыми, так что большая часть юзеров лишено способности составить представление о возможных рисках. Во-2-х, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят бессчетные законодательные препоны и технические препядствия.

Если возвратиться к анализу интересов разных категорий субъектов информационных отношений, то практически для всех, кто реально употребляет ИС, на первом месте стоит доступность. Фактически не уступает ей по значимости целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?

В конце концов, секретные моменты есть также у почти всех организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о заработной плате служащих) и отдельных юзеров (к примеру, пароли).

• 
  либо
  — невозможность отказа от авторства;
• 
  — обеспечение идентификации субъекта доступа и регистрации его действий;
• 
  — свойство соответствия предусмотренному поведению либо результату;
• 
  либо
  — свойство, гарантирующее, что субъект либо ресурс схожи заявленным.

Информационная сохранность является одним из важных качеств интегральной сохранности, на каком бы уровне мы ни разглядывали последнюю – государственном, отраслевом, корпоративном либо индивидуальном.

Для иллюстрации этого положения ограничимся несколькими примерами.

• В
  (тут, подчеркнем, термин «информационная сохранность» употребляется в широком смысле) защита от несанкционированного доступа к информационным ресурсам, обеспечение сохранности информационных и телекоммуникационных систем выделены в качестве принципиальных составляющих государственных интересов РФ
• Южноамериканский ракетный крейсер «Йорктаун» был обязан возвратиться в порт из-за бессчетных заморочек с программным обеспечением, функционировавшим на платформе Windows NT 4.0 (Government Computer News, июль 1998). Таковым оказался побочный эффект программки ВМФ США
• Заместитель начальника управления по экономическим злодеяниям Министерства внутренних дел Рф сказал, что русские хакеры с 1994 по 1996 год предприняли практически 500 попыток проникания в компьютерную сеть Центрального банка Рф. В 1995 году ими было похищено 250 млрд рублей (ИТАР-ТАСС, AP, 17 сентября 1996 года).
• Как сказал журнальчик Internet Week от 23 марта 1998 года, утраты больших компаний, вызванные компьютерными вторжениями, продолжают возрастать, невзирая на рост издержек на средства обеспечения сохранности. Согласно результатам совместного исследования Института информационной сохранности и ФБР , в 1997 году вред от
  достигнул 136 миллионов баксов, что на 36% больше, чем в 1996 году. Каждое компьютерное грех наносит вред приблизительно в 200 тыщ баксов.
• Посреди июля 1996 года компания General Motors отозвала 292860 каров марки Pontiac, Oldsmobile и Buick моделей 1996 и 1997 годов, так как ошибка в программном обеспечении мотора могла привести к пожару.
• В феврале 2001 года двое бывших служащих компании Commerce One, воспользовавшись паролем админа, удалили с сервера файлы, составлявшие большой (на несколько миллионов баксов) проект для зарубежного заказчика. К Счастью, имелась запасная копия проекта, так что настоящие утраты ограничились расходами на следствие и средства защиты от схожих инцидентов в дальнейшем. В августе 2002 года правонарушители предстали перед трибуналом.
• Одна студентка растеряла стипендию в 18 тыщ баксов в Мичиганском институте из-за того, что ее соседка по комнате пользовалась их общим системным входом и выслала от имени собственной жертвы электрическое письмо с отказом от стипендии.

Понятно, что схожих примеров огромное количество, можно вспомянуть и остальные случаи – недочета в нарушениях ИБ нет и не предвидится.

При анализе проблематики, связанной с информационной сохранностью, нужно учесть специфику данного нюанса сохранности, состоящую в том, что информационная сохранность есть составная часть информационных технологий – области, развивающейся беспримерно высочайшими темпами. тут важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новейших решений, дозволяющие жить в темпе технического прогресса.

К огорчению, современная разработка программирования не дозволяет создавать безошибочные программки, что не содействует резвому развитию средств обеспечения ИБ. Следует исходить из того, что нужно конструировать надежные системы (информационной сохранности) с привлечением ненадежных компонент (программ). В принципе, это может быть, но просит соблюдения определенных строительных принципов и контроля состояния защищенности на всем протяжении актуального цикла ИС.

Приведем еще несколько цифр. В марте 1999 года был размещен очередной, 4-ый по счету, годичный отчет «Компьютерная преступность и безопасность-1999: препядствия и тенденции» (Issues and Trends: 1999 CSI/FBI Computer Crime and Security Survey). В отчете отмечается резкий рост числа воззваний в правоохранительные органы по поводу компьютерных злодеяний (32% из числа опрошенных); 30% респондентов сказали о том, что их информационные системы были взломаны наружными злодеями; атакам через Internet подвергались 57% опрошенных; в 55% вариантах отмечались нарушения со стороны собственных служащих. Броско, что 33% респондентов на вопросец «были ли взломаны ваши Web-серверы и системы электрической коммерции за крайние 12 месяцев?» ответили «не понимаю«.

В аналогичном отчете, размещенном в апреле 2002 года, числа поменялись, но тенденция осталась прежней: 90% респондентов (в большей степени из больших компаний и правительственных структур) сказали, что за крайние 12 месяцев в их организациях имели пространство нарушения информационной сохранности; 80% констатировали денежные утраты от этих нарушений; 44% (223 респондента) смогли и/либо захотели оценить утраты количественно, общая сумма составила наиболее 455 млн. баксов. Больший вред нанесли кражи и подлоги (наиболее 170 и 115 млн. баксов соответственно).

Настолько же тревожные результаты содержатся в обзоре InformationWeek, размещенном 12 июля 1999 года. Только 22% респондентов заявили о отсутствии нарушений информационной сохранности. вместе с распространением вирусов отмечается резкий рост числа наружных атак.

Повышение числа атак – еще не наибольшая проблема. Ужаснее то, что повсевременно обнаруживаются новейшие уязвимые места в программном обеспечении (выше мы указывали на ограниченность современной технологии программирования) и, как следствие, возникают новейшие виды атак.

Так, в информационном письме Государственного центра защиты инфраструктуры США , риск использования которых оценивается как средний либо высочайший (общее число найденных уязвимых мест равно 17). Посреди «пострадавших» операционных платформ – практически все разновидности ОС unix, Windows, MacOS, так что никто не может ощущать себя тихо, так как новейшие ошибки здесь же начинают интенсивно употребляться злодеями.

В таковых критериях системы информационной сохранности должны уметь противостоять различным атакам, как наружным, так и внутренним, атакам автоматическим и скоординированным. время от времени нападение продолжается толики секунды; иногда прощупывание уязвимых мест ведется медлительно и растягивается на часы, так что подозрительная активность фактически неприметна. Целью злоумышленников быть может нарушение всех составляющих ИБ – доступности, целостности либо конфиденциальности.

]]>