Информационная безопасность-это как минимум 3 компоненты: обеспечение конфиденциальности инф. (защищенности от несанкционированного доступа), обеспечение целостности инф (актуальности, непротиворечивости), защищенная от правки и уничтожения (несанкционированного доступа); обеспечение доступности (возможность получение требуемой инф. Услуги за определнное время.
Информация – это данные представленные в памяти ЭВМ которыми обмениваются ИС. Необходимо защищать не информацию а права сбственности на информацию. Инф – материальный объект. Передача без материального носителя невозможна. Инф – как объект права собственности, может быть подвергнута несанкционированной модификации или перемещению к другому субъекту без очевидного нарушения права собственности на инф. Инф как право собственности имеет 3 полномочия собственности – право владения инф в неизменном виде, право пользования инф. В своих целях, право распоряжения (передача своих прав без потери другим субъектам.
Важность инф – помимо ценности отражает значимость инф. Для функционирования для некоторой организации или отдельного человека. Уровни важности: жизненно-важная информация, важная, полезная, несущественная.
Принципы организации систем обеспечения информации: принцип системности (необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов), принцип комплексности (обесп. Безоп. И компенсация последствий ее нарушения, осущ. Использов. Различных методов, механизмов и средств защиты), принцип непрерывности (обесп. Безоп. Неразовое мероприятие, а непрерывный целенаправленный процесс предполагающий принятие соответствующих мер начиная с ранних этапов проектирования КС), принцип разумной достаточности (средства криптографии не защищают полностью, на расшифровку уходит больше времени и составляет большую ценность чем то что зашифрованно), принцип гибкости системы защиты (не только для одной угрозы, можно менять параметры защиты не нарушая функциониров. Системы.), принцип открытости алгоритмов и механизмов защиты (треб. Чтобы знания алгоритмов и механизмов, принципов построения не давало возможности преодоления системы защиты), принци простоты применения защитных мер и средств (все средства д.б. интуитивно понятны и просты в использовании), принцип неформальности (методология создания системы безоп. Требует участия человека и явл. Неформальной), принцип специализирвоанности (надежные механизмы защиты м. б. разработанны только специалистами, качеств. Защ. М. обеспечить только на базе сертифизирован. Средств и мех. Защ., прошедших проверку, обеспечить эффективное функционирование сист. Без. М. только лица облад. Соответств. Знаниями).
2. Способы и средства обеспечения безопасности информации.
Препятствие (физические, логические), управление (процесс целенапрвленного воздействия на средства и механизмы автономных сист. С целью поддержки устан. Технолог. Цикла обработки и переачи инф. ), маскировка ( предполагает такие преобразов. Инф. Которые делают ее либо недоступной для нарушителя либо существенно затрудняют доступ к ней.), регламентация (разработка и реализация комплексных мерсозд. Такие условия при которых минимиз. Риски воздействия стабилизирующих факторов), принуждение (создание такой обстановки при которой персонал и пользов. АС вынуждены соблюдать установленные правила обработки инф. Под угрозой материальной, администр. И уголовной ответственности), побуждение (создание условий при которых соблюдение правил обработки и инф. Регулируются благодаря матер. Моральным и нравственым нормам).
Средства: формальные – такие которые выполняют свои функции по заранее установ. Процедурам без вмешательства человека. Физические (заборы, здания), аппартные (тех. Устройства АС), программные (по целевому назначению: 1. идентификация, аутентификация пользв. Устройств, процессов 2. определение полномочий пользов. Процессов, разграничение доступа, распред. Ресурсов. 3. регистрация критичных событий 4. обнаружение установленных правил работы и реагирования на них 5. выполнение криптографических преобразов.
Неформальные - такие которые реализуются в деятельности людей либо регламентируют эту деятельность. Организационные ( орган.-технич., орган.-правовые мероприятия осущ. С целью обеспечения безоп. Инф. В процессе созд., и эксплуатац. АС). Главная задача определение ПИБ для конкреттноц АС включая меры по выявлеению потенциальных нарушителей и способов атак , меры по обнаружению и нетрализации деструктивных воздействий и включающую план востановления АС с ликвидацией последствий реализованного нарушения. Законодательные (нормативно-правов. Акты регулирующие права и обязанности а также устанавливающие ответственность всех лиц и подразделений за нарушение установленных правил обработки инф.). Морально-этические (сформиров. В обществе , организации или отдельном коллективе моральные нормы и этические правила соблюдение которых способствуют решению задачи обесп. Безоп. Инф.
Основные модели управления доступом к информации : матричная s – множество субъектов доступа, O – множество объектов, M- матрица mij = M[si, oj] – права i-го субъекта к j-му объекту. R – права чтения, a – дополнение объекта, w – запись в объекты, E- выполнение. Проблемы: очень сильно разряжена, необходимость изменять списки объектов, субъектов, низкий детализированный уровень описаний субъектов и объектов. Методы решения: группировка субъектов с одинаковыми правами, группировка объектов по уровням доступа, представление матрицы в двух списках.
Многоуровневая модель – рассмотрение управления доступом не в рамках задаваем. Администр. Прав субъекта а таким образом чтобы данные относящиеся к одной категории или уровням конфиденц. Не были доступны субъектам имеющим иные категории или более низкий уровень конфиденц. При работе с секретными документами им присваивается метка отраж. Уровень конфиденц. И одна или несколько меток отраж. Категории конфиденц. Субъекту приписывается анологичный набор признаков определяющих возможность доступа к документам. Доступ субъекта к объекту разрешается лишь в том случае если уровень доступа не ниже уровня конфиденциальности объекта, а в наборе категорий допуска субъекта содержатся все категории конфиденциальности объекта. В многоуровней модели безоп. Состояние обеспечив. Выполнением двух условий: 1. простое условие защиты ( для любого доступа связанного с чением субъекта si с объектом oj уровень безопасности субъекта должен доминировать над уровнем безопасности объекта. 2. условие ограничения (направлен. На предотвращение косвеной утечки данных и определяющих что субъект может только тогда записыв. В объект когда уровень безопасности I(si)<= I(oj)
