ИБ (11) - Лекция №1 - Безопасность ИС

Материал из Кафедра ИУ5 МГТУ им. Н.Э.Баумана, студенческое сообщество
Перейти к навигации Перейти к поиску

Безопасность ИС

Это её защищённость от случайного или преднамеренного вмешательства в нормальный процесс её функционирования, а также от попыток хищения, изменения или разрушения её компонентов.

Природа воздействия:

  • случайные;
  • выход из строя элементов;
  • ошибки персонала;
  • попытки проникновения злоумышленника.
Доступ к информации
ознакомление с информацией, её обработка, копирование, модификация, уничтожение.
Правила разграничения доступа
служат для регламентации права доступа субъёктов доступа к объектам доступа.
Субъект
активный компонент системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы.
Объект
пассивный компонент системы, который может хранить, принимать и передавать информацию. Доступ к объекту означает доступ к содержащейся в нём информации.

Доступ может быть:

  • санкционированный - не нарушающий установленные правила разграничения доступа;
  • несанкционированный - нарушающий.

Категории информационной безопасности

Следующие:

  • конфиденциальность - гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена. Нарушение этой категории называется хищением или раскрытием;
  • целостность - гарантия того, что информация сейчас существует в её исходном виде, то есть при её хранении или передаче не было произведено несанкционированных изменений. Нарушение этой категории называется фальсификацией сообщения;
  • аутентичность - гарантия того, что источником информации является именно то лицо, которое заявлено как её автор. Нарушение этой категории называется фальсификацией авторства сообщения;
  • апеллируемость - применяемая в электронной коммерции. Это гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек и не может являться никто другой.

Политика безопасности

Это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты информационной системы от заданного множества угроз безопасности.

Собственник информации анализирует уязвимости защищаемых ценностей от возможных атак.

Уязвимость
слабое место в системе, с использованием которого может быть осуществлена атака.
Атака
любое действие, нарушающее безопасность информационной системы.

Атака может быть:

  • пассивная атака - когда противник не имеет возможности изменять информацию, а только "подслушивает";
  • активная - когда злоумышленник может изменять информацию.

Виды атак:

Угрозы

Нарушение:

  1. конфиденциальности;
  2. целостности;
  3. нарушения работоспособности системы в целом.