Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow Аппаратные и программные средства защиты информации

ПРИНЦИПЫ СОЗДАНИЯ АППАРАТНЫХ И ПРОГРАММНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

Основные понятия и определения в области создания АПСЗИ

Вначале на основании нормативной базы и руководящих документов в области информационной безопасности приведем обобщенную трактовку ряда базовых понятий и определений.

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Информация ограниченного доступа - вид сведений, доступ к которым ограничен в соответствии с законодательством Российской Федерации и разглашение которых может нанести ущерб интересам других лиц, обществу, государству.

Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Правило доступа к информации - совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям.

Различают санкционированный и несанкционированный доступ к информации.

Санкционированный доступ к информации - это доступ к информации, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права доступа к компонентам системы.

Несанкционированный доступ (НСД) к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений.

Информационная безопасность - механизм защиты, обеспечивающий конфиденциальность, целостность, доступность.

Конфиденциальность информации - свойство информации, технических средств и технологии ее обработки, характеризующееся способностью информации сохраняться в тайне от субъектов, у которых нет полномочий на право ознакомления с нею.

Доступность информации подразумевает также доступность компонента или ресурса компьютерной системы, то есть свойство компонента или ресурса быть доступным для законных субъектов системы. Вот примерный перечень ресурсов, которые должны быть доступны: принтеры; серверы; рабочие станции; данные пользователей; любые критические данные, необходимые для работы.

Целостность ресурса или компонента системы - это свойство ресурса или компонента быть неизменными в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений либо разрушающих воздействий.

С допуском к информации и ресурсам системы связана группа таких важных понятий, как идентификация, аутентификация, авторизация.

С каждым субъектом системы (сети) связывают некоторую информацию (число, строку символов), идентифицирующую субъект, Эта информация является идентификатором субъекта системы (сети). Субъект, имеющий зарегистрированный идентификатор, является законным (легальным) субъектом.

Основными рассматриваемыми объектами информационной безопасности являются автоматизированные системы.

Автоматизированная система (в том числе военного назначения) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций

Идентификация субъекта - это процедура распознавания субъекта по его идентификатору. Идентификация выполняется при попытке субъекта войти в систему (сеть).

Следующим шагом взаимодействия системы с субъектом является аутентификация субъекта.

Аутентификация субъекта - это проверка подлинности субъекта с данным идентификатором. Процедура аутентификации устанавливает, является ли субъект именно тем, кем он себя объявил.

После идентификации и аутентификации субъекта выполняют процедуру авторизации.

Авторизация субъекта - это процедура предоставления законному субъекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы (сети).

Применительно к автоматизированным системам ослабление информационной безопасности может быть реализовано за счет влияния преднамеренных или непреднамеренных угроз.

Под угрозой безопасности ИС понимаются возможные действия, способные прямо или косвенно нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатываемой в системе (сети).

Непреднамеренное воздействие на информацию - ошибка пользователя информацией, сбой технических и программных средств информационных систем, природные явления или иные не направленные на изменение информации действия, приводящие к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

С понятием угрозы безопасности тесно связано понятие уязвимости компьютерной системы (сети). Уязвимость компьютерной системы - это присущее системе неудачное свойство, которое может привести к реализации угрозы.

Атака на компьютерную систему - это поиск и (или) использование злоумышленником той или иной уязвимости системы. Иными словами, атака - это реализация угрозы безопасности.

Противодействие угрозам безопасности является целью средств защиты компьютерных систем и сетей.

Преднамеренные и непреднамеренные воздействия представляют одинаковую опасность, поскольку имеют одинаковые последствия. Для противодействия воздействиям используют автоматизированные системы в защищенном исполнении.

Автоматизированная система в защищенном исполнении - автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или иных нормативных документов по защите информации.

Защищенная система - это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.

Система защиты информации автоматизированной системы - совокупность всех технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации.

Способ зашиты информации - порядок и правила применения определенных принципов и средств защиты информации.

Средство зашиты информации - техническое, программное средство, вещество или материал, предназначенные либо используемые для защиты информации.

Комплекс средств защиты (КСЗ) представляет собой совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности системы (сети). КСЗ создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.

Техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

Обеспечение безопасности информационных систем (ИС) предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования ИС, а также попыткам модификации, хищения, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов ИС - аппаратных средств, программного обеспечения, данных и персонала. Конкретный подход к проблеме обеспечения безопасности основан на политике безопасности, разработанной для ИС.

Политика безопасности - это совокупность норм, правил и практических рекомендации, регламентирующих работу средств защиты компьютерной системы от заданного множества угроз. Естественно политика безопасности должна быть реализована в соответствии с нормативно-правовой базой создания аппаратных и программных средств обеспечения информационной безопасности.

 
Посмотреть оригинал
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Пред   СОДЕРЖАНИЕ ОРИГИНАЛ   След >
 

Популярные страницы