Методологические подходы к защите информации. Их сущность и обоснование

Федеральное агентство по образованию

Федеральное государственное бюджетное образовательное  учреждение

высшего профессионального образования

Иркутский Государственный Технический Университет

Кафедра квантовой физики и нанотехнологий 
 
 
 
 
 
 

РЕФЕРАТ

на тему: 
 
 

Методологические  подходы к защите информации.

Их  сущность и обоснование. 
 
 
 
 
 
 

 

Выполнил:

Студент группы ИБб 11-1

Молоток Данил Николаевич

____________

Рецензент:

Преподаватель кафедры

 квантовой  физики и нанотехнологий

Глухов  Николай Иванович

____________ 
 
 
 
 

Иркутск 2012г.

Содержание

1.Методологические  подходы к защите  информации……………………..….3                     

        -принципами обеспечения  информационной безопасности……………3

        -модель системы  ИБ………………………………………………………….3 

2.Классификация  методов и средств  защиты информации……………….…5

         -формальные средства защиты информации……………........................6

         -неформальные средства защиты информации…………………………8

3.Принципы, силы, средства и  условия организационной  защиты информации………………………………………………………………………...10

         -основные принципы организационной защиты информации……….11

         -основных условий организационной защиты информации………….11

         -классификация средств защиты информации…….……………………13

Список  использованной литературы………………...…………………………14

Методологические  подходы к защите информации

 

Подход к обеспечению  информационной безопасности может  быть только один – комплексный, иначе  информация может быть недостаточно защищена в той или иной сфере. В зависимости от стратегии, принятой на предприятии выбирается уровень  защиты, которому должна соответствовать  информационная безопасность по каждому  из направлений защиты (правовая, инженерно-техническая, компьютерная, организационная и  т.д.)

С позиции комплексного подхода к ЗИ предъявляются определенные требования, которые по сути и являются принципами обеспечения информационной безопасности. 

1.Комплексность. Для ЗИ во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита - это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых имеет множество различных взаимно обуславливающих друг друга сторон, свойств, тенденций.  

2.Непрерывность. Принцип непрерывности защиты обеспечивает постоянную защиту, т.к. в момент ее нарушения злоумышленник может совершить несанкционированное копирование, изменение, уничтожение и т.п. информации. 

3. Планирование. Осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации)  

4.Многорубежность системы защиты; 

5. Принцип равнопрочности рубежей контролируемой зоны; 

6.Целенаправленность. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд  

7.Принцип надежности. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены  

Обобщенная  модель системы ИБ  включает:

•   Объекты угроз. Объектом угроз выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).
•   Угрозы. Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности.
•   Источники угроз.
•   Цели угроз со стороны злоумышленников. Неправомерное овладение КИ возможно за счет ее разглашения источникам сведений, за счет утечки информации через технические средства и за счет НСД к охраняемым сведениям.
•   Источники информации. Источниками КИ являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.
•   Способы неправомерного овладения конфиденциальной информацией (способы доступа)
•   Направления защиты информации. Основными направлениями ЗИ являются правовая, организационная и инженерно -техническая защиты информации как выразители комплексного подхода к обеспечению ИБ.
•   Способы защиты информации. В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие НСД
•   Средства защиты информации. Ср-ми ЗИ являются физические средства, аппаратные средства, программные средства и криптографические методы.

Последние могут  быть реализованы как аппаратно, программно, так и смешанно –программно -аппаратными ср-ми. 

Обобщенная модель представляет собой совокупность частных  моделей отдельных компонентов, входящих в систему информационной безопасности. Данная модель позволяет  обосновывать стратегические решения (стратегии) по защите информации на основе перспективных планов развития предприятия. 
 

 

Классификация методов и средств  защиты информации.

  Метод — в самом общем значении это способ достижения цели, определенным образом упорядоченная деятельность.

Основными организационными и техническими методами, используемыми  в защите информации, являются: скрытие, ранжирование, дробление, учет, дезинформация, морально-нравственные меры, кодирование и шифрование. 

  Скрытие как метод защиты информации является в основе своей реализации на практике одним из основных организационных принципов защиты информации – максимального ограничения числа лиц, допускаемых к секретам. Реализация этого метода достигается обычно путем:

• засекречивания информации, т.е. отнесения ее к секретной или конфиденциальной информации различной степени секретности и ограничения в связи с этим доступа к этой информации в зависимости от ее важности для собственника, что проявляется в проставляемом на носителе этой информации грифе секретности;

• устранения или ослабления технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них.

Скрытие – один из наиболее общих и широко применяемых  методов защиты информации. 

   Ранжирование как метод защиты информации включает, во-первых, деление засекречиваемой информации по степени секретности и, во-вторых, регламентацию допуска и разграничение доступа к защищаемой информации: предоставление индивидуальных прав отдельным пользователям на доступ к необходимой им конкретной информации и на выполнение отдельных операций. Разграничение доступа к информации может осуществляться по тематическому признаку или по признаку секретности информации и определяется матрицей доступа.

Ранжирование  как метод защиты информации является частным случаем метода скрытия: пользователь не допускается к информации, которая ему не нужна для выполнения его служебных функций, и тем  самым эта информация скрывается от него и всех остальных (посторонних) лиц. 

   Дезинформация – один из методов защиты информации, заключающийся в распространении заведомо ложных сведений относительно истинного назначения каких-то объектов и изделий, действительного состояния какой-то области государственной деятельности.

Дезинформация обычно проводится путем распространения  ложной информации по различным каналам, имитацией или искажением признаков  и свойств отдельных элементов  объектов защиты, создания ложных объектов, по внешнему виду или проявлениям  похожих на интересующие соперника  объекты, и др. 

   Дробление (расчленение) информации на части с таким условием, что знание какой-то одной части информации (например, знание одной операции технологии производства какого-то продукта) не позволяет восстановить всю картину, всю технологию в целом.

Применяется достаточно широко при производстве средств: вооружения и военной техники, а также  при производстве товаров народного  потребления. 

   Учет (аудит) также является одним из важнейших методов защиты информации, обеспечивающих возможность получения в любое время данных о любом носителе защищаемой информации, о количестве и местонахождении всех носителей засекреченной информации, а также данные о всех пользователях этой информации. Без учета решать проблемы было бы невозможно, особенно когда количество носителей превышает какой-то минимальный объем.

Принципы учета  засекреченной информации:

• обязательность регистрации всех носителей защищаемой информации;

• однократность регистрации конкретного носителя такой информации;

• указание в учетах адреса, где находится в данное время данный носитель засекреченной информации;

• единоличная ответственность за сохранность каждого носителя защищаемой информации и отражение в учетах пользователя данной информации в настоящее время, а также всех предыдущих пользователей данной информации. 

   Кодирование – метод защиты информации, преследующий цель скрыть от нарушителя содержание защищаемой информации и заключающийся в преобразовании с помощью кодов открытого текста в условный при передаче информации по каналам связи, направлении письменного сообщения, когда есть угроза, что оно может попасть в чужие руки, а также при обработке и хранении информации в средствах вычислительной техники (СВТ).

Для кодирования  используются обычно совокупность знаков (символов, цифр и др.) и система  определенных правил, при помощи которых  информация может быть преобразована (закодирована) таким образом, что  прочесть ее можно будет, только если пользователь располагает соответствующим  ключом (кодом) для ее раскодирования. Кодирование информации может производиться  с использованием технических средств  или вручную. 

   Шифрование – метод защиты информации, используемый чаще при передаче сообщений с помощью различной радиоаппаратуры, направлении письменных сообщений и в других случаях, когда есть опасность перехвата этих сообщений. Шифрование заключается в преобразовании открытой информации в вид, исключающий понимание его содержания, если перехвативший не имеет сведений (ключа) для раскрытия шифра.

Шифрование может  быть предварительное (шифруется текст  документа) и линейное (шифруется  разговор). Для шифрования информации может использоваться специальная  аппаратура.

 В соответствии  с определением, изложенным в  Законе Российской Федерации  «О государственной тайне», к  средствам защиты информации  относятся «технические, криптографические,  программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну,  средства, в которых они реализованы,  а также средства контроля  эффективности защиты, информации». 

Все средства защиты можно разделить на две группы – формальные и неформальные.  

Формальные  средства защиты информации.

К формальным относятся  такие средства, которые выполняют  свои функции по защите информации формально, то есть преимущественно  без участия человека. К неформальным относятся средства, основу которых  составляет целенаправленная деятельность людей. Формальные средства делятся  на технические (физические,аппаратные) и программные. 

 1.Технические средства защиты – это средства, в которых основная защитная функция реализуется некоторым техническим устройством (комплексом, системой).

   К несомненным достоинствам технических средств относятся широкий круг задач, достаточно высокая надежность, возможность создания развитых комплексных систем защиты, гибкое реагирование на попытки несанкционированных действий, традиционность используемых методов осуществления защитных функций.

   Основными недостатками являются высокая стоимость многих средств, необходимость регулярного проведения регламентированных работ и контроля, возможность подачи ложных тревог.

   Системную классификацию технических средств защиты удобно провести по следующей совокупности показателей:

1) функциональное  назначение, то есть основные  задачи защиты объекта, которые  могут быть решены с их применением;