Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Свойства информации как объекта защиты на различных уровнях ее представления
Информация обладает свойством делимости, и ее можно измерять количественно. Компьютерная информация, независимо от ее содержания, представлена в виде многоразрядных двоичных чисел. Закономерно возникает вопрос: все ли частички информации и значащие разряды одинаково ценны? Если мы имеем дело с закодированным звуковым сигналом или рисунком, сделанным с высокой разрешающей способностью и большим числом градаций цветопередачи, то младшие разряды, не различаемые человеческими органами чувств, можно считать информационным шумом. Маскирование ценной и защищаемой информации в информационном шуме является одним из видов информационного сокрытия и нашло применение в методах стеганографии. Если информационный нарушитель получает доступ к электронным финансовым счетам, то, изменив значение всего одного бита, он может существенно изменить сумму счета и присвоить образовавшуюся разность. Двоичные разряды, представляющие символ в той или иной кодировке, исполняемый код, фрагмент архивированного документа одинаково значимы, и достаточно изменить один бит в исполняемой программе, чтобы «завесить» компьютер с теми или иными последствиями. Установлено, что вероятность искажения одиноч-ного бита при передаче, считывании или записи компьютерной ин-формации не должна превосходить0, 00000001. Ценность информации Количество считанной или переданной информации практиче-ски не связано с реальной ее ценностью. Ценность вовремя сказанного слова или поданного сигнала опасности порой равнозначна ценности многих человеческих жизней. В то же время можно передавать по каналам связи мегабайты пустой информации– от этого ее ценность не повысится. Носители– это материальные объекты, обеспечивающие за-пись, хранение и передачу информации в пространстве и времени. В число наиболее часто используемых носителей входят: ─ вещественные носители(бумага, фото- и кинопленка, машинные носители информации, материалы и образцы технологии, отходы информационного производства); ─ электрические сигналы в виде напряжений и токов; ─ изменяющиеся во времени электромагнитные и акустические поля. Носитель в первую очередь используется для хранения и передачи семантической информации. Говоря о защите информации, мы в первую очередь имеем в виду именно семантическую информацию. Именно эта информация составляет суть большинства человеческих тайн, обеспечивает пре-успевание в бизнесе, позволяет манипулировать людьми. Информацию представляет собой весьма сложный для исследования объект. Для рассмотрения ее характеристик, имеющих отношение к безопасности, информацию желательно представить в виде не-скольких уровней, к которым относятся: ─ уровень материальных носителей Вещественные носители; ─ уровень средств взаимодействия с носителями; ─ логический уровень; ─ синтаксический уровень; ─ семантический уровень; ─ прагматический уровень. Отличительное свойство информации– возможность ее копи-рования, размножения без изменения оригинала. Информация не существует вне материальных носителей. Первое правило информационной защиты можно сформулировать так: «Защита информации– это защита ее носителей» ФЗ «О персональных данных». операторов по обработке персональных данных Обладание теми или иными компонентами вещного права на информацию разделяет людей на три категории: собственников информации, владельцев и пользователей. Собственник информации – это субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения. Владелец информации обладает правами ее владения и использования. Пользователь имеет право только пользоваться информацией с разрешения ее собственника или владельца. В то же время в ФЗ «Об информации, информационных технологиях и о защите информации» упоминается только обладатель информации: физическое или юридическое лицо, Российская Федерация и ее субъекты, муниципальное образование, которые вправе полномочно распоряжаться созданной, законно полученной или приобретенной информацией. Нельзя причислить ни к одной из указанных выше категорий персонал больницы или поликлиники, которому доступны истории болезней пациентов, сотрудника органов внутренних дел, ведущего электронную базу данных владельцев автотранспорта, и др. № 152-ФЗ «О персональных данных» —федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных В ФЗ «О персональных данных» такие лица обобщенно причислены к категории операторов по обработке персональных данных. Особые права, но не по распоряжению, а по защите информации возлагаются на администратора безопасности компьютерной сети. Оператор персональных данных (согласно закону РФ «О персональных данных») — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. ФЗ «О государственной тайне» относит к этому виду информации «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации». Основная угроза – несанкционированное распространение защищаемой информации, которое можно толковать как любую форму передачи секретных сведений произвольному числу лиц, не являющихся ее собственниками.
3.Политика безопасности. Определение, примеры. Пример неправомочности переноса политики безопасности " исторической" работы с документами в электронные документы Основой для организации процесса защиты информации является политика безопасности. Политика безопасности вычислительной системы организации необходимо сформулировать для того, чтобы определить, от каких угроз и каким именно путем защищается информация в ВС. Политика безопасности – набор правовых, организационных и технических мер по защите информации, принятый в конкретной организации. Политика безопасности должна быть оформлена в виде специального документа ( или комплекта документов), с которым должен быть ознакомлены все пользователи системы. С одной стороны, политика безопасности информирует пользователей о том, как правильно эксплуатировать ВС, а с другой – определяет множество механизмов безопасности, которые должны существовать в ВС. Некоторые политики безопасности применяются ко всем пользователям ( нормативная политика безопасности, основанная на степени доверия пользователя и классификации данных), тогда как другие притнимают во внимание только особые приложения или тип информации (политика безопасности, основанная на модели Кларка-Вильсона). Политика безопасности ВС может состоять из множества частных политик, направленных на конкретные аспекты ЗИ. Например можно рассматривать общую политику безопасности как состоящую из 3-х частей: 1) Политику безопасности на конкретном рабочем месте, 2)Политику безопасности в локальной сети 3) Политику безопасности в Интернет Достоинства неформальных методов - простота и понятность, быстрота составления. Недостатками неформальных методов являются - возможная неполнота описания или неполный перечень всех условий, невозможность «всесторонней» проверки, возможная противоречивость требований друг другу, неформальные требования «всем все понимать одинаково», чего не всегда легко добиться На практике в системах безопасности ОС и СУБД системах защиты используются всего три модели безопасности или их комбинация. Это дискреционная модель, мандатная модель, ролевая модель. Поэтому далее рассматриваются только эти три модели. Билет №4 Популярное:
|
Последнее изменение этой страницы: 2017-03-03; Просмотров: 941; Нарушение авторского права страницы