Свойства информации как объекта защиты на различных уровнях ее представления

⇐ ПредыдущаяСтр 3 из 11Следующая ⇒

Информация обладает свойством делимости, и ее можно измерять количественно. Компьютерная информация, независимо от ее содержания, представлена в виде многоразрядных двоичных чисел. Закономерно возникает вопрос: все ли частички информации и значащие разряды одинаково ценны?

Если мы имеем дело с закодированным звуковым сигналом или рисунком, сделанным с высокой разрешающей способностью и большим числом градаций цветопередачи, то младшие разряды, не различаемые человеческими органами чувств, можно считать информационным шумом.

Маскирование ценной и защищаемой информации в информационном шуме является одним из видов информационного сокрытия и нашло применение в методах стеганографии.

Если информационный нарушитель получает доступ к электронным финансовым счетам, то, изменив значение всего одного бита, он может существенно изменить сумму счета и присвоить образовавшуюся разность.

Двоичные разряды, представляющие символ в той или иной кодировке, исполняемый код, фрагмент архивированного документа одинаково значимы, и достаточно изменить один бит в исполняемой программе, чтобы «завесить» компьютер с теми или иными последствиями. Установлено, что вероятность искажения одиноч-ного бита при передаче, считывании или записи компьютерной ин-формации не должна превосходить0, 00000001.

Ценность информации

Количество считанной или переданной информации практиче-ски не связано с реальной ее ценностью.

Ценность вовремя сказанного слова или поданного сигнала опасности порой равнозначна ценности многих человеческих жизней. В то же время можно передавать по каналам связи мегабайты пустой информации– от этого ее ценность не повысится.

Носители– это материальные объекты, обеспечивающие за-пись, хранение и передачу информации в пространстве и времени.

В число наиболее часто используемых носителей входят:

─ вещественные носители(бумага, фото- и кинопленка, машинные

носители информации, материалы и образцы технологии, отходы информационного производства);

─ электрические сигналы в виде напряжений и токов;

─ изменяющиеся во времени электромагнитные и акустические поля.

Носитель в первую очередь используется для хранения и передачи семантической информации.

Говоря о защите информации, мы в первую очередь имеем в виду именно семантическую информацию. Именно эта информация составляет суть большинства человеческих тайн, обеспечивает пре-успевание в бизнесе, позволяет манипулировать людьми.

Информацию представляет собой весьма сложный для исследования объект.

Для рассмотрения ее характеристик, имеющих отношение к

безопасности, информацию желательно представить в виде не-скольких уровней, к которым относятся:

─ уровень материальных носителей Вещественные носители;

─ уровень средств взаимодействия с носителями;

─ логический уровень;

─ синтаксический уровень;

─ семантический уровень;

─ прагматический уровень.

Отличительное свойство информации– возможность ее копи-рования, размножения без изменения оригинала.

Информация не существует вне материальных носителей. Первое правило информационной защиты можно сформулировать так: «Защита информации– это защита ее носителей»

ФЗ «О персональных данных». операторов по обработке персональных данных

Обладание теми или иными компонентами вещного права на информацию разделяет людей на три категории: собственников информации, владельцев и пользователей.

Собственник информации – это субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения.

Владелец информации обладает правами ее владения и использования.

Пользователь имеет право только пользоваться информацией с разрешения ее собственника или владельца.

В то же время в ФЗ «Об информации, информационных технологиях и о защите информации» упоминается только обладатель информации: физическое или юридическое лицо, Российская Федерация и ее субъекты, муниципальное образование, которые вправе полномочно распоряжаться созданной, законно полученной или приобретенной информацией.

Нельзя причислить ни к одной из указанных выше категорий персонал больницы или поликлиники, которому доступны истории болезней пациентов, сотрудника органов внутренних дел, ведущего электронную базу данных владельцев автотранспорта, и др.

№ 152-ФЗ «О персональных данных» —федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных

В ФЗ «О персональных данных» такие лица обобщенно причислены к категории операторов по обработке персональных данных. Особые права, но не по распоряжению, а по защите информации возлагаются на администратора безопасности компьютерной сети.

Оператор персональных данных (согласно закону РФ «О персональных данных») — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

ФЗ «О государственной тайне» относит к этому виду информации «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации».

Основная угроза – несанкционированное распространение защищаемой информации, которое можно толковать как любую форму передачи секретных сведений произвольному числу лиц, не являющихся ее собственниками.

3.Политика безопасности. Определение, примеры. Пример неправомочности переноса политики безопасности " исторической" работы с документами в электронные документы

Основой для организации процесса защиты информации является политика безопасности. Политика безопасности вычислительной системы организации необходимо сформулировать для того, чтобы определить, от каких угроз и каким именно путем защищается информация в ВС.

Политика безопасности – набор правовых, организационных и технических мер по защите информации, принятый в конкретной организации. Политика безопасности должна быть оформлена в виде специального документа ( или комплекта документов), с которым должен быть ознакомлены все пользователи системы.

С одной стороны, политика безопасности информирует пользователей о том, как правильно эксплуатировать ВС, а с другой – определяет множество механизмов безопасности, которые должны существовать в ВС.

Некоторые политики безопасности применяются ко всем пользователям ( нормативная политика безопасности, основанная на степени доверия пользователя и классификации данных), тогда как другие притнимают во внимание только особые приложения или тип информации (политика безопасности, основанная на модели Кларка-Вильсона).

Политика безопасности ВС может состоять из множества частных политик, направленных на конкретные аспекты ЗИ. Например можно рассматривать общую политику безопасности как состоящую из 3-х частей:

1) Политику безопасности на конкретном рабочем месте,

2)Политику безопасности в локальной сети

3) Политику безопасности в Интернет

Достоинства неформальных методов - простота и понятность, быстрота составления.

Недостатками неформальных методов являются - возможная неполнота описания или неполный перечень всех условий, невозможность «всесторонней» проверки, возможная противоречивость требований друг другу, неформальные требования «всем все

понимать одинаково», чего не всегда легко добиться

На практике в системах безопасности ОС и СУБД системах защиты используются всего три модели безопасности или их комбинация. Это дискреционная модель, мандатная модель, ролевая модель. Поэтому далее рассматриваются только эти три модели.

Билет №4

⇐ Предыдущая 1 234 5 6 7 8 9 10 Следующая ⇒