Компьютерная система (КС) – организационно-техническая система, представляющая собой совокупность взаимосвязанных компонентов технических средств обработки и передачи данных.
Безопасность информации – зашита информации от утечки, модификации и утраты (предмет защиты – информация)
Аутентификация – проверка подлинности субъекта или объекта.
Безопасность автоматизированной системы (АС) - защита системы информации о внешних несанкционированных преднамеренных и случайных воздействий на ее технические средства (предмет защиты – система обработки информации)
Верификация – проверка целостности и подлинности информации, программы, документа и т.д.
Идентификация – присвоение имени субъекту или объекту.
Аутентификация – проверка подлинности субъекта или объекта.
Комплекс средств автоматизации (КСА) – территориально сосредоточенная или распределенная или являющаяся элеиентом региональной или глобальной вычислительной сети (АСУ) автоматизированная система, состоящая из одного или несколько объединенных линий связи и общ ими задачами АРМ, РС, ИВК, ЛВС.
Корпоративная сеть – некоторое наложенное (виртуальное) пространство с ограниченным (защищенным) доступом к передаче, обработке и хранению информации, принадлежащей корпорации (организации), реализованное как на ресурсах сетей связи общего пользования, так и на выделенных каналах связи и средствах коммутации организации.
Локальная вычислительная сеть (ЛВС) – автоматизированная система, состоящая из группы рабочих станций и вспомогательных технических средств (серверов, общего принтера, коммуникатора и др.), соединенных между собой линиями связи и объединенных сетевым аппаратным и программным обеспечением в целях выполнения общей задачи на ограниченной территории.
Несанкционированный доступ к информации – действия нарушителя с целью похитить, разрушить, модифицировать информацию или ознакомиться с ее содержанием.
Нарушитель в автоматизированной системе – посторонний человек или законный пользователь, предпринимающий попытку несанкционированного доступа к информации в корыстных интересах, как самоутверждения или развлечения.
Модификация информации – несанкционированное изменение информации, корректное по форме, но отличное по смыслу.
Объект обработки и защиты информации – автоматизированная система обработки данных, содержащая информацию, подлежащую защите.
Предмет защиты в автоматизированной системе – информация, подлежащая защите по техническому заданию на автоматизированную систему.
Организационные мероприятия по защите информации – мероприятия с участием человека и административные меры, включаемые в должностную инструкцию пользователя.
Прочность защиты информации – вероятность непреодоления защиты нарушителем за установленный промежуток времени.
ПЭМИН – побочное электромагнитное излучение информации и наводки на цепях питания, заземления, вспомогательного и сервисного оборудования.
Рабочая станция (РС) – работающий в составе вычислительной сети или вычислительного комплекса стандартный персональный компьютер с сетевым аппаратным и программным обеспечением, а также пакетом прикладных программ.
Система защиты информации – система, встроенная в структуру автоматизированной системы, представляющая собой регулируемый механизм, состоящий из системы взаимосвязанных централизованно управляемых преград, перекрывающий возможный каналы несанкционированного доступа у информации, подлежащей защите от НСД.
Уровень безопасности информации – группа показателей прочности защиты, соответствующая определенному классу защиты.
Утечка информации – ознакомление постороженного лица с содержанием секретной информации.
Утрата информации – потеря, хищение, разрушение или неполучение переданных данных.
Функциональный Контроль – метод обеспечения контроля функционирования автоматизированной системы с целью обнаружения отказов, неисправностей, ошибок и сбоев аппаратуры, программного обеспечения и ошибок человека.
Целостность данных – неизменность данных.
Основная аксиома теории защиты информации – все вопросы безопасности информации описываются доступами субъектов к объектам.
Субъект – объект, который производит действия в компьютерной системе.
Уровень секретности – административная или законодательная мера, соответствующая мере ответственности лица за утечку или потерю конкретной секретной информации, регламентируемой специальном документом, с учетом государственных, военно-стратегических, коммерческих, служебных или частных интересов. Такой информацией может быть государственная, военная, коммерческая, служебная или личная тайна.
Атака – действия, предпринимаемые с целью обнаружения уязвимости КС и получения несанкционированного доступа к информации
Политика безопасности – это набор документированных норм, правил и практических приемов, регулирующих управление, защиту и распределение информации ограниченного доступа.
Дискретная модель разграничения доступа – способ разграничения доступа субъектов к объектам, при котором права доступа задаются некоторым перечнем прав доступа субъекта к объекту. При реализации представляют собой матрицу, строками которой являются субъекты, а столбцами – объекты. Элементы матрицы характеризуют набор прав доступа.
Полномочная (мандатная) модель разграничения доступа – способ разграничения доступа субъектов к объектам, при котором каждому объекту ставится в соответствие уровень секретности, а каждому субъекту – уровень доверия к нему. Субъект может получить доступ к объекту, если уровень доверия не меньше уровня секретности объекта.
Угроза информационной безопасности КС – возможность воздействовать на информацию, обрабатываемую КС, с целью ее искажения уничтожения, копирования или блокирования, а также возможность воздействовать на компоненты КС, приводящие к сбою их функционирования.
Компьютерной, или автоматизированной, системой обработки информации называют организационно-техническую систему, включающую в себя: технические средства вычислительной техники и связи; методы и алгоритмы обработки информации, реализованные в виде программных средств; информацию (файлы, базы данных) на различных носителях; обслуживающий персонал и пользователей, объединенных по организационно-структурному, тематическому, технологическому или другим признакам.
Предмет защиты.
Сведения, которыми человек обменивается через машину с другим человеком или с машиной и являются предметом защиты в автоматизированной системе. Однако защите подлежит не всякая информация, а только та, которая имеет цену.
Под информацией, применительно к задаче ее защиты, понимают сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. В зависимости от формы представления информация может быть разделена на речевую, телекоммуникационную и документированную.
Речевая информация возникает в ходе ведения в помещениях разговоров, работы систем связи, звукоусиления и звуковоспроизведения. Телекоммуникационная информация циркулирует в технических средствах обработки и хранения информации, а также в каналах связи при ее передаче. К документированной информации, или документам, относят информацию, представленную на материальных носителях вместе с идентифицирующими ее реквизитами.
К информационным процессам относят процессы сбора, обработки, накопления, хранения, поиска и распространения информации.
Под информационной системой понимают упорядоченную совокупность документов и массивов документов и информационных технологий, реализующих информационные процессы.
Информационными ресурсами называют документы и массивы документов, существующие отдельно или в составе информационных систем.
Процесс создания оптимальных условий для удовлетворения информационных потребностей граждан, организаций, общества и государства в целом называют информатизацией.
Информацию разделяют на открытую и ограниченного доступа. К информации ограниченного доступа относятся государственная тайна и конфиденциальная информация. В соответствии с российским законодательством к конфиденциальной относится следующая информация:
• служебная тайна (врачебная, адвокатская, тайна суда и следствия и т.п.);
• коммерческая тайна;
• персональные данные (сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицироватьего личность).
Информация является одним из объектов гражданских прав, в том числе и прав собственности, владения и пользования. Собственник информационных ресурсов, систем и технологий — это субъект с полномочиями владения, пользования и распоряжения указанными объектами. Владельцем информационных ресурсов, систем и технологий является субъект с полномочиями владения и пользования указанными объектами. Под пользователем информации будем понимать субъекта, обращающегося к информационной системе за получением необходимой ему информации и пользующегося ею.
К защищаемой относится информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Для принятия решения о защите информации необходимо определить ценность и важность информации.
Известно следующее разделение информации по степени важности:
- жизненно важная незаменимая информация, наличие которой необходимо для функционирования организации;
- важная информация – информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;
- полезная информация – информация, которую трудно восстановить, однако организация может функционировать и без нее;
- несущественная информация – информация, которая может быть больше не нужна организации.
Категория важности, как и ценность информации, обычно изменяется со временем и зависит от отношения к ней различных групп потребителей и потенциальных нарушителей.
Существуют определенные группы лиц, связанных с обработкой информации:
- держатель – организация или лицо (обладатель информации)
- источник – организация или лицо, поставляющая информацию
- нарушитель – отдельное лицо или организация, стремящийся получить, изменить или уничтожить информацию.
Отношение потребителей и нарушителей к значимости идентичной информации может быть различным. Например:
- важная оперативная информация, такая как список заказов на неделю и график производства, может иметь высокую ценность для держателя информации, тогда как для нарушителя она низкая;
- информация, используемая руководством для выработки решений, например о перспективах развития рынка, может быть значительно более ценной для нарушителя, чем для источника или ее держателя, который уже завершил анализ информации
Практика показала, что защищать необходимо не только секретную информацию. Несекретная информация, подвергнутая несанкционированным изменениям (например, модификация команд управления) может привести к утечке или потере связанной с ней секретной информации.
Суммарное количество или статистика несекретных данных в итоге могут оказаться секретными. Аналогичные сводные данные одного уровня секретности в целом могут являться информацией более высокого уровня секретности.
Деление информации в соответствии с критериями важности и секретности можно представить в виде пирамиды, состоящей из нескольких уровней по вертикали по категориям важности и секретности. Вершиной пирамиды является наиболее важная информация, а фундаментом – несекретная информация, связанная с обработкой более важной (секретной) информации. Каждый уровень пирамиды, поделенный на части по горизонтали, отражает принцип деления информации по функциональному признаку и полномочиям (п1, п2…пn) ее пользователей. (рисунок 1)
Рисунок 1. Модель предмета защиты
У информации в компьютерных системах есть свой жизненный цикл (рисунок 2)
Рисунок 2. Жизненный цикл информации
Полученная системой информация оценивается на достоверность и полезность. Часть информации уничтожается, а остальная подготавливается к хранению (систематизируется, преобразуется в удобную для хранения форму, сортируется по массивам хранения). Из хранилища выбирается нужная в данный момент информация, обрабатывается и используется в определенных целях. Полученные отчетные данные проходят тот же цикл. При выборке могут уничтожаться сведения, потерявшие цену из-за их старения. Время жизни информации определяется ее владельцем в процессе эксплуатации компьютерной системы в конкретных условиях.