Содержание
По курсу
КОНСПЕКТ ЛЕКЦИЙ
Факультет «Информационных систем, технологий и автоматизации
В строительстве и недвижимости
Институт «Экономики, управления и информационных систем
Федеральное агентство по образованию
------------------------------------------------------------------------------------------------------
Государственное образовательное учреждение высшего профессионального образования
Московский государственный строительный университет
в строительстве»
Кафедра «САПР в строительстве»
«Методы и средства защиты компьютерной информации»
для студентов специальности 230104
«Системы автоматизированного проектирования»
Автор доц. Баранова О.М.
Лекция 1. Понятие информационной безопасности......................................................... 4
Лекция 2. Комплексный поиск возможных методов доступа......................................... 9
Лекция 3. Законодательный уровень информационной безопасности......................... 15
Лекция 4.1 Стандарты и спецификации в области информационной безопасности.. 24
|
|
Лекция 4.2 Руководящие документы Гостехкомиссии России...................................... 28
Лекция 5. Административный уровень информационной безопасности.................... 35
Лекция 6. Управление рисками......................................................................................... 40
Лекция 7. Процедурный уровень информационной безопасности............................... 45
Лекция 8. Основные программно-технические меры обеспечения информационной безопасности................................................................................................................................................ 53
Лекция 9 Идентификация и аутентификация, управление доступом........................... 59
Лекция 10. Экранирование, анализ защищенности....................................................... 67
Лекция 11. Туннелирование и управление...................................................................... 71
Лекция 12. Заключение...................................................................................................... 76
Список литературы................................................................................................................... 83
Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
В Законе РФ "Об участии в международном информационном обмене" информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
|
|
В данном курсе наше внимание будет сосредоточено на хранении, обработке и передаче информации вне зависимости от того, на каком языке (русском или каком-либо ином) она закодирована, кто или что является ее источником, и какое психологическое воздействие она оказывает на людей.
Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктурыот случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанестинеприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации иподдерживающей инфраструктуры.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
Из этого положения можно вывести два важных следствия:
1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – "да нет у нас никаких секретов, лишь бы все работало".
2. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
Возвращаясь к вопросам терминологии, отметим, что термин "компьютерная безопасность" (как эквивалент или заменитель ИБ) представляется нам слишком узким. Компьютеры – только одна из составляющих информационных систем, и, хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).
Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.
Обратим внимание, что в определении ИБ перед существительным "ущерб" стоит прилагательное "неприемлемый". Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.
|
|