1. Предмет и объект защиты информации
2. Краткий обзор современных методов защиты информации
2.1. Ограничение доступа
2.2. Контроль доступа к аппаратуре
2.3. Разграничение и контроль доступа к информации
2.4. Разделение привилегий на доступ
2.5. Идентификация и установление подлинности объекта
2.6. Идентификация и установление подлинности личности
3. Система опознания и разграничения доступа к информации (СОРДИ)
4.Защита информации от случайных угроз
В Федеральном законе РФ «Об информации, информатизации и защите информации», принятом 25.01.1995 г. Гос. Думой определено, что «информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления».
Информации присущи следующие свойства:
- информация доступна человеку, если она содержится на материальном носителе;
- информация имеет ценность;
Ценность информации определяется степенью ее полезности для владельца. Если доступ к информации ограничивается, то такая информация является конфиденциальной. Конфиденциальная информация может содержать государственную и коммерческую тайну. Коммерческую тайну могут содержать сведения, принадлежащие частному лицу, фирме, корпорации и т.п. Государственную тайну могут содержать сведения, принадлежащие государству (госучреждению).
|
|
Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью предприятия, разглашение которых (передача, утечка) могут нанести ущерб его интересам.
Сведения о о производстве и продукцииЗащита информации и прав субъектов в области информационных процессов и информатизации регулируется главой 5 Федерального закона РФ "Об информации, информатизации и защите информации", принятого Государственной Думой 25 января 1995 г.
Поскольку вопрос защиты государственной тайны хорошо рассмотрен и на этот счет имеется достаточно много материала (например, в журнале "Вопросы защиты информации" ВИМИ за 1995 г.), целесообразно уделить некоторое внимание вопросу коммерческой тайны.
Сведения, приведенные ниже в перечне и сгруппированные по тематическому принципу, могут быть коммерческой тайной только с учетом особенностей конкретного предприятия (организации).
Сведения о финансовой деятельности:
F прибыль, кредиты, товарооборот;
F финансовые отчеты и прогнозы;
F коммерческие замыслы;
F фонд заработной платы;
F стоимость основных и оборотных средств;
F кредитные условия платежа;
F банковские счета;
F плановые и отчетные калькуляции.
|
|
2. Информация о рынке:
F цены, скидки, условия договоров, спецификация продукции;
F объем, история, тенденции производства и прогноз для конкретного продукта;
F рыночная политика и планы;
F маркетинг и стратегия цен;
F отношения с потребителями и репутация;
F численность и размещение торговых агентов;
F каналы и методы сбыта;
F политика сбыта;
F программа рекламы.
3. Сведения о производстве и продукции:
F сведения о техническом уровне, технико-экономических характеристиках разрабатываемых изделий;
F сведения о планируемых сроках создания разрабатываемых изделий;
F сведения о применяемых и перспективных технологиях, технологических процессах, приемах и оборудовании;
F сведения о модификации и модернизации ранее известных технологий, процессов, оборудования; производственные мощности;
F состояние основных и оборотных фондов;
F организация производства;
F размещение и размер производственных помещений и складов;
F перспективные планы развития производства;
F технические спецификации существующей и перспективной продукции;
F схемы и чертежи отдельных узлов, готовых изделий, новых разработок;
F сведения о состоянии программного и компьютерного обеспечения;
F оценка качества и эффективности;
F номенклатура изделий;
F способ упаковки;
F доставка.
4. Сведения о научных разработках:
F новые технологические методы, новые технические, технологические и физические принципы, планируемые к использованию в продукции предприятия;
F программы НИР;
F новые алгоритмы;
F оригинальные программы.
5. Сведения о системе материально-технического обеспечения:
F сведения о составе торговых клиентов, представителей и посредников;
F потребности в сырье, материалах, комплектующих узлах и деталях, источники удовлетворения этих потребностей;
F транспортные и энергетические потребности.
6. Сведения о персонале предприятия:
F численность персонала предприятия;
F определение лиц, принимающих решение.
7. Сведения о принципах управления предприятием:
F сведения о применяемых и перспективных методах управления производством;
F сведения о фактах ведения переговоров, предметах и целях совещаний и заседаний органов управления;
F сведения о планах предприятия по расширению производства;
F условия продажи и слияния фирм.
8. Прочие сведения:
F важные элементы систем безопасности, кодов и процедур доступа к информационным сетям и центрам;
F принципы организации защиты коммерческой тайны.
Законом Российской Федерации от 2 декабря 1990 г. "О банках и банковской деятельности" введено понятие "банковской тайны".
Под банковской тайной (БТ) подразумевается обязанность кредитного учреждения сохранять тайну по операциям клиентов, ограждение банковских операций от ознакомления с ними посторонних лиц, прежде всего конкурентов того или иного клиента, тайну по операциям, счетам и вкладам своих клиентов и корреспондентов. Иначе банковскую тайну можно определить как личную тайну вкладчика банка.
В итоге коммерческая тайна банка включает коммерческую тайну самого банка и личную тайну вкладчика.
- ценность информации изменяется во времени;
Ценность информации, как известно, со временем уменьшается. Зависимость ценности информации от времени приближенно определяется по формуле:
C(t) = C0 e -2,3 t/t ,
где C0 – ценность информации в момент ее возникновения (получения);
t - время от момента возникновения информации до момента определения ее стоимости;
t - время от момента возникновения информации до момента ее устаревания.
4. информация покупается и продается;
Информация может быть получена тремя путями: проведением научных исследований, покупкой, противоправным добыванием информации.
|
|
5. сложность объективной оценки количества информации.
Существуют следующие подходы к измерению количества информации:
F Энтропийный подход – широко используется при определении количества информации, передаваемой по каналам связи. В теории информации количество информации оценивается мерой уменьшения у получателя неопределенности (энтропии) выбора или ожидания событий после получения информации. Этот подход абсолютно не отражает насколько полезна полученная информация, а позволяет определить лишь затраты на передачу сообщения.
F Тезаурусный подход – основан на рассмотрении информации как знаний, когда количество информации, получаемое человеком из сообщения, можно оценить степенью его знаний. Структурированные знания, представленные в виде понятий и отношений между ними, называются тезаурусом. Структура тезауруса иерархическая. Понятия и отношения, группируясь, образуют другие, более сложные понятия и отношения.
F Практический подход – измеряется «объемом информации» (бит/байт, страницы текста, длина магнитной ленты с видео/аудиозаписью и т.д.
В качестве предмета защиты рассматривается информация, хранящаяся, обрабатываемая и передаваемая в компьютерных системах.
Объектом защиты информации является компьютерная система (КС) или автоматизированная система обработки данных (АСОД). Компьютерная система - это комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации.
Понятие «объект защиты» или «объект» чаще трактуется в более широком смысле. Для сосредоточенных КС или элементов распределенных систем понятие «объект» включает в себя не только информационные ресурсы, аппаратные, программные средства, обслуживающий персонал, пользователей, но и помещения, здания, и даже прилегающую к зданиям территорию.
Одними из основных понятий теории защиты информации являются понятия «безопасность информации» и «защищенные КС». Безопасность (защищенность) информации в КС - это такое состояние всех компонент компьютерной системы, при котором обеспечивается защита информации от возможных угроз на требуемом уровне.
|
|
Информационная безопасность достигается проведением руководством соответствующего уровня политики информационной безопасности. Основным документом, на основе которого проводится политика информационной безопасности, является программа информационной безопасности. Этот документ разрабатывается и принимается как официальный руководящий документ высшими органами управления государством, ведомством, организацией. В документе приводятся цели политики информационной безопасности и основные направления решения задач защиты информации в КС, общие требования и принципы построения систем защиты информации в КС.
Под системой защиты информации в КС понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации в КС в соответствии с принятой политикой безопасности.