Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Звіт по проекту "Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в аіс нану" Частина Опис процесу діяльності нан україни та технології безпеки Київ-2004 зміст

Звіт по проекту "Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в аіс нану" Частина Опис процесу діяльності нан україни та технології безпеки Київ-2004 зміст




Сторінка6/18
Дата конвертації12.05.2017
Розмір1.43 Mb.
ТипЗвіт
1   2   3   4   5   6   7   8   9   ...   18

3 Проблеми безпеки корпоративних інформаційних систем

3.1 Основні поняття інформаційної безпеки


Під інформаційною безпекою розуміють стан захищеності оброблюваних даних та даних що зберігаються та передаються від незаконного ознайомлення, перетворення і знищення, а також стан захищеності інформаційних ресурсів від дій, спрямованих на порушення їх працездатності.

Природа цих дій може бути найрізноманітнішою. Це і спроби проникнення зловмисників, і помилки персоналу, і вихід з ладу апаратних і програмних засобів, стихійні лиха (землетрус, ураган, пожежа і т.п.).

Інформаційна безпека комп'ютерних систем і мереж досягається ухваленням комплексу заходів по забезпеченню конфіденційності, цілісності, достовірності, юридичної значущості інформації, оперативності доступу до неї, а також по забезпеченню цілісності і доступності інформаційних ресурсів і компонентів системи або мережі.

Перераховані вище базові властивості інформації потребують більш повного тлумачення.



Конфіденційність інформації – це її властивість бути доступною тільки обмеженому колу користувачів інформаційної системи, в якій циркулює дана інформація. По суті, конфіденційність інформації – це її властивість бути відомою тільки допущеним суб'єктам системи і тим хто пройшов перевірку (користувачам, процесам, програмам). Для решти суб'єктів системи інформація повинна бути невідомою.

Під цілісністю інформації розуміється її властивість зберігати свою структуру та/або зміст в процесі передачі і зберігання. Цілісність інформації забезпечується в тому випадку, якщо дані в системі не відрізняються в семантичному відношенні від даних в початкових документах, тобто якщо не відбулося їх випадкового або навмисного спотворення або руйнування.

Цілісність інформації (англ. data integrity, information integrity) - термін в комп'ютерних науках (криптографія, теорія електричного зв'язку, теорія інформації, безпека), який вказує, що дані не були змінені при виконанні будь-якої операції над ними, будь то передача, зберігання і відображення.



Достовірність інформації – властивість, яка виражається в строгій приналежності інформації суб'єкту, що є її джерелом, або тому суб'єкту, від якого вона прийнята.

Юридична значущість інформації означає, що документ, який є носієм інформації, володіє юридичною силою.

Під доступом до інформації розуміється ознайомлення з інформацією і її обробка, зокрема, копіювання, модифікація або знищення. Розрізняють санкціонований і несанкціонований доступ до інформації.



Санкціонований доступ до інформації не порушує встановлені правила розмежування доступу.

Несанкціонований доступ (НСД) характеризується порушенням встановлених правил розмежування доступу (ПРД). Особа або процес, що здійснює несанкціонований доступ до інформації, є порушниками таких ПРД. Несанкціонований доступ – найпоширеніший вид комп'ютерних порушень.

Правила розмежування доступу служать для регламентації права доступу до компонентів системи.

Оперативність доступу до інформації – це здатність інформації або деякого інформаційного ресурсу бути доступними кінцевому користувачу відповідно до його оперативних потреб.

Цілісність ресурсу або компоненту системи – це його властивість бути незмінним в семантичному значенні при функціонуванні системи в умовах випадкових або навмисних спотворень або руйнуючих дій.

Доступність ресурсу або компоненту системи – це його властивість бути доступним законним користувачам системи.

З допуском до інформації і ресурсів системи зв'язана група таких понять, як ідентифікація, автентифікація, авторизація.

З кожним об'єктом системи (мережі) зв'язують деяку інформацію – число, рядок символів, – і ідентифікуючу об'єкт. Ця інформація є ідентифікатором об'єкту системи (мережі). Об'єкт, що має зареєстрований ідентифікатор, вважається законним (легальним).

Ідентифікація об'єкту – це процедура розпізнавання об'єкту по його ідентифікатору. Виконується при спробі об'єкту увійти до системи (мережі).

Наступний етап взаємодії системи з об'єктом – автентифікація.



Автентифікація об'єкту – це перевірка достовірності об'єкту з даним ідентифікатором. Процедура автентифікації встановлює, чи є об'єкт саме тим, ким він себе оголосив.

Після ідентифікації і автентифікації об'єкту виконують авторизацію.



Авторизація об'єкту – це процедура надання законному об'єкту, що успішно пройшов ідентифікацію і автентифікацію, відповідних повноважень і доступних ресурсів системи (мережі).

Під загрозою безпеки для системи (мережі) розуміються можливі дії, які прямо або побічно можуть завдати збитку її безпеки.



Збиток безпеки має на увазі порушення стану захищеності інформації, що міститься і обробляється в системі (мережі).

З поняттям загрози безпеки тісно зв'язане поняття уразливості комп'ютерних систем системи (мережі).



Уразливість системи (мережі) – це будь-яка характеристика комп'ютерних систем, використовування якої може привести до реалізації загрози.

Атака на комп'ютерну систему (мережу) – це дія, що робиться зловмисником з метою пошуку і використовування тієї або іншої уразливості системи. Таким чином, атака – це реалізація загрози безпеки.

Протидія загрозам безпеки – мета, яку покликані виконати засоби захисту комп'ютерних систем і мереж.



Безпечна або захищена система – це система із засобами захисту, які успішно і ефективно протистоять загрозам безпеки.

Комплекс засобів захисту (КЗЗ) є сукупністю програмних і технічних засобів мережі. КЗЗ створюється і підтримується відповідно до прийнятої в даній організації політики забезпечення інформаційної безпеки системи.

Політика безпеки (ПБ) – це сукупність норм, правил і практичних рекомендацій, що регламентують роботу засобів захисту комп'ютерних систем (мережі) від заданої множині загроз безпеки.
1   2   3   4   5   6   7   8   9   ...   18