Курс лекций «Проблемы безопасности в информационных технологиях»


Составляющие информационной безопасности



жүктеу 4.51 Mb.
бет3/44
Дата13.09.2017
өлшемі4.51 Mb.
түріКурс лекций
1   2   3   4   5   6   7   8   9   ...   44

Составляющие информационной безопасности


Среди различных существующих моделей информационной безопасности самая распространённая базируется на обеспечении трех свойств информации: конфиденциальность, целостность и доступность.

Конфиденциальность информации означает, что доступ к ней имеет только строго ограниченный круг лиц. И не всегда этот круг лиц определяется владельцем информации, как иногда утверждается в некоторых источниках. В случае если доступ к информации получает неуполномоченное лицо, говорят об утрате конфиденциальности. Ещё одно, очень распространённое определение конфиденциальности – это защита от несанкционированного доступа к информации.

Для некоторых типов информации конфиденциальность будет важнейшим атрибутом (например, данные, представляющие гостайну, персональные данные, медицинские и страховые записи и т. п.). В некоторых случаях важно сохранить конфиденциальность сведений о конкретных лицах (например, сведения о клиентах банка, данные медицинских учреждений о состоянии здоровья их пациентов и т. д.).



Под целостностью информации подразумевается актуальность и непротиворечивость информации, её способность сохраняться в неискаженном виде. Неправомочные, и не санкционированные владельцем изменения информации (в результате ошибки оператора или преднамеренного действия неуполномоченного лица) приводят к потере целостности.

Целостность с некоторой долей условности можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)).

Целостность оказывается важнейшим аспектом информационной безопасности в тех случаях, когда информация служит непосредственным «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, информация о состояние семафоров на железной дороге, ход технологического процесса, управление воздушным движением, энергоснабжением и т.д. – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. К «несмертельным» примерам нарушения целостности можно отнести фальсификацию и/или искажение официальной информации, например, текста закона, выложенного на официальный сайт правительства.

Ещё один пример нарушения целостности, который можно отнести где-то даже к курьёзам: известен случай, когда злоумышленник, вторгшись в компьютерную систему ЦЕРН-а, изменил один знак в значении числа (видимо сочтя это изящной шуткой). В результате из-за последовавших ошибок в расчётах был сорван важный, сложный и долго готовившийся эксперимент, и в итоге ЦЕРН-у был нанесён многомиллионный ущерб. «Несмертельно», конечно, но далеко небезобидно.



Доступность информации определяется способностью информационной системы предоставлять своевременный доступ к информации субъектам, обладающим соответствующими полномочиями, т.е., возможностью за приемлемое время получить требуемую информационную услугу. Уничтожение или блокирование информации (в результате ошибки или преднамеренного действия) приводит к потере доступности.

Доступность – важнейший атрибут функционирования информационных систем, ориентированных на обслуживание клиентов (например, системы продажи железнодорожных или авиабилетов, распространения обновлений программного обеспечения). Ситуацию, когда уполномоченный субъект не может получить доступ к определенным услугам (обычно сетевым), называют отказом в обслуживании.

При анализе интересов различных категорий субъектов информационных отношений, часто оказывается, что для тех, кто реально использует ИС, на первом месте стоит доступность. Конечно же, при этом чрезвычайно важна и целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?

Ну и, наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных заведениях стараются не разглашать сведения о зарплате сотрудников) и у отдельных пользователей (например, пароли).

Кроме перечисленных выше трёх свойств – конфиденциальности, целостности и доступности – существуют ещё некоторые, не всегда обязательные категории модели безопасности:

Неотказуемость или аппелируемость (англ. non-repudiation) – способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты;

Аутентичность или подлинность (англ. authenticity) – свойство, гарантирующее, что субъект или ресурс идентичен заявленному;

Подотчётность (англ. accountability) – обеспечение идентификации субъекта доступа и регистрации его действий;

Достоверность (англ. reliability) – свойство соответствия предусмотренному поведению или результату.

Как учебная и научная дисциплина информационная безопасность исследует природу перечисленных свойств информации, изучает угрозы этим свойствам, а также методы и средства противодействия таким угрозам (защита информации).

Как прикладная дисциплина информационная безопасность занимается обеспечением этих ключевых свойств, в частности, путем разработки защищенных информационных систем.

В Государственном стандарте РФ приводится следующая рекомендация использования терминов «безопасность» и «безопасный». Слова «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий риска. Не следует употреблять слова «безопасность» и «безопасный» в качестве описательного прилагательного предмета, так как они при этом не передают никакой полезной информации. Рекомендуется всюду, где это возможно, эти слова заменять более существенными признаками предмета, например:



  • «защитный шлем» вместо «безопасный шлем»;

  • «нескользкое покрытие для пола» вместо «безопасное покрытие».

Для термина информационная безопасность следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия информационная безопасность. Например, точнее будет использовать аргумент «для предотвращения угроз на доступность объекта» (или «для сохранения целостности данных») вместо более общего и менее информативного аргумента «исходя из требований информационной безопасности».



Достарыңызбен бөлісу:
1   2   3   4   5   6   7   8   9   ...   44


©kzref.org 2019
әкімшілігінің қараңыз

    Басты бет