Информация обладает свойством делимости, и ее можно измерять количественно. Компьютерная информация, независимо от ее содержания, представлена в виде многоразрядных двоичных чисел. Закономерно возникает вопрос: все ли частички информации и значащие разряды одинаково ценны?
Если мы имеем дело с закодированным звуковым сигналом или рисунком, сделанным с высокой разрешающей способностью и большим числом градаций цветопередачи, то младшие разряды, не различаемые человеческими органами чувств, можно считать информационным шумом.
Маскирование ценной и защищаемой информации в информационном шуме является одним из видов информационного сокрытия и нашло применение в методах стеганографии.
Если информационный нарушитель получает доступ к электронным финансовым счетам, то, изменив значение всего одного бита, он может существенно изменить сумму счета и присвоить образовавшуюся разность.
Двоичные разряды, представляющие символ в той или иной кодировке, исполняемый код, фрагмент архивированного документа одинаково значимы, и достаточно изменить один бит в исполняемой программе, чтобы «завесить» компьютер с теми или иными последствиями. Установлено, что вероятность искажения одиноч-ного бита при передаче, считывании или записи компьютерной ин-формации не должна превосходить0,00000001.
Ценность информации
Количество считанной или переданной информации практиче-ски не связано с реальной ее ценностью.
Ценность вовремя сказанного слова или поданного сигнала опасности порой равнозначна ценности многих человеческих жизней. В то же время можно передавать по каналам связи мегабайты пустой информации– от этого ее ценность не повысится.
Носители– это материальные объекты, обеспечивающие за-пись, хранение и передачу информации в пространстве и времени.
В число наиболее часто используемых носителей входят:
─ вещественные носители(бумага, фото- и кинопленка, машинные
носители информации, материалы и образцы технологии, отходы информационного производства);
─ электрические сигналы в виде напряжений и токов;
─ изменяющиеся во времени электромагнитные и акустические поля.
Носитель в первую очередь используется для хранения и передачи семантической информации.
Говоря о защите информации, мы в первую очередь имеем в виду именно семантическую информацию. Именно эта информация составляет суть большинства человеческих тайн, обеспечивает пре-успевание в бизнесе, позволяет манипулировать людьми.
Информацию представляет собой весьма сложный для исследования объект.
Для рассмотрения ее характеристик, имеющих отношение к
безопасности, информацию желательно представить в виде не-скольких уровней, к которым относятся:
─ уровень материальных носителей Вещественные носители;
─ уровень средств взаимодействия с носителями;
─ логический уровень;
─ синтаксический уровень;
─ семантический уровень;
─ прагматический уровень.
Отличительное свойство информации– возможность ее копи-рования, размножения без изменения оригинала.
Информация не существует вне материальных носителей. Первое правило информационной защиты можно сформулировать так: «Защита информации– это защита ее носителей»
ФЗ «О персональных данных». операторов по обработке персональных данных
Обладание теми или иными компонентами вещного права на информацию разделяет людей на три категории: собственников информации, владельцев и пользователей.
Собственник информации – это субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения.
Владелец информации обладает правами ее владения и использования.
Пользователь имеет право только пользоваться информацией с разрешения ее собственника или владельца.
В то же время в ФЗ «Об информации, информационных технологиях и о защите информации» упоминается только обладатель информации: физическое или юридическое лицо, Российская Федерация и ее субъекты, муниципальное образование, которые вправе полномочно распоряжаться созданной, законно полученной или приобретенной информацией.
Нельзя причислить ни к одной из указанных выше категорий персонал больницы или поликлиники, которому доступны истории болезней пациентов, сотрудника органов внутренних дел, ведущего электронную базу данных владельцев автотранспорта, и др.
№ 152-ФЗ «О персональных данных» —федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных
В ФЗ «О персональных данных» такие лица обобщенно причислены к категории операторов по обработке персональных данных. Особые права, но не по распоряжению, а по защите информации возлагаются на администратора безопасности компьютерной сети.
Оператор персональных данных (согласно закону РФ «О персональных данных») — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
ФЗ «О государственной тайне» относит к этому виду информации «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации».
Основная угроза – несанкционированное распространение защищаемой информации, которое можно толковать как любую форму передачи секретных сведений произвольному числу лиц, не являющихся ее собственниками.
3.Политика безопасности . Определение , примеры. Пример неправомочности переноса политики безопасности "исторической" работы с документами в электронные документы
Основой для организации процесса защиты информации является политика безопасности. Политика безопасности вычислительной системы организации необходимо сформулировать для того, чтобы определить, от каких угроз и каким именно путем защищается информация в ВС.
Политика безопасности – набор правовых, организационных и технических мер по защите информации , принятый в конкретной организации. Политика безопасности должна быть оформлена в виде специального документа ( или комплекта документов) , с которым должен быть ознакомлены все пользователи системы.
С одной стороны ,политика безопасности информирует пользователей о том, как правильно эксплуатировать ВС, а с другой – определяет множество механизмов безопасности , которые должны существовать в ВС.
Некоторые политики безопасности применяются ко всем пользователям ( нормативная политика безопасности, основанная на степени доверия пользователя и классификации данных), тогда как другие притнимают во внимание только особые приложения или тип информации (политика безопасности , основанная на модели Кларка-Вильсона).
Политика безопасности ВС может состоять из множества частных политик , направленных на конкретные аспекты ЗИ. Например можно рассматривать общую политику безопасности как состоящую из 3-х частей :
1) Политику безопасности на конкретном рабочем месте ,
2)Политику безопасности в локальной сети
3) Политику безопасности в Интернет
Достоинства неформальных методов - простота и понятность, быстрота составления.
Недостатками неформальных методов являются - возможная неполнота описания или неполный перечень всех условий , невозможность «всесторонней» проверки, возможная противоречивость требований друг другу, неформальные требования «всем все
понимать одинаково», чего не всегда легко добиться
На практике в системах безопасности ОС и СУБД системах защиты используются всего три модели безопасности или их комбинация . Это дискреционная модель , мандатная модель , ролевая модель. Поэтому далее рассматриваются только эти три модели.
Билет №4