Значение информационной безопасности.

Автор работы: Пользователь скрыл имя, 17 Января 2012 в 21:40, реферат

Краткое описание

Информация - это одна из самых важных ценностей в современной жизни. С массовым внедрением компьютеров во все сферы деятельности человека объем информации, хранимой в электронном виде, вырос в тысячи раз. И теперь скопировать любой файл не составляет большого труда. А с появлением компьютерных сетей и Интернета даже отсутствие физического доступа к компьютеру перестало быть гарантией сохранности информации.
Говоря об информационной безопасности, в настоящее время имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.

Содержание работы

Введение
Глава 1 Теоретическое исследование
1.1 История и Государственная политика в области информационной безопасности
1.2 Проблемы информационной безопасности и борьба с терроризмом. Угрозы и их показатели.
Глава 2 Основные способы ограничения доступа к информации
2.1 Стандарты безопасности Гостехкомиссии. Стандарты Европы и США
2.2 Стеганография и ее применение в информационной безопасности
2.3 Классы информационной безопасности
Заключение
Список использованной литературы и источников

Содержимое работы - 1 файл

реферат 1.docx

— 55.37 Кб (Скачать файл)

     Основными функциями системы обеспечения  информационной безопасности Российской Федерации являются:

     • разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;

     • создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;

     • определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;

     • оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;

     • координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;

     • предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;

     • развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке;

     • проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации;

     • организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации;

     • защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;

     • обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;

     • осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях.

     Компетенция федеральных органов государственной  власти, органов государственной  власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения  информационной безопасности Российской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации.

     Таким образом, функции органов, координирующих деятельность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Российской Федерации.

     Глава 2 Основные способы ограничения доступа  к информации

     2.1  Стандарты безопасности Гостехкомиссии. Стандарты Европы и США

     РД  Гостехкомиссии России составляют основу нормативной базы в области защиты от НСД к информации в нашей стране. Наиболее значимые из них, определяющие критерии для оценки защищенности АС (СВТ), рассматриваются ниже.

     Критерии  для оценки механизмов защиты программно-технического уровня, используемые при анализе  защищенности АС и СВТ, выражены в  РД Гостехкомиссии РФ "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации".

     РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к  информации"

     РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к  информации" устанавливает классификацию  СВТ по уровню защищенности от НСД  к информации на базе перечня показателей  защищенности и совокупности описывающих  их требований. (Основным "источником вдохновения" при разработке этого  документа послужила знаменитая американская "Оранжевая книга"). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый  низкий класс седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

     Первая  группа содержит только один седьмой  класс, к которому относят все  СВТ, не удовлетворяющие требованиям  более высоких классов;

     Вторая  группа характеризуется дискреционной  защитой и содержит шестой и пятый  классы;

     Третья  группа характеризуется мандатной  защитой и содержит четвертый, третий и второй классы;

     Четвертая группа характеризуется верифицированной защитой содержит только первый класс.

     РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации"

     РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" устанавливает  классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

     • наличие в АС информации различного уровня конфиденциальности;

     • уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

     • режим обработки данных в АС - коллективный или индивидуальный.

     Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс  характеризуется определенной минимальной  совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки  информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

     РД "СВТ. Межсетевые экраны. Защита от НСД  к информации. Показатели защищенности от НСД к информации"

     При анализе системы защиты внешнего периметра корпоративной сети в  качестве основных критериев целесообразно  использовать РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область  функционирования МЭ. Всего выделяется пять показателей защищенности:

     • Управление доступом;

     • Идентификация и аутентификация;

     • Регистрация событий и оповещение;

     • Контроль целостности;

     • Восстановление работоспособности.

     На  основании показателей защищенности определяются следующие пять классов  защищенности МЭ:

     • Простейшие фильтрующие маршрутизаторы - 5 класс;

     • Пакетные фильтры сетевого уровня - 4 класс;

     • Простейшие МЭ прикладного уровня - 3 класс;

     • МЭ базового уровня - 2 класс;

     • Продвинутые МЭ - 1 класс.

     МЭ  первого класса защищенности могут  использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки "совершенно секретной" информации и т.п.

     Также к стандартам России в области  информационной безопасности относятся:

     • Гост 28147-89 – блочный шифр с 256-битным ключом;

     • Гост Р 34.11-94 –функция хэширования;

     • Гост Р 34.10-94 –алгоритм цифровой подписи.

     Существует  много защит информационной безопасности.

     Европейские стандарты безопасности

     ISO 15408: Common Criteria for Information Technology Security Evaluation

     Наиболее  полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном  стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.

     Общие критерии оценки безопасности информационных технологий (далее "Общие критерии") определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

     Хотя  применимость "Общих критериев" ограничивается механизмами безопасности программно-технического уровня, в  них содержится определенный набор  требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно  связаны с описываемыми функциями  безопасности.

     Первая  часть "Общих критериев" содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

     Требования  к функциональности средств защиты приводятся во второй части "Общих  критериев" и могут быть непосредственно  использованы при анализе защищенности для оценки полноты реализованных  в АС (СВТ) функций безопасности.

     Третья  часть "Общих критериев" содержит классы требований гарантированности  оценки, включая класс требований по анализу уязвимостей средств  и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

     • Наличие побочных каналов утечки информации;

     • Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние;

     • Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;

     • Наличие уязвимостей ("дыр") в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты.

     ISO 17799: Code of Practice for Information Security Management

     Наиболее  полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799.

     ISO 17799 содержит практические правила  по управлению информационной  безопасностью и может использоваться  в качестве критериев для оценки  механизмов безопасности организационного  уровня, включая административные, процедурные и физические меры  защиты.

     Практические  правила разбиты на следующие 10 разделов:

     • Политика безопасности;

     • Организация защиты;

     • Классификация ресурсов и их контроль;

     • Безопасность персонала;

     • Физическая безопасность;

     • Администрирование компьютерных систем и вычислительных сетей;

     • Управление доступом;

Информация о работе Значение информационной безопасности.