Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах

РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання

ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"

ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ

Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків

Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні

Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах

Гендерна антидискримінаційна експертиза може зробити нас моральними рабами

ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ

ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів


Контакти
 


Тлумачний словник
Авто
Автоматизація
Архітектура
Астрономія
Аудит
Біологія
Будівництво
Бухгалтерія
Винахідництво
Виробництво
Військова справа
Генетика
Географія
Геологія
Господарство
Держава
Дім
Екологія
Економетрика
Економіка
Електроніка
Журналістика та ЗМІ
Зв'язок
Іноземні мови
Інформатика
Історія
Комп'ютери
Креслення
Кулінарія
Культура
Лексикологія
Література
Логіка
Маркетинг
Математика
Машинобудування
Медицина
Менеджмент
Метали і Зварювання
Механіка
Мистецтво
Музика
Населення
Освіта
Охорона безпеки життя
Охорона Праці
Педагогіка
Політика
Право
Програмування
Промисловість
Психологія
Радіо
Регилия
Соціологія
Спорт
Стандартизація
Технології
Торгівля
Туризм
Фізика
Фізіологія
Філософія
Фінанси
Хімія
Юриспунденкция






Стандарти захисту інформації

Заходи і методи забезпечення безпеки інформації в мережі Internet. Засоби захисту інформації.

Формування режиму інформаційної безпеки – це комплексна проблема. Заходи формування режиму інформаційної безпеки мають кілька рівнів: законодавчий рівень - закони, нормативні акти, стандарти тощо; адміністративний рівеньдії загального характеру, що виконуються керівництвом організації; процедурний рівень - конкретні заходи безпеки, пов’язані з людьми; технічний рівеньконкретні технічні засоби, апаратура, програмні продукти.

Найбільша питома вага форм захисту комп’ютерної інформації припадає саме на правові засоби. Сьогодні спеціальні закони, спрямовані на захист секретної інформації, прийняті в Австрії, Канаді, Данії, ФРН, Франції, Ізраїлі, Великобританії тощо. У деяких федеративних країнах, таких, як США, крім федеративних статутів з обробки інформації, існують аналогічні закони в різних штатах. Державна політика забезпечення інформаційної безпеки визначена в Законі України «Про основи державної політики в сфері науки і науково-технічної діяльності», прийнятому 13 грудня 1991 року.

Для узгодження всіх підходів до проблеми створення захищених систем розроблені стандарти інформаційної безпеки - документи, які регламентують основні поняття та концепції інформаційної безпеки на державному та міждержавному рівнях, визначають поняття “захищена система” шляхом стандартизації вимог та критеріїв безпеки, які формують шкалу оцінки ступеня захищеності ІС. Саме наявність таких стандартів дозволяє узгоджувати потреби користувачів та замовників ІСз якісними характеристиками ПЗ, що створюють розробники ІС.

Захищена система- це система, яка відповідає конкретному стандарту інформаційної безпеки.

Будь-який захист починається з визначення того, що потрібно захищати, від яких загроз і якими засобами. Тому захист інформації починається із встановлення співвідношень між трьома фундаментальними властивостями інформації - конфіденційність (запобігання несанкціонованому читанню або отриманню деяких відомостей про інформацію); цілісністю(запобігання несанкціонованій модифікації або руйнуванню інформації) й доступністю(забезпечення доступності даних для авторизованих користувачів) - для конкретної ПрО. Саме ці співвідношення і є змістом політики безпеки інформації.

Дотримання ПБ має забезпечити той компроміс, що обрали власники цінної інформації для її захисту. Після прийняття такого рішення можна будувати захист, тобто систему підтримки виконання правил ПБ. Таким чином, побудована система захисту інформації задовільна, якщо вона надійно підтримує виконання правил ПБ.

Таке визначення проблеми захищеності інформації дозволяє залучити точні математичні методи для доведення того, що дана система у заданих умовах підтримує ПБ. Це дозволяє говорити про “гарантовано захищену систему”, в якій при дотримуванні початкових умов виконуються усі правила ПБ. Термін “гарантований захист” вперше зустрічається у стандарті міністерства оборони США на вимоги до захищених систем - "Оранжевій книзі" (OK). ОК була розроблена у 1983 р. і прийнята стандартом у 1985 р. Міністерством оборони США для визначення вимог безпеки до апаратного, програмного і спеціального забезпечення комп’ютерних систем та створення відповідних методологій аналізу ПБ, що реалізувалася в комп’ютерних системах військового призначення. OK надає виробникам стандарт, що встановлює, якими засобами безпеки варто оснащувати свої продукти, щоб вони задовольняли вимоги гарантованої захищеності (мається на увазі, насамперед, захист від розкриття даних) для використання при обробці цінної інформації.

Комп’ютерна система безпечна, якщо вона забезпечує контроль за доступом до інформації так, що тільки уповноважені особи або процеси, що функціонують від їхнього імені, мають право читати, писати, створювати або знищувати інформацію.

Політика безпеки містить норми, правила і практичні прийоми, що регулюють управління, захист і розподіл цінної інформації. ПБ надає комплекс поглядів, основних принципів, практичних рекомендацій і вимог, що закладаються в основу комплексної системи захисту інформації.

Рівні ПБ:

· політичний (розроблення офіційної політики захисту інформації);

· аналітичний (створення процедур для попередження порушень);

· профілактичний (типи процедур, послуги і функції інформаційної безпеки);

· управлінський (реакція на порушення інформаційної безпеки);

· технологічний (розроблення заходів, що застосовуються після порушень).

Створення політики захисту означає розроблення плану вирішення питань, що пов’язані з комп’ютерним захистом. Один з найбільш загальних підходів до рішення цієї проблеми полягає в формулюванні відповідей на питання:

· Від кого і від чого потрібно захищати інформацію?

· Які ймовірні загрози захищеній інформації?

· Які рішення щодо забезпечення захисту існують?

· Чи можуть ці рішення забезпечити достатній захист?

· Які заходи для реалізації обраних рішень найбільш економічні?

· Як постійно стежити за процесом захисту і покращувати його, якщо знайдене слабке місце?

Ідентифікація- розпізнавання імені об'єкта. Об'єкт, що ідентифікується, має бути однозначно розпізнаваним.

Аутентифікація- це підтвердження того, що пред'явлене ім'я відповідає об'єкту.

Аудит- реєстрація подій, що дозволяє відновити і довести факт здійснення цих подій. Крім того, аудит передбачає аналіз тієї інформації, що реєструється.

Гарантованість– міра довіри, яка має бути надана архітектурі та реалізації ІС.

Політика безпеки буває дискреційна, мандатна та рольова. Дискреційна політика має властивості - всі суб’єкти мають бути ідентифіковані і права доступу суб’єктів до об’єкта визначаються за певними правилами. Мандатна політика має властивості - всі суб’єкти мають бути ідентифіковані, задано набір міток секретності, кожному об’єкту і суб’єкту присвоєні мітки секретності, суб’єкти отримують доступ відповідно мітки секретності. Рольова політика визначає права доступу користувача відповідно його ролі. Виділяють наступні підходи в організації захисту даних: фізичні, законодавчі, управління доступом, криптографічне закриття.

 

Читайте також:

  1. Аварійно-рятувальні підрозділи Оперативно-рятувальної служби цивільного захисту, їх призначення і склад.
  2. Авілум – “син чоловіка” – повноправна людина, охороні його життя, здоров’я, захисту його майнових інтересів присвячена значна частина законника.
  3. Адміністративно-правовий спосіб захисту прав
  4. Адміністративно-правовий спосіб захисту прав
  5. Акустичні засоби|кошти| захисту
  6. Алфавітний підхід до вимірювання кількості інформації.
  7. Аналіз зовнішньої інформації
  8. Аналіз інформації та постановка задачі дослідження
  9. Аналіз та інтерпретація інформації
  10. Аналіз та узагальнення отриманої інформації.
  11. Аналіз якості виробничої інформації
  12. Аналітико-синтетична переробка інформації



Переглядів: 2008

<== попередня сторінка | наступна сторінка ==>
Комп’ютерні злочини | Методи захисту

Не знайшли потрібну інформацію? Скористайтесь пошуком google:
 

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.005 сек.