Лекция №3. Терминологические основы информационной безопасности. Основные

лекции:   3.1 Понятие информации, информатизации, информационных систем и смежных с ними:

информационная безопасность, информационная война, информационная агрессия, информационное оружие, информационные процессы, информационная система, информационная сфера. 3.2 Защита информации, тайна, средства защиты информации, угрозы - определения, сопоставление. Понятия автора и собственника информации, взаимодействие субъектов в информационном обмене.

процессах независимо от формы их представления". «информация» «одно из наиболее

общих понятий науки, обозначающее некоторые сведения, совокупность каких-либо данных, знаний и т. п.» [6]. При этом отмечается, что «само понятие «информация» обычно предполагает наличие по крайней мере трех объектов: источника информации, потребителя информации и передающей среды. Информация не может быть передана, принята или хранима в чистом виде. Носителем информации является сообщение . (Слайд 3.1)  

несколько основных функций [8] :
-познание окружающего мира (гносеологическая), включающее формирование

представлений о структуре окружающей среды, накопление знаний о закономерностях изменения объектов среды и протекающих в ней процессов; оценку состояния этих процессов;
-социальная коммуникация (коммуникативная), включающая формирование представлений о способах удовлетворения базовых и вторичных потребностей, формирование представлений о правилах поведения в обществе, взаимодействия с другими людьми, о нравственных ценностях, формирование личностных шкал ценности материальных и духовных благ, которые могут быть использованы для удовлетворения его потребностей, а также допустимости использования для овладения ими известных средств и т. д.;
-удовлетворение потребностей (прагматическая), включающее целеполагание, т. е. формирование, оценку и выбор целей, достижение которых способствует удовлетворению базовых и вторичных потребностей человека, и целедостижение как управление своей деятельностью по достижению выбранных целей.
(слайд 3.2)

некоторой «базы знаний», в которой располагаются образы, возникающие в результате

осознания полученных сообщений, ощущения, вызванные этими образами, эмоциональные и прагматические оценки этих образов. Между «объектами» «базы» могут быть установлены определенные ассоциативные отношения. Совокупность сохраняющихся у человека образов, ощущений, оценок с установившимися ассоциативными отношениями между ними образует знания. (слайд 3.3)

:
-идеальностью - существованием только в сознании человека и вследствие этого

невозможностью восприятия органами чувств;
-субъективностью - зависимостью количества и ценности сведений от информационной модели субъекта, получающего сведения;
-информационной неуничтожаемостью - невозможностью уничтожения сведений другими сведениями, полученными человеком;
-динамичностью - возможностью изменения ценности имеющихся сведений и знаний под воздействием времени, других поступающих сведений;
-накапливаемостъю - возможностью практически неограниченного накопления сведений в информационной модели человека. (слайд 3.4)

информации и выраженный с помощью последовательности условных физических символов (алфавита),

образующих некоторую упорядоченную совокупность» [7] .

Информация в форме сообщения появляется как реализация способности человека описывать сведения на некотором языке, представляющем собой совокупность лексики и грамматики.

Исходя из этого, сообщение может быть представлено как совокупность набора передаваемых сведений и порядка (алгоритмов) их кодирования в набор знаков сообщения и декодирования в сведения. Без алгоритма кодирования сообщение превращается просто в набор знаков.

Человек как источник информации может обмениваться с технической системой сообщениями только в том случае, если в ней заложен определенный алгоритм декодирования передаваемого набора знаков, их последующей обработки, а также алгоритм кодирования для передачи человеку-потребителю ответного сообщения.
Преобразование информации из сведений в сообщения и из сообщений в сведения составляет существо общего закона обращения информации. (слайд 3.5)

следует отнести :
-материальность - способность воздействовать на органы чувств;
-измеримость -

возможность количественной оценки параметров сообщения (количество знаков, составляющих сообщение);
-сложность - наличие набора знаков и алгоритмов их кодирования и декодирования;
-проблемная ориентированность - содержание сведений, относящихся к одной из задач человеческой деятельности.

Информация в форме сообщений наиболее часто исследуется с технической, семантической и прагматической точек зрения.
С технической точки зрения сообщения представляют интерес как объект передачи по каналам связи. При этом изучаются вопросы надежности, устойчивости, оперативности, дальности, помехозащищенности передачи сообщений, в некоторых случаях - скрытности передачи, а также принципы и методы проектирования систем передачи сообщений, средств их защиты от несанкционированного доступа. (слайд 3.6)

и прагматической точек зрения.
+ С технической точки зрения сообщения

представляют интерес как объект передачи по каналам связи. При этом изучаются вопросы надежности, устойчивости, оперативности, дальности, помехозащищенности передачи сообщений, в некоторых случаях - скрытности передачи, а также принципы и методы проектирования систем передачи сообщений, средств их защиты от несанкционированного доступа.
+ С семантической точки зрения сообщения представляют интерес как средство передачи сведений, т. е. совокупность набора знаков, полученного в результате кодирования и требующего декодирования для использования в практической деятельности. Данные свойства сообщения изучаются, например, в криптографии, искусствоведении и филологии.
+ С прагматической точки зрения сообщения исследуются как средство воздействия на информационную модель человека, детерминирования его поведения. Учитывая, что сообщение служит средством передачи сведений, ему могут быть приписаны те или иные свойства данных сведений, после чего оно, сообщение, может рассматриваться в качестве некоторого их аналога, обладающего ценностью, достоверностью, своевременностью и т. д. С этой точки зрения информация изучается в педагогике, юриспруденции, социологии, политологии, технических науках. (слайд 3.7)

циркулирующая в живой природе и формирующая ее структуры;
-социальная, передающаяся в

человеческом обществе в процессе коммуникаций между людьми.
 
Можно выделить классы информационных структур:
-естественно возникшие информационные структуры неорганической природы;
-естественно возникшие информационные структуры органической природы;
-искусственные информационные структуры созданные целенаправленной деятельностью человека (вторая природа или ноосфера). (Ноос - разум (др. греч.))

Под информатизацией понимается организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов. (слайд 3.7)

для удовлетворения информационных потребностей и реализации прав граждан, органов государственной

власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов. (слайд 3.8)

(слайд 3.9)

необходимо иметь в виду три компонента:
человека (потребителя информации),

который формулирует свои задачи;
информационный фонд (информационный ресурс), в котором сосредоточена необходимая человеку информация,
и соответствующее устройство, которое является посредником между потребителем и информационным массивом. Это устройство и называется информационной системой. (слайд 3.10)

Рис. 3.2. Структура информационной системы

Информационная система - это организационно упорядоченная совокупность информационных ресурсов, технических средств, технологий, реализующих информационные процессы в традиционном или автоматизированном режиме для удовлетворения информационных потребностей пользователей. (слайд 3.11)

называют элементы экономического потенциала, которыми располагает общество и которые при

необходимости могут быть использованы для достижения конкретных целей хозяйственного и социального развития.
В последние годы появилось и все больше осознается понятие «информационные ресурсы». Под информационными ресурсами понимаются документы и массивы документов в разных формах и видах (библиотеки, архивы, фонды, базы данных, базы знаний, а равно и другие формы организации, хранения и поиска информации), содержащие информацию по всем направлениям жизнедеятельности общества [9]. (слайд 3.12)

процессами понимается совокупность взаимосвязанных и взаимообусловленных процессов выявления, анализа, ввода

и отбора информации, выдачи с помощью различных средств ее потребителю для принятия управленческого решения.
Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений [13].
(слайд 3.13)

в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и

государства [13].

Выделяют 4 компонента, в той или иной мере присутствующие во всех подходах к понятию информационной безопасности:
+ обеспечение для субъекта доступа к достаточно полной и достоверной информации, необходимой для реализации его прав и обязанностей в обществе;
+ защиту субъекта от деструктивных информационных воздействий;
+ защиту от несанкционированного воздействия на информацию, принадлежащую субъекту;
+ защиту информационной инфраструктуры группы субъектов (организации, государства...) от разрушительных воздействий.
(слайд 3.14)

и ее функций; защите своей информации против подобных действий; использование

собственных военных информационных функций.

Составные части информационной войны:
психологические операции – использование информации для воздействия на аргументацию противника;
электронная война – не позволяет врагу получить точную информацию;
дезинформация – предоставляет врагу ложную информацию о наших силах и намереньях;
физическое разрушение – может быть частью информационной войны, если имеет целью воздействие на элементы информационных систем;
прямые информационные атаки – прямое искажение информации без видимого изменения сущности, в которой она находится.
(слайд 3.15)

защиты;
ограничения допуска законных пользователей;
дезорганизация работы технических средств, компьютерных систем.









Рис. 3.4.

Классификация информационного оружия
(слайд 3.16)

(слайд 3.17)

данных или программ) могут быть подразделены на два крупных класса:

физический саботаж (фальсификация данных, изменение логики обработки или защиты);

информационные инфекции (троянский конь, логическая бомба, черви и вирусы), являющиеся программами, далекими от того, чтобы принести полезные результаты пользователю; они предназначены для того, чтобы расстроить, изменить или разрушить полностью или частично элементы, обеспечивающие нормальное функционирование системы.
(слайд 3.18)

искажения или уничтожения информации, реже с их помощью совершается кража

или мошенничество.
Троянский конь - это часть программы, которая при обращении способна, например, вмешаться в инструкцию передачи денежных средств или в движение акций, а затем уничтожить все улики.
Червь представляет собой паразитный процесс, который потребляет (истощает) ресурсы системы.
Вирус представляет собой программу, которая обладает способностью размножаться и самовосстанавливаться. (слайд 3.19)

которых являются исключительно загрузочные секторы (BOOT-секторы).

Почтовые вирусы, объектом заражения

которых являются электронные сообщения.

Программные вирусы, заражающие различные программы функционального назначения. Программные вирусы можно подразделить на две категории в соответствии с воздействием, которое они оказывают на информационные программы.


Эта классификация позволяет разработать процедуры обеспечения безопасности применительно к каждому виду вирусов. (слайд 3.20)

существующих или введении новых законов, постановлений, инструкций, регулирующих юридических ответственность

должностных лиц - пользователей и обслуживающего персонала – за утечку, потерю или модификацию доверенной им информации, подлежащей защите, в том числе и ответственность посторонних лиц за попытку преднамеренного несанкционированного доступа к информации и аппаратуре.

Цель законодательных мер – предупреждение и сдерживание потенциальных нарушителей.

Комплекс мероприятий по обеспечению защиты информации проводится в рамках государственной информационной политики.
(слайд 3.22)

предотвращение угроз безопасности личности, общества, государства;
предотвращение несанкционированных действий по

уничтожению, модификации, искажению, копированию, блокированию информации;
предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
(слайд 3.23)

тайне, — уполномоченными органами на основании Закона Российской Федерации «О

государственной тайне»;
в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;
в отношении персональных данных - Федеральным законом «О персональных данных».
(слайд 3.24)

понимать процесс, в ходе которого решается комплекс задач по обеспечению

конфиденциальности, целостности и доступности информации.

Конфиденциальность— это защита от несанкционированного доступа к информации.

Целостность — актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Доступность — это возможность за приемлемое время получить требуемую информационную услугу.
(слайд 3.25)

на три большие группы:
информацию открытую - на распространение и

использование которой не имеется никаких ограничений;
информацию запатентованную - охраняется внутригосударственным законодательством или международными соглашениями как объект интеллектуальной собственности;
информацию, «защищаемую» ее собственником, владельцем с помощью отработанных механизмов защиты государственной, коммерческой или другой охраняемой тайны; к этому виду относят обычно информацию, не известную другим лицам, которая или не может быть запатентована, или умышленно не патентуется с целью избежания или уменьшения риска завладения ее соперниками, конкурентами.
Какую информацию относят к защищаемой?
Во-первых, секретную информацию. К секретной информации в настоящее время принято относить сведения, содержащие государственную тайну.
Во-вторых, конфиденциальную информацию. К этому виду защищаемой информации относят обычно сведения, содержащие коммерческую тайну, а также тайну, касающуюся личной (неслужебной) жизни и деятельности граждан.
Таким образом, под защищаемой информацией понимают сведения, на использование и распространение которых введены ограничения их собственником и характеризуемые понятием «тайна». (слайд 3.26)

ограничивать к ней доступ, может только ее собственник (владелец) или

уполномоченные им на то лица;
чем важнее для собственника информация, тем тщательнее он ее защищает; а для того чтобы все, кто сталкивается с этой защищаемой информацией, знали, что одну информацию необходимо оберегать более тщательно, чем другую, собственник определяет ей различную степень секретности;
защищаемая информация должна приносить определенную пользу ее собственнику и оправдывать затрачиваемые на ее защиту силы и средства;
секретная информация обладает определенным генетическим свойством: если эта информация является основанием для создания новой информации (документов, изделий и т. п.), то созданная на этой основе информация является, как правило, секретной.
(слайд 3.27)

в этом случае к ней относятся сведения, являющиеся государственной, служебной

тайной, иные виды защищаемой информации, принадлежащей государству или ведомству; в их числе могут быть и сведения, являющиеся коммерческой тайной;
предприятия, товарищества, акционерные общества (в том числе и совместные) и другие - информация является их собственностью и составляет коммерческую тайну;

общественные организации - как правило, партийная тайна, не исключена также государственная и коммерческая тайна;

граждане государства (их права - тайна переписки, телефонных и телеграфных разговоров, врачебная тайна, персональные данные и др. -гарантируются государством, личные тайны - их личное дело; следует отметить, что государство не несет ответственности за сохранность личных тайн).

(слайд 3.28)

информацию как объект права, которые позволят применять к ней законодательные

нормы.
Федеральный Закон "Об информации, информатизации и защите информации" регулирует взаимоотношения в информационной сфере совместно с Гражданским кодексом Российской Федерации, и относит информацию к объектам права.

Основными целями защиты информации, согласно Закону, являются:
предотвращение утечки, хищения, искажения, подделки информации; обеспечение безопасности личности, общества, государства; предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных;
сохранение государственной тайны, конфиденциальности документированной информации.

(слайд 3.29)

системы защиты должен стать принцип разумной достаточности, требующий учета степени

важности и ценности защищаемой информации.

Закон выделяет три категории такой информации:

1. Информация, составляющая государственную тайну;
2. Персональные данные;
3. Информация, составляющая коммерческую тайну.

(Слайд 3.30)

государственных секретов в любой стране. От ее правильного определения зависит

и политика руководства в области защиты секретов.

Определение этого понятия дано в Законе РФ «О государственной тайне»: «Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ».

Модель определения государственных секретов обычно включает в себя следующие существенные признаки.
1. Предметы, явления, события, области деятельности, составляющие государственную тайну.
2. Противник (данный или потенциальный), от которого в основном осуществляется защита государственной тайны.
3. Указание в законе, перечне, инструкции сведений, составляющих государственную тайну.
4. Наносимый ущерб обороне, внешней политике, экономике, научно-техническому прогрессу страны и т. п. В случае разглашения (утечки) сведений, составляющих государственную тайну.
(Слайд 3.31)

тайне, во-вторых, к той или иной степени секретности?

К сведениям особой

важности следует относить сведения, распространение которых может нанести ущерб интересам РФ в одной или нескольких областях.

К совершенно секретным сведениям следует относить сведения, распространение которых может нанести ущерб интересам министерства (ведомства) или отраслям экономики РФ в одной или нескольких областях.

К секретным сведениям следует относить все иные из числа сведений, составляющих государственную тайну. Ущерб может быть нанесен интересам предприятия, учреждения или организации.


(Слайд 3.32)

вводит следующие определения:
1) персональные данные - любая информация, относящаяся к

определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных - действия, направленные на
передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;


(Слайд 3.33)

совершаемые оператором в целях принятия решений или совершения иных действий,

порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания; (продолжение слайда 3.33)

вправе ей распоряжаться, а, следовательно, и выбирать степень ее защиты.

Правда, применить какие-либо санкции в случае нарушения конфиденциальности возможно, только если предварительно были выполнены особые формальности, оговоренные Гражданским кодексом Российской Федерации.

Сведения, относимые к категории "коммерческая тайна", можно разделить на две группы:
научно-техническая и технологическая информация, связанная непосредственно с деятельностью учреждения, то есть конструкторская и технологическая документация, сведения об используемых материалах, описание методов и способов производства разрабатываемых изделий, специфический или уникальный программный продукт, перспективные планы развития или модернизации производства;
деловая информация о деятельности учреждения, то есть финансовая документация, перспективные планы развития, аналитические материалы об исследованиях конкурентов и эффективности работы на рынке товаров и услуг, различные сведения о партнерах и т.п.




(слайд 3.34)

изобретения и т. д.
Обладатель информации - лицо, самостоятельно создавшее информацию

(автор) либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам (собственник).
Федеральный закон «Об информации, информационных технологиях и о защите информации» от 8 июля 2006 года определяет обладателя информации и его права:
1. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.
2. От имени Российской Федерации, субъекта Российской Федерации, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами.







(слайд 3.35)

законами, вправе:
1) разрешать или ограничивать доступ к информации, определять

порядок и условия такого доступа;
2) использовать информацию, в том числе распространять ее, по своему усмотрению;
3) передавать информацию другим лицам по договору или на ином установленном законом основании;
4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
5) осуществлять иные действия с информацией или разрешать осуществление таких действий.

4. Обладатель информации при осуществлении своих прав обязан:
1) соблюдать права и законные интересы иных лиц;
2) принимать меры по защите информации;
3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.




(слайд 3.36)

с другом в разного рода отношениях, в том числе, касающихся

вопросов получения, хранения, обработки, распространения и использования определенной информации. Такие отношения между субъектами будем называть информационными отношениями, а самих участвующих в них субъектов – субъектами информационных отношений.

Под обработкой информации будем понимать любую совокупность операций (прием, сбор, накопление, хранение, преобразование, отображение, выдача и т.п.), осуществляемых над информацией (сведениями, данными).
 
Различные субъекты по отношению к определенной информации могут выступать в качестве (возможно одновременно):
- источников (поставщиков) информации;
- пользователей (потребителей) информации:
- собственников (владельцев, распорядителей) информации;
- физических и юридических лиц, о которых собирается информация;
владельцев систем сбора и обработки информации и участников процессов обработки и передачи информации и т.д.

(слайд 3.37)