Категории доступа информации
Информация в зависимости от категории доступа к ней подразделяется на:
- общедоступную информацию
Та информация, доступ к которой не ограничен.
Она же в свою очередь делится на:
1) информацию, доступ к которой не может быть ограничен, т.е. которая в соответствии
с законодательством должна быть общедоступной.
2) информацию, которую общедоступной делают физические и юридические лица по собственному желанию
- информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)
В российском законодательстве упоминается более 50 видов тайн. Эти виды тайн относятся или к конфиденциальной информации или государственной тайне.
Конфиденциальная информация подразделяется на:
1) персональные данные;
2) коммерческую тайну;
3) служебную тайну;
4) профессиональную тайну.
Информация в зависимости от категории доступа к ней подразделяется на:
- общедоступную информацию
Та информация, доступ к которой не ограничен.
Она же в свою очередь делится на:
1) информацию, доступ к которой не может быть ограничен, т.е. которая в соответствии
с законодательством должна быть общедоступной.
2) информацию, которую общедоступной делают физические и юридические лица по собственному желанию
- информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)
В российском законодательстве упоминается более 50 видов тайн. Эти виды тайн относятся или к конфиденциальной информации или государственной тайне.
Конфиденциальная информация подразделяется на:
1) персональные данные;
2) коммерческую тайну;
3) служебную тайну;
4) профессиональную тайну.
Средства защиты информации
Средства обеспечения защиты информации бывают:
- Технические
К ним относится проектирование и внедрение средств защиты информации (межсетевые экраны, антивирусы, средства защиты от несанкционированного доступа и т.д.).
- Физические
Они включают в себя систему контроля и управления доступом на территории предприятия.
- Организационные
Разработка, внедрение и контроль исполнения локальных
нормативных актов, организационно-распорядительной документации в сфере защиты информации, а также проведение обучающих семинаров и тренингов по ИБ для сотрудников
Средства обеспечения защиты информации бывают:
- Технические
К ним относится проектирование и внедрение средств защиты информации (межсетевые экраны, антивирусы, средства защиты от несанкционированного доступа и т.д.).
- Физические
Они включают в себя систему контроля и управления доступом на территории предприятия.
- Организационные
Разработка, внедрение и контроль исполнения локальных
нормативных актов, организационно-распорядительной документации в сфере защиты информации, а также проведение обучающих семинаров и тренингов по ИБ для сотрудников
Меры по защите информации
1) Сдерживание - комплекс мер для предотвращения попыток совершения преступления со стороны возможного злоумышленника.
2) Превентивные меры - служат для предотвращения киберпреступления.
3) Корректировка - комплекс мер, предназначенных для внесения изменения в систему управления информационной безопасностью (СУИБ) после того, как инцидент произошел.
4) Восстановление - требуется для реанимирования защитных мер после того, как инцидент произошел.
5) Детективные меры - предназначены для проведения расследований кибер-инцидентов с привлечением специализированных организаций.
6) Компенсирующие меры - позволяют обеспечить альтернативные виды зашиты информации.
1) Сдерживание - комплекс мер для предотвращения попыток совершения преступления со стороны возможного злоумышленника.
2) Превентивные меры - служат для предотвращения киберпреступления.
3) Корректировка - комплекс мер, предназначенных для внесения изменения в систему управления информационной безопасностью (СУИБ) после того, как инцидент произошел.
4) Восстановление - требуется для реанимирования защитных мер после того, как инцидент произошел.
5) Детективные меры - предназначены для проведения расследований кибер-инцидентов с привлечением специализированных организаций.
6) Компенсирующие меры - позволяют обеспечить альтернативные виды зашиты информации.
Категории персональных данных (ПД)
1) Специальные – ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПД.
2) Биометрические – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности.
3) Общедоступные – ПД, полученные только из общедоступных
источников, созданных в соответствии с законом о персональных данных.
4) Иные – ПД, не относящиеся ни к специальным, ни к биометрическим, ни к общедоступными данными.
1) Специальные – ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПД.
2) Биометрические – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности.
3) Общедоступные – ПД, полученные только из общедоступных
источников, созданных в соответствии с законом о персональных данных.
4) Иные – ПД, не относящиеся ни к специальным, ни к биометрическим, ни к общедоступными данными.
Доступность информации
Состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие права доступа, могут реализовывать их беспрепятственно, но в рамках предоставленных им прав.
Существует право на:
- чтение,
- изменение,
- копирование,
- уничтожение.
Например, для того чтобы изменить права доступа в linux, можно воспользоваться командой
В windows: откройте
Состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие права доступа, могут реализовывать их беспрепятственно, но в рамках предоставленных им прав.
Существует право на:
- чтение,
- изменение,
- копирование,
- уничтожение.
Например, для того чтобы изменить права доступа в linux, можно воспользоваться командой
chmod.В windows: откройте
Свойства -> Безопасность -> Группы или пользователи -> ИзменитьЧто такое DoS-атака?
DoS — хакерская атака на вычислительную систему с целью довести её до отказа. Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке.
Первым делом злоумышленник сканирует крупную сеть с помощью специально подготовленных сценариев, выявляя потенциально слабые узлы.
Слабые узлы подвергаются нападению, и злоумышленник получает на них права администратора. Также на эти узлы устанавливаются троянские программы (разновидность вредоносной программы), которые работают в фоновом режиме.
Теперь эти компьютеры называются компьютерами-зомби, их пользователи даже не подозревают, что являются потенциальными участниками DDoS-атаки.
Далее злоумышленник отправляет определенные команды захваченным компьютерам и те, в свою очередь осуществляют коллективную DoS-атаку на целевой компьютер.
DoS — хакерская атака на вычислительную систему с целью довести её до отказа. Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке.
Первым делом злоумышленник сканирует крупную сеть с помощью специально подготовленных сценариев, выявляя потенциально слабые узлы.
Слабые узлы подвергаются нападению, и злоумышленник получает на них права администратора. Также на эти узлы устанавливаются троянские программы (разновидность вредоносной программы), которые работают в фоновом режиме.
Теперь эти компьютеры называются компьютерами-зомби, их пользователи даже не подозревают, что являются потенциальными участниками DDoS-атаки.
Далее злоумышленник отправляет определенные команды захваченным компьютерам и те, в свою очередь осуществляют коллективную DoS-атаку на целевой компьютер.
Методы обеспечения доступности
- Системы бесперебойного питания
Системы, одновременно выполняющие функции и основного, и резервного питания. Если напряжение в основной цепи пропадает, то источник автоматически переходит на резервное питание.
- Резервирование и дублирование мощностей
Метод повышения надёжности систем и объектов посредством введения аппаратной избыточности за счет включения запасных элементов и связей.
- Планы непрерывности бизнес-процессов
Процесс создания систем профилактики и восстановления деловой активности при борьбе с потенциальными угрозами для компании
- Системы бесперебойного питания
Системы, одновременно выполняющие функции и основного, и резервного питания. Если напряжение в основной цепи пропадает, то источник автоматически переходит на резервное питание.
- Резервирование и дублирование мощностей
Метод повышения надёжности систем и объектов посредством введения аппаратной избыточности за счет включения запасных элементов и связей.
- Планы непрерывности бизнес-процессов
Процесс создания систем профилактики и восстановления деловой активности при борьбе с потенциальными угрозами для компании
Криптографическая защита информации
Криптография — это наука о методах обеспечения конфиденциальности , целостности данных, аутентификации (проверки подлинности авторства или иных свойств объекта).
Сложно сказать, когда она берет свое начало, но по имеющимся данным ей уже более четырех тысяч лет. Как и в любой другой науке, можно проследить ее эволюционное развитие, которое начиналось с моноалфавитных шрифтов, до полиалфавитных, после чего наступила эра использования разнообразных устройств для шифрования. С наступлением эпохи всеобщей компьютеризации, наука пришла к использованию исключительно математических методов.
В настоящее время методы криптографической защиты информации находят свое применение в самых разных областях ИБ:
- для защиты обладателей прав на цифровой контент с помощью DRM-технологий
- для защиты каналов связи с помощью построения виртуальных частных сетей (VPN)
- для подтверждения подлинности сайта с помощью SSL-сертификатов
Криптография — это наука о методах обеспечения конфиденциальности , целостности данных, аутентификации (проверки подлинности авторства или иных свойств объекта).
Сложно сказать, когда она берет свое начало, но по имеющимся данным ей уже более четырех тысяч лет. Как и в любой другой науке, можно проследить ее эволюционное развитие, которое начиналось с моноалфавитных шрифтов, до полиалфавитных, после чего наступила эра использования разнообразных устройств для шифрования. С наступлением эпохи всеобщей компьютеризации, наука пришла к использованию исключительно математических методов.
В настоящее время методы криптографической защиты информации находят свое применение в самых разных областях ИБ:
- для защиты обладателей прав на цифровой контент с помощью DRM-технологий
- для защиты каналов связи с помощью построения виртуальных частных сетей (VPN)
- для подтверждения подлинности сайта с помощью SSL-сертификатов
Преимущества и недостатки технологии единого входа
К основным преимуществам технологии единого входа относятся:
- уменьшение парольного хаоса между различными комбинациями имени пользователя и пароля
- уменьшение времени на повторный ввод пароля для одной и той же учётной записи
- поддержка традиционных механизмов аутентификации, таких как имя пользователя и пароль
- снижение расходов на IT-службу за счёт уменьшения количества запросов по восстановлению забытых паролей
- обеспечение безопасности на каждом уровне входа/выхода/доступа к системе без причинения неудобств пользователям.
А в качестве главного недостатка технологии единого входа отмечается увеличивающаяся важность единственного пароля, при получении которого злоумышленник обретает доступ ко всем ресурсам пользователя, использующего единый вход.
К основным преимуществам технологии единого входа относятся:
- уменьшение парольного хаоса между различными комбинациями имени пользователя и пароля
- уменьшение времени на повторный ввод пароля для одной и той же учётной записи
- поддержка традиционных механизмов аутентификации, таких как имя пользователя и пароль
- снижение расходов на IT-службу за счёт уменьшения количества запросов по восстановлению забытых паролей
- обеспечение безопасности на каждом уровне входа/выхода/доступа к системе без причинения неудобств пользователям.
А в качестве главного недостатка технологии единого входа отмечается увеличивающаяся важность единственного пароля, при получении которого злоумышленник обретает доступ ко всем ресурсам пользователя, использующего единый вход.
Основные термины инфраструктуры управления ключами
Сертификат открытого ключа - электронный документ удостоверенный электронной подписью удостоверяющего центра, содержащий открытый ключ, информацию о сроке его действия и владельце ключа.
Закрытый ключ - ключ, известный только его владельцу, сгенерированный с помощью асимметричного криптографического алгоритма, использующийся для электронной подписи данных и расшифровки данных зашифрованных на соответствующем этому закрытому ключу открытом ключе.
Открытый ключ - ключ, создаваемый в паре с закрытым ключом с помощью асимметричного криптографического алгоритма, используется для шифрования данных и проверки электронной подписи.
Отпечаток открытого ключа - информация, по которой можно идентифицировать открытый ключ.
Подписанные данные - данные, подписанные при помощи закрытого ключа пользователя.
Зашифрованные данные - данные, зашифрованные при помощи открытого ключа пользователя.
Сертификат открытого ключа - электронный документ удостоверенный электронной подписью удостоверяющего центра, содержащий открытый ключ, информацию о сроке его действия и владельце ключа.
Закрытый ключ - ключ, известный только его владельцу, сгенерированный с помощью асимметричного криптографического алгоритма, использующийся для электронной подписи данных и расшифровки данных зашифрованных на соответствующем этому закрытому ключу открытом ключе.
Открытый ключ - ключ, создаваемый в паре с закрытым ключом с помощью асимметричного криптографического алгоритма, используется для шифрования данных и проверки электронной подписи.
Отпечаток открытого ключа - информация, по которой можно идентифицировать открытый ключ.
Подписанные данные - данные, подписанные при помощи закрытого ключа пользователя.
Зашифрованные данные - данные, зашифрованные при помощи открытого ключа пользователя.