1 из 11

Презентация на тему: Информационная безопасность

№ слайда 1 https://ppt4web.ru/images/288/19146/310/img1.jpg" alt="Б Е З О П А С Н О С Т Ь И Н Ф О Р М А Ц И И Информационная безопасность – это за" title="Б Е З О П А С Н О С Т Ь И Н Ф О Р М А Ц И И Информационная безопасность – это за">

Описание слайда:

Б Е З О П А С Н О С Т Ь И Н Ф О Р М А Ц И И Информационная безопасность – это защищенность жизненно важных информационных ресурсов и систем от внешних и внутренних посягательств и угроз для граждан, организаций и государственных органов.Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

№ слайда 3

Описание слайда:

Б Е З О П А С Н О С Т Ь И Н Ф О Р М А Ц И И ИНФОРМАЦИОННАя БЕЗОПАСНОСТьДля граждан: защищенность их персональных компьютеров, их личной информации в информационных системах и сетях ЭВМ, а так же результатов их интелеллектуальной деятельности.Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.

№ слайда 4

Описание слайда:

Б Е З О П А С Н О С Т Ь И Н Ф О Р М А Ц И И ИНФОРМАЦИОННАяБЕЗОПАСНОСТьДля организаций: защищенность от внешних посягательств служебной информации, корпоративных информационных систем и сети ЭВМ, а так же принадлежащей им интеллектуальной собственностиВ соответствии с действующим законодательством РФ, далеко не каждая фирма сегодня имеет право на защиту своей информации. Декларация прав и свобод человека и гражданина РФ и Конституция предоставили каждому право свободно искать и получать информацию. Следовательно, для осуществления действий по защите информации и, главное, по ограничению доступа к ней фирма должна иметь законные основания, имеющие отражение в правоустанавливающих документах фирмы.

№ слайда 5

Описание слайда:

Б Е З О П А С Н О С Т Ь И Н Ф О Р М А Ц И И ИНФОРМАЦИОННАяБЕЗОПАСНОСТьДля государства: защита от внешних и внутренних угроз национальных информационных ресурсов и государственных информационных систем, а так же телекоммуникационной инфраструктуры, организаций и служб.Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

№ слайда 6

№ слайда 7

Описание слайда:

Б Е З О П А С Н О С Т Ь И Н Ф О Р М А Ц И И Компьютерные правонарушения квалифицируются как преступные деяния при наличии умысла и существенного материального ущерба, нанесенным гражданам, организациям или государству.Компьютерные эпидемии – массовое распространение компьютеров по сети Интернет с разрушением информации на личных и служебных ЭВМ, и наносящие существенный материальный ущерб организациям.Создание и распространение компьютерных вирусов карается по закону в Российской Федерации в уголовном порядке, равно как и несанкционированный доступ к информации или правил эксплуатации ЭВМ.

№ слайда 8

Описание слайда:

Б Е З О П А С Н О С Т Ь И Н Ф О Р М А Ц И И Уголовно наказуемы в соответствии с Конвенцией:Преступления против данных в ЭВМПреступное использование ЭВМНеправомерное содержание информацииПреступления с данными в ЭВМ:Противозаконный доступ;Противозаконный перехват;Вмешательство в функционирование ЭВМПротивозаконное использование компьютерных данныхПреступное использование ЭВМ:Подлог с использованием ЭВМ и мошеничество с использованием ЭВМ с намерениями неправомерного получения выгоды для себя или иного лица.

№ слайда 9

Описание слайда:

Б Е З О П А С Н О С Т Ь И Н Ф О Р М А Ц И И Система мер по защите информации требует комплексного подхода к решению вопросов защиты и включает не только применение технических средств, но и в первую очередь организационно-правовых мер защиты. В соответствии с действующим законодательством РФ, далеко не каждая фирма сегодня имеет право на защиту своей информации. Декларация прав и свобод человека и гражданина РФ (ст.13 п.2) и Конституция РФ (ст.29 ч.4) предоставили каждому право свободно искать и получать информацию.

№ слайда 10

Описание слайда:

Б Е З О П А С Н О С Т Ь И Н Ф О Р М А Ц И И В соответствии с Законом об информации, защите подлежит не вся информация, а лишь документированная, т.е. зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать. При этом информация в электронной версии, т.е. находящаяся в памяти ЭВМ или записанная на дискету, подлежит защите лишь в том случае, если она удостоверена электронной цифровой подписью, либо распечатана и заверена подписью руководителя и печатью фирмы (ст.5). При этом под защитой информации понимается, прежде всего, право собственника документа востребовать этот документ из чужого, незаконного владения. Кроме этого, Закон предусматривает право собственника документа определять порядок доступа к нему третьих лиц, а также запрещать третьим лицам ознакомление с зафиксированной в документе информацией, копирование документа и ряд других действий.

№ слайда 11

Описание слайда:

Б Е З О П А С Н О С Т Ь И Н Ф О Р М А Ц И И Основные законы России в области компьютерного права:Закон " О правовой охране программ для электронных вычислительных машин и баз данных" (от 23. 09. 92 № 3523-1 Закон "Об авторском праве и смежных правах" (от 09. 07. 93 №5351-1 с последующим изменением и дополнением).Закон "О государственной тайне" (от 21. 07. 93 № 5485-1 с последующим изменением и дополнением).Федеральный закон "О связи" (от 16.02.95 № 15-ФЗ с последующим изменением и дополнением). Федеральный закон " Об информатизации и защите информации" (от 20.02.95 № 24 ФЗ)Глава 28 УК РФСтатья 272 Неправомерный доступ к компьютерной информацииСтатья 273 Создание, использование и распространение вредоносных программСтатья 274 Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

Cлайд 1

Информационная безопасность Урок медиабезопасности подготовила Лифанова Н.В., классный руководитель 10 класса МОУ Космынинская СОШ

Cлайд 2

Медиаграмотность грамотное использование детьми и их преподавателями инструментов, обеспечивающих доступ к информации, развитие критического анализа содержания информации и привития коммуникативных навыков, содействие профессиональной подготовке детей и их педагогов в целях позитивного и ответственного использования ими информационных и коммуникационных технологий и услуг.

Cлайд 3

Нормативная база Федеральный закон № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию» Устанавливает правила медиабезопасности детей при обороте на территории России продукции средств массовой информации, печатной, аудиовизуальной продукции на любых видах носителей, программ для ЭВМ и баз данных, а также информации, размещаемой в информационно-телекоммуникационных сетях и сетях подвижной радиотелефонной связи.

Cлайд 4

Информационная безопасность детей это состояние защищенности детей, при котором отсутствует риск, связанный с причинением информацией, в том числе распространяемой в сети Интернет, вреда их здоровью, физическому, психическому, духовному и нравственному развитию (Федеральный закон от 29.12.2010 № 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию").

Cлайд 5

Статистика 10 миллионов детей в возрасте до 14 лет активно пользуется Интернетом, что составляет 18% интернет-аудитории нашей страны. (Данные Центра Безопасного Интернета в России)

Cлайд 6

Статистика В мире мобильными телефонами пользуются 1.600.000.000 молодых юношей и девушек Уже в 2003 году количество мобильных телефонов в России достигло 31,5 млн. и превысило число стационарных аппаратов В конце февраля 2010 года абонентская база сотовых операторов насчитывала 210,05 млн. пользователей (Данные Центра Безопасного Интернета в России)

Cлайд 7

Данные опросов в Европе Мобильные телефоны имеют около 90% детей в возрасте от 12 до 19 лет и около половины - в возрасте 9-12 лет, В некоторых странах вообще принято дарить детям «мобильники» по достижении ими восьми лет.

Cлайд 8

Социологические исследования 88% четырёхлетних детей выходят в сеть вместе с родителями. В 8-9-летнем возрасте дети всё чаще выходят в сеть самостоятельно. К 14 годам совместное, семейное пользование сетью сохраняется лишь для 7% подростков. Больше половины пользователей сети в возрасте до 14 лет просматривают сайты с нежелательным содержимым. 39% детей посещают порносайты, 19% наблюдают сцены насилия, 16% увлекаются азартными играми. Наркотическими веществами и алкоголем интересуются 14% детей, Экстремистские и националистические ресурсы посещают 11% несовершеннолетних пользователей

Cлайд 9

Виды он-лайн угроз Откровенные материалы сексуального характера Виртуальные знакомые и друзья Кибербуллинг (cyberbullying) – подростковый виртуальный террор Буллицид – доведение ребенка до самоубийства путем психологического насилия Электронные ресурсы, содержащие материалы экстремистского и террористического характера.

Cлайд 10

Виды он-лайн угроз Электронные ресурсы, созданные и поддерживаемые деструктивными религиозными сектами. Компьютерные мошенники, спамеры, фишеры. Пропаганда наркотиков, насилия и жестокости, суицидального поведения, абортов, самоповреждений Сомнительные развлечения:онлайн-игры, пропагандирующие секс, жестокость и насилие. Болезненное пристрастие к участию в сетевых процессах, так называемой "Интернет-зависимости" Социальные сети и блоги, на которых ребенок оставляет о себе немало настоящей информации, завязывает небезопасные знакомства, нередко подвергается незаметной для него деструктивной психологической и нравственно-духовной обработке.

Cлайд 11

PEGI логотипы Bad Language - Ненормативная лексика Игра содержит грубые и непристойные выражения. Discrimination - Дискриминация Присутствие в продукте сцен или материалов, которые могут порочить или дискриминировать некоторые социальные группы. Fear - Страх: Материалы игры могут оказаться страшными и пугаюшими для маленьких детей. Gambling - Азартные игры В игре есть возможность сыграть в азартные игры и сделать ставку, в том числе - реальными деньгами. Sexual Content – Непристойности В игре присутствует обнажение и/или встречаются сцены с сексуальными отношениями. Violence - Насилие Игра изобилует сценами с применением насилия.

Cлайд 12

Интернет-зависимость Навязчивый веб-серфинг - бесконечные путешествия по Всемирной паутине, поиск информации. Пристрастие к виртуальному общению и виртуальным знакомствам - большие объёмы переписки, постоянное участие в чатах, веб-форумах, избыточность знакомых и друзей в Сети. Игровая зависимость - навязчивое увлечение компьютерными играми по сети. Навязчивая финансовая потребность - игра по сети в азартные игры, ненужные покупки в интернет-магазинах или постоянные участия в интернет-аукционах. Пристрастие к просмотру фильмов через интернет, когда больной может провести перед экраном весь день не отрываясь из-за того, что в сети можно посмотреть практически любой фильм или передачу. Киберсексуальная зависимость - навязчивое влечение к посещению порносайтов и занятию киберсексом.

Cлайд 13

Признаки Интернет-зависимости: чрезмерное, немотивированное злоупотребление длительностью работы в сети, не обусловленное профессиональной, учебной или иной созидательной деятельностью; использование Интернета как преобладающего средства коммуникации; создание и эксплуатация виртуальных образов, крайне далеких от реальных; влечение к Интернет-играм и(или) созданию вредоносных программ (без какой-либо цели); субъективно воспринимаемая невозможность обходиться без работы в сети

Cлайд 14

Это важно знать! Когда ты регистрируешься на сайтах, не указывай личную информацию (номер мобильного телефона, адрес места жительства и другие данные). Используй веб-камеру только при общении с друзьями. Проследи, чтобы посторонние люди не имели возможности видеть ваш разговор. Научись самостоятельно включать и выключать веб-камеру. Ты должен знать, что если ты публикуешь фото или видео в интернете - каждый может посмотреть их.

Cлайд 15

Это важно знать! Не публикуй фотографии, на которых изображены другие люди. Делай это только с их согласия. Публикуй только такую информацию, о публикации которой не пожалеешь. Нежелательные письма от незнакомых людей называются «Спам». Если ты получил такое письмо, не отвечай на него. Если ты ответишь на подобное письмо, отправитель будет знать, что ты пользуешься своим электронным почтовым ящиком, и будет продолжать посылать тебе спам.

Cлайд 16

Это важно знать! Если тебе пришло сообщение с незнакомого адреса, его лучше не открывать. Подобные письма могут содержать вирусы. Не добавляй незнакомых людей в свой контакт-лист в ICQ. Если тебе приходят письма с неприятным или оскорбляющим тебя содержанием, если кто-то ведет себя в твоем отношении неподобающим образом, сообщи об этом взрослым. Если человек, с которым ты познакомился в интернете, предлагает тебе встретиться в реальной жизни, то предупреди его, что придешь навстречу со взрослым. Если твой виртуальный друг действительно тот, за кого он себя выдает, он нормально отнесется к твоей заботе о собственной безопасности.

Cлайд 17

Это важно знать! Если у тебя возникли вопросы или проблемы при работе в онлайн-среде, обязательно расскажи об этом кому-нибудь, кому ты доверяешь. Твои родители или другие взрослые могут помочь или дать хороший совет о том, что тебе делать. Любую проблему можно решить! Ты можешь обратиться на линию помощи «Дети онлайн» по телефону: 88002500015 (по России звонок бесплатный) или по e-mail: [email protected]. Специалисты посоветуют тебе, как поступить.

Cлайд 18

Интернет-этикет Когда общаешься в онлайне, относись к другим людям так, как ты хотел бы, чтобы относились к тебе. Избегай сквернословия и не говори вещей, которые заставят кого-то плохо себя чувствовать. Научись ""сетевому этикету"", когда находишься в онлайне. Что считается делать и говорить хорошо, а что нет? Например, если ты печатаешь сообщение ЗАГЛАВНЫМИ БУКВАМИ, твой собеседник может подумать, что ты кричишь на него. Если кто-то говорит что-то грубое или что-то неприятное - не отвечай. Уйди из чата или форума незамедлительно.

Cлайд 19

Будь начеку! Если ты видишь или знаешь, что твоего друга запугивают в онлайне, поддержи его и сообщи об этом взрослым. Ведь ты бы захотел, чтобы он сделал то же самое для тебя. Не посылай сообщения или изображения, которые могут повредить или огорчить кого-нибудь. Даже если не ты это начал, тебя будут считать участником круга запугивания. Всегда будь начеку, если кто-то, особенно незнакомец, хочет поговорить с тобой о взрослых отношениях. Помни, что в сети никогда нельзя быть уверенным в истинной сущности человека и его намерениях. Обращение к ребенку или подростку с сексуальными намерениями всегда является серьезным поводом для беспокойства. Ты должен рассказать об этом взрослому, которому доверяешь, для того чтобы вы могли сообщить о неприятной ситуации в правоохранительные органы. Если тебя заманили или привлекали обманом к совершению действий сексуального характера или к передаче сексуальных изображений с тобой, ты обязательно должен рассказать об этом взрослому, которому доверяешь, для того чтобы получить совет или помощь. Ни один взрослый не имеет права требовать подобного от ребенка или подростка – ответственность всегда лежит на взрослом.

Cлайд 20

Установи свои рамки Используя социальные сети, либо любые другие онлайн-сервисы, позаботься о своей конфиденциальности и конфиденциальности твоей семьи и друзей. Если ты зарегистрировался на сайте социальной сети, используй настройки конфиденциальности, для того чтобы защитить твой онлайн-профиль таким образом, чтобы только твои друзья могли его просматривать. Попроси своих родителей помочь с настройками, если сам затрудняешься. Это правило очень важно.

Cлайд 21

Установи свои рамки Храни свои персональные данные в тайне, особенно при общении во взрослых социальных сетях. Используй ник вместо своего настоящего имени на любом онлайн-сервисе, где много незнакомых людей может прочитать твою информацию. Спроси своих родителей прежде, чем сообщать кому-либо в интернете свое имя, адрес, номер телефона или любую другую персональную информацию. Дважды подумай прежде, чем разместить или рассказать о чем-нибудь в онлайн-среде. Готов ли ты рассказать об этом всем, кто находится в онлайне: твоим близким друзьям, а также посторонним людям? Помни, что, разместив информацию, фотографии или любой другой материал в сети, ты уже никогда не сможешь удалить его из интернета или помешать другим людям использовать его. Прежде чем ввести любую информацию о себе на каком-либо сайте, узнай, как может быть использована эта информация. Может ли быть опубликована вся информация или ее часть и, если «да», то где? Если ты испытываешь дискомфорт от объема запрашиваемой информации, если ты не доверяешь сайту, не давай информацию. Поищи другой похожий сервис, для работы с которым требуется меньше информации, или его администрация обещает более бережно обращаться с твоими данными.

Cлайд 22

Это важно! 1. Игнорируй плохое поведение других пользователей, уйди от неприятных разговоров или с сайтов с некорректным содержанием. Как и в реальной жизни, существуют люди, которые по разным причинам ведут себя агрессивно, оскорбительно или провокационно по отношению к другим или хотят распространить вредоносный контент. Обычно лучше всего игнорировать и затем заблокировать таких пользователей. 2. Не размещай ничего такого, о чем ты бы не хотел, чтобы узнали другие, чего ты бы никогда не сказал им лично. 3. Уважай контент других людей, который ты размещаешь или которым делишься. Например, фотография, которую тебе дал друг, является его собственностью, а не твоей. Ты можешь размещать ее в онлайн-среде только, если у тебя есть на это его разрешение, и ты должен указать, откуда ты ее взял. 4. Важно воздерживаться от ответа на провокационные сообщения, получаемые при помощи сообщений SMS, MMS, программ мгновенного обмена сообщениями, в электронных письмах, в чатах или во время общения в онлайн-средес другими пользователями. Вместо этого тебе нужно предпринять шаги, которые помогут исключить или ограничить попытки спровоцировать тебя.

Cлайд 23

Если тебя запугивают в онлайновой среде: Игнорируй. Не отвечай обидчику. Если он не получает ответа, ему может это наскучить и он уйдёт. Заблокируй этого человека. Это защитит тебя от просмотра сообщений конкретного пользователя. Расскажи кому-нибудь. Расскажи своей маме или папе, или другому взрослому, которому доверяешь. Сохрани доказательства. Это может быть полезным для поиска того, кто пытался тебя запугать. Сохрани в качестве доказательств тексты, электронные письма, онлайн-разговоры или голосовую почту.

Cлайд 24

Сообщи об этом: Руководству твоей школы. Образовательное учреждение должно иметь свою политику для ситуации с запугиванием. Твоему интернет-провайдеру, оператору мобильной связи или администратору веб-сайта. Они могут предпринять шаги, для того чтобы помочь тебе. В милицию. Если ты считаешь, что существует угроза для твоей безопасности, токто-нибудь из взрослых, либо ты сам должен обратиться в правоохранительные органы. На линию помощи «Дети онлайн» по телефону: 88002500015 (по России звонок бесплатный) или по e-mail: [email protected]. Специалисты подскажут тебе, как лучше поступить Твои права в онлайновой среде Ты имеешь право на доступ к информации и сервисам, соответствующим твоему возрасту и личным желаниям. Ты имеешь право свободно выражать себя и право на уважение к себе, и, в то же время, должен всегда уважать других. Ты можешь свободно обсуждать и критиковать все, что опубликовано или доступно в сети. Ты имеешь право сказать НЕТ, тому, кто в онлайн-среде просит тебя о чем-то, что заставляет тебя чувствовать дискомфорт.

Cлайд 27

Безопасное использование своего компьютера Убедись, что на твоем компьютере установлены брандмауэр и антивирусное программное обеспечение. Научись их правильно использовать. Помни о том, что эти программы должны своевременно обновляться. Хорошо изучи операционную систему своего компьютера (Windows, Linux и т. д.). Знай как исправлять ошибки и делать обновления. Если на компьютере установлена программа родительского контроля, поговори со своими родителями и договорись о настройках этой программы, чтобы они соответствовали твоему возрасту и потребностям. Не пытайся взломать или обойти такую программу! Если ты получил файл, в котором ты не уверен или не знаешь, кто его отправил, НЕ открывай его. Именно так трояны и вирусы заражают твой компьютер.

Cлайд 28

Не ходите ночью дети в интернет Не ходите ночью, дети, в Интернет. Ничего хорошего в Интернете нет. Там увидеть можно тетю голышом. Что потом твориться будет с малышом!? Там по всюду бегают монстры с автоматом И со страшной силой стреляют по ребятам. Страшные чудовища обитают там И за малолетками мчаться по пятам. Там на дня открылась Черная дыра. И четыре школьника сгинули вчера. Не ходите, дети, ночью в Интернет: Вдруг на вас с экрана выскочит скелет! Он ужасный, он не струсит, он вам что-нибудь откусит. И, копаясь в челюстях, на своих пойдет костях. Там увидеть можно злого паука- ОН тогда ребенка съест наверняка. Он огромными когтями вас запутает сетями. Будут косточки хрустеть, но придется потерпеть. И повиснут в паутинке лишь трусишки да ботинки. И имейте в виду, проказники, есть опасный сайт `Одноклассники`- Все, кто туда попадают на несколько лет пропадают. Пусть мои нотации вам надоедают- Но дети в Интернете часто пропадают. Многие дети пропали в интернете. (Э Успенский)

Cлайд 29

Девочке Маше, компьютер купили И в интернет заходить научили, Маша не кушает, Маша не спит, Всеми ночами в Инете сидит. Круто сменился и Машеньки вид: Давно уж не красятся пухлые губы, Мешки под глазами и желтые зубы. Осанка, ни к черту, курить начала, Денег на пиво, с трудом набрала. Давно не причесана, перхоть в плечах, Когти пол-метра на руках и ногах.... Но в чатах у Маши дела, все о кей, Мальчишки ходят, толпою за ней, Пишут ей письма, открытки ей шлют, Стихи сочиняют и песни поют. Маша-красавица, все говорят, Чмоки, приветы, любовью парят, Секс-виртуальный, дружбы оплот, Властвует Маша, без всяких хлопот. Что-же случилось, с мужчинами в чатах, Что виртуальная Маша вся в златах, А скромная девушка, без Интернета, Слезу выпускает, зеркального цвета? А то, что повешено Машино фото, На сайте известном, дающим ей льготы, А то, что лет десять, уж фотке давно, Всем почему-то, плевать глубоко.... Смысл сего небольшого труда, Помнить бы надо всем иногда: С вами, не только сеть-Интернет… Дома бордак, голодные дети Мама весь день сидит в интернете..

Cлайд 30

Использование Интернета – это радость. Получай максимум удовольствия, оставаясь в безопасности.

Cлайд 31

Презентация на тему: Безопасность информационных систем Шифрование

1 из 56

Презентация на тему: Безопасность информационных систем Шифрование

№ слайда 1

Описание слайда:

№ слайда 2

Описание слайда:

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации – комплекс мероприятий, направленных на обеспечение информационной безопасности.

№ слайда 3

Описание слайда:

Угроза информационной безопасности (ИБ) – потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Угроза информационной безопасности (ИБ) – потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Попытка реализации угрозы называется атакой. Классификация угроз ИБ можно выполнить по нескольким критериям: по аспекту ИБ (доступность, целостность, конфиденциальность); по компонентам ИС, на которые угрозы нацелены (данные, программа, аппаратура, поддерживающая инфраструктура); по способу осуществления (случайные или преднамеренные действия природного или техногенного характера); по расположению источника угроз (внутри или вне рассматриваемой ИС).

№ слайда 4

Описание слайда:

Вне зависимости от конкретных видов угроз информационная система должна обеспечивать базовые свойства информации и систем ее обработки: Вне зависимости от конкретных видов угроз информационная система должна обеспечивать базовые свойства информации и систем ее обработки: доступность – возможность получения информации или информационной услуги за приемлемое время; целостность – свойство актуальности и непротиворечивости информации, ее защищенность от разрушения и несанкционированного изменения; конфиденциальность – защита от несанкционированного доступа к информации.

№ слайда 5

Описание слайда:

Часть информации, хранящейся и обрабатываемой в ИС, должна быть сокрыта от посторонних. Передача данной информации может нанести ущерб как организации, так и самой информационной системе. Часть информации, хранящейся и обрабатываемой в ИС, должна быть сокрыта от посторонних. Передача данной информации может нанести ущерб как организации, так и самой информационной системе. Конфиденциальная информация может быть разделена на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, однако ее раскрытие может привести к несанкционированному доступу ко всей информации. Предметная информация содержит информацию, раскрытие которой может привести к ущербу (экономическому, моральному) организации или лица. Средствами атаки могут служить различные технические средства (подслушивание разговоров, сети), другие способы (несанкционированная передача паролей доступа и т.п.). Важный аспект – непрерывность защиты данных на всем жизненном цикле ее хранения и обработки. Пример нарушения – доступное хранение резервных копий данных.

№ слайда 6

Описание слайда:

Такие средства могут быть классифицированы по следующим признакам: Такие средства могут быть классифицированы по следующим признакам: технические средства – различные электрические, электронные и компьютерные устройства; физические средства – реализуются в виде автономных устройств и систем; программные средства – программное обеспечение, предназначенное для выполнения функций защиты информации; криптографические средства – математические алгоритмы, обеспечивающие преобразования данных для решения задач информационной безопасности; организационные средства – совокупность организационно-технических и организационно-правовых мероприятий; морально-этические средства – реализуются в виде норм, сложившихся по мере распространения ЭВМ и информационных технологий; законодательные средства – совокупность законодательных актов, регламентирующих правила пользования ИС, обработку и передачу информации.

№ слайда 7

Описание слайда:

Одним из способов защиты данных, предоставляемых Интернет-службами, является метод SSL-шифрования и аутентификации на веб-сайтах. Одним из способов защиты данных, предоставляемых Интернет-службами, является метод SSL-шифрования и аутентификации на веб-сайтах. Используются три вида сертификатов: Сертификаты сервера; Сертификаты клиента; Сертификаты подписывания кода.

№ слайда 8

Описание слайда:

Сертификаты сервера обеспечивают метод шифрования данных, передаваемых через сеть посредством SSL и методы идентификации сервера. Сертификаты сервера обеспечивают метод шифрования данных, передаваемых через сеть посредством SSL и методы идентификации сервера. Методы позволяют клиенту быть уверенным в подлинности сайта, который он посетил.

№ слайда 9

Описание слайда:

Сертификаты клиента обеспечивают идентификацию клиента на сервере, что позволяет серверу определить, кем на самом деле является клиент. Сертификаты клиента обеспечивают идентификацию клиента на сервере, что позволяет серверу определить, кем на самом деле является клиент. Данная аутентификация является более предпочтительной по сравнению с базовой. Сертификаты клиентов не поддерживают шифрование данных.

№ слайда 10

Описание слайда:

Сертификаты подписывания кода обеспечивают метод шифрового «подписывания» приложения посредством цифрового идентификатора, созданного на основе содержимого приложения. Сертификаты подписывания кода обеспечивают метод шифрового «подписывания» приложения посредством цифрового идентификатора, созданного на основе содержимого приложения. Если в приложении произошли изменения, то цифровой идентификатор теряет соответствие этому приложению и пользователь получает уведомление. Сертификаты подписывания не поддерживают шифрования приложений.

№ слайда 11

Описание слайда:

Цифровые сертификаты используют ключи при шифровании данных. Цифровые сертификаты используют ключи при шифровании данных. Ключ – фрагмент данных, используемых криптографической системой для преобразования открытого текста в шифрованный текст. Криптографическое преобразование (шифрование) – это математический алгоритм преобразования цифровых данных.

№ слайда 12

Описание слайда:

Для обеспечения защиты информации в распределенных информационных системах активно применяются криптографические средства защиты информации. Для обеспечения защиты информации в распределенных информационных системах активно применяются криптографические средства защиты информации. Сущность криптографических методов заключается в следующем:

№ слайда 13

Описание слайда:

При создании пары ключей (в алгоритмах несимметричного шифрования) для использования на веб-сайте, запрашивается сертификат SSL X.509 у бюро сертификатов – сервера, выпускающего сертификаты. При создании пары ключей (в алгоритмах несимметричного шифрования) для использования на веб-сайте, запрашивается сертификат SSL X.509 у бюро сертификатов – сервера, выпускающего сертификаты. Бюро сертификатов может организовывать иерархическую структуру - авторизовать (уполномочить) любое число сертификатов, те, в свою очередь, другие бюро и т.д. Первое бюро сертификатов называется корневым.

№ слайда 14

Описание слайда:

На клиенте может быть установлен набор сертификатов по умолчанию, выпустившие их бюро сертификатов являются доверенными. На клиенте может быть установлен набор сертификатов по умолчанию, выпустившие их бюро сертификатов являются доверенными. При представлении клиенту сертификата SSL клиент выяснит, имеется ли в его кэше соответствующий сертификат. При наличие сертификата клиент проверяет подпись бюро сертификатов при помощи открытого ключа, находящегося в кэше, осуществив аутентификацию сервера. Если сертификат отсутствует в кэше, клиент запросит сертификат и повторит проверку сертификата.

№ слайда 15

Описание слайда:

№ слайда 16

Описание слайда:

Для установки собственного бюро сертификатов необходима установка служб сертификатов на сервер. Для установки собственного бюро сертификатов необходима установка служб сертификатов на сервер. Установка выполняется стандартным образом с помощью мастера установки и удаления программ. Установка различается для разных типов бюро: Корпоративное корневое бюро сертификатов Корпоративное подчиненное бюро сертификатов Отдельное корневое бюро сертификатов Подчиненное бюро сертификатов.

№ слайда 17

Описание слайда:

№ слайда 18

Описание слайда:

№ слайда 19

Описание слайда:

№ слайда 20

Описание слайда:

№ слайда 21

Описание слайда:

Для обеспечения защиты данных в информационных системах проводится анализ угроз информационной безопасности, строится модель действий нарушителя и вырабатываются меры по противодействию. Для обеспечения защиты данных в информационных системах проводится анализ угроз информационной безопасности, строится модель действий нарушителя и вырабатываются меры по противодействию. Для упрощения анализа и выработки мер строится многослойная модель защиты.

№ слайда 22

Описание слайда:

№ слайда 23

Описание слайда:

№ слайда 24

Описание слайда:

Одним из средств защиты данных является механизм управления доступом. Одним из средств защиты данных является механизм управления доступом. Управление доступом на уровне данных в ОС Windows 2000/XP/2003 эффективно выполняется на носителях с файловой системой NTFS. Файловая система NTFS обеспечивает поддержку хранения списков прав доступа (ACL) и механизм их использования при выдаче разрешений и запретов на операции с файлами и каталогами.

№ слайда 25

Описание слайда:

Управление доступом к локальным папкам и каталогам на разделах NTFS выполняется с помощью специальной закладки Безопасность в окне Свойство папки или каталога. Управление доступом к локальным папкам и каталогам на разделах NTFS выполняется с помощью специальной закладки Безопасность в окне Свойство папки или каталога. Управляющие кнопки Добавить и Удалить обеспечивают управление пользователями, нижнее окно позволяет устанавливать разрешения для выбранного объекта. Поддерживается групповое управление.

№ слайда 26

Описание слайда:

Для управления разрешениями в режиме командной строки используется команда cacls. Для управления разрешениями в режиме командной строки используется команда cacls. Синтаксис данной команды: cacls имя_файла ]] ] ] Ключи команды: /t - Изменение таблиц контроля доступа (DACL) указанных файлов в текущем каталоге и всех подкаталогах /e - Редактирование таблицы управления доступом (DACL) вместо ее замены /r пользователь - Отмена прав доступа для указанного пользователя. Недопустим без параметра /e /c - Продолжение внесения изменений в таблицы управления доступом (DACL) с игнорированием ошибок /g пользователь:разрешение – Предоставление прав доступа указанному пользователю /p пользователь:разрешение - Смена прав доступа для указанного пользователя /d пользователь - Запрещение доступа для указанного пользователя

№ слайда 27

Описание слайда:

Шифрованная файловая система (Encrypting File System, EFS) позволяет безопасно хранить данные. EFS делает это возможным благодаря шифрованию данных в выбранных файлах и папках файловой системы NTFS. Шифрованная файловая система (Encrypting File System, EFS) позволяет безопасно хранить данные. EFS делает это возможным благодаря шифрованию данных в выбранных файлах и папках файловой системы NTFS. Файлы и папки на томах с файловой системой FAT не могут быть зашифрованы или расшифрованы. EFS разработана для безопасного хранения данных на локальных компьютерах. Поэтому она не поддерживает безопасную передачу файлов по сети.

№ слайда 28

Описание слайда:

Шифрование файлов происходит следующим образом: Шифрование файлов происходит следующим образом: Каждый файл имеет уникальный ключ шифрования файла, который позже используется для расшифровки данных файла. Ключ шифрования файла сам по себе зашифрован - он защищен открытым ключом пользователя, соответствующим сертификату EFS. Ключ шифрования файла также защищен открытым ключом каждого дополнительного пользователя EFS, уполномоченного расшифровывать файлы, и ключом каждого агента восстановления. Сертификат и закрытый ключ системы EFS могут быть выданы несколькими источниками. Сюда входит автоматическое создание сертификатов и выдача сертификатов центрами сертификации (ЦС) корпорации Майкрософт или сторонними центрами сертификации

№ слайда 29

Описание слайда:

Расшифровка файлов происходит следующим образом: Расшифровка файлов происходит следующим образом: Для расшифровки файла необходимо сначала расшифровать его ключ шифрования. Ключ шифрования файла расшифровывается, если закрытый ключ пользователя совпадает с открытым. Не только пользователь может расшифровать ключ шифрования файла. Другие назначенные пользователи или агенты восстановления также могут расшифровать ключ шифрования файла, используя собственный закрытый ключ. Закрытые ключи содержатся в защищенном хранилище ключей, а не в диспетчере учетных записей безопасности (Security Account Manager, SAM) или в отдельном каталоге.

№ слайда 30

Описание слайда:

Если пользователям рабочей среды семейства Windows Server 2003 или Windows XP нужно хранить зашифрованные файлы на удаленных серверах, необходимо помнить. Если пользователям рабочей среды семейства Windows Server 2003 или Windows XP нужно хранить зашифрованные файлы на удаленных серверах, необходимо помнить. В семействе Windows Server 2003 и Windows XP поддерживается хранение зашифрованных файлов на удаленных серверах. Пользователи могут удаленно применять шифрованную файловую систему только тогда, когда оба компьютера являются членами одного леса семейства Windows Server 2003. Зашифрованные данные не шифруются при передаче по сети, а только при сохранении на диске. Исключения составляют случаи, когда система включает протокол IPSec или протокол WebDAV. IPSec шифрует данные при передаче по сети TCP/IP. Если файл был зашифрован перед копированием или перемещением в папку WebDAV на сервере, он останется зашифрованным при передаче и во время хранения на сервере. Не поддерживается хранение сертификатов и закрытых ключей шифрованной файловой системы на смарт-картах. Не поддерживается усиленная защита закрытых ключей для закрытых ключей EFS.

№ слайда 31

Описание слайда:

Шифрованная файловая система (EFS) с помощью криптографии открытого ключа шифрует содержимое файлов. В ней применяются ключи, полученные от сертификата пользователя и дополнительных пользователей, а также от назначенных агентов восстановления шифрованных данных, которые настроены. Шифрованная файловая система (EFS) с помощью криптографии открытого ключа шифрует содержимое файлов. В ней применяются ключи, полученные от сертификата пользователя и дополнительных пользователей, а также от назначенных агентов восстановления шифрованных данных, которые настроены. Сертификаты, используемые файловой системой EFS, могут быть получены в центре сертификации (ЦС) или же автоматически созданы компьютером. При получении EFS сертификата в центре сертификации необходима ссылка сертификата на поставщика службы криптографии (CSP) и соответствующий идентификатор объекта (OID). В EFS возможно использование основного или расширенного CSP. Сертификаты и закрытые ключи от всех назначенных агентов восстановления шифрованных данных необходимо экспортировать на съемный диск или хранить в безопасности до тех пор, пока они не понадобятся.

№ слайда 32

Описание слайда:

Для выполнения шифрования данных можно воспользоваться кнопкой Другие в закладке Свойства файла. Для выполнения шифрования данных можно воспользоваться кнопкой Другие в закладке Свойства файла. Для удобства пользователя зашифрованные папки и файлы отображаются другим цветом.

№ слайда 33

Описание слайда:

Для просмотра информации о зашифрованных файлах можно воспользоваться утилитой efsinfo Для просмотра информации о зашифрованных файлах можно воспользоваться утилитой efsinfo Синтаксис команды efsinfo [Путь[,Путь...]] efsinfo /t: каталог

№ слайда 34

Описание слайда:

Отображение или изменение шифрование папок и файлов на томах NTFS. Отображение или изменение шифрование папок и файлов на томах NTFS. Использованная без параметров команда cipher отображает состояние шифрования текущей папки и всех файлов, находящихся в ней. Синтаксис команды cipher [{/e | /d}] ] [{путь [...]] | /r:имя_файла_без_расширения | /w:путь | /x[:путь] имя_файла_без_расширения}]

№ слайда 40

Описание слайда:

Служба Маршрутизация и удаленный доступ (Routing and Remote Access, RRAS) в Windows 2003 – программный многопротокольный маршрутизатор, который может быть объединен с другими функциями ОС, такими как управление безопасностью на основе учетных записей и групповых политик. Служба Маршрутизация и удаленный доступ (Routing and Remote Access, RRAS) в Windows 2003 – программный многопротокольный маршрутизатор, который может быть объединен с другими функциями ОС, такими как управление безопасностью на основе учетных записей и групповых политик. Служба поддерживает маршрутизацию между различными ЛВС, между ЛВС и WAN-каналами, VPN- и NAT- маршрутизацию в IP-сетях.

Описание слайда:

При установки Windows server 2003 служба Маршрутизация и удаленный доступ отключена. При установки Windows server 2003 служба Маршрутизация и удаленный доступ отключена. Ее активация выполняется с помощью Мастера настройки сервера маршрутизации и удаленного доступа. Если сервер маршрутизации является рядовым членом домена Active Directory, то он должен быть включен в группу Серверы RAS и IAS. Контроллеры домена в дополнительной настройке не нуждаются.

№ слайда 43

Описание слайда:

Консоль управления Маршрутизация и удаленный доступ представляет собой стандартную оснастку консоли управления в Windows. В конфигурации по умолчанию поддерживается маршрутизация в ЛВС. Консоль управления Маршрутизация и удаленный доступ представляет собой стандартную оснастку консоли управления в Windows. В конфигурации по умолчанию поддерживается маршрутизация в ЛВС.

№ слайда 44

Описание слайда:

Сетевой интерфейс в консоли управления – программный компонент, подключаемый к физическому устройству (модему или сетевой плате). Сетевой интерфейс в консоли управления – программный компонент, подключаемый к физическому устройству (модему или сетевой плате). Все интерфейсы, через которые необходимо маршрутизировать трафик должны присутствовать в консоли управления. Если необходимо сконфигурировать маршрутизацию через подключение по требованию или постоянное подключение по коммутируемой линии, VPN или PPOE-подключение (Point-to-Point Protocol over Ethernet), необходимо выполнить конфигурирование интерфейсов в ручную.

Описание слайда:

При выборе данного пути сервер со службой маршрутизации и удаленного доступа настроен для разрешения подключения клиентов удаленного доступа к частной сети с помощью вызова банка модема или другого оборудования удаленного доступа. При выборе данного пути сервер со службой маршрутизации и удаленного доступа настроен для разрешения подключения клиентов удаленного доступа к частной сети с помощью вызова банка модема или другого оборудования удаленного доступа. Дополнительные настройки: установка ответа сервера на вызов; установка разрешений для клиентов удаленного доступа для подключения к частной сети и перенаправления сетевого трафика между клиентами удаленного доступа и частной сетью.

№ слайда 47

Описание слайда:

При выборе данного пути сервер со службой маршрутизации и удаленного доступа настроен для разрешения подключения клиентов удаленного доступа к частной сети через Интернет. При выборе данного пути сервер со службой маршрутизации и удаленного доступа настроен для разрешения подключения клиентов удаленного доступа к частной сети через Интернет. После окончания работы мастера можно настроить дополнительные параметры. Например, можно настроить: как сервер проверяет разрешения клиентов VPN для подключения к частной сети и направляет ли сервер сетевой трафик между клиентами VPN и частной сетью.

№ слайда 48

Описание слайда:

При выборе данного пути сервер со службой маршрутизации и удаленного доступа настроен для совместного использования с компьютерами частной сети подключения к Интернету и для передачи трафика между общим адресом и частной сетью. При выборе данного пути сервер со службой маршрутизации и удаленного доступа настроен для совместного использования с компьютерами частной сети подключения к Интернету и для передачи трафика между общим адресом и частной сетью. После окончания работы мастера можно настроить дополнительные параметры. Например, можно настроить фильтры пакетов и выбрать службы для общего интерфейса.

№ слайда 49

Описание слайда:

Узел ip – маршрутизация используется дла настройки основных параметров по протоколу IP. Узел ip – маршрутизация используется дла настройки основных параметров по протоколу IP. По умолчанию содержится три подузла: Общие Статические маршруты NAT / простой брандмауэр

№ слайда 50

Описание слайда:

№ слайда 51

Описание слайда:

Мрашрутизаторы считывают адреса назначения пакетов и переправляют пакеты в соответствии с информацией, хранящейся в таблицах маршрутизации. Мрашрутизаторы считывают адреса назначения пакетов и переправляют пакеты в соответствии с информацией, хранящейся в таблицах маршрутизации. Отдельные записи таблицы маршрутизации называются маршрутами. Существуют три типа маршрута: Маршрут узла – определяет ссылку на определенный узел или широковещательный адрес. Маска маршрута – 255.255.255.255; Маршрут сети – определяет маршрут к определенной сети, а соответствующее поле в таблицах маршрутизации может содержать произвольную маску; Маршрут по умолчанию – один маршрут, по которому отправляются все пакеты, чей адрес не совпадает ни с одним адресов таблицы маршрутизации. Просмотр таблицы маршрутизации может быть выполнен с помощью команд route print netstat -r

№ слайда 52

Описание слайда:

Защита периметра сети предусматривает создание условий препятствующих проникновению постороннего трафика из внешней сети во внутреннюю сеть организации (и возможно ограничение трафика из внутренней сети во внешнюю). Защита периметра сети предусматривает создание условий препятствующих проникновению постороннего трафика из внешней сети во внутреннюю сеть организации (и возможно ограничение трафика из внутренней сети во внешнюю). Одним из средств защиты является использование брандмауэров (межсетевых экранов).

№ слайда 56

Описание слайда:

Интернет приложения используют HTTP для туннелирования трафика приложений Интернет приложения используют HTTP для туннелирования трафика приложений ISA Server 2004 включает HTTP фильтры для: Обеспечения контроля за всем HTTP трафиком Обеспечения URLScan функциональности по периметру сети организации Возможность объединения с URLScan внутренних веб-серверов для обеспечения согласования разрешенного трафика HTTP фильтры могут обеспечить фильтрацию: На основе анализа HTTP запросов, ответов, заголовков и содержания контента На основе расширений файлов, методов передачи и цифровых подписей

Понятие ИБ ИБ-Защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Три кита Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Целостностью - актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Конфиденциальность – это защита от несанкционированного доступа к информации

Понятие ИБ "Компьютерная безопасность" (как эквивалент или заменитель ИБ) слишком узкий подход Компьютеры – только одна из составляющих информационных систем Безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).

«Неприемлемый ущерб» Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя

Угроза – это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, – злоумышленником (malicious) Потенциальные злоумышленники называются источниками угрозы.

Классификация угроз по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь; по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); по способу осуществления (случайные/преднамеренные действия природного/техногенного характера); по расположению источника угроз (внутри/вне рассматриваемой ИС).

Угрозы доступности Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. По некоторым данным, до 65% потерь – следствие непреднамеренных ошибок. Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе. Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками – максимальная автоматизация и строгий контроль

Отказ пользователей Нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками); Невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.); Невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).

Внутренние отказы Отступление (случайное или умышленное) от установленных правил эксплуатации; Выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.); Ошибки при (пере)конфигурировании системы; Отказы программного и аппаратного обеспечения; Разрушение данных; Разрушение или повреждение аппаратуры.

Отказ поддерживающей инфраструктуры Нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования; Разрушение или повреждение помещений; Невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

"обиженные" сотрудники Весьма опасны так называемые "обиженные" сотрудники – нынешние и бывшие. Как правило, они стремятся нанести вред организации- "обидчику", например: испортить оборудование; встроить логическую бомбу, которая со временем разрушит программы и/или данные; удалить данные. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

Стихийные бедствия стихийные бедствия и события, воспринимаемые как стихийные бедствия,– грозы, пожары, наводнения, землетрясения, ураганы. По статистике, на долю огня, воды и тому подобных "злоумышленников" (среди которых самый опасный – перебой электропитания) приходится 13% потерь, нанесенных информационным системам

Вредоносное программное обеспечение Вредоносная функция; Способ распространения; Внешнее представление. Т.н. "бомбы" предназначаются для: внедрения другого вредоносного ПО; получения контроля над атакуемой системой; агрессивного потребления ресурсов; изменения или разрушения программ и/или данных.

По механизму распространения различают: вирусы – код, обладающий способностью к распространению (возможно, с изменениями) путем внедрения в другие программы; "черви" – код, способный самостоятельно, то есть без внедрения в другие программы, вызывать распространение своих копий по ИС и их выполнение (для активизации вируса требуется запуск зараженной программы).

Основные угрозы целостности Статическая целостность ввести неверные данные; изменить данные. Динамическая целостность нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

Основные угрозы конфиденциальности Служебная информация (пароли) Предметная информация Перехват данных - Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их, например на кабельную сеть, может кто угодно, так что эту угрозу нужно принимать во внимание по отношению не только к внешним, но и к внутренним коммуникациям Маскарад-представление за другого Злоупотребление полномочиями

Первый шаг при построении системы ИБ организации – детализация аспектов: доступность, целостность, конфиденциальность Важность проблематики ИБ объясняется двумя основными причинами: ценностью накопленных информационных ресурсов; критической зависимостью от информационных технологий. Разрушение важной информации, кража конфиденциальных данных, перерыв в работе вследствие отказа – все это выливается в крупные материальные потери, наносит ущерб репутации организации. Проблемы с системами управления или медицинскими системами угрожают здоровью и жизни людей.

Подтверждением сложности проблематики ИБ является параллельный (и довольно быстрый) рост затрат на защитные мероприятия и количества нарушений ИБ в сочетании с ростом среднего ущерба от каждого нарушения. (Последнее обстоятельство - еще один довод в пользу важности ИБ.)

Российская ситуация Российские правовые акты в большинстве своем имеют ограничительную направленность. Лицензирование и сертификация не обеспечивают безопасности. К тому же в законах не предусмотрена ответственность государственных органов за нарушения ИБ. Реальность такова, что в России в деле обеспечения ИБ на помощь государства рассчитывать не приходится. (Кто переходит на зеленый сигнал светофора).

Оранжевая книга абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе. "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".

Элементы политики безопасности произвольное управление доступом метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. (может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту) безопасность повторного использования объектов для областей оперативной памяти и дисковых блоков и магнитных носителей в целом метки безопасности Метка субъекта описывает его благонадежность, метка объекта – степень конфиденциальности содержащейся в нем информации. принудительное управление доступом Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. Смысл сформулированного правила понятен – читать можно только то, что положено.

Стандарт ISO/IEC "Критерии оценки безопасности информационных технологий" идентификация и аутентификация; защита данных пользователя; защита функций безопасности (требования относятся к целостности и контролю данных сервисов безопасности и реализующих их механизмов); управление безопасностью (требования этого класса относятся к управлению атрибутами и параметрами безопасности); аудит безопасности (выявление, регистрация, хранение, анализ данных, затрагивающих безопасность объекта оценки, реагирование на возможное нарушение безопасности); доступ к объекту оценки; приватность (защита пользователя от раскрытия и несанкционированного использования его идентификационных данных); использование ресурсов (требования к доступности информации); криптографическая поддержка (управление ключами); связь (аутентификация сторон, участвующих в обмене данными); доверенный маршрут/канал (для связи с сервисами безопасности).

Административный уровень Главная задача мер административного уровня – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Разработка политики и программы безопасности начинается с анализа рисков, первым этапом которого, в свою очередь, является ознакомление с наиболее распространенными угрозами

Главные угрозы – внутренняя сложность ИС, непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. На втором месте по размеру ущерба стоят кражи и подлоги. Реальную опасность представляют пожары и другие аварии поддерживающей инфраструктуры.

Необходимым условием для построения надежной, экономичной защиты является рассмотрение жизненного цикла ИС и синхронизация с ним мер безопасности. Этапы жизненного цикла: инициация; закупка; установка; эксплуатация; выведение из эксплуатации.

Сервисы безопасности идентификация и аутентификация; управление доступом; протоколирование и аудит; шифрование; контроль целостности; экранирование; анализ защищенности; обеспечение отказоустойчивости; обеспечение безопасного восстановления; туннелирование; управление.

1 слайд

2 слайд

Информационная безопасность – состояние защищенности информационной среды. Защита информации – действия по предотвращению возможного повреждения или уничтожения информации, а также несанкционированного доступа к ней (но вместе с тем – обеспечение беспрепятственного доступа к информации со стороны легитимных пользователей)

3 слайд

Меры по обеспечению информационной безопасности технические правовые Аппаратные и программные средства и технологии защиты от вредоносных программ, внешних сетевых атак и пр. (в том числе антивирусные программы) Совокупность нормативных и правовых актов, регулирующих вопросы защиты информации

4 слайд

Правовые основы информационной безопасности Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации» (принят 27 июля 2006 г.) Статья 1 гласит, что данный закон «регулирует отношения, возникающие при: 1) осуществлении права на поиск, получение, передачу, производство и распространение информации; 2) применении информационных технологий; 3) обеспечении защиты информации». Статья 3 формулирует понятия «безопасность» и «защита информации» в рамках принципов правового регулирования отношений в сфере информации, информационных технологий и защиты информации. В качестве одного из основных принципов постулируется «обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации».

5 слайд

Правовые основы информационной безопасности Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации» (принят 27 июля 2006 г.) Статья 10 «Распространение информации или предоставление информации» затрагивает проблему спам-рассылок. Статья 16 рассматривает основные понятия и положения, касающиеся защиты информации. Cтатья 17 определяет ответственность за правонарушения в сфере информации, информационных технологий и защиты информации.

6 слайд

Правовые основы информационной безопасности Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации» (принят 27 июля 2006 г.) Любые деяния, приводящие к повреждению или уничтожению информации, к ее намеренному искажению, а также стремление получить неправомерный доступ к чужой конфиденциальной информации (то, чем занимаются авторы вирусов, троянов и других вредоносных программ) являются преступлением

7 слайд

Правовые основы информационной безопасности Федеральный закон № 152-ФЗ «О персональных данных» (принят 27 июля 2006 г.) определяет основные понятия и положения о защите персональной, т. е. личной информации каждого человека. Статья 3 гласит, что персональные данные – это «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».

8 слайд

Правовые основы информационной безопасности Уголовный кодекс Российской Федерации (УК РФ) №63-ФЗ (принят 13 июня 1996 г.) определяет меры наказания за преступления, связанные с компьютерной информацией. Глава 28 Статья 272. Неправомерный доступ к компьютерной информации. Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

9 слайд

Правовые основы информационной безопасности Уголовный кодекс Российской Федерации (УК РФ) №63-ФЗ (принят 13 июня 1996 г.) Глава 28. Статья 272 1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет. 2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

10 слайд

Правовые основы информационной безопасности Уголовный кодекс Российской Федерации (УК РФ) №63-ФЗ (принят 13 июня 1996 г.) Глава 28. Статья 273 1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев. 2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.

11 слайд

Правовые основы информационной безопасности Уголовный кодекс Российской Федерации (УК РФ) №63-ФЗ (принят 13 июня 1996 г.) Глава 28. Статья 274 1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет. 2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.

12 слайд

Правовые основы информационной безопасности Наказания за создание вредоносных программ штраф и конфискация компьютерного оборудования тюремный срок смертная казнь (Филлипины)

13 слайд

Правовые основы информационной безопасности Знаменитые хакеры Кэвин Митник – арестован 15 февраля 1995 г., приговорен к 46 месяцам реального и трем годам условного заключения, а также к выплате значительного штрафа (вышел на свободу 21 января 2000 г.). Пьер-Ги Лавуа, 22-летний канадский хакер – согласно канадским законам, приговорен к 12 месяцам общественных работ и к условному заключению на 12 месяцев за подбор паролей с целью проникновения в чужие компьютеры. 26-летний Василий Горшков из Челябинска – 10 октября 2001 г. приговорен по 20 пунктам обвинения за многочисленные компьютерные преступления. Олег Зезев, гражданин Казахстана – 1 июля 2003 г. приговорен Манхэттенским федеральным судом к 51 месяцу заключения за компьютерное вымогательство/

14 слайд

Лицензия (пользовательская лицензия) – набор правил распространения, доступа и использования информации, устанавливаемый (в рамках, допустимых законом) собственником программы - ее создателем или продавцом. Лицензионная политика – комплексный механизм, определяющий всю совокупность условий предоставления той или иной программы пользователям, включая систему ценовых скидок и оговоренные в лицензии ограничения и специальные условия ее использования Основы лицензионной политики в сфере распространения программ и данных

15 слайд

Виды ПО Собственническое (проприетарное) Свободное и открытое Коммерческое (commercia) Пробное (trial) и демо-версии (demo) Условно-бесплатное (shareware) Бесплатное (freeware) Свободное (free software) Открытое (open source)

16 слайд

Программы, распространяемые только путем продажи. Возможен вариант, когда сама программа предоставляется бесплатно, а продаже подлежит подписка на осуществляемые при помощи этой программы онлайн или иные услуги. Возможен вариант, когда плата взимается как за саму программу (однократно при ее покупке), так и в виде абонентской платы за некоторый период времени. Коммерческое ПО

18 слайд

Программы, которые можно получить и использовать бесплатно, но с определенными ограничениями, указанными в лицензии (например, разрешается бесплатное использование только в некоммерческих, личных целях или в образовательных учреждениях), либо имеется обращение к пользователю с просьбой о небольшом добровольном денежном пожертвовании в качестве вознаграждения автору в качестве стимула к дальнейшему совершенствованию программы, если она понравилась данному пользователю. Условно-бесплатное ПО (shareware)

19 слайд

Программы, которые, согласно лицензии, вообще не требуют никаких денежных выплат автору. Ограничиваются лишь возможные действия пользователя по отношению к этой программе, – например, допускается только ее личное использование «как есть», но не разрешено что-либо менять в исполняемом коде, переписывать программу другим лицам и т.д. Как правило, это программы, созданные отдельными энтузиастами «для себя и для друзей» либо написанные начинающими программистами, желающими «создать себе имя». Бесплатное ПО (freeware)

20 слайд

Предполагает, что пользователю (согласно особой, свободной лицензии) предоставляются права («свободы») на неограниченные установку, запуск, свободное использование, изучение, распространение и изменение (совершенствование) таких программ. Свободное ПО (free software) Основной акцент делается на предоставлении вместе с исполняемой программой ее исходного программного кода (листинга), открытого для просмотра, изучения и внесения изменений. Открытой лицензией разрешается дорабатывать открытую программу (вносить изменения и исправления в ее исходный код с последующей компиляцией в новую версию исполняемой программы) и использовать фрагменты ее исходного кода для создания собственных программ. Однако свободность и даже бесплатность открытых программ необязательны, хотя большинство открытых программ также одновременно являются бесплатными. Открытое ПО (open source software)

21 слайд

Коммерческая лицензия Типовые условия, указанные в лицензии (лицензионном соглашении) на коммерческую программу: 1) исключительные имущественные права на все компоненты программного пакета принадлежат правообладателю, покупка программы не передает пользователю никаких прав собственности, а только перечисленные в лицензии права на использование этой программы при соблюдении ряда оговоренных условий, а также права на получение обновлений и указанных в лицензии сервисных услуг; 2) для юридической фиксации соглашения между правообладателем и пользователем достаточно, чтобы пользователь выразил свое согласие, нажав на кнопку Согласен (или аналогичную) и продолжив установку программы, а не прервав этот процесс; 3) четко оговорено, что пользователь может делать с программой (или с ее помощью) и какие еще услуги (и при каких условиях) он может получать от правообладателя;

22 слайд

Коммерческая лицензия Типовые условия, указанные в лицензии (лицензионном соглашении) на коммерческую программу: 4) определяется возможность для пользователя изготавливать для себя «страховочную» (архивную) копию программы, а также полностью передавать свои права, оговоренные лицензией, другому пользователю; 5) указаны действия над программой, которые запрещено производить пользователю; 6) присутствует ряд указаний на ситуации, при которых правообладатель (изготовитель программы) снимает с себя ответственность за неправильную работу либо полную неработоспособность программы, а также за возможный прямой или косвенный ущерб от ее использования.

24 слайд

Открытая лицензия GNU GPL В отличие от коммерческой, открытая лицензия (GNU General Public License, GNU GPL) удостоверяет, что данное ПО является свободным для всех его пользователей, и гарантирует им следующие права («свободы»): свободу запуска программы с любой целью; свободу изучения исходного кода программы, принципов ее работы и ее улучшения (модификации); свободу распространения копий программы; свободу улучшений и доработок программы и выпуска новых ее версий в публичный доступ. Кроме того, лицензия GNU GPL гарантирует, что пользователи всех программ, созданных на основе упомянутого исходного кода, тоже получат все вышеперечисленные права. Например, запрещается создавать на основе свободной программы с лицензией GPL какое-либо другое ПО, в комплекте которого не будет предоставлен открытый исходный листинг.

25 слайд

Угрозы при использовании нелицензионного ПО Нелицензионным (пиратским) – называют программное обеспечение, полученное и/или используемое незаконным способом, т. е. в нарушение правил пользовательской лицензии (как правило, от третьих лиц или через третьих лиц, не имеющих прав на распространение такой программы).

26 слайд

Угрозы при использовании нелицензионного ПО Распространение и использование нелицензионного ПО является нарушением Закона об охране авторских прав, за что виновный несет гражданскую, административную или уголовную ответственность «Взламывая» защиту программы, хакер может по незнанию повредить ее код. Работа «взломанной» программы становится нестабильной. Кроме того, хакеры используют «взломанные» программы в качестве «приманки», встраивая в них «троянские программы» Сайты и диски, посредством которых распространяются «взломанные» программы либо средства для их «взлома», бывают заражены различными вредоносными программами Пользуясь нелицензионным программным обеспечением, вы подвергаете опасности данные на вашем компьютере. В результате вам в лучшем случае потребуется заново переустанавливать операционную систему и все прикладное ПО, а в худшем это может привести к невосстановимой потере результатов вашей работы за длительный период времени либо к тому, что ваша конфиденциальная информация (а может быть, и деньги) окажется в руках злоумышленников. Подобный ущерб может оказаться существенно большим, чем стоимость лицензионной версии программы.