СЕВКИТИП

СЕВКИТИП, Севастопольский колледж информационных технологий и
промышленности
ИНДИВИДУАЛЬНЫЙ ПРОЕКТ
По дисциплине ОУП.09 «Информатике»
Выполнил-Передриенко Н.С
Группа ССА-24
Научный руководитель-Вишнякова М.О
Оценка за работу____________
(прописью)
Севастополь,2024
Оглавление
Введение ...................................................................................................................................................... 3
Основные определения............................................................................................................................. 4
Ключевые принципы................................................................................................................................ 5
Конфиденциальность ............................................................................................................................... 8
Целостность ................................................................................................................................................ 9
Доступность ..............................................................................................................................................10
Введение
Информационная
безопасность (англ. Information
Security,
а
также — англ. InfoSec) — практика предотвращения несанкционированного
доступа, использования, раскрытия, искажения, изменения, исследования,
записи или уничтожения информации. Это универсальное понятие
применяется
вне
зависимости
от
формы,
которую
могут
принимать данные (электронная или, например, физическая). Основная задача
информационной
безопасности —
сбалансированная
защита конфиденциальности, целостности и доступности данных[1], с учётом
целесообразности
применения
и
без
какого-либо
ущерба производительности организации[2]. Это достигается, в основном,
посредством многоэтапного процесса управления рисками, который позволяет
идентифицировать основные
средства и нематериальные
активы,
источники угроз, уязвимости, потенциальную степень воздействия и
возможности управления рисками. Этот процесс сопровождается оценкой
эффективности плана по управлению рисками[3].
Для того, чтобы стандартизовать эту деятельность, научное и
профессиональное сообщества находятся в постоянном сотрудничестве,
направленном на выработку базовой методологии, политик и индустриальных
стандартов в области технических мер защиты информации, юридической
ответственности,
а
также
стандартов
обучения пользователей и администраторов.
Эта
стандартизация
в
значительной мере развивается под влиянием широкого спектра
законодательных и нормативных актов, которые регулируют способы доступа,
обработки, хранения и передачи данных. Однако внедрение любых стандартов
и методологий в организации может иметь лишь поверхностный эффект, если
культура непрерывного
совершенствования[англ.] не
привита
должным
[4]
образом .
Основные определения
[править | править код]
Защищаемая информация — информация, подлежащая защите в соответствии
с требованиями нормативных правовых актов или требованиями,
устанавливаемыми обладателем информации[45].
Обладатель информации — лицо, самостоятельно создавшее информацию
либо получившее на основании закона или договора право разрешать или
ограничивать доступ к информации, определяемой по каким-либо признакам.
Обладателями информации могут быть: государство, юридическое лицо,
группа физических лиц, отдельное физическое лицо[45].
Безопасность информации — такое состояние защищенности информации,
при
котором
обеспечены
её конфиденциальность, целостность и доступность[45].
Организация защиты информации — совокупность действий, направленных
на выявление угроз безопасности информации, планирование, реализацию
мероприятий по защите информации и контроль состояния защиты
информации[45].
Система защиты информации — совокупность органов и (или) исполнителей,
используемой ими техники защиты информации, а также объектов защиты
информации, организованная и функционирующая в соответствии с
требованиями о защите информации[45].
Политика безопасности информации в организации — совокупность
документированных правил, процедур, практических приёмов или
руководящих принципов в области безопасности информации, которыми
руководствуется организация в своей деятельности[45].
«Информационная безопасность» в различных источниках
[править | править код]
Ниже приведены определения термина «информационная безопасность» из
различных источников:

Сохранение конфиденциальности, целостности и доступности информа
ции. Примечание: также сюда могут быть включены другие свойства,
такие
как подлинность, подотчетность, неотказуемость (англ. nonrepudiation) и достоверность[46].

Защита информации и информационных систем от неавторизованного
доступа, использования, раскрытия, искажения, изменения или
уничтожения в целях обеспечения конфиденциальности, целостности и
доступности[1].

Обеспечение защиты информации на предприятии от раскрытия
неавторизованным
пользователям
(конфиденциальность),
противоправного изменения (целостность) и недоступности, когда она
необходима (доступность)[47].

Процесс защиты интеллектуальной собственности организации[48].

Одна из дисциплин управления рисками, чьей задачей является
управление стоимостью информационных рисков для бизнеса[49].

Обоснованная уверенность в том, что информационные риски
уравновешены соответствующими мерами контроля и управления[50].

Защита информации, минимизирующая риск разглашения информации
неавторизованным лицам[51].

Мультидисциплинарная область исследований и профессиональной
деятельности, которая сосредоточена на развитии и внедрении
всевозможных
механизмов
безопасности
(технических,
организационных, человекоориентированных, юридических) с целью
предохранения информации от угроз повсюду, где бы она ни находилась
(как внутри периметра организации, так и за его пределами) и,
соответственно, информационных систем, в которых информация
создаётся, обрабатывается, хранится, передаётся и уничтожается.
Перечень целей безопасности может включать конфиденциальность,
целостность, доступность, неприкосновенность частной жизни,
подлинность и достоверность, неотказуемость, подотчетность и
проверяемость[52].

Процесс баланса между возникающими, воздействующими угрозами и
успешностью противодействия этим угрозам со стороны органов
государственной
власти,
отвечающих
за
безопасность
[53][неавторитетный источник]
государства
.
Ключевые принципы
[править | править код]
Триада CIA.
В 1975 году Джерри Зальцер[англ.] и Майкл Шрёдер в статье «Защита
информации в компьютерных системах»[54] впервые предложили разделить
нарушения безопасности на три основных категории: неавторизованное
раскрытие
информации (англ. unauthorized
information
release), неавторизованное
изменение
информации (англ. Unauthorized
information
modification)
и неавторизованный
отказ
в
доступе (англ. Unauthorized denial of use) к информации. Позднее эти
категории получили краткие наименования и стандартизированные
определения:
Confidentiality с англ. — «конфиденциальность» — свойство информации
быть недоступной или закрытой для неавторизованных лиц, сущностей или
процессов[55];
Integrity с англ. — «целостность» — свойство сохранения правильности и
полноты активов[56];
Availability с англ. — «доступность» — свойство информации быть доступной
и готовой к использованию по запросу авторизованного субъекта, имеющего
на это право[55].
В совокупности эти три ключевых принципа информационной безопасности
именуются триадой CIA[57].
В 1992 году ОЭСР опубликовала свою собственную модель информационной
безопасности,
состоящую
из
девяти
принципов: осведомлённость, ответственность, противодействие, этика, д
емократия, оценка риска, разработка и внедрение безопасности, управление
безопасностью, пересмотр[58][К 4]. В 1996 году на основе публикации ОЭСР
1992 года
американский Национальный
институт
стандартов
и
технологий (NIST) сформулировал восемь основных принципов, которые
гласят, что компьютерная безопасность «поддерживает миссию организации»,
«является неотъемлемой составляющей рационального менеджмента»,
«должна быть экономически эффективной», «требует всеобъемлющего и
комплексного подхода», «ограничивается социальными факторами», «должна
периодически подвергаться пересмотру», «обязанности и ответственность за
компьютерную безопасность должны быть чётко сформулированы», а
«владельцы систем несут ответственность за безопасность за пределами своей
организации»[60]. На основе этой модели в 2004 году NIST опубликовал 33
принципа
инженерного
проектирования
систем
информационной
безопасности, для каждого из которых были разработаны практические
руководства и рекомендации, которые по сей день постоянно развиваются и
поддерживаются в актуальном состоянии[61].
В 1998 году Донн Паркер[англ.] дополнил классическую триаду CIA ещё тремя
аспектами: владение
или
контроль (англ. Possession
or
Control), аутентичность (англ. Authenticity)
и полезность (англ. Utility)[62].
Достоинства
этой
модели,
получившей
название Паркеровская
[англ.]
гексада
(от hexad с англ. — «группа из шести предметов»), являются
предметом
дискуссий
среди
специалистов
по
информационной
[63]
безопасности .
В
2009 году министерство
обороны
США опубликовало
«Три
основополагающих принципа компьютерной безопасности»: подверженность
системы
[риску] (англ. System
Susceptibility), доступность
уязвимости (англ. Access to the Flaw) и способность эксплуатировать
уязвимость (англ. Capability to Exploit the Flaw)[64][65][66].
В 2011 году международный консорциум The Open Group опубликовал
стандарт управления информационной безопасностью O-ISM3[англ.], в котором
отказался от концептуального определения компонентов классической триады
CIA в пользу их операционального определения. Согласно O-ISM3, для
каждой организации можно идентифицировать индивидуальный набор целей
безопасности, относящихся к одной из пяти категорий, которые соответствуют
тому
или
иному
компоненту
триады: приоритетные
цели
безопасности (конфиденциальность), долгосрочные
цели
безопасности (целостность), цели качества информации (целостность), цели
контроля доступа (доступность) и технические цели безопасности. [67].
Из всех упомянутых выше моделей информационной безопасности
классическая триада CIA по-прежнему остаётся наиболее признанной и
распространённой в международном профессиональном сообществе[57]. Она
зафиксирована в национальных[1] и международных стандартах[46] и вошла в
основные образовательные и сертификационные программы по
информационной безопасности, такие как CISSP[68] и CISM[англ.][69]. Некоторые
российские авторы используют кальку с него — «триада КЦД»[57]. В
литературе все её три составляющих: конфиденциальность, целостность и
доступность синонимически упоминаются, как принципы, атрибуты
безопасности, свойства, фундаментальные
аспекты, информационные
критерии, важнейшие
характеристики или базовые
структурные
[5]
элементы .
Между тем, в профессиональном сообществе не прекращаются дебаты о
соответствии триады CIA стремительно развивающимся технологиям и
требованиям бизнеса. В результате этих дискуссий появляются рекомендации
о необходимости установки взаимосвязи между безопасностью и
неприкосновенностью частной жизни, а также утверждения дополнительных
принципов[5]. Некоторые из них уже включены в стандарты Международной
организации по стандартизации (ISO):

подлинность (англ. authenticity) — свойство,
субъект или ресурс идентичны заявленному;
гарантирующее,
что

подотчётность[англ.] (англ. accountability) — ответственность субъекта
за его действия и решения;

невозможность отказа[англ.] (англ. non-repudiation[К 5]) — способность
удостоверять имевшее место событие или действие и их субъекты так,
чтобы это событие или действие и субъекты, имеющие к нему
отношение, не могли быть поставлены под сомнение;

достоверность (англ. reliability) —
свойство
предусмотренному поведению и результатам[46].
соответствия
Конфиденциальность
[править | править код]
Основная статья: Конфиденциальность
Конфиденциальность информации достигается предоставлением к ней
доступа c наименьшими привилегиями исходя из принципа минимальной
необходимой осведомлённости[англ.] (англ. need-to-know). Иными словами,
авторизованное лицо должно иметь доступ только к той информации, которая
ему необходима для исполнения своих должностных обязанностей.
Упомянутые выше преступления против неприкосновенности частной жизни,
такие, как кража личности, являются нарушениями конфиденциальности.
Одной из важнейших мер обеспечения конфиденциальности является
классификация информации, которая позволяет отнести её к строго
конфиденциальной, или предназначенной для публичного, либо внутреннего
пользования. Шифрование информации — характерный пример одного из
средств обеспечения конфиденциальности[70].
Целостность
[править | править код]
Основная статья: Целостность информации
Чёткое осуществление операций или принятие верных решений в организации
возможно лишь на основе достоверных данных, хранящихся в файлах, базах
данных или системах, либо транслируемых по компьютерным сетям. Иными
словами, информация должна быть защищена от намеренного,
несанкционированного или случайного изменения по сравнению с исходным
состоянием, а также от каких-либо искажений в процессе хранения, передачи
или обработки. Однако её целостности угрожают компьютерные вирусы
и логические бомбы, ошибки программирования и вредоносные изменения
программного кода, подмена данных, неавторизованный доступ, бэкдоры и
тому подобное. Помимо преднамеренных действий, во многих случаях
неавторизованные изменения важной информации возникают в результате
технических сбоев или человеческих ошибок по оплошности или из-за
недостаточной профессиональной подготовки. Например, к нарушению
целостности ведут: случайное удаление файлов, ввод ошибочных значений,
изменение настроек, выполнение некорректных команд, причём, как рядовыми
пользователями, так и системными администраторами[70][71].
Для защиты целостности информации необходимо применение множества
разнообразных мер контроля и управления изменениями информации и
обрабатывающих её систем. Типичным примером таких мер является
ограничение круга лиц с правами на изменения лишь теми, кому такой доступ
необходим для выполнения служебных обязанностей. При этом следует
соблюдать принцип разграничения полномочий[англ.], согласно которому
изменения в данные или информационную систему вносит одно лицо, а
подтверждает их или отклоняет — другое. Кроме того, любые изменения в
ходе жизненного
цикла
информационных
системы должны
быть
согласованны, протестированы на предмет обеспечения информационной
целостности
и
внесены
в
систему
только
корректно
сформированными транзакциями. Обновления программного обеспечения
необходимо производить с соблюдением мер безопасности. Любые действия,
влекущие изменения, должны быть обязательно протоколированы[70][71].
Доступность
[править | править код]
Основная статья: Доступность информации
Согласно этому принципу, информация должна быть доступна
авторизованным лицам, когда это необходимо. Основными факторами,
влияющими на доступность информационных систем, являются DoSатаки (аббревиатура от Denial of Service с англ. — «отказ в обслуживании»),
атаки программ-вымогателей, саботаж. Кроме того, источником угроз
доступности являются непреднамеренные человеческие ошибки по
оплошности или из-за недостаточной профессиональной подготовки:
случайное удаление файлов или записей в базах данных, ошибочные
настройки систем; отказ в обслуживании в результате превышения
допустимой мощности или недостатка ресурсов оборудования, либо аварий
сетей связи; неудачно проведённое обновление аппаратного или программного
обеспечения; отключение систем из-за аварий энергоснабжения.
Существенную роль в нарушении доступности играют также природные
катастрофы: землетрясения, смерчи, ураганы, пожары, наводнения и тому
подобные явления. Во всех случаях конечный пользователь теряет доступ к
информации, необходимой для его деятельности, возникает вынужденный
простой. Критичность системы для пользователя и её важность для выживания
организации в целом определяют степень воздействия времени простоя.
Недостаточные меры безопасности увеличивают риск поражения
вредоносными программами, уничтожения данных, проникновения извне или
DoS-атак. Подобные инциденты могут сделать системы недоступными для
обычных пользователей[72].
Заключение
В современном мире информационная безопасность является одним из
ключевых аспектов защиты данных и личной информации. С развитием
технологий и увеличением объема цифровой информации становится все
более важным обеспечить надежную защиту от киберугроз и взломов.
Понимание и осознание рисков, связанных с утечкой и
несанкционированным доступом к данным, помогают принять необходимые
меры по защите информации. Обучение сотрудников компании и
использование современных технологий, таких как антивирусное
программное обеспечение, брандмауэры и шифрование данных, позволяют
обеспечить безопасность информации.
Тем не менее, важно помнить, что информационная безопасность требует
постоянного обновления и адаптации к изменяющимся условиям. Только
комплексный подход, сочетающий технологические решения, правила
безопасности и обучение персонала, обеспечит надежную защиту данных и
информации.
Информационная безопасность - это не только вопрос технологий, но и
вопрос осознания рисков и принятия мер по их предотвращению. Только
совместные усилия всех участников процесса позволят создать надежную
систему защиты информации и обеспечить сохранность данных.
Список используемой литературы и ссылки
Литература
[править | править код]
↑ Показать компактно

Гай Светоний Транквилл. Книга первая // Жизнь двенадцати цезарей =
De vita XII caesarvm : [пер. с лат.] / перевод Гаспаров М.. — М. :
Издательство «Наука», 1964. — 374 с. — (Литературные памятники).

Сингх, Саймон. Книга шифров : Тайная история шифров и их
расшифровки. — М. : Издательство «АСТ», 2009. — 448 с. — ISBN 517-038477-7.

Измозик, В. С. «Черные кабинеты» : история российской перлюстрации.
XVIII — начало XX века. — М. : Новое литературное обозрение,
2015. — ISBN 978-5-4448-0392-9.

Жельников В. Язык сообщения // Криптография от папируса
компьютера. — М.: ABF, 1996. — 335 с. — ISBN 5-87484-054-0.

Анин,
Б. Ю.. «Марфинская
шаражка» //
Радиоэлектронный
шпионаж. — М. : Центрполиграф, 2000. — 491, [2] с., [8] л. ил.,
портр. — (Секретная папка). — 10 000 экз. — ISBN 5-227-00659-8.

Носов В. А. Краткий исторический очерк развития криптографии //
Московский университет и развитие криптографии в России, МГУ, 1718 октября, 2002 : материалы конференции. — 2002. — С. 20—32.

Токарева Н. Н. Об истории криптографии в России // Прикладная
дискретная математика. — 2012. — Декабрь (№ 4 (18)).

Алексей Лукацкий. Триада \"конфиденциальность, целостность,
доступность\": откуда она? // SecurityLab.ru. — 2012. — 20 сентября.

Концептуальные основы информационной безопасности Российской
Федерации / Шушков Г. М., Сергеев И. В. // Актуальные вопросы
научной и научно-педагогической деятельности молодых ученых :
сборник научных трудов III Всероссийской заочной научнопрактической конференции (23.11.2015 – 30.12.2015 г., Москва) / под
общ. ред. Е.А. Певцовой; редколл.: Е.А. Куренкова и др.. — М. : ИИУ
МГОУ, 2016. — ISBN 978-5-7017-2532-2.[неавторитетный источник]
до

Ежов, М. Ю. Один из мифов о крейсере «Магдебург» // Вопросы
истории. — 2007. — Вып. 2. — С. 152—156. — ISSN 0042-8779.

05.13.19 Методы и системы защиты информации, информационная
безопасность : [DOC] // Высшая аттестационная комиссия (ВАК). —
Дата обращения: 19.07.2018.

ГОСТ Р ИСО/МЭК 27000-2012 : Информационная технология (ИТ).
Методы и средства обеспечения безопасности. Системы менеджмента
информационной безопасности. Общий обзор и терминология :
[PDF] // Росстандарт. — Дата обращения: 20.07.2018
Ссылки
[править | править код]

Обзор. Средства защиты информации и бизнеса 2006. www.cnews.ru.
Дата обращения: 13 января 2019. CNews

Словарь терминов по безопасности и криптографии. www.profinfo.ru.
Дата обращения: 13 января 2019. Архивировано из оригинала 9 января
2006 года. Европейский институт стандартов по электросвязи

Доктрина
информационной
безопасности
Российской
Федерации. web.archive.org. Дата обращения: 13 января 2019.

Проект концепции совершенствования правового обеспечения
информационной безопасности Российской Федерации. web.archive.org.
Дата обращения: 13 января 2019.

Provos, Niels. Safe Browsing - Protecting Web Users for 5 Years and
Counting : [англ.] // Google Security Blog. — 2012. — 19 June. — Дата
обращения: 04.07.2018.

Dawes, Adam. Landing another blow against email phishing : [англ.] //
Google Security Blog. — 2012. — 29 January. — Дата обращения:
04.07.2018.

Dubal, Uttam, Rigot, Stu. Synthetic ID Theft (недоступная ссылка) :
[арх. 09.10.2015] : [англ.] // Cyber Space Times. — Дата обращения:
04.07.2018.

Identity Theft : [англ.] // Merriam-Webster.com. — Merriam-Webster. —
Дата обращения: 04.07.2018.

Glossary :
Information
security : [англ.] //
www.isaca.org. — ISACA[англ.]. — Дата обращения: 21.08.2018.

Slade, Rob. CIA TRIAD VERSUS PARKERIAN HEXAD : [англ.] // (ICS)2
Blog. — 2008. — 15 December. — Дата обращения: 07.09.2018.

The Three Tenets : [англ.] // Trusted End Node Security. — DOD. — Дата
обращения: 08.09.2018.

Teplow, Lily. Are Your Clients Falling for These IT Security Myths?
[CHART] : [англ.] // Continuum Blog. — Boston, MA, USA : Continuum
Managed Services, 2016. — 18 November. — Дата обращения: 08.09.2018.