Информация покупается и продается.

И. правомочно рассматривать как товар, имеющий определен­ную цену. Цена, как и ценность И., связаны с полезно­стью И. для конкретных людей, организаций, госу­дарств. И. м.б. ценной для ее владельца, но бес­полезной для других. В этом случае И. не м.б. товаром, а, следовательно, она не имеет и цены.

Информация м.б. получена тремя путями:

- проведением НИР.; покупкой И.; противоправным добыванием И.

Как любой товар, И. имеет себестоимость, кот.определяется затратами на ее получение.

При копировании, не изменяющем информационные параметры носителя, количество информации не меняется, а цена снижается.

Но если при копировании происходят воздействия на инф. параметры носителя, приводящие к изменению их значений, или незначительные изменения накапливаются, то количество И. уменьшается. Ухудшается ее качество.

Угрозы безопасности информации. Угрозы конфиденциальности, целостности доступности АС. Понятие политики безопасности. Дискреционная политика безопасности. Мандатная политика безопасности. Мандатная политика целостности.

Угрозы БИ. Угрозы конф., целостности доступности АС.

Угроза - потенциально возможное событие, действие, процесс или явление, кот.может привести к нанесению ущерба чьим-либо интересам.

Угроза ИБ АС -возможность реализации воздействия на И., обрабатываемую вАС, приводящего к искажению, уничтожению, копированию, блокировании доступа к И., а также возможность воздействия на компоненты АС. В наст.вр. рассматривается обширный перечень угроз ИБ АС. Наиболее характерные и часто реализуемые:

- несанкционированное копирование носителей И.;

- неосторожные действия, приводящие к разглашению конф. И.;

- игнорирование организационных ограничений при определении ранга системы.

Задание возможных угроз ИБ проводится с целью опред. полного перечня требований к разрабатываемой системе защиты. Перечень угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для анализа риска и формулирования требований к системе защиты АС. Кроме выяв­ления возможных угроз д.б. проведен анализ этих угроз на основе их классификации по ряду признаков.

Необходимость классификации обусловлена тем, что условия автоматизированной обработки И. такие, что накапливаемая, хранимая и обрабатываемая И. подверже­на случайным влияниям большого числа факторов, в силу чего становится невозможным описать полное множество угроз. Как следствие, для защ-ой системы опред. не полный перечень угроз, а перечень классов угроз.

• Конф-ть И.- свойство И., указывающее на необходимость введения ограничений на круг субъектов, имеющих доступ к данной И..

•Целостность И.- существование И. в неиска­женном виде (неизменном по отношению к некоторому фиксированно­му ее состоянию).

• Доступность И. - свойство системы, в кот.циркулирует И., характери­зующееся способностью обеспечивать своевременный беспрепятст­венный доступ субъектов к интересующей их И.

Т.о., приня­то считать, что ИБ АС обеспечена в случае, если для любых инф. ресурсов в системе поддерживается определенный уровень конф., целостности и доступно­сти. Соответственно дляАС было предложено рас­сматривать три основных вида угроз.

• Угроза нарушения конф. закл. в том, что И. становится известной тому, кто не располагает полномо­чиями доступа к ней. Происходит «утечка» И..

• Угрозанарушения целостности вкл. в себя любое умышленное изменение И., хранящейся в выч. системе или передаваемой из одной системы в другую. Целостность также будет нарушена, если к не­санкц. изменению приводит случ. ошибка про­гр. или апп. обеспечения. Санкц. изме­нениями являются те, которые сделаны уполномоченными лицами с обоснованной целью.

• Угроза отказа служб возникает, когда в результате преднамеренных действий, блокируется доступ к некоторому ресурсу выч. системы. Блокирование м.б. постоянным - запрашиваемый ресурс никогда не будет получен, или временным - вызывать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным.

Понятие политики безопасности

ПБ – совокупность норм и правил, регламентирующих процесс обработки И., обеспечивающих эффективную защиту системы обработки И. от заданного множества угроз. ПБ составляет необходимое, а иногда и достаточное условие безопасности системы. Формальное выражение политики безопасности, называется моделью безопасности. Существуют два типа политики безопасности: дискреционная и ман­датная.

Дискреционная политика безопасности

– политика безопасности осуществляемая на основании заданного администратором множества разрешенных отношений доступа.

Основой дискреционной ПБ яв­ляется дискреционное управление доступом, кот.определяется двумя свойствами:

- все S и O должны быть идентифицированы;

- права доступа S к O определяются на основа­нии некоторого внешнего по отношению к системе правила (заранее не закладывается в систему).

Достоинства: относительно простая реализация механизмов за­щиты. (Большинство распространенных в наст.вр. АС обеспечивают выполнение положений именно дан­ной ПБ).

Пример реализации дискреционной ПБ вАС - матрица доступов, строки которой соответствуют S системы, а столбцы - O; элементы матрицы характеризуют права доступа. Недостаток -статичность модели - не учитывает динамику из­менений состояния АС, не накладывает ограничений на состояния системы.

При исп. данной ПБ перед МБО, который при санкциони­ровании доступа S к O руководствуется некоторым набором правил, стоит алгоритмически неразрешимая задача: проверить приведут ли его действия к нарушению безопасности или нет.

В то же время имеются модели АС, реализующих дискреционную ПБ (например, модель Take-Grant), которые предоставляют алгоритмы проверки безопасности.

Так или иначе, матрица доступов не является тем механизмом, кото­рый бы позволил реализовать ясную и четкую систему защиты И. в АС.

Мандатная политика безопасности

– ПБ основанная на совокупности предоставления доступа, определенного на множестве атрибутов безопасности S и O.

Основу мандатной ПБ состав­ляет мандатное управление доступом, кот.подразумевает, что:

- все S и O системы д.б. однозначно идентифи­цированы;

- задан линейно упорядоченный набор меток секретности;

- каждому O присвоена метка секретности, определяю­щая ценность содержащейся в нем И. - его уровень секрет­ности в АС;

- каждому S присвоена метка секретности, определяю­щая уровень доверия к нему вАС - максимальное значение метки сек­ретности объектов, к которым субъект имеет доступ.

Основная цель мандатной ПБ- предотвращение утечки И. от O с высоким уровнем доступа к O с низким уровнем доступа, т.е. противодействие возникновению в АС ин­ф. потоков сверху вниз.

Достоинство – более высокая степень надежности, правила ясны и понятны.

Это связано с тем, что МБО такой системы должен отслеживать, не только правила доступа S системы к O, но и состояния самой АС. Т.о., каналы утечки в системах данного типа не заложены в нее непосредст­венно (что мы наблюдаем в положениях предыдущей ПБ), а могут появиться только при практической реализации системы вследствие ошибок разработчика. В дополнении к этому правила мандат­ной политики более ясны и просты для понимания разра­ботчиками и пользователями АС, что также является фактором, положи­тельно влияющим на уровень безопасности системы.

Недостатки– реализация систем с ПБ данного типа довольно сложна и требует значительных ресурсов выч. системы.

В качестве примера модели АС, реализующих мандатную ПБ можно привести модель Белла-Лапалуда. В рамках данной модели доказывается важное утверждение, указывающее на принципиальное отличие систем, реали­зующих мандатную защиту, от систем с дискреционной защитой: если на­чальное состояние системы безопасно, и все переходы системы из со­стояния в состояние не нарушают ограничений, сформулированных ПБ, то любое состояние системы безопасно.

Мандатная политика целостности (Абстрактная модель ЗИ)

Одной из первых моделей была опубликована в 1977 модель Биба. Согласно ей все S и O предварительно разделяются по нескольким уровням доступа, а затем на их взаимодействия накладываются следующие ограничения:

1) S не может вызывать на исполнение S-ы с более низким уровнем доступа;

2) S не может модифицировать O-ы с более высоким уровнем доступа.