Вводный урок ПМ.03 Эксплуатация объектов сетевой инфраструктуры
Вводный урок
ПМ.03 Эксплуатация объектов сетевой инфраструктуры
МДК 03.02 Обеспечение безопасности функционирования информационных систем
Профессиональный модуль ПМ.03 Эксплуатация объектов сетевой инфраструктуры является частью программы подготовки специалистов среднего звена по специальности СПО в соответствии с ФГОС по специальности СПО 09.02.02 Компьютерные сети (базовой подготовки) в части освоения основного вида профессиональной деятельности Эксплуатация объектов сетевой инфраструктуры и соответствующих профессиональных компетенций:
1. Устанавливать, настраивать, эксплуатировать и обслуживать технические и программно-аппаратные средства компьютерных сетей.
2. Проводить профилактические работы на объектах сетевой инфраструктуры и рабочих станциях.
3. Эксплуатация сетевых конфигураций.
4. Участвовать в разработке схемы послеаварийного восстановления работоспособности компьютерной сети, выполнять восстановление и резервное копирование информации.
5. Организовывать инвентаризацию технических средств сетевой инфраструктуры, осуществлять контроль поступившего из ремонта оборудования.
6. Выполнять замену расходных материалов и мелкий ремонт периферийного оборудования, определять устаревшее оборудование и программные средства сетевой инфраструктуры.
Место дисциплины в структуре программы подготовки специалистов среднего звена: профессиональный цикл
С целью овладения указанным видом профессиональной деятельности и соответствующими профессиональными компетенциями обучающийся в ходе освоения профессионального модуля должен:
иметь практический опыт:
обслуживания сетевой инфраструктуры, восстановление работоспособности сети после сбоя;
удалённого администрирования и восстановления работоспособности сетевой инфраструктуры;
организации бесперебойной работы системы по резервному копированию и восстановлению информации;
поддержке пользователей сети, настройке аппаратного и программного обеспечения сетевой инфраструктуры;
уметь:
выполнять мониторинг и анализ работы локальной сети с помощью программно-аппаратных средств;
использовать схемы послеаварийного восстановления работоспособности сети эксплуатировать технические средства сетевой инфраструктуры;
осуществлять диагностику и поиск неисправностей технических средств;
выполнять действия по устранению неисправностей в части, касающейся полномочий техника;
тестировать кабели и коммуникационные устройства;
выполнять замену расходных материалов и мелкий ремонт периферийного оборудования;
правильно оформлять техническую документацию;
наблюдать за трафиком, выполнять операции резервного копирования и восстановления данных;
устанавливать, тестировать и эксплуатировать информационные системы, согласно технической документации, обеспечивать антивирусную защиту;
знать:
архитектуру и функции систем управления сетями, стандарты систем управления;
задачи управления: анализ производительности и надежности, управление безопасностью, учет трафика, управление конфигурацией;
средства мониторинга и анализа локальных сетей;
классификацию регламентов, порядок технических осмотров, проверок и профилактических работ;
правила эксплуатации технических средств сетевой инфраструктуры;
расширение структуры, методы и средства диагностики неисправностей технических средств и сетевой структуры;
методы устранения неисправностей в технических средствах, схемы послеаварийного восстановления работоспособности сети, техническую и проектную документацию, способы резервного копирования данных, принципы работы хранилищ данных;
основные понятия информационных систем, жизненный цикл, проблемы обеспечения технологической безопасности ИС, требования к архитектуре информационных систем и их компонентам для обеспечения безопасности функционирования, оперативные методы повышения безопасности функционирования программных средств и баз данных;
основные требования к средствам и видам тестирования для определения технологической безопасности информационных систем.
Результатом освоения профессионального модуля является овладение обучающимися видом профессиональной деятельности Эксплуатация объектов сетевой инфраструктуры, в том числе профессиональными и общими компетенциями:
Код | Наименование результата обучения |
ПК 3.1. | Устанавливать, настраивать, эксплуатировать и обслуживать технические и программно-аппаратные средства компьютерных сетей |
ПК 3.2. | Проводить профилактические работы на объектах сетевой инфраструктуры и рабочих станциях |
ПК 3.3 | Использовать инструментальные средства для эксплуатации сетевых конфигураций |
ПК 3.4 | Выполнять восстановление и резервное копирование информации ,участвовать в разработке схемы послеаварийного восстановления работоспособности компьютерной сети |
ПК 3.5 | Организовывать инвентаризацию технических средств сетевой инфраструктуры, осуществлять контроль поступившего из ремонта оборудования |
ПК 3.6 | Выполнять замену расходных материалов и мелкий ремонт периферийного оборудования, определять устаревшее оборудование и программные средства сетевой инфраструктуры |
ОК 1. | Понимать сущность и социальную значимость своей будущей профессии, проявлять к ней устойчивый интерес |
ОК 2. | Организовывать собственную деятельность, выбирать типовые методы и способы выполнения профессиональных задач, оценивать их эффективность и качество |
ОК 3. | Принимать решения в стандартных и нестандартных ситуациях и нести за них ответственность |
ОК 4. | Осуществлять поиск и использование информации, необходимой для эффективного выполнения профессиональных задач, профессионального и личностного развития |
ОК 5. | Использовать информационно-коммуникационные технологии в профессиональной деятельности |
ОК 6. | Работать в коллективе и в команде, эффективно общаться с коллегами, руководством, потребителями |
ОК 7. | Брать на себя ответственность за работу членов команды (подчиненных), за результат выполнения заданий |
ОК 8. | Самостоятельно определять задачи профессионального и личностного развития, заниматься самообразованием, осознанно планировать повышение квалификации |
ОК 9. | Ориентироваться в условиях частой смены технологий в профессиональной деятельности |
Задачи обучения.
Дать определение принципиальным аспектам обеспечения безопасности информации
Использовать установленную в нормативных актах систему понятий, относящихся к информации и информационным технологиям
Применить на практике основные термины, связанные с защитой информации
Содержание урока.
Организационная часть
приветствие;
постановка целей и задач урока;
сообщение темы урока.
Добрый день! На этом уроке вы познакомитесь с основами информационной безопасности, а также узнаете основные понятия и определения, которые помогут вам в дальнейшем при изучении последующих лекций.
Понятие информацииМы с вами начинаем изучение междисциплинарного курса Обеспечение безопасности функционирования информационных систем программного модуля Эксплуатация объектов сетевой инфраструктуры.
Наша первая лекция будет посвящена основам информационной безопасности и
основным понятиям и определениям.
В сегодняшней лекции мы с вами дадим определения понятий, которые в дальнейшем будут использоваться в подавляющем большинстве лекций курса, и их понимание будет залогом того, что вы сможете воспринять весь прочий материал.
Прежде всего, перейдем к содержанию нашей лекции.
В сегодняшней лекции мы рассмотрим определения, относящиеся к понятию информации в целом, к доступу к информации, различные понятия, описывающие информационные системы. Далее ряд терминов, связанных с обработкой информации, которые нам придется использовать для того, чтобы говорить о безопасной обработке информации. И еще две части сегодняшней лекции будут посвящены терминологии защиты информации и информационной безопасности.
Итак, перейдем к первому разделу лекции, а именно к понятию информации. Прежде всего попробуем дать определение самой информации. Это не так-то просто, поскольку определений понятия информации существует достаточно много. Первый пример такого определения — это понятие под словом «информация» совокупности сведений, подлежащих хранению, передаче, обработке и использованию в человеческой деятельности. Это определение содержится в учебнике для студентов вузов по специальности «Автоматизированные системы обработки информации и управления» за авторством Дмитриева «Прикладная теория информации». Это определение описывает информацию с точки зрения инженеров, чья деятельность связана с обработкой, хранением и передачей информации, что, собственно, и отражено в этом определении.
Но поскольку наш курс лекций посвящен защите информации, нам требуется несколько иное определение. Еще одно определение, а именно информация — это специфический и обязательный атрибут реального мира, представляющий собой его объективное отражение в виде совокупности сигналов и проявляющийся при взаимодействии с «приемником» информации, позволяющим выделять, регистрировать эти сигналы из окружающего мира и по тому или иному критерию их идентифицировать. Это определение содержится в книге Меняева «Информатика и основы программирования» и более широко описывает информацию в общем смысле науки информатика.
Нам снова желательно подобрать некое другое определение для целей нашего курса. Нам удобнее всего обратиться к Федеральному закону Российской Федерации под названием «Об информации, информационных технологиях и о защите информации». Поскольку в названии этого закона прямо содержится словосочетание «защита информации», вполне естественно, что мы будем опираться на него как на источник толкования большинства нужных нам терминов, в частности такого понятия, как информация. В этом законе это понятие имеет следующее определение: информация — это сведения, то есть сообщения либо данные, независимо от формы их представления. Такое определение достаточно удобно для нашего курса, поскольку оно является наиболее широким и при этом не связано никаким образом с конкретной формой информации, тем, в каком виде она передается, хранится либо обрабатывается. Нам важно просто, что информация — это сведения независимо от формы их представления. А значит, о любых таких сведениях в любой форме мы и будем заботиться, будем обеспечивать безопасность таких сведений. Еще одно определение возьмем из государственного стандарта Союза Советских Социалистических Республик «Системы обработки информации. Термины и определения». Данный государственный стандарт хотя и не является действующим, но остается источником официальной терминологии, которая продолжает использоваться в нормативных документах, и мы ею воспользуемся. Из этого государственного стандарта мы возьмем понятие «данные», которое фигурировало в предыдущем определении. Под данными будем понимать информацию, представленную в виде, пригодном для обработки автоматическими средствами при возможном участии человека. Иными словами, данные — это информация в том виде, в каком она хранится в компьютерах, вычислительных устройствах, средствах обработки информации.
Еще одно определение, которое нам потребуется, снова из Федерального закона «Об информации, информационных технологиях и о защите информации», это понятие электронного сообщения. Под электронным сообщением будем понимать информацию, переданную или полученную пользователем информационно-елекоммуникационной сети. Двумя последними определениями, этим и предыдущим, мы охватили две формы информации — это данные, то есть информация, хранящаяся в вычислительной системе, и электронные сообщения — это информация, передаваемая по информационно-телекоммуникационной сети.
Ну и раз уж мы затронули этот термин, дадим определение и ему.
Информационно-телекоммуникационная сеть — это технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. Иными словами, это некий синоним понятия компьютерная сеть. Это система, которая состоит из средств вычислительной техники, между которыми осуществляется передача информации. Это определение также из федерального закона «Об информации, информационных технологиях и о защите информации». Ну, таким образом мы определили, что информация может быть представлена в виде данных, то есть храниться в вычислительной технике, или в виде сообщения, когда она передается по сетям связи. Кроме того, информация может представляться в виде документированной информации, то есть документа. Под документированной информацией, по все тому же закону, следует понимать зафиксированную на материальном носителе путем документирования информацию с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель. Это еще одна форма, в которой может представать информация, интересующая нас как объект защиты.
Доступ к информацииОпределим ряд терминов, связанных с доступом к информации. Прежде всего нам требуется определить такое понятие как обладатель информации. Согласно тому же закону под обладателем информации понимается лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Таким образом, исходя из этого определения, обладателем информации является любое физическое лицо, то есть любой человек, например, любой из вас, кто самостоятельно создал информацию, например, написал сочинение или научную статью. В этом случае автор этой статьи является обладателем информации. Кроме того, согласно закону о защите авторских прав, согласно соответствующему законодательству он обладает ещё рядом прав, связанных именно с правом на интеллектуальную собственность, но с точки зрения информационной безопасности и защиты информации нас интересует именно его статус как обладателя информации. Этот статус для него означает, что он имеет право разрешать или ограничивать доступ к этой информации, определяемый по каким-либо признакам. Например, информацию, у которой есть некий заголовок, её текст, какой-то объём, возможно, если это публикация, то выходные данные в каком-то журнале. Главное, что это лицо, самостоятельно создавшее информацию, является её обладателем. Правда, в случае с журналом нельзя говорить, что информация создана вполне самостоятельно, там есть редакционная коллегия, есть сотрудники издательства, но именно сама статья, её текст создан этим автором, он является обладателем этой информации, представленной в данном случае в виде документированной информации. На понятии обладателя информации основывается понятие доступа к информации, которое здесь фигурирует, в этом определении, и именно обладатель информации — это лицо, которое определяет, каким образом информация должна далее защищаться, распространяться, кто должен получать к ней доступ. Видите, сколько разных терминов я упомянул, и их тоже потребуется нам с вами определить, для того чтобы далее однозначно понимать всё сказанное мной и написанное на слайдах и во всяких дополнительных материалах. Одно из важных понятий, которое нам потребуется и будет встречаться на
протяжении всего курса, это понятие доступа к информации. Мы то и дело будем говорить, что тот или иной пользователь информационной системы — а что такое информационная система, я расскажу далее в сегодняшней лекции — получил доступ к информации или не получил доступ к информации, или мы не хотим, чтобы кто-то получил доступ к информации. Всё это связано именно с этим понятием. Итак, доступ к информации согласно всё тому же закону — это возможность получения информации и её использования. Такое достаточно простое и явное определение.
Если некое лицо имеет возможность воспользоваться информацией, мы будем говорить, что такое лицо получило к ней доступ. А если мы не желаем, чтобы некое лицо могло воспользоваться этой информацией, мы говорим, что доступ, например запрещён или какое-то лицо не имеет к ней доступа. Как вы понимаете, один из важнейших аспектов защиты информации — это контроль того, кто получает доступ к информации, потому что кому-то мы хотим предоставлять доступ, а кому-то нет.
Например, выступая в роли онлайн-кинотеатра мы желаем предоставлять доступ к своей информации, то есть к фильмам, тем, кто оплатил некую подписку, а тем, кто не оплатил, не предоставлять к ней доступ. Или в качестве провайдера службы электронной почты мы хотели бы предоставлять доступ к почтовому ящику только тому владельцу, кому этот ящик принадлежит, а другим пользователям — не предоставлять доступ к, например, вашей переписке в электронной почте.
Следующее понятие — это предоставление информации, а это уже действия, направленные на получение информации определённым кругом лиц или передачу информации определённому кругу лиц. Если пользователь получает доступ к информации, то владелец информации, в свою очередь, может предоставить информацию пользователю. В этом случае сам владелец информации предпринимает действия, направленные на то, чтобы пользователь, то есть некоторое лицо, получило информацию. Основная отличительная черта понятия предоставления информации заключается в том, что круг лиц, которые эту информацию должны получить, он определён, мы говорим о конкретном человеке. Когда, вводя свои логин и пароль на сайте электронной почты, вы получаете доступ к своему почтовому ящику — видите, мы уже используем только что определённый термин, доступ к информации — провайдер, сервер почтовой службы предоставляет вам принадлежащую вам информацию, то есть ту информацию, к которой вы имеете право доступа. В данном случае речь может ещё идти о передаче информации определённому кругу лиц, то есть более чем одному, но если круг лиц строго определён, то речь идёт о предоставлении информации, например, если имеет место некоторая адресная рассылка. В противовес этому по этому отличительному признаку вводится понятие распространение информации. А это уже действия, направленные на получение информации неопределённым кругом лиц или передачу информации неопределённому кругу лиц. Как правило, распространением информации занимаются средства массовой информации, такие как телевидение, различные Интернет-порталы, службы радиовещания, различные печатные издания. Их круг получателей заранее не известен и поэтому является неопределённым, нельзя конкретно сказать, кто получит доступ к этой информации, выпишет этот номер газеты, прочтёт этот журнал, посмотрит эту телепередачу. Если владелец информации предпринимает действия, направленные на получение информации неопределённым кругом лиц, мы говорим о распространении информации. Как правило, информация, которая распространяется, не является какой-то секретной, не представляет какой-то тайны, она, напротив, направлена на то, чтобы её получило как можно больше лиц.
Примером такой информации является, например, реклама. Её исходная задача заключается в том, чтобы она достигла как можно большего числа получателей, это пример распространения информации. В данном разделе мы перечислили основные понятия, касающиеся владения информацией и доступа к информации.
На этих терминах — предоставление информации, доступ к информации, распространение информации — в дальнейшем будет строиться вся система описания модели функционирования системы защиты информации, обработки информации и различные усилия нарушителей по не санкционированному доступу к информации. Поэтому эти определения являются по сути ключевыми для понимания данного курса.
Просьба отнестись к ним достаточно внимательно.
В следующей части нашей лекции мы поговорим о различных понятиях, относящихся к описанию информационных систем, то есть систем, в которых информация обрабатывается и хранится, и передаётся далее различным получателям.
Информационные системыДалее, дадим ряд определений понятиям, связанным с информационными системами, то есть с системами, в которых обрабатывается и хранится информация.
Первое такое понятие, которое нам потребуется и будет везде встречаться по ходу курса, — это понятие информационных технологий. Оно также определено в уже упоминавшемся нами Законе «Об информации, информационных технологиях и о защите информации». Не лишним будет еще раз упомянуть, что коль скоро в названии данного закона явным образом присутствует словосочетание «защита информации», он является основополагающим нормативным актом по вопросам защиты информации в Российской Федерации. Итак, информационные технологии — это процессы, методы поиска,
сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Таким образом, информационные технологии — это, по сути, алгоритмы работы с информацией для решения различных задач — поиска, сбора, хранения, обработки, предоставления и распространения информации.
То есть информационные технологии — это некий рецепт, некая последовательность действий, принципы, какие-то, возможно, математические модели обработки информации, ее хранения, ее систематизации. Это идея того, что требуется делать с информацией. Но сами по себе информационные технологии — это еще не система обработки информации. Это только как бы ее проект, а, собственно, сама информационная система (определение из того же закона) — это совокупность содержащейся в базе данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Таким образом, информационная система — это уже воплощение информационных технологий. Понятие информационной технологии в тексте этого определения явным образом содержится. Итак, информация в базах данных. Прибавляем к этому информационные технологии, обеспечивающие ее обработку, и технические средства, которые тоже обеспечивают обработку информации, и получаем информационную систему. То есть это совокупность неких автоматизированных средств плюс информация, которая с их помощью обрабатывается. У информационной системы для того, чтобы она функционировала, должен быть некий оператор, некий пользователь, который будет ею управлять или, собственно, использовать ее для обработки информации в своих интересах или для выполнения своих должностных обязанностей. И такое лицо называется оператором информационной системы. Под этим оператором будем понимать гражданина или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, то есть пользователи этой информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. Здесь акцент делается на том, что необязательно, чтобы в самой информационной системе находилась информация. Она может загружаться в систему на сеанс обработки и затем извлекаться. То есть база данных необязательно входит в состав информационной системы, но в том числе и информация уже в ней содержащаяся может обрабатываться. В этом случае такой пользователь называется оператором информационной системы.
Обрабатывая информацию в информационных системах, пользователь, как правило, имеет дело с информацией, не представленной на бумажных носителях, а представленной в каком-то электронном виде и отображаемой на экране вычислительной техники, например, компьютера. Для того чтобы определить такую информацию, введем еще одно понятие, а именно понятие электронного документа. Под ним по тому же закону следует понимать документированную информацию, представленную в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах. Этот термин, как и понятие электронного документа, как и понятие электронного сообщения и данных, являются очень важными для нашего курса, поскольку, когда мы будем говорить о защите информации в тех или иных информационных системах или в пределах организации, чаще всего мы будем говорить и подразумевать не столько документы на бумажных носителях, сколько электронные документы, электронные сообщения и данные, хранящиеся, например, в базах данных. Сформулировав основные определения, относящиеся к понятию информации, владению информации и информационными системами, в следующей части лекции дадим еще ряд определений, относящихся к системам обработки информации и описывающих основные процессы, о которых мы будем говорить в рамках нашего курса. Обработка информацииВ предыдущей части нашего курса мы с вами поговорили о видах, в которых может быть представлена информация, о том, кто может являться владельцем информации, в каких системах она обрабатывается. Теперь давайте поговорим непосредственно про обработку информации, о том, какие технологии для этого применяются, какие понятия регламентируют этот процесс. Для этого нам снова придется обратиться к другому действующему стандарту Российской Федерации. Это стандарт «Объект информатизации. Факторы, воздействующие на информацию. Общие положения». Этот стандарт задает основные определения, основные понятия, относящиеся к такому объекту, как объект информатизации. Прежде всего определим понятие «система обработки информации». Оно несколько похоже на одно из определений, которые мы с вами ввели до этого. Под системой обработки информации подразумевается совокупность технических средств и программного обеспечения, а также методов обработки информации и действий персонала, необходимых для выполнения автоматизированной обработки информации. Достаточно длинное определение, но оно не так страшно, как кажется на первый взгляд. Оно означает примерно следующее. Система обработки информации — это совокупность информационных технологий, то есть понимание того, каким образом информация должна обрабатываться, методов обработки информации и действий персонала, разумеется, самого персонала, то есть это уже информационная система получается. Но сюда также входят технические средства и программное обеспечение, то есть конкретные воплощения, конкретные реализации этих информационных технологий. У системы обработки информации, помимо прочего, имеется некая задача по выполнению некой автоматизированной обработки информации, которая требуется для достижения определенной поставленной цели. Таким образом система обработки информации — это совокупность непосредственно самой информации, программного и аппаратного обеспечения и действий персонала, необходимых для выполнения автоматизированной обработки информации. Получается, что система обработки информации тоже существует практически в любой организации, в которой собирается информация, обрабатывается, передается другим участникам информационных, так скажем, взаимоотношений, получателям информации, то есть система обработки информации у нас тоже — один из объектов, с которым непосредственно придется столкнуться при решении вопросов информационной безопасности. Еще один государственный стандарт потребуется нам для понимания дальнейших определений и для того, чтобы эти определения оттуда позаимствовать. Он называется «Информационная технология», конкретно — «Автоматизированные системы. Термины и определения». Здесь мы впервые сталкиваемся с таким понятием, как автоматизированная система. Это система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. Достаточно похожее на предыдущее определение, но понятие автоматизированной системы — одно из наиболее часто употребляющихся в различных документах, касающихся обработки информации и информационной безопасности также. Очень часто безопасность описывается именно в терминах автоматизированной системы. Говорят о безопасности автоматизированной системы. Это система, также состоящая из персонала, программного и аппаратного обеспечения, но здесь оно представлено, как средство автоматизации его деятельности. То есть здесь первично то, что есть персонал, который выполняет свои функции, например, выдает справки по запросам посетителей. Или производит некий анализ информации, если это какая-то аналитическая организация. Значит, у персонала есть некие установленные функции. Для выполнения этих установленных функций персоналу требуется реализовывать информационную технологию. Например, систематизацию информации, хранящейся в базе данных, получение каких-то отчетов из этой базы данных. И вот система, которая позволяет автоматизировать реализацию этих установленных функций — и есть автоматизированная система. Понятие автоматизированной системы очень широкое и имеет ряд разновидностей. Например, иногда говорят об автоматизированной системе управления, управления различными производственными процессами, транспортом, там, какими-то другими процессами. Это понятие иногда обозначается аббревиатурой АСУ — тоже достаточно широко распространенная аббревиатура. Существуют научные издания, посвященные безопасности именно автоматизированных систем управления. Автоматизированные системы управления в свою очередь также бывают различными. Ну, в частности, часто употребляется понятие «автоматизированная система управления технологическим процессом» — АСУТП. Это одна из, так сказать, часто встречающихся разновидностей автоматизированных систем, о безопасности которых часто говорят, это такой актуальный объект, который требуется защищать, поскольку автоматизированные системы управления техническими процессами — это по сути мозг производства, современного завода, например, оснащенного станками с численно-программным управлением. Поэтому это понятие, «автоматизированные системы» будет нам встречаться очень часто и, как я уже сказал, зачастую именно в терминах автоматизированной системы придется нам формулировать понятие о том, что требуется делать для обеспечения защиты информации, которая в ней обрабатывается. Неким расширением этого определения является понятие объекта информатизации. Объект информатизации — это совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствие с заданной информационной технологией, а также средств их обеспечения, помещений или объектов, зданий либо сооружений, технических средств, в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров. Опять огромное, длинное определение, но по сути просто автоматизированная система помещается в некий физический объект, то есть в здание. Таким образом объект информатизации — это здание, в котором есть автоматизированная система. Смотрите. Это совокупность информационных ресурсов, то есть информации, средств и систем обработки информации, то есть реализации конкретной, которая используется в данной организации, используемых непременно в соответствии с заданной информационной технологией. Снова здесь есть понятие цели. Объект информатизации — это не совсем просто любая организация, в которой есть автоматизированная система, которая обрабатывает информацию. Требуется некая цель, некая задача работы с информацией. То есть это скорее всего либо некий государственный орган, либо организация, непосредственно работающая с информацией. И как только эта автоматизированная система у нас обретает некие физические рамки, то есть понятие территории, понятие помещений, в которых она находится, выраженное в виде зданий, сооружений, технических средств, мы получаем объект информатизации. Очевидно, что объект информатизации тоже заслуживает нашего пристального внимания в процессе разговора о защите информации, поскольку, как мы увидим в дальнейшем, помимо непосредственно тех аспектов информационной безопасности, которые связаны именно с самой информацией, которая у нас циркулирует в информационной системе, которая, в свою очередь, является составной частью автоматизированной системы, помещение этой автоматизированной системы в физическое воплощение: в здание, сооружение, порождает дополнительные задачи по информационной безопасности, которые требуется изучать, оценивать и решать. Таким образом объект информатизации — еще одно важное понятие, которое следует нам с вами принять во внимание. Следующая часть нашей лекции будет посвящена уже непосредственно вопросам защиты информации, тех аспектов, которые нужно принять во внимание, оценивая безопасность информации. И о них, о том, каких свойств информации мы ожидаем от той информации, которую мы хотели бы защищать, мы с вами поговорим в следующей части
Защита информации
Теперь давайте перейдем непосредственно к вопросу защиты информации и определим ряд понятий, которые смогут объяснить нам, чем мы желаем заниматься, какой вопрос мы желаем решать в рамках всего данного курса. Снова нам придется обратиться еще к одному действующему государственному стандарту Российской Федерации, на этот раз под названием «Защита информации. Основные термины и определения». Уже само название этого стандарта говорит нам, что мы приближаемся к самой интересной части нашего курса. Непосредственно основным понятием, которое нам потребуется, является понятие защищаемой информации. Очевидно, что не всякую информацию требуется защищать, но о некоей части ее мы будем говорить, как о защищаемой. Так вот, защищаемая информация — это информация, являющаяся, во-первых, предметом собственности, мы не желаем защищать информацию, которая никому не принадлежит, и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственниками информации. Из этого понятия следует три важных обстоятельства, которые стоит держать в голове, на которые стоит обратить внимание. Во-первых, информация должна кому-то принадлежать, то есть являться предметом собственности. Мы говорим о защите только той информации, у которой есть непосредственный собственник как представитель интересов, которые могут быть связаны с нарушением безопасности информации. Кроме того, у защиты информации обязательно должно быть правовое обоснование. И таких обоснований может быть одно из двух, на выбор: это либо требование правовых документов, то есть каких-либо законов. Забегая вперед, можно сказать, что ряд категорий информации обязательно подлежит защите на основании требований действующего законодательства Российской Федерации. В других государствах есть аналогичные нормативно-правовые акты, которые требуют защиты той или иной информации. В качестве примера можно привести государственную тайну, почти в любом государстве такое понятие существует; понятие персональных данных, которое в настоящее время является одним из актуальнейших; понятие коммерческой тайны и многих других. О том, какие конкретно виды тайны устанавливает действующее законодательство нашего государства, мы с вами очень подробно поговорим на следующей лекции нашего курса, а пока обратим внимание на второй аспект, который у нас определяет, на каком основании мы защищаем информацию. Альтернативой требованиям законов является требование, установленное собственником информации. Мы уже говорили, что собственник информации обладает правом решать, кому информация может быть доступна, а кому нет. Вот на основании именно этого права собственник информации может установить требование по ее защите. Таким образом, еще раз, защищаемая информация — это информация, у которой есть собственник, и либо сам собственник установил требования по ее защите, либо эта информация должна защищаться на основании требований законов. Следующим понятием, которое нам потребуется, является понятие объекта защиты информации. Объект в любом процессе — это сущность, на которую направлено какое-то действие. То есть в данном случае объект защиты информации — это та сущность, так или иначе связанная с информацией, на которую направлено наше с вами усилие по защите информации. Под объектом защиты информации в соответствии с указанным государственным стандартом предлагается понимать информацию или носитель информации, или информационный процесс, который необходимо защищать в соответствии с целью защиты информации. Здесь два важных момента в этом определении. Во-первых, у защиты информации должна быть некая цель. Цель защиты информации чаще всего основана на том, чтобы обеспечить соблюдение требований по защите информации закона или владельца информации и пресечь угрозы информационной безопасности, о которых мы поговорим с вами на одной из следующих лекций. И как следствие, обеспечить соблюдение свойств информации, о которых речь пойдет в следующей части. Пока стоит лишь остановить свое внимание на том, что у защиты информации обязательно должна быть цель, и в соответствии с этой целью мы выделяем некие объекты, на которые должны быть направлены наши усилия по защите информации. Вот такой объект, на которые эти усилия направлены, и есть объект защиты информации. А он в свою очередь может принимать разные формы, это может быть просто информация как некое знание, носитель информации, например, флешка, мобильный телефон, компьютер, в котором есть жесткий диск, или информационный процесс, то есть некая процедура обработки информации, имея в виду то обстоятельство, что в процессе обработки информации ее защищенность может страдать. Некие свойства, которые мы хотели бы обеспечить, о которых речь пойдет далее, могут быть нарушены. То есть в этом случае информационный процесс тоже становится объектом защиты информации. Стоит остановиться несколько внимательнее на таком понятии, как носитель защищаемой информации. В большинстве случаев информация все-таки присутствует на каком-то носителе, и именно носители имеет смысл защищать, на них направлены наши усилия по защите. Значит, под носителем защищаемой информации следует понимать физическое лицо или материальный объект, в том числе физическое поле, почему — будет объяснено в одной из дальнейших лекций, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических явлений. Здесь речь идет о том, что носителем защищаемой информации — слово «защищаемой» можно мысленно взять на минуту в скобки и поговорить вообще о носителе информации — в рамках данного определения стоит понимать любой объект, в котором эта информация каким-то образом находит свое отражение. Например, можно передавать сигнал азбукой Морзе, взмахами флагов, сигналами света, важно то, что параметры этих действий, которые мы производим, взмахов, лучей, каких-нибудь черточек на экране или на бумаге, они должны непременно зависеть от того, какую информацию мы хотим передать. Вообще говоря, это и есть определение сигнала. Сигнал — это любой физический процесс, параметры которого зависят от содержательной части информации. Таким образом, носитель информации, вообще говоря, это любое физическое проявление, в котором информация отражена. то есть глядя на который, можно получить смысловую составляющую информации. И соответственно, носитель защищаемой теперь уже информации — это носитель информации, которая у нас с вами подлежит защите на основании предыдущих определений. Еще раз: это может быть физическое лицо, то есть человек, который просто знает информацию; материальный объект — лист бумаги, флешка, оптический диск. Вот здесь на картинке у вас приведены некоторые примеры носителей защищаемой информации, в которых информация находит свое отражение.
Информационная безопасность
Теперь перейдем непосредственно к вопросам информационной безопасности тех аспектов, которые требуется рассматривать при защите информации, сформулируем, какие требования к защищаемой информации мы и собственник информации желает выдвинуть, и обсудим, в каких моментах эти требования, эти обстоятельства проявляются. Здесь нам снова потребуется обратиться к еще одному действующему Государственному стандарту Российской Федерации — «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». В нем содержится определение трех очень важных для нас понятий. Первое из них — понятие конфиденциальности. Согласно данному стандарту, конфиденциальность — это свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса. Это довольно сложное определение, а если посмотреть различные источники, то встретится еще ряд определений понятия конфиденциальности. Чаще всего эти определения даны в свете той достаточно узкой предметной области, которой посвящен тот или иной документ или стандарт. В частности, уже ранее называвшийся в данной лекции Закон об информации, информационных технологиях и о защите информации трактует конфиденциальность, как обязательное для пользователя информации требование не распространять информацию за пределы ограниченного круга лиц. С точностью до перестановки слов я привел это определение. Но на самом деле понятие конфиденциальности можно сформулировать более общо, более универсально для различных случаев и представить его в таком виде. Конфиденциальность — свойство информации, заключающееся в ее доступности ограниченному кругу лиц. Иными словами, когда мы говорим, что какую-то информацию мы желаем сохранить в секрете, мы подразумеваем, что мы хотим обеспечить ее конфиденциальность. То есть это такое свойство, заключающееся в том, что информация должна быть доступна не любому желающему, а только некоему ограниченному кругу лиц. Конфиденциальность информации проявляется в следующих жизненных ситуациях, например, письмо отправителя прочтет только получатель этого письма, никакие третьи лица доступ к письму не получат. В этом случае мы скажем, что конфиденциальность письма сохраняется. Номер паспорта гражданина не будет размещен в открытых справочниках — тоже пример конфиденциальности, на этот раз персональных данных гражданина. Содержание важных переговоров останется известным только их участникам. Здесь речь идет о конфиденциальности, например, коммерческой тайны. Здесь обладателем информации является лицо, участвующее в переговорах, или руководитель фирмы, главное, что содержание этих переговоров останется известным только определенному кругу лиц — участникам и, возможно, другим доверенным лицам, кому мы пожелаем эту информацию передать, но не всем желающим, например, не представителям конкурентов или не самим конкурентам. Другим примером проявления конфиденциальности информации является то обстоятельство, что государство сохраняет в секрете очень важные для него сведения. Здесь мы говорим о таком понятии, как государственная тайна. Еще одним примером является тот факт, что владелец бизнеса может сохранить в тайне от конкурентов секрет своего успеха. Здесь явным образом речь идет о коммерческой тайне. Во всех этих случаях важно то, что у информации имеется строго ограниченный круг лиц, кому она может быть доступна — либо только получатель письма, либо только те лица, которым требуется иметь доступ к персональным данным гражданина, либо какие-то коммерческие партнеры, с которыми есть доверительные отношения, или специальным образом допущенные к государственной тайне лица. Но помимо нарушения конфиденциальности, с информацией может произойти и еще кое-что нежелательное, например, тот факт, что она будет каким-то образом искажена по вине различных лиц, действующих злоумышленно, или каких-то случайных обстоятельств. И тот факт, что таких изменений не произошло, отражает такое свойство информации, как целостность. На основании того же самого государственного стандарта, целостность — это свойство сохранять правильность и полноту активов. Снова это определение сформулировано в свете той предметной области, для которой составлен данный Государственный стандарт, и можно это понятие некоторым образом переформулировать более универсально. То есть целостность, вообще говоря, это тот факт, что в информации нет никаких изменений, за исключением санкционированных. То есть целостность — это свойство информации, заключающееся в том, что изменений, кроме санкционированных, в ней нет. Целостность — тоже очень важное свойство защищаемой информации, которое проявляется в жизни вот в таких обстоятельствах. Получатель прочтет в письме именно то, что написал ему отправитель, то есть никакой подмены, например, на почте или специальным вредоносным вирусом, то есть вредоносной программы, включенной в автоматизированную систему отправителя или получателя, никакого искажения информации не произойдет. В этом случаем мы говорим, что целостность информации обеспечена. При переводе денег со счета они будут отправлены на нужный счет, снова никаких искажений не произойдет, сохранена целостность информации. Пользователи справочников, расписаний могут быть уверены, что информация у них именно такая, какая была размещена ее владельцем, то есть составителем этих справочников или обладателем информации о том, как ходят поезда в расписании. Тот факт, что никаких изменений несанкционированными лицами не внесено, означает, что целостность информации обеспечена. Обращаясь к серверу, клиент получает именно тот ответ, ответ именно на тот запрос, который он сделал, а никакой другой и не случайный набор данных. Снова обеспечивается целостность информации. Граждане государства не получают чужие счета, ошибочно доставленные посылки, их не путают с другими людьми — здесь мы говорим о целостности персональных данных. Ивана Ивановича Иванова не спутают с каким-нибудь Петром Петровичем Петровым, потому что случайно где-то на почте произошло искажение и неправильным образом, например, номер дома был указан, или в номере квартиры произошла ошибка. Все эти ситуации описывают сохранение и обеспечение целостности информации. Еще одним важным свойством информации, которое было упомянуто в определении конфиденциальности, является свойство доступности. В соответствии со все тем же стандартом, доступность — это свойство объекта находиться в состоянии готовности и возможности использования по запросу авторизованного логического объекта. Здесь опять речь идет о некоем объекте, о некоем логическом объекте, снова мы это определение можем некоторым образом универсализировать. Доступность в самом общем понимании — это просто свойство информации, заключающееся в возможности легального пользователя, то есть того, кому собственник информации действительно разрешил получить к ней доступ, получить действительно на деле этот доступ беспрепятственно, но стоит ввести такое ограничение — возможно, при выполнении условий, установленных владельцем информации. То есть тот факт, что вы можете получить доступ, например, к серверу с какой-то базой данных или с какой-то информацией, но при этом возможно при выполнении условий, установленных владельцем. То есть, например, потребуется ввести логин и пароль. Или, если речь идет об информации, хранящейся в библиотеке, предъявить читательский билет. Или, например, на входе в Российскую государственную библиотеку провести соответствующим образом организованную процедуру регистрации, на входе приложить свой читательский билет к соответствующему турникету, пройти процедуру контроля того, что у вас нет носителей информации, которые запрещены к проносу на территорию библиотеки, то есть выполнить некие условия, которые устанавливает владелец информации для доступа к ней. Вот в каких жизненных ситуациях проявляется доступность информации. Например, пользователь может обратиться к серверу и получить с него информацию. Сервер действительно доступен и как бы находится в состоянии готовности, как было сказано в определении из Государственного стандарта, по запросу пользователя эту информацию предоставить. Можно запустить компьютер и открыть находящийся на нем файл. Если этот файл поврежден, не открывается, мы говорим о том, что не обеспечена доступность информации, она нарушена. Презентация с докладом, сохраненная на внешнем носителе, например, на флешке, может быть открыта на компьютере, к которому подключен носитель. Снова мы говорим о доступности информации. Не исключается отказ, не исключается сообщение об ошибке, может этот файл быть открыт. Пользователь может позвонить в справочную службу в рабочий день с 10 до 6 вечера и получить консультацию по вопросу, относящемуся к ведению данной службы. Здесь специально установлены эти временные ограничения и сказан рабочий день, для того чтобы подчеркнуть, что доступность может ограничиваться условиями владельца. Здесь не стоит понимать тот факт, что без выполнения некоторых условий пользователь не может получить доступ как нарушение доступности. Библиотека работает не каждый день, и многофункциональный центр имеет какой-то режим работы. Но вот если в рамках этого общеизвестного режима пользователь может получить доступ к информации, мы говорим о том, что информация доступна. Другой пример: клиент банка может зайти с мобильного устройства в интернет-банк и узнать состояние своего счета. Если не случается никаких препятствий, для того чтобы он мог это сделать, мы говорим о том, что информация доступна. В данном случае речь идет о доступности удаленной не непосредственно напрямую с клавиатуры какого-то автоматизированного устройства, а с мобильного устройства через глобальную сеть Интернет. Совокупность этих трех свойств составляет понятие информационной безопасности. Согласно еще одному уже на этот раз Международному государственному стандарту ГОСТ Р ИСО/МЭК из серии 27000 — это группа стандартов, посвященных информационной безопасности 2006 года, под названием «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». Под информационной безопасностью подразумевается свойство информации сохранять конфиденциальность, целостность и доступность. Таким образом, мы с вами сформулировали понятие информационной безопасности в терминах того, какие свойства информации нам потребуется обеспечивать. То есть, условно говоря, весь наш курс будет посвящен тому, как обеспечивать конфиденциальность, целостность и доступность информации, реализованной в различных формах представления, о которых мы с вами сегодня поговорили.
16