Презентация, доклад о информатике Защита информации в информационных системах

Содержание

Вопросы:Виды угроз безопасности ИСВиды, методы и средства защиты информации в ИС

Слайд 1Тема: «Защита информации в ИС»

Тема: «Защита информации в ИС»

Слайд 2Вопросы:
Виды угроз безопасности ИС
Виды, методы и средства защиты информации в ИС

Вопросы:Виды угроз безопасности ИСВиды, методы и средства защиты информации в ИС

Слайд 3Вопрос №1 «Виды угроз безопасности ИС»
ОПРЕДЕЛЕНИЕ: Под безопасностью ИС понимается защищенность системы

от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов.
Вопрос №1 «Виды угроз безопасности ИС» ОПРЕДЕЛЕНИЕ: Под безопасностью ИС понимается защищенность системы от случайного или преднамеренного

Слайд 4Под угрозой безопасности информации понимается события или действия, которые могут привести

к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.
Под угрозой безопасности информации понимается события или действия, которые могут привести к искажению, несанкционированному использованию или даже

Слайд 5Виды угроз безопасности

Виды угроз безопасности

Слайд 6Случайные угрозы
Источником случайных угроз могут быть:
Выход из строя аппаратных средств
Неправильные действия

работников АИС или ее пользователей
Непреднамеренные ошибки в программном обеспечении

Случайные угрозыИсточником случайных угроз могут быть:Выход из строя аппаратных средствНеправильные действия работников АИС или ее пользователейНепреднамеренные ошибки

Слайд 7Умышленные угрозы
Цель угроз – нанесение ущерба управляемой системе или пользователям, ради

получения личной выгоды.
Защита от умышленных угроз – это соревнование обороны и нападения.
Для обеспечения защиты информации требуется не просто разработка частных механизмов защиты, а реализация системного подхода, включающего комплекс взаимосвязанных мер (использование специальных технических и программных средств, организационных мероприятий, нормативно-правовых актов, морально-этических мер противодействия)
Умышленные угрозыЦель угроз – нанесение ущерба управляемой системе или пользователям, ради получения личной выгоды.Защита от умышленных угроз

Слайд 8Виды умышленных угроз безопасности информации

Виды умышленных угроз безопасности информации

Слайд 9Пассивные угрозы
Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов

ИС, не оказывая при этом влияния на ее функционирование, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.
Пассивные угрозыПассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов ИС, не оказывая при этом влияния

Слайд 10Активные угрозы
Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного

воздействия на ее компоненты.
К активным угрозам относятся:
Вывод из строя компьютера или его операционной системы
Искажение сведений в БД
Разрушение ПО компьютера
Нарушение работы линий связи
Источником активных угроз могут быть действия взломщиков, вредоносные программы и т.д.
Активные угрозыАктивные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным

Слайд 11Умышленные угрозы

Умышленные угрозы

Слайд 12Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом

в организации
Внешние угрозы могут вызываться злонамеренными действиями конкурентов, экономическими условиями и другими причинами . К внешним угрозам относится промышленный шпионаж – это наносящие ущерб владельцу коммерческой тайны незаконный сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.
Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом в организацииВнешние угрозы могут вызываться злонамеренными

Слайд 13Угрозы безопасности информации
Утечка конфиденциальности информации
Компрометация информации
Несанкционированное использование информационных ресурсов
Ошибочное использование информационных

ресурсов
Несанкционированный обмен информацией между абонентами
Отказ от информации
Нарушение информационного обслуживания
Незаконное использование привилегий
Угрозы безопасности информацииУтечка конфиденциальности информацииКомпрометация информацииНесанкционированное использование информационных ресурсовОшибочное использование информационных ресурсовНесанкционированный обмен информацией между абонентамиОтказ от

Слайд 14Утечка конфиденциальной информации
Это бесконтрольный выход конфиденциальной информации за пределы ИС или

круга лиц, которым она была доверена по службе или стала известна в процессе работы.
Утечка конфиденциальной информацииЭто бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена

Слайд 15Следствия утечки информации
Разглашение конфиденциальной информации
Ухода информации по различным, главным образом техническим,

каналам
Несанкционированного доступа к конфиденциальной информации различными способами
Следствия утечки информацииРазглашение конфиденциальной информацииУхода информации по различным, главным образом техническим, каналамНесанкционированного доступа к конфиденциальной информации различными

Слайд 16К разглашению информации ее владельцем или обладателем ведут умышленные или неосторожные

действия должностных лиц и пользователей, которым соответствующие сведения были доверены по службе, приведшие к ознакомлению с ними лиц, не имеющих доступа к этим сведениям.
Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.
К разглашению информации ее владельцем или обладателем ведут умышленные или неосторожные действия должностных лиц и пользователей, которым

Слайд 17Несанкционированный доступ – это противоправное преднамеренное овладение конфиденциальной информацией лицом, не

имеющим права доступа к охраняемым сведениям.

Несанкционированный доступ – это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

Слайд 18Несанкционированный доступ
Перехват электронных излучений
Принудительное электромагнитное облучение (подсветка) линий связи с целью

получения паразитной модуляции несущей.
Применение подслушивающих устройств
Дистанционное фотографирование
Перехват акустических излучений и восстановление текста принтера
Чтение остаточной информации в памяти системы после выполнения санкционированных запросов
Копирование носителей информации с преодолением мер защиты
Несанкционированный доступПерехват электронных излученийПринудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей.Применение подслушивающих устройствДистанционное

Слайд 19Маскировка под зарегистрированного пользователя
Маскировка под запросы системы
Использование программных ловушек
Использование недостатков языков

программирования и операционных систем
Незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации
Злоумышленный вывод из строя механизмов защиты
Расшифровка специальными программами зашифрованной информации
Информационные инфекции
Маскировка под зарегистрированного пользователяМаскировка под запросы системыИспользование программных ловушекИспользование недостатков языков программирования и операционных системНезаконное подключение к

Слайд 20Пути несанкционированного доступа
Хищение носителей информации и документальных отходов
Инициативное сотрудничество
Склонение к сотрудничеству

со стороны взломщиков
Выпытывание
Подслушивание
Наблюдение

Пути несанкционированного доступаХищение носителей информации и документальных отходовИнициативное сотрудничествоСклонение к сотрудничеству со стороны взломщиковВыпытываниеПодслушиваниеНаблюдение

Слайд 21Любые способы утечки конфиденциальной информации могут привести к значительному материальному и

моральному ущербу как для организации, где функционирует ИС, так и для ее пользователей.

Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу как для организации, где

Слайд 22Причины и условия утечки
Недостаточное знание работниками предприятия правил защиты конфиденциальной информации

и непонимание необходимости их тщательного соблюдения
Использование неаттестованных технических средств обработки конфиденциальной информации
Слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами
Текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну
Причины и условия утечкиНедостаточное знание работниками предприятия правил защиты конфиденциальной информации и непонимание необходимости их тщательного соблюденияИспользование

Слайд 23Вредоносные программы

Вредоносные программы

Слайд 24«Логические бомбы» - используются для искажения или уничтожения информации
«Троянский конь» -

программа, выполняющая в дополнение к основным, т.е. запроектированным и документированным, действиям действия дополнительные, но не описанные в документации. «Троянский конь» представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем передается пользователям ИС.
«Вирус» - программа, которая может заражать другие программы путем включения в них модифицированной копии, которая в свою очередь сохраняет способность к размножению
«Логические бомбы» - используются для искажения или уничтожения информации«Троянский конь» - программа, выполняющая в дополнение к основным,

Слайд 25Вирус характеризуется:
Способностью к саморазмножению
Способностью к вмешательству в вычислительный процесс
«Червь» - программа,

распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. Чаще всего «червь» распространяется по сети (например, «червь» Морриса – 1988 г.).
«Захватчик паролей» - программы, специально предназначенные для воровства паролей.
Вирус характеризуется:Способностью к саморазмножениюСпособностью к вмешательству в вычислительный процесс«Червь» - программа, распространяющаяся через сеть и не оставляющая

Слайд 26Компрометация информации
Реализуется посредством несанкционированных изменений в базе данных, в результате чего

ее потребитель вынужден либо отказаться от нее, либо предпринять дополнительные усилия для выявления изменений и восстановления истинных сведений.
Компрометация информацииРеализуется посредством несанкционированных изменений в базе данных, в результате чего ее потребитель вынужден либо отказаться от

Слайд 27Несанкционированное использование информационных ресурсов
Может нанести большой ущерб управляемой системе или ее

абонентам.
Для предотвращения этих явлений проводятся идентификация и аутентификация.
Идентификация – это присвоение пользователю уникального обозначения для проверки его соответствия
Аутентификация – установление подлинности пользователя для поверки его соответствия.
Несанкционированное использование информационных ресурсовМожет нанести большой ущерб управляемой системе или ее абонентам.Для предотвращения этих явлений проводятся идентификация

Слайд 28Ошибочное использование информационных ресурсов
Может привести к разрушению, утечке или компрометации указанных

ресурсов. Данная угроза чаще всего является следствием ошибок, имеющихся в ПО.

Ошибочное использование информационных ресурсовМожет привести к разрушению, утечке или компрометации указанных ресурсов. Данная угроза чаще всего является

Слайд 29Несанкционированный обмен информацией между абонентами
Может привести к получению одним из них

сведений, доступ к которым ему запрещен.
Несанкционированный обмен информацией между абонентамиМожет привести к получению одним из них сведений, доступ к которым ему запрещен.

Слайд 30Отказ от информации
Состоит в непризнании получателем или отправителем этой информации, фактов

ее получения или отправки.
Отказ от информацииСостоит в непризнании получателем или отправителем этой информации, фактов ее получения или отправки.

Слайд 31Нарушение информационного обслуживания
Угроза, источником которой является сама ИС. Задержка с предоставлением

информационных ресурсов абоненту может привести к тяжелым для него последствиям. Отсутствие у пользователя своевременных данных, необходимых для принятия решения, может вызвать его нерациональные действия.
Нарушение информационного обслуживанияУгроза, источником которой является сама ИС. Задержка с предоставлением информационных ресурсов абоненту может привести к

Слайд 32Незаконное использование привилегий
Многие системы защиты используют наборы привилегий. Обычно пользователи имеют

минимальный набор привилегий, администраторы – максимальный.
Наборы привилегий охраняются системой защиты. Несанкционированный захват функций и привилегий контролируется с помощью аутентификации и приводит к возможности несанкционированного выполнения определенной функции.
Незаконное использование привилегийМногие системы защиты используют наборы привилегий. Обычно пользователи имеют минимальный набор привилегий, администраторы – максимальный.Наборы

Слайд 33Атака – злонамеренные действия взломщика.
Маскарад – выполнение каких-либо действий одним пользователем

от имени другого пользователя ИС. Нарушение заключается в присвоении прав и привилегий. Такие нарушения называются симуляцией или моделированием.
Для предотвращения «маскарада» необходимо использовать:
Надежные методы идентификации
Блокировку попыток взлома системы
Контроль входов в нее
Не использовать программные продукты, содержащие ошибки
Атака – злонамеренные действия взломщика.Маскарад – выполнение каких-либо действий одним пользователем от имени другого пользователя ИС. Нарушение

Слайд 34Взлом системы означает умышленное проникновение в систему, когда взломщик не имеет

санкционированных параметров для входа.
Взлом системы осуществляется чаще всего за счет набора пароля другого пользователя. Поэтому противостоять взлому системы поможет ограничение попыток неправильного ввода пароля, с последующей блокировкой терминала и уведомлением администратора в случае нарушения.
Взлом системы означает умышленное проникновение в систему, когда взломщик не имеет санкционированных параметров для входа.Взлом системы осуществляется

Слайд 35Прямые и косвенные потери
Материальный ущерб
Стоимость компенсации
Стоимость ремонтно-восстановительных работ
Расходы на анализ, исследование

причин и величины ущерба
Дополнительные расходы на восстановление информации
Ущемление банковских интересов
Финансовые издержки или потери клиентуры
Прямые и косвенные потериМатериальный ущербСтоимость компенсацииСтоимость ремонтно-восстановительных работРасходы на анализ, исследование причин и величины ущербаДополнительные расходы на

Слайд 36Вопрос №2 «Виды, методы и средства защиты информации в ИС»
Под безопасностью понимается

состояние защищенности ИС от внутренних и внешних угроз.
Показатель защищенности ИС – характеристика средств системы, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню и глубине в зависимости от класса защищенности.
Вопрос №2 «Виды, методы и средства защиты информации в ИС»Под безопасностью понимается состояние защищенности ИС от внутренних

Слайд 37Если реальное состояние перекрывает угрозы в полной мере, система безопасности считается

надежной и не требует дополнительных мер. Такую систему можно отнести к классу систем с полным перекрытием угроз и каналов утечки.
Политика безопасности – это набор законов, правил и практического опыта, на основе которых строится управление, защита и распределение конфиденциальной информации
Если реальное состояние перекрывает угрозы в полной мере, система безопасности считается надежной и не требует дополнительных мер.

Слайд 38Принципы создания систем информационной безопасности

Принципы создания систем информационной безопасности

Слайд 39Признаки ИС
Наличие информации различной степени конфиденциальности
Обеспечение криптографической защиты информации при передаче

данных
Иерархичность полномочий субъектов доступа к программам и компонентам ИС
Обязательное управление потоками информации как в ЛВС, так и в ГВС
Наличие механизма регистрации и учета попыток несанкционированного доступа
Обязательная целостность программного обеспечения и информации
Наличие средств восстановления системы защиты информации
Обязательный учет магнитных носителей
Наличие физической охраны средств ВТ и магнитных носителей
Наличие специальной службы информационной безопасности системы

Признаки ИСНаличие информации различной степени конфиденциальностиОбеспечение криптографической защиты информации при передаче данныхИерархичность полномочий субъектов доступа к программам

Слайд 40Служба информационной безопасности

Служба информационной безопасности

Слайд 41Методы обеспечения безопасности информации в ИС
Препятствие – метод физического преграждения пути

к защищаемой информации
Управление доступом – методы защиты информации регулированием использования всех ресурсов ИС
Шифрование – криптографическое закрытие информации
Противодействие атакам вредоносных программ – комплекс мер организационного характера и использование антивирусных программ
Регламентация – нормы и стандарты по защите выполняются в наибольшей степени
Принуждение – пользователи и персонал ИС, вынуждены соблюдать определенные правила
Побуждение – пользователи и персонал ИС не нарушает установленные порядки за счет моральных и этических норм
Методы обеспечения безопасности информации в ИСПрепятствие – метод физического преграждения пути к защищаемой информацииУправление доступом – методы

Слайд 42Средства обеспечения безопасности информации в ИС

Средства обеспечения безопасности информации в ИС

Слайд 43Технические средства
Вся совокупность технических средств подразделяется на аппаратные и физические.
Аппаратные средства

– устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.
Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала, материальных средств и финансов, информации от противоправных действий (замки, решетки на окнах, сигнализация и т.д.)

Технические средстваВся совокупность технических средств подразделяется на аппаратные и физические.Аппаратные средства – устройства, встраиваемые непосредственно в вычислительную

Слайд 44Программные средства
Программные средства – специализированные программы и программные комплексы, предназначенные для

защиты информации в ИС.
Программными средствами защиты информации являются программы, реализующие механизмы шифрования (криптографии).
Криптография – это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.
Программные средстваПрограммные средства – специализированные программы и программные комплексы, предназначенные для защиты информации в ИС.Программными средствами защиты

Слайд 45Организационные средства
Осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений

исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий.
Организационные средстваОсуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом,

Слайд 46Законодательные средства
Эти средства защиты определяются законодательными актами страны, которыми регламентируются правила

пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил
Законодательные средстваЭти средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного

Слайд 47Морально-этические средства
Эти средства защиты включают всевозможные нормы поведения, которые сложились ранее,

складываются по мере распространения ИС. Морально-этические нормы могут быть неписаные, либо оформленные в некий свод (устав) правил или предписаний.
Морально-этические средстваЭти средства защиты включают всевозможные нормы поведения, которые сложились ранее, складываются по мере распространения ИС. Морально-этические

Слайд 48Криптографические методы защиты информации
Готовое к передаче информационное сообщение, первоначально открытое и

незащищенное, зашифровывается и тем самым преобразуется в шифрограмму.
В таком виде сообщение передается по каналу связи.
Методу преобразования в криптографической системе соответствует использование специального алгоритма.
Действие такого алгоритма запускается уникальным числом (последовательностью бит) обычно называемым шифрующим ключом.
Криптографические методы защиты информацииГотовое к передаче информационное сообщение, первоначально открытое и незащищенное, зашифровывается и тем самым преобразуется

Слайд 49Чтобы обмен зашифрованными данными проходил успешно, как отправителю, так и получателю

необходимо знать правильную ключевую установку и хранить ее в тайне.
Стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа.
Криптография имеет два типа криптографических алгоритма:
Классические алгоритмы, основанные на использовании закрытых, секретных ключей
Новые алгоритмы с открытым ключом, в котором используются один открытый и один закрытый ключи (ассиметричные алгоритмы).
Чтобы обмен зашифрованными данными проходил успешно, как отправителю, так и получателю необходимо знать правильную ключевую установку и

Слайд 50Наиболее перспективными системами криптографической защиты данных считаются ассиметричные криптосистемы, называемые также

системами с открытым ключом. Их суть состоит в том, что ключ, используемый для зашифровывания, отличен от ключа расшифровывания.
Наиболее перспективными системами криптографической защиты данных считаются ассиметричные криптосистемы, называемые также системами с открытым ключом. Их суть

Слайд 51Требования к надежности криптографической системы
Процедуры зашифровывания и расшифровывания должны быть «прозрачны»

для пользователя
Дешифрование закрытой информации должно быть максимально затруднено
Содержание передаваемой информации не должно сказываться на эффективности криптографического алгоритма
Надежность криптозащиты не должно зависеть от содержания в секрете самого алгоритма шифрования
Требования к надежности криптографической системыПроцедуры зашифровывания и расшифровывания должны быть «прозрачны» для пользователяДешифрование закрытой информации должно быть

Слайд 52Примеры применения кодирования

Примеры применения кодирования

Слайд 53Требования к защите корпоративных сетей от вредоносных программ
Использование в работе лицензионно

чистых программных средств, технических средств и средств защиты
Проведение аттестации объектов информации на соответствие требованиям нормативных документов по защите
Определение и фиксация перечня допустимых к использованию программных средств
Использование для защиты современных антивирусных средств т своевременное их обновление
Разработка необходимых организационно-распорядительных документов по защите объектов от вредоносных программ
Разработка методов резервирования, сохранения и восстановления ПО при их заражении
Обеспечение регулярных проверок компьютерных средств на предмет заражения вирусами

Требования к защите корпоративных сетей от вредоносных программИспользование в работе лицензионно чистых программных средств, технических средств и

Слайд 54Рекомендации при выборе средств защиты от несанкционированного доступа
Ориентация на сертифицированные продукты
Выбор

поставщика систем защиты, обеспечивающий полный комплекс обслуживания
Выбор системы защиты, обеспечивающей разграничение доступа в различные операционные системы
Ориентация на системы с лучшими эксплуатационными характеристиками
Уровень стоимости и стоимость эксплуатации и сопровождение
Рекомендации при выборе средств защиты от несанкционированного доступаОриентация на сертифицированные продуктыВыбор поставщика систем защиты, обеспечивающий полный комплекс
Скачать презентацию

Похожие презентации

Использование он-лайн сервисов для создания тестов и ведение журнала контроля знаний учащихся. Использование он-лайн сервисов для создания тестов и ведение журнала контроля знаний учащихся. 204
Олимпиадные задания по информатике и икт (10 класс) по теме: Методика решения олимпиадных задач Олимпиадные задания по информатике и икт (10 класс) по теме: Методика решения олимпиадных задач 333
Презентация по информатике Базы данных в электронных таблицах (8 класс) Н.Д. Угринович 2014 г. Презентация по информатике Базы данных в электронных таблицах (8 класс) Н.Д. Угринович 2014 г. 306
Презентация по информатике на тему Предпосылки и история появления компьютерных сетей Презентация по информатике на тему Предпосылки и история появления компьютерных сетей 323
Презентация к уроку по теме История информатики Презентация к уроку по теме История информатики 173
Презентация по дисциплине Информатика на тему Кто был папой? Презентация по дисциплине Информатика на тему Кто был папой? 155

Что такое shareslide.ru?

Это сайт презентаций, где можно хранить и обмениваться своими презентациями, докладами, проектами, шаблонами в формате PowerPoint с другими пользователями. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами.

Для правообладателей

Яндекс.Метрика

Обратная связь

Email: Нажмите что бы посмотреть