- •1. Доктрина информационной безопасности рф
- •2. Виды угроз информационной безопасности Российской Федерации
- •3. Основные организационно-технические методы обеспечения информационной безопасности Российской Федерации.
- •4. Экономические методы обеспечения информационной безопасности Российской Федерации
- •5. Угрозы информационной безопасности и их классификация
- •6. Основные угрозы доступности информации
- •7. Основные угрозы целостности информации.
- •8. Объектно-ориентированный подход к информационной безопасности.
- •9. Законодательные меры обеспечения информационной безопасности.
- •10. Административные меры (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами).
- •11. Процедурные меры (меры безопасности, ориентированные на людей).
- •12. Программно-технические меры.
- •13. Информационные войны
7. Основные угрозы целостности информации.
Целостность- актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений. Соответствующие действия в сетевой среде называются активным прослушиванием.
С целью нарушения статической целостности злоумышленник (как правило, штатный сотрудник) может:
- ввести неверные данные;
- изменить данные.
Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой недопустимо. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации.
8. Объектно-ориентированный подход к информационной безопасности.
Объектно-ориентированный подходявляется основой современной технологии программирования, испытанным методом борьбы со сложностью систем. Представляется естественным и, более того, необходимым, стремление распространить этот подход и на системы информационной безопасности, для которых, как и для программирования в целом, имеет место упомянутая проблема сложности.
Сложность эта имеет двоякую природу. Во-первых, сложны не только аппаратно-программные системы, которые необходимо защищать, но и сами средства безопасности. Во-вторых, быстро нарастает сложность семейства нормативных документов, таких, например, как профили защиты на основе "Общих критериев", речь о которых впереди. Эта сложность менее очевидна, но ею также нельзя пренебрегать; необходимо изначально строить семейства документов по объектному принципу.
Любой разумный метод борьбы со сложностью опирается на принцип "divide et impera" - "разделяй и властвуй". В данном контексте этот принцип означает, что сложная система (информационной безопасности) на верхнем уровне должна состоять из небольшого числа относительно независимых компонентов. Относительная независимость здесь и далее понимается как минимизация числа связей между компонентами. Затем декомпозиции подвергаются выделенные на первом этапе компоненты, и так далее до заданного уровня детализации. В результате система оказывается представленной в виде иерархии с несколькими уровнями абстракции.
Важнейший вопрос, возникающий при реализации принципа "разделяй и властвуй", - как, собственно говоря, разделять? Упоминавшийся выше структурный подход опирается на алгоритмическую декомпозицию, когда выделяются функциональные элементы системы. Основная проблема структурного подхода состоит в том, что он неприменим на ранних этапах анализа и моделирования предметной области, когда до алгоритмов и функций дело еще не дошло. Нужен подход "широкого спектра", не имеющий такого концептуального разрыва с анализируемыми системами и применимый на всех этапах разработки и реализации сложных систем. Мы постараемся показать, что объектно-ориентированный подход удовлетворяет таким требованиям.