К основным понятиям в области обеспечения информационной безопасности относятся понятия «информация», «информационная сфера» и «информационная безопасность».
Приведем два подхода к определению понятия «информация».
Первый подход сводится к следующему. В философской литературе «информация» раскрывается как «одно из наиболее общих понятий науки, обозначающее некоторые сведения, совокупность каких-либо данных, знаний и т.п.» . При этом отмечается, что «само понятие информация» обычно предполагает наличие по крайней мере трех объектов: источник информации, потребитель информации и передающая среда.
Понятие «информация» включает два основных элемента: сведения и сообщения.
Сведения выполняют несколько основных функций .
1. Гносеологическая (познание окружающего мира), включающая формирование представлений о структуре окружающей среды, накопление знаний о закономерностях изменения объектов среды и протекающих в ней процессов, оценку состояния этих процессов.
2. Коммуникативная (социальная коммуникация), включающая формирование представлений о способах удовлетворения базовых и вторичных потребностей, формирование представлений о правилах поведения в обществе, взаимодействия с другими людьми, о нравственных ценностях, формирование личностных шкал ценности материальных и духовных благ, которые могут быть использованы для удовлетворения его потребностей, а также допустимы использования для овладения ими известных средств и т.д.
3. Прагматическая (удовлетворение потребностей), включающее целеполагание, т.е. формирование, оценку и выбор целей, достижение которых способствует удовлетворению базовых и вторичных потребностей человека, и целедостижение как управление своей деятельностью по достижению выбранных целей.
Все множество накопленных человеком сведений может быть представлено в виде некоторой «базы знаний», в которой располагаются образы, возникающие в результате осознания полученных сообщений, ощущения, вызванные этими образами, эмоциональные и прагматические оценки этих образов. Между «объектами» «базы» могут быть установлены определенные ассоциативные отношения. Совокупность сохраняющихся у человека образов, ощущений, оценок с установившимися ассоциативными отношениями между ними образует знания. Данная «база» составляет основное содержание информационной модели человека.
Мышление может быть представлено в виде процесса формирования на основе имеющихся у человека сведений и знаний новых ассоциативных связей между объектами, расположенными в «базе».
Объем информации, имеющейся у человека в форме сведений может быть измерен количеством накопленных им ощущений, образов, оценок и ассоциативных отношений между ними. Чем больше этих ощущений, образов и оценок, тем большим объемом информации располагает человек. Соответственно количество информации, поступающей к человеку посредством сообщения, может быть измерено количеством новых объектов «базы» (ощущений, образов, оценок, отношений между элементами «базы»), проявляющихся в результате осознания сообщения.
Информация, поступающая к человеку в форме сведений, обладает рядом свойств:
1. Идеальность – существование только в сознании человека и вследствие этого невозможностью восприятия органами чувств.
2. Субъективность – зависимость количества и ценности сведений от информационной модели субъекта, получающего сведения.
3. Информационная неуничтожаемость – невозможность уничтожения сведений другими сведениями, полученными человеком.
4. Динамичность – возможность изменения ценности имеющихся сведений и знаний под воздействием времени, других поступающих сведений.
5. Накапливаемость – возможность практически неограниченного накопления сведений в информационной модели человека.
Способность получать, накапливать и использовать для обеспечения жизнедеятельности информацию в форме сведений является свойством всех живых объектов, однако объем и содержание выполняемых с их использованием функций у различных классов этих объектов существенно отличаются. Так, можно предположить, что функцию целеполагания выполняет человек.
Понятие «сообщение» часто определяется как «кодированный эквивалент события, зафиксированный источником информации и выраженный с помощью последовательности условных физических символов (алфавита), образующих некоторую упорядоченность совокупность».
Информация в форме сообщения появляется, как реализация способности человека описывать сведения на некотором языке, представляющим собой совокупность лексики и грамматики.
Человек, формируя сообщение, выделяет часть своей информационной модели, которую хочет передать, устанавливает отношения между ее элементами и известными ему понятиями. С помощью языка в некотором алфавите он осуществляет кодирование понятий, получая в результате систематизированный набор знаков, который может быть передан другим людям, т.е. происходит объективизация содержательной стороны информации и соответствующие сведения как бы становятся доступны для восприятия органами чувств.
Воспринимая сообщение, человек устанавливает отношения между составляющим его набором букв и знаков и известными ему понятиями, а затем – образами, ощущениями, оценками, ассоциативными отношениями, т.е. преобразовывает представительную форму информации в ее содержательную форму.
Исходя из этого, сообщение может быть представлено как совокупность набора передаваемых сведений и порядка (алгоритмов) их кодирования в набор знаков сообщения и декодирования в сведения. Без алгоритма кодирования сообщение превращается просто в набор знаков.
Человек как источник информации может обмениваться с технической системой сообщениями только в том случае, если в ней заложен определенный алгоритм декодирования передаваемого набора знаков, их последующей обработки, а также алгоритм кодирования для передачи человеку-потребителю ответного сообщения.
Преобразование информации из сведений в сообщения и из сообщений в сведения составляет существо общего закона обращения информации.
Информация в форме сообщения обладает рядом свойств, к числу которых следует отнести:
1. Материальность – способность воздействовать на органы чувств.
2. Измеримость – возможность количественной оценки параметров сообщения (количество знаков, составляющих сообщение).
3. Сложность – наличие набора знаков и алгоритмов их кодирования и декодирования.
4. Проблемная ориентированность – содержание сведений, относящихся к одной из задач человеческой деятельности.
Информация в форме сообщений наиболее часто исследуется с технической, семантической и прагматической точек зрения.
С технической точки зрения сообщения представляют интерес как объект передачи данных по каналам связи. При этом изучаются вопросы надежности, устойчивости, оперативности, дальности, помехозащищенности передачи сообщений, в некоторых случаях – скрытности передачи, а также принципы и методы проектирования систем передачи сообщений, средств их защиты от несанкционированного доступа.
С семантической точки зрения сообщения представляют интерес как средство передачи сведений, т.е. совокупность набора знаков, полученного в результате кодирования и требующего декодирования для использования в практической деятельности. Данные свойства сообщения изучаются, например, в криптографии, искусствоведении и филологии.
С прагматической точки зрения сообщения исследуются как средство воздействия на информационную модель человека, детерминирования его поведения. Учитывая, что сообщение служит средством передачи сведений, ему могут быть приписаны те или иные свойства данных сведений, после чего сообщение может рассматриваться в качестве некоторого их аналога, обладающего ценностью, достоверностью, своевременностью и т.д. С этой точки зрения информация изучается в педагогике, юриспруденции, социологии, политологии, технических науках.
Второй подход к определению понятия «информация» состоит в следующем . Информационные процессы, целенаправленно формируемые человеком, уже сегодня во многом поддаются описанию в понятиях математической теории информации. Однако с первых шагов формирования этой области науки отмечалось противоречие между конкретным, весьма ограниченным предметом научного описания и исключительно широким общепринятым пониманием термина «информация».
Один из признанных основоположников современной теории информации – Р.В.Л. Хартли, определяя предмет своего исследования, отмечал в 1928 г.: «В обычном понимании термин «информация» слишком эластичен; необходимо прежде всего установить для него специфический смысл…» . Специфика смысла для Хартли определялась процессом передачи сигналов. При этом, подчеркивая необходимость исключения психологических факторов, он ни в коей мере не ставил под сомнение существование двух разумных операторов: формирующего и воспринимающего сигнал. В таком смысле термин «информация» получает совершенно конкретное узкое значение. Например, он не может быть применен для описания процесса наблюдения за пассивным объектом.
Роль информации в жизни человека была интуитивно осознана с древнейших времен. «Вначале было слово…» – мысль, пронизывающая сознание человека во все времена. Состояние науки в XIX веке давало основание полагать, что модель мира сведется к крайне ограниченному комплекту частиц вещества и не менее ограниченному количеству «законов». В середине XX века развитие теории и практики заставило изменить подход. Теоретическая физика пришла к осознанию несводимости модели мира к нескольким простейшим законам. С другой стороны, развитие автоматических систем уже в 50-е гг. привело к пониманию исключительной информационной сложности даже простейших самоуправляемых систем.
Становление кибернетики потребовало анализа с позиций точной науки процессов в самоуправляющихся системах, анализа процессов формирования модели внешнего мира, формирования знания. Возможно, из-за естественной связи кибернетики с математической теорией информации произошло распространение термина «информация» на приращение знания субъекта. По Винеру, «информация – это обозначение содержания, черпаемого нами из внешнего мира в процессе нашего приспособления к нему и приведения в соответствие с ним нашего мышления» .
Таким образом, можно выделить три направления применения термина «информация». Основная мысль заключается в том, что эти три направления соответствуют трем совершенно различным сущностям, между которыми существует связь; в конкретных случаях может быть установлено какое-то частное соотношение, но природа их различна, и не может быть речи о какой-либо эквивалентности, взаимном преобразовании или превращении.
Информация в «философском смысле» – автономная информация. Автономная – в смысле объективно существующая, независимо от какого-либо субъекта. Эта информация – особое проявление материи, противостоящее хаосу, – определяет процессы изменения материального мира, но в рамках представлений современной точной науки непосредственно человеком не воспринимается.
Информация «по Винеру» – информация воздействия. Это – приращение знания, изменение модели окружающего мира, возникающее в процессе взаимодействия самоуправляющей системы с окружающей средой.
Самоуправляющая система – субъект – всегда включает в себя в какой-то форме модель внешнего мира – «знание». Физические процессы воздействия внешней среды на самоуправляющуюся систему могут приводить к изменению модели – к приращению знания. Можно считать понятие «информация воздействия» как некоторую характеристику процесса формирования модели внешнего мира. Информация воздействия не может быть определена через отдельно взятые свойства внешней среды или физического процесса взаимодействия внешней среды и субъекта или свойства модели.
Информация воздействия – совокупная характеристика среды, процесса, взаимодействия, субъекта, статического и динамического состояния его модели мира.
Информация «по Хартли» – информация взаимодействия. Частным случаем воздействия является воздействие другого субъекта, имеющее целью согласование в некотором смысле моделей внешней среды двух субъектов или коллектива. При этом предполагается существование предварительно согласованных областей моделей – соглашение о языке общения.
Процесс взаимодействия внутренне достаточно сложен. Субъект, инициирующий воздействие, – передатчик – формирует на основе некоторой области своей модели физический процесс – сообщение. При этом привлекаемую часть модели субъекта-передатчика можно было бы характеризовать «информацией передатчика», а сообщение – «информацией сообщения». Сообщение, воздействуя с воспринимающего субъекта, может при условии его статической и динамической готовности сформировать некоторую информацию воздействия – «информацию приемника». В этом процессе наблюдаемым элементом является только сообщение и в этом смысле информация взаимодействия совпадает с информацией сообщения.
Таким образом, автономная информация существует независимо от наличия субъекта, в рамках современных представлений точной науки непосредственно не воспринимается. Информация воздействия может рассматриваться только в системе, включающей активного субъекта с учетом состояния его модели внешнего мира, другими субъектами непосредственно не воспринимается и может вероятностно оцениваться по предыдущему и последующему поведению субъекта, испытывающего воздействие. Информация взаимодействия существует в системе нескольких субъектов, связана с целенаправленно формируемым физическим процессом и в этом виде полностью воспринимается.
В то же время сам процесс взаимодействия включает три составляющие:
1. Информационная база передатчика, определяемая как часть знания, используемая при формировании сообщения.
2. Информация сообщения, определяемая как соглашение о языке общения, – собственно информацию взаимодействия.
3. Информация приемника, определяемая как информацию воздействия воспринимающего субъекта.
При получении сообщения группой приемников каждый из них воспринимает свою информацию воздействия, и эти информации приемников неэквивалентны по содержанию.
Информация сообщения характеризует физический процесс в плане соглашения о языке общения и может рассматриваться каждым субъектом, освоившим язык общения, изолированно от других субъектов-участников процесса общения и в отрыве от содержания.
Рассмотрим ситуацию с точки зрения информационной безопасности. Выделяют четыре компонента, в той или иной мере присутствующие во всех подходах к понятию информационной безопасности:
1. Обеспечение субъекта доступа к достаточно полной и достоверной информации, необходимой для реализации его прав и обязанностей в обществе.
2. Защита субъекта от деструктивных информационных воздействий.
3. Защита от несанкционированного воздействия на информацию, принадлежащую субъекту.
4. Защита информационной инфраструктуры группы субъектов (организации, государства) от разрушительных воздействий.
Первые три компонента связаны с безопасностью знаний, т.е. для защищаемого объекта значима именно информация воздействия.
Основным предметом информационного нападения, целью, всегда является информация воздействия, т.е. то, что воспринимает субъект-нападающая сторона в случае попытки несанкционированного получения информации или объект нападения в случае попытки дезинформации, искажения информации, введения отвлекающей информации.
В то же время непосредственному наблюдению, использованию в технической разработке, в юридической практике доступна только информация сообщений и физические действия субъектов.
Например, объектом защиты может быть только конкретный документ как физический объект, целями противодействия – конкретные физические действия нападающего субъекта, прогнозируемые моделью нападения, но никак не получаемая или вводимая им информация воздействия.
Таким образом, системная задача обеспечения информационной безопасности, с одной стороны, и конкретные задачи технической, юридической и других подсистем, с другой – имеют разные предметы действий.
Формирование системы, обеспечивающей информационную безопасность объекта, требует обычно решения ряда задач, связанных с формализованной информацией – информацией взаимодействия в форме документов или обменных сигналов технических систем. В этих случаях вполне применимы методы математической теории информации и удается сформировать весьма точные значения параметров, характеризующих защищенность системы на уровне информации взаимодействия. Однако для полной оценки защищенности эти параметры приходится сопоставлять с оценками для не поддающейся непосредственному доступу информации воздействия.
Например, можно достаточно достоверно оценить вероятность восстановления отдельного слова в перехваченном речевом сообщении (допустим 5 или 12%). После этого возникает вопрос какая вероятность допустима. Получить такую оценку можно только экспертным путем, попытки применить методы математической теории информации неэффективны, так как результат полностью определяется исходными допущениями, формируемыми фактически произвольно. Для различных ситуаций, различного содержания фраз, различного словарного состава экспертные оценки могут дать результаты, отличающиеся на порядок.
Назрела необходимость разработки корпоративных нормативов защищенности содержательной информации, соответствующих информационной специфике конкретных групп защищаемых объектов и конкретным информационным процессам, характерным для этих объектов. Одновременно необходима постановка задачи научного формирования перечня терминов, охватывающего не столько прикладные, сколько фундаментальные понятия в области информационных процессов.
Современный этап развития общества характеризуется возрастающей ролью информационной сферы. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений .
Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности РФ. Национальная безопасность РФ существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать .
Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства .
Государственная политика обеспечения информационной безопасности РФ основывается на следующих принципах :
1. Соблюдение Конституции РФ, законодательства РФ, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности РФ.
2. Открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов РФ и общественных объединений, предусматривающей информирование общества об их деятельности с учетом ограничений, установленных законодательством РФ.
3. Правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающемся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом.
4. Приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производстве технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов РФ.
Похожая информация.
Для защиты ИС, на основании руководящих документов гостехкомиссии, могут быть сформулированы следующие положения:
1) информационная безопасность ИС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов
2) ИБ обеспечивается комплексом инженерно-технических средств и поддерживающих их организационных мер
3) ИБ должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе и при проведении ремонтных и регламентных работ
4) Инженерно-технические средства защиты не должны существенно ухудшать функциональные характеристики ИС (надёжность, быстродействие, возможность изменения конфигурации)
5) Неотъемлемой частью работ по ИБ является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты
6) Защита ИС должна предусматривать контроль эффективности средств защиты, этот контроль может быть периодическим или выполняемым по необходимости.
Основные принципы обеспечения ИБ:
1. системности : предполагает необходимость учёта всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов: а) при всех видах инф деятельности, б) во всех структурных элементах, в) при всех режимах функционирования, г) на всех этапах ЖЦ, д) с учётом взаимодействия объекта защиты с внешней средой. Система защиты должна стоится с учётом возможности появления принципиально новых путей реализации угроз ИБ.
2. принцип комплексности : предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающей все существующие каналы реализации угроз и не содержащей слабых мест на стыках отдельных компонентов.
3. принцип непрерывности защиты : защита инф не разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах ЖЦ (с самого начала стадии проектирования). Разработка системы защиты должна вестись должна вестись параллельно с разработкой самой ИС.
4. принцип разумной достаточности : предполагает выбор такого уровня защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.
5. принцип гибкости системы защиты: предполагает возможность варьирования уровня защищённости ИС.
6. принцип открытости алгоритмов и механизмов защиты: предполагает, что защита не должна обеспечиваться только за счёт секретности, структурной организации и алгоритмов функционирования её подсистем. Знание алгоритмов работы системы защиты не должно давать возможности её преодоления даже разработчиками. Принцип открытости алгоритмов и механизмов защиты не предполагает что информация о конкретной системе защиты должна быть общедоступна. Необходимо обеспечивать защиту от угрозы раскрытия параметров системы.
7. принцип простоты применения средств защиты: предполагает, что механизмы защиты должны быть интуитивно понятны и просты и использовании; применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат, при обычной работе законных пользователей.
Направления обеспечения информационной безопасности
1. Правовая защита; 2. Организационно методические мероприятия; 3. Инженерно технические средства.
Правовая защита
Правовая защита – это специальные законы, нормативные акты, правила и процедуры, мероприятия обеспечивающие защиту информации на правовом уровне.
Об информации, информатизации и защите информации. - Об участии в международном информационном обмене. - О связи. - Об авторском праве и смежных правах. - О государственной тайне. - О коммерческой тайне. - О правовой охране программ ЭВМ и топологии микросхем. - Об органах государственной безопасности. - Об архивах. - О патентах. - О страховании. - О создании гостех комиссии при президенте РФ.
Коммерческая тайна – не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью, разглашение утечка и несанкционированный доступ к которой может нанести ущерб их владельцам.
ГОСТ 29.339-92 «Информационная технология. Защита информации от утечки за счёт побочного электромагнитного излучения и наводок при её обработке»
ГОСТ-Р 50.752 «Защита информации от утечки за счёт побочного электромагнитного излучения и наводок при её обработке средствами ВТ. Методы испытаний.»
- «Нормы эффективности защиты АСУ и ЭВМ от утечки информации за счёт побочных электромагнитных излучений и наводок.»
ГОСТ 50.739-95 «Средства ВТ. Защита от несанкционированного доступа к информации.»
ГОСТ 28.147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.»
ГОСТ-Р 34.10-94 «Процедуры выработки и проверки электронной подписи на базе ассиметрического криптографического алгоритма.»
ГОСТ-Р.В 50.170-92 «Противодействие инженерно-технической разведке. Термины и определения.»
Правовые меры обеспечения безопасности являются основой порядка деятельности и поведения сотрудников предприятия и определяют меры их ответственности за нарушение установленных норм.
7. Организационная защита
Это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерный доступ к конфиденциальной информации и проявление внутренних и внешних угроз.
Организационные меры:
- организация охраны и режима: При создании охраны и режима необходимо предусмотреть необходимость создания специальных производственных зон для работы с конфиденциальной информацией.
- организация работы сотрудников: Включает в себя подбор и расстановку персонала, обучение его правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение защиты информации на предприятии.
- организационная работа с документами, документированной информацией и их носителями: Сюда относится организация разработки и использования документов и их носителей, их учёт, использование, возврат, хранение и уничтожение.
- организация использования технических средств сбора, обработки, накопления и хранения информации.
- организация работ по анализу внутренних и внешних угроз и выработки мер по защите.
- организация работ по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических средств.
Всю организационную работу по защите информации должна проводить специально выделенная в составе предприятия служба безопасности. Подчиняется служба безопасности непосредственно руководителю предприятия.
Организационно служба безопасности должна состоять из: подразделения режима и охраны, подразделения обработки документов конфиденциального характера, инженерно-технического подразделения, информационно-аналитического подразделения.
К основным документам которые должны разработать служба безопасности на любом предприятии:
Положение о сохранении конфиденциальности информации; Перечень сведений составляющих конфиденциальную информацию; Инструкция о порядке допуска сотрудников к сведениям составляющих конфиденциальную информацию; Положение о специальном делопроизводстве и документообороте; Перечень сведений разрешённых к опубликованию в открытой печати; Обязательство сотрудника о сохранении конфиденциальности информации; Памятка сотруднику о сохранении коммерческой тайны.
Основные положения: ИБ ИС основывается на положениях и требованиях существующих законов, стандартов и нормативно методологических документов; ИБ обеспечивается комплексом инженерно технических средств и организационных мер; ИБ должна обеспечиваться на всех стадиях ЖЦ информации; инженерно технические средства не должны существенно ухудшать основные характеристики ИС; неотъемлемой частью работ по ИБ является оценка эффективности средств защиты; защита должна предоставлять контроль эффективности средств защиты. Основные принципы: Принцип системности – предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов: при всех видах информационной деятельности; во всех структурных элементах; при всех режимах функционирования; на всех этапах ЖЦ; с учетом взаимодействия объекта защиты с внешней средой. Принцип комплексности – предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы угроз и не содержащей слабых мест на стыке отдельных компонентов. Принцип непрерывности защиты – защита информации не разовое мероприятие, а непрерывный целенаправленный процесс. Принцип разумной достаточности – предполагает выбор такого уровня защиты при котором затраты, риск и размер возможного ущерба приемлемы. Принцип гибкости – предполагает возможность варьирования уровня защиты ИС. Принцип открытости – защита должна обеспечиваться не только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов не должно давать возможности ее преодоления, даже разработчику. Принцип простоты – механизмы защиты должны быть понятны и просты в использовании и не должны вызывать дополнительных трудозатрат при обычной работе пользователей.
Билет №3
Наследование (inheritance) - это процесс, посредством которого один объект может приобретать свойства другого. Точнее, объект может наследовать основные свойства другого объекта и добавлять к ним черты, характерные только для него. Наследование является важным, поскольку оно позволяет поддерживать концепцию иерархии классов (hierarchical classification). Применение иерархии классов делает управляемыми большие потоки информации. Например, подумайте об описании жилого дома. Дом - это часть общего класса, называемого строением. С другой стороны, строение - это часть более общего класса - конструкции, который является частью ещё более общего класса объектов, который можно назвать созданием рук человека. В каждом случае порождённый класс наследует все, связанные с родителем, качества и добавляет к ним свои собственные определяющие характеристики. Без использования иерархии классов, для каждого объекта пришлось бы задать все характеристики, которые бы исчерпывающи его определяли. Однако при использовании наследования можно описать объект путём определения того общего класса (или классов), к которому он относится, с теми специальными чертами, которые делают объект уникальным. Наследование играет очень важную роль в OOП.
Насле́дование - один из 3 важнейших механизмов объектно-ориентированного программирования (наряду с инкапсуляцией и полиморфизмом), позволяющий создать новый объект на основе уже существующего объекта, при этом данные и функциональность существующего объекта «наследуются» новым объектом.
Наследование в языке C++
class A{ //базовый класс
class B: public A{ //public наследование
class C: protected A{ //protected наследование
class Z: private A{ //private наследование
Класс, от которого произошло наследование, называеться «базовым». Классы, которые произошли от базового, называются «потомками» или «наследниками».
В C++ существует три типа наследования: public, protected, private. Спецификаторы доступа членов базового класса меняются в потомках следующим образом:
при public-наследовании все спецификаторы остаются без изменения.
при protected-наследовании все спецификаторы остаются без изменения, кроме спецификатора public, который меняется на спецификатор protected (то есть public-члены базового класса в потомках становятся protected).
при private-наследовании все спецификаторы меняются на private.
Одним из основных преимуществ наследования является то, что указатель на классы-наследники может быть неявно преобразован в указатель на базовый класс, то есть для примера выше, можно написать
Эта интересная особенность открывает возможность динамической идентификации типа.
Динамическое определение типа (англ. Run-time Type Information или RTTI) позволяет узнать тип объекта во время выполнении программы (run time).
Для этого применяется оператор dynamic_cast в C++.
"Целевой тип операции должен быть типом указателя, ссылки или void*.
Если целевой тип - тип указателя, то аргументом должен быть указатель на объект класса;
Если целевым типом является void*, то аргумент также должен быть указателем, а результатом операции будет указатель, с помощью которого можно обратиться к любому элементу “самого производного” класса иерархии, который сам не может быть базовым ни для какого другого класса."
Иерархические базы данных
Иерархические базы данных - это самая первая модель представления данных в которой все записи базы данных представлены в виде дерева с отношениями предок потомок (см рис. 1). Физически данные отношения реализуются в виде указателей на предков и потомков, содержащихся в самой записи. Такая модель представления данных связана с тем что на ранних этапах базы данных часто использовались для планирования производственного процесса: каждое выпускаемое изделие состоит из узлов, каждый узел из деталей и т.д. Для того чтобы знать, сколько деталей каждого вида надо заказать, строилось дерево (см. рис. 1.1.) Поскольку список составных частей изделия представлял из себя дерево, то для его хранения в базе данных наилучшим образом подходила иерархическая модель организации данных.
Однако иерархическая модель не всегда удобна. Допустим, что один и тот же тип болтов используется в автомобиле 300 раз в различных узлах. При использовании иерархической модели, данных тип болтов будет фигурировать в базе данных не 1 раз, а 300 раз (в каждом узле – отдельно). Налицо дублирование информации. Чтобы устранить этот недостаток была введена сетевая модель представления данных.
Сетевая МОДЕЛЬ базЫ данных
Сетевая база данных - это база данных, которой одна запись может участвовать в нескольких отношениях предок-потомок (см. рис. 1.2.) Фактически база данных представляет собой не дерево а произвольный граф.
Физически данная модель также реализуется за счет хранящихся внутри самой записи указателей на другие записи, только, в отличие от иерархической модели, число этих указателей может быть произвольным.
И иерархическая и сетевая модель достаточно просты, однако они имеют общий недостаток: для того, чтобы получить ответ даже на простой запрос, необходимо было разрабатывать отдельную программу, которая просматривала базу данных, двигаясь по указателям от одной записи к другой.
Реляционные базы данных
Общими понятиями баз данных являются тип данных, домен, атрибут, кортеж, отношение, первичный ключ.
Понятие типа данных аналогично используемому в языках программирования.
Домен можно рассматривать как допустимое потенциальное множество значений данного типа. В некоторых реляционных СУБД понятие домена не используется.
Отношение. Схема отношения показывает, какие атрибуты определены для одного элемента баз данных. Для СУБД Access – структура таблицы. Каждая таблица имеет свою схему отношения.
Кортеж – соответствующий данной схеме отношения, множество пар: атрибут, значение атрибута. По установившейся терминологии кортеж – определенная запись базы данных.
Отдельное отношение – множество кортежей, соответствующих одной схеме отношения.
Реляционная база данных – набор отношений, имена которой совпадают с именами схем отношений, определенных в базе данных.
При ООП система рассматривается как совокупность независимых между собой объектов.
Объект ООМ - это некоторая сущность предметной области которая имеет некоторый набор атрибутов и обладает некоторой определённой линией поведения.
Атрибут соответствует некоторой характеристики реального объекта. В качестве атрибутов выдаются характеристики, выделяющие на функциональные системы.
Типы атрибутов:
Описательные, соответствуют внутренним характеристикам реальных объектов, с помощью которых один экземпляр объекта отличается от другого (цвет, вес, координаты, скорость и т.д.)
Указывающие атрибуты используются для указания на экземпляры объектов(номер, код, метка)
Вспомогательные атрибуты – для указания на экземпляры объектов, с которыми связан рассматриваемый экземпляр объекта
В ООП различают понятия объект и экземпляр объекта.
Объект – обозначение некоторой группы, типа, сущностей имеющих одинаковый набор атрибутов.
Объекты соответствуют классам в языках программирования.
Экземпляр – конкретный объект, с конкретными значениями атрибутов.
Среди атрибутов объекта обычно выделяются идентифицирующие атрибуты, т. е. атрибуты, с помощью которых 1 экземпляр объекта можно отделить от другого экземпляра. С помощью идентификационных атрибутов происходит обращение к экземплярам объекта.
В качестве идентифицирующих атрибутов обычно используется один из указывающих атрибутов или их набор.
Под информационной моделью подразумевается состав объектов системы и описание их атрибутов, т. е. для разработки информационной модели необходимо установить, какие объекты входят в состав системы. Какими атрибутами они обладают, и каковы значения могут принимать их атрибуты.
Кроме этого информационная модель должна включать описание связей между объектами системы.
Информационная безопасность - состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.
Информационная безопасность – это процесс обеспечения конфиденциальности, целостности и доступности информации.
Под безопасностью информационной системы страны понимается ее защищен- ность от случайного или преднамеренного вмешательства в процесс ее функциониро- вания, от попыток хищения, модификации, разрушения ее компонентов. Безопасность системы достигается обеспечением конфиденциальности обрабатываемой ею инфор- мации, а также целостности и доступности компонентов и ресурсов системы. Эффекти- вность системы управления информационными ресурсами и их защитой в значитель- ной мере определяет общий уровень государственной безопасности, а любые недостат- ки в структуре и функционировании системы управления этими процессами приводят к серьезным социальным, экономическим, политическим последствиям.
Принципы:
· Актуальность проблемы обеспечения безопасности информационных технологий. Место и роль автоматизированных систем в управлении бизнес-процессами. Основные причины обострения проблемы обеспечения безопасности информационных технологий.
· Основные понятия в области безопасности информационных технологий. Что такое безопасность информационных технологий. Информация и информационные отношения. Субъекты информационных отношений, их интересы и безопасность, пути нанесения им ущерба. Основные термины и определения. Конфиденциальность, целостность, доступность. Объекты, цели и задачи защиты автоматизированных систем и циркулирующей в них информации.
· Угрозы безопасности информационных технологий. Уязвимость основных структурно-функциональных элементов распределенных автоматизированных систем. Угрозы безопасности информации, автоматизированных систем и субъектов информационных отношений. Основные источники и пути реализации угроз. Классификация угроз безопасности и каналов проникновения в автоматизированную систему и утечки информации. Основные непреднамеренные и преднамеренные искусственные угрозы. Неформальная модель нарушителя.
· Виды мер и основные принципы обеспечения безопасности информационных технологий. Виды мер противодействия угрозам безопасности. Достоинства и недостатки различных видов мер защиты. Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе.
· Правовые основы обеспечения безопасности информационных технологий. Законы Российской Федерации и другие нормативные правовые акты, руководящие и нормативно-методические документы, регламентирующие отношения субъектов в информационной сфере и деятельность организаций по защите информации. Защита информации ограниченного доступа, права и обязанности субъектов информационных отношений. Лицензирование деятельности, сертификация средств защиты информации и аттестация объектов информатизации. Требования руководящих документов ФСТЭК России и ФСБ России. Вопросы законности применения средств криптографической защиты информации. Ответственность за нарушения в сфере защиты информации.
· Государственная система защиты информации. Состав государственной системы защиты информации. Организация защиты информации в системах и средствах информатизации и связи. Контроль состояния защиты информации. Финансирование мероприятий по защите информации.
· Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты. Идентификация и аутентификация пользователей. Разграничение доступа зарегистрированных пользователей к ресурсам автоматизированных систем. Регистрация и оперативное оповещение о событиях безопасности. Криптографические методы защиты информации. Контроль целостности программных и информационных ресурсов. Обнаружение атак. Защита периметра компьютерных сетей. Управление механизмами защиты.
В целях рассмотрения базовых принципов информационной безопасности представляется важным остановиться на фундаментальных положениях, связанных с определением этих основных, исходных начал.
Несомненно, что в любой сфере принципы имеют ключевое значение, поскольку это основные, исходные положения для различных учений, теорий, на них основываются знания во всех областях науки. Необходимо учитывать, что принцип в переводе с латинского (principum ) начало, основа - это такая категория, которая имеет фундаментальное значение для всех сфер жизни общества не только на национальном, но и на международном уровне. А по сути, принципы определяют основные правила.
Принципы в философии - это основное, исходное. А в современной юридической науке принципы права определяются по-разному, но в первую очередь так же как исходные, основные идеи, начала права, которые выражают его сущность в обобщенном виде, вытекают из идей справедливости и свободы, юридически закрепляют объективные закономерности общественной жизни, основополагающие социальные ценности и традиции, имеющие смысловое значение для обеспечения правового порядка в обществе и укрепления правового статуса человека .
П. У. Кузнецов также определяет принципы права как исходные, основные идеи права, которые в концентрированном виде закрепляют основополагающие социальные ценности и традиции, имеющие смысловое значение для обеспечения правового порядка в обществе и укрепления правового статуса человека, как руководящие правовые положения, а также указывает, что они определяют содержание системы права. При этом он справедливо отмечает, что к таким ценностям, не только в информационной сфере, относятся свобода информации, доступ к информации, защита частной жизни, тайны и т.д. Они имеют общеправовое значение и характер .
Безусловно, на основе определенных принципов строится и обеспечение информационной безопасности, которая является составляющей деятельности государства, общества и его отдельных индивидов в этой сфере. Из чего формируется система базовых принципов обеспечения информационной безопасности.
В настоящее время в условиях развития информационно-телекоммуникационных технологий и формирования глобального информационного общества особое значение приобретают общепризнанные принципы , закрепленные в Уставе ООН, например такие, как разрешение международных споров мирными средствами таким образом, чтобы не подвергать угрозе международный мир, безопасность и справедливость; воздержание от угрозы силой или ее применения против территориальной неприкосновенности целостности и др.
Как отмечает известный правовед - специалист в области международного права О. И. Тиунов, важно, что в качестве членов ООН государства (а это абсолютное большинство государств - субъектов международного права) подтвердили обязательство руководствоваться принципом суверенного равенства, как и рядом других зафиксированных в Уставе ООН принципов в принятой 8 сентября 2000 г. Декларации тысячелетия Организации Объединенных Наций. Государства, заявляя приверженность целям и принципам Устава ООН, подчеркнули их неподвластность времени и универсальный характер в условиях, когда "страны и народы становятся все более взаимосвязанными и взаимозависимыми", а государства преисполнены решимости "укреплять уважение к принципу верховенства права, причем как в международных, так и во внутренних делах" . Представляется, что такой подход распространяется и на развитие информационной сферы, информационного общества в условиях глобализации и на основе формирования пространства безопасности и доверия.
На наш взгляд, исключительно важно в рамках данного учебника по организационно-правовому обеспечению информационной безопасности рассмотреть вопрос о том, как же соотносится принцип верховенства права и императив безопасности в современном обществе. Без сомнения, это касается не только каждого государства, но и системы обеспечения международной информационной безопасности. Актуальность этого положения была подчеркнута Председателем Конституционного Суда РФ В. Д. Зорькиным, который в современных условиях глобализации обратился к этому вопросу и поставил во главу угла верховенство права как один из важнейших принципов глобального информационного общества .
Однако, что же означает этот принцип применительно к глобальным отношениям в информационной сфере, связанным с обеспечением информационной безопасности? Как и кем формируется то понимание права, которое лежит в основе наднационального правового регулирования? Каковы главные направления согласования принципа верховенства права с требованиями безопасности? Этот вопрос носит дискуссионный характер, поскольку реализация общепризнанных принципов, связанных с гласностью и открытостью, доступом к информации с одной стороны, с другой стороны нередко вызывает неоднозначную оценку, носит конфликтный (конкурентный характер), который в свою очередь связан с реализацией принципа государственного суверенитета в информационной сфере.
В. Д. Зорькин, известный и авторитетный российский юрист, полагает, что поскольку право в своей основе представляет собой систему прав человека, то принцип верховенства права - это принцип прав человека, которым должно руководствоваться современное демократическое государство в своей правотворческой и правоприменительной деятельности. Применительно к внутригосударственному праву верховенство права предстает как верховенство правового закона (т.е. закона, гарантирующего права человека), если слово "закон" употреблять в широком смысле, имея в виду и нормативный акт, и судебный прецедент. Однако, по мнению Ю. В. Зорькина, в системе глобальных отношений сделать это пока не удается . В связи с этим вопрос о том, каким образом формируется общее представление о праве, которое лежит в основе правового регулирования глобальных отношений (безусловно, это сегодня касается не только всей информационной сферы, но в первую очередь области обеспечения информационной безопасности), и как вырабатываются конкретные правовые нормы, выступающие в качестве общечеловеческих регуляторов, имеет ключевое значение для понимания того, что есть право в современном мире.
Задача по формированию единого политико-правового пространства относится ко всей системе глобальных отношений, включая и отношения в информационной сфере. Но для обеспечения информационной безопасности должен сохраняться и принцип государственного суверенитета, указанный ранее, на базе новой правовой концепции суверенитета. В связи с этим высказываются предложения о необходимости полноценной систематической работы по обновлению Устава ООН и прежде всего глубокой и детальной проработки тех десяти основных принципов международного права, которые включают как концептуальные предложения по новым формулировкам основных принципов, так и выработку сопутствующих конкретных модельных норм.
Важнейшими элементами глобального информационного общества являются такие принципы, как доверие и безопасность в использовании информационно-коммуникационных технологий, вытекающие из необходимости поощрять, формировать, развивать и активно внедрять устойчивую глобальную культуру кибербезопасности. Это отражено в принятой в 2009 г. на очередной сессии Генеральной Ассамблеи ООН Резолюции 64/211 "Создание глобальной культуры кибербезопасности и оценка национальных усилий по защите важнейших информационных инфраструктур". Создание информационного общества стало рассматриваться как первостепенная задача Совета Европы с конца 1993 г., когда была выпущена Белая книга "Экономический рост, конкуренция, занятость - задачи и пути их решения на пороге XXI века" . В июне 1994 г. Советом Европы был принят план действий "Путь Европы в информационное общество", предусматривающий ряд механизмов, позволяющих создать условия для свободного доступа к информации и одновременно оберегающих личность и общество.
Основные принципы законодательного регулирования общественных отношений в сфере международной информационной безопасности сформулированы в основополагающих международных документах и, как показывает их анализ, являются общепризнанными и приоритетными в развитии информационного законодательства и для России (вопросы международного правового регулирования более подробно рассматриваются в гл. 3 настоящего учебника).
Важнейшим шагом для развития законодательства как в информационной сфере в целом, так и в области обеспечения информационной безопасности, было принятие и провозглашение 10 декабря 1948 г. Генеральной Ассамблеей ООН Всеобщей декларации прав человека, в ст. 12, 19, 26 которой закреплены права каждого человека на свободу убеждений, мысли, совести, религии, образование, свободное выражение этих убеждений, а также право искать, получать и распространять информацию и идеи любыми средствами независимо от государственных границ.
Положения, закрепляющие информационные права и свободы, развиваются в Конвенции о защите прав человека и основных свобод от 1950 г. и Международном пакте о гражданских и политических правах от 1966 г. В указанных актах установлено, что свобода получения и распространения информации реализуется без какого-либо вмешательства со стороны государственных органов, а также без учета государственных границ и распространяется па всякого рода информацию (ст. 10 Конвенции, ст. 19 Международного пакта).
Таким образом, право на свободу информации в том виде, в котором оно закреплено в международных документах по правам человека, является не новым субъективным правом человека в области информации, а проявлением традиционных свобод мысли и слова. По существу, влияние представлений о свободе информации как воплощении информационных правомочий граждан сказалось на становлении принципа свободы информации.
Основные принципы установления пределов вмешательства в частную жизнь со стороны государства, организаций, юридических и физических лиц также установлены Всеобщей декларацией прав человека, конвенциями ООН и Совета Европы.
Особенно важным для обеспечения информационной безопасности является применение в законодательстве РФ общих принципов, закрепленных в Резолюции Генеральной Ассамблеи ООН 2450 (XXIII) от 19.12.1968 "Права человека и научно-технический прогресс", среди которых: принцип свободы обмена информацией; принципы и процедуры информирования общественности о деятельности государственных структур, а также принцип контроля государств над коммуникационной деятельностью, осуществляемой под их юрисдикцией; регламентация порядка деятельности и осуществление контроля за телекоммуникациями, включая комплексную разработку государственной политики в этой сфере.
Начиная с 2000 г. в информационной сфере принят ряд документов, таких как Окинавская хартия, итоговые документы Всемирной встречи на высшем уровне по вопросам информационного общества (2003 г. в Женеве и 2005 г. в Тунисе) и другие, которые являются основополагающими политико-правовыми документами, направленными на ускорение формирования постиндустриальных тенденций в экономической, социально-политической и духовной сферах жизни общества, и заложили определенные принципы информационной безопасности.
Задача формирования нормативно-правовой базы в информационно- коммуникационной сфере определена в качестве одной из приоритетных при построении глобального информационного общества, провозглашенного в Окинавской хартии. Согласно ее положениям государства обязуются осуществлять руководство в продвижении усилий правительств по укреплению соответствующей политики и нормативной базы, стимулирующих конкуренцию и новаторство, обеспечение экономической и финансовой стабильности, содействующих сотрудничеству по оптимизации глобальных сетей, борьбе со злоупотреблениями, которые подрывают целостность сети, по сокращению разрыва в цифровых технологиях, инвестированию в людей и обеспечению глобального доступа и участия в этом процессе.
