Механизмы менеджмента информационной безопасности.

Управление информационной безопасностью предприятия на основе положений ГОСТ Р ИСО/МЭК 27001-2006.

ГОСТ Р ИСО/МЭК 27001-2006 является копипастой международного стандарта управления безопасностью ISO/IEC 27001 и предназначен для разработки Системы Менеджмента Информационной Безопасности (СМИБ) организации вне зависимости от ее сферы деятельности. В данном стандарте собраны описания лучших мировых практик в области управления информационной безопасностью. 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.

Стандарт 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.

 

13.2 Использование процессного подхода в управлении информационной безопасностью на основе модели PDCA: планирование - реализация - проверка - улучшение. Перечень действий на каждой стадии модели.

Модель PDCA

 

Программно-аппаратная защита информации

Средства защиты информации, встроенные в системное программное обеспечение.

Общая характеристика системы защиты информации, встроенной в современную операционную систему. Понятие, сущность и общая характеристика процессов аутентификации, авторизации и аудита.

Аутентифика́ция — процедура проверки подлинности, например: проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей;

Авториза́ция — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий.

· В информационных технологиях посредством авторизации устанавливаются права доступа к информационным ресурсам и системам обработки данных.

Аудит (auditing) — фиксация в системном журнале событий, связанных с досту­пом к защищаемым системным ресурсам. Средства учета и наблюдения обеспечивают возможность обнаружить и зафиксировать важные события, связанные с безопасностью, или любые попытки создать, получить до­ступ или удалить системные ресурсы. Аудит используется для того, чтобы засе­кать даже неудачные попытки «взлома» системы.

Протоколирование/аудит традиционно являлись последним рубежом обороны, обеспечивающим анализ последствий нарушения информационной безопасности и выявление злоумышленников. Такой аудит можно назвать пассивным. В современный арсенал защитных средств вошел активный аудит, направленный на выявление подозрительных действий в реальном масштабе времени. Активный аудит включает два вида действий: выявление нетипичного поведения (пользователей, программ или аппаратуры);

выявление начала злоумышленной активности.

 

Теоретические основы аутентификации пользователя вычислительной системы. Особенности аутентификации в операционных системах Windows семейства NT. База данных SAM, служба каталогов Active Directory. Технологическая схема аутентификации. Преимущества и недостатки программной аутентификации.

Пользователи определяются в Windows^(R) NT путем создания учетных записей с помощью инструмента "Диспетчер пользователей".

Учетная запись, содержащая в качестве элементов другие учетные записи, называется группой. Группы дают администраторам Windows NT возможность предоставлять права доступа всем пользователям некоторой группы одновременно. Учетные записи групп, как и учетные записи пользователей, определяются и обслуживаются с помощью базы данных Диспетчера прав доступа (SAM).В доменах Windows Server 2000/2003 такой базой является Active Directory.

Active Directory («Активный каталог», AD) — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager (ранее Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.

Представление Active Directory состоялось в 1999 году, продукт был впервые выпущен с Windows 2000 Server, а затем был модифицирован и улучшен при выпуске Windows Server 2003. Впоследствии Active Directory был улучшен в Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2 и переименован в Active Directory Domain Services. Ранее служба каталогов называлась NT Directory Service (NTDS), это название до сих пор можно встретить в некоторых исполняемых файлах.

В отличие от версий Windows до Windows 2000, которые использовали в основном протокол NetBIOS для сетевого взаимодействия, служба Active Directory интегрирована с DNS и TCP/IP. Для аутентификации по умолчанию используется протокол Kerberos. Если клиент или приложение не поддерживает аутентификацию Kerberos, используется протокол NTLM[1].

 

1.3 Процедура авторизации и ее сущность. Защита информации от несанкционированного доступа. Авторизация на основе мандатного и избирательного доступа. Централизованная и децентрализованная схема авторизации. Процедура авторизации на примере базовой системы безопасности Windows – Kerberos. Управление доступом.

Средства авторизации контролируют доступ легальных пользователей в систему, предоставляя им права, которые были определены администратором системы.... к информации, устройствам, система может так же контролировать выполнение пользователем различных действий.

Могут быть использованы различные формы правил предоставления доступа, которые принято разделять на два класса:

• Системы с избирательным доступом
• Системы с мандатным доступом

В наиболее распространенном варианте первого подхода определенные операции над ресурсом разрешаются или запрещаются пользователю (или группе пользователей) который явно указан своим идентификатором. Избирательные права доступа реализуются в операционных системах общего назначения.

Мандатный доступ заключается в том, что вся информация разделяется на уровни в зависимости от уровня секретности. Все пользователи сети так же разделяются на группы, образующие иерархии в соответствии с уровнем доступа к информации. В отличии от систем с избирательными правами доступа в системах с мандатным доступом пользователи не имеют возможности изменить уровень доступности информации.

 

Процедура авторизации реализуется программными средствами, при этом данные средства могут работать на базе двух схем:

• Централизованная схема авторизации
• Децентрализованная схема авторизации

Централизованная схема — в ней сервер управляет процессом предоставления ресурсов пользователю. Главная цель этих систем — реализовать принцип единого входа. В соответствии с централизованной схемой пользователь один раз входит в систему и получает на все время работы некоторый набор разрешений. Наиболее известный протокол реализующий данную схему: Kerberos.

Децентрализованная схема — рабочая станция в этой схеме сама является защищенной, то есть средства защиты работают на каждом компьютере и сервер для защиты информации здесь не требуется. При данном подходе доступ к каждому приложению должен контролироваться средством безопасности самого приложения.

В крупных сетях часто применяется комбинированный подход предоставления прав доступа к ресурсам сети. В этом подходе сервер удаленного доступа ограничивает доступ пользователя к подсетям или серверам корпоративной сети (укрупненным элементам корпоративных сетей). А каждый отдельный сервер ограничивает доступ к своим внутренним ресурсам.