Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе.

Основные понятия:

Для защиты автоматизированных систем (АС) на основании руководящих документов ГТК могут быть сформулированы следующие понятия:

1.Информационная безопасность (ИБ) АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов.

2.ИБ АС обеспечивается комплексом программно технических средств и поддерживающих их организационных мер.

3.ИБ АС должна обеспечиваться на всех этапах обработки информации и во всех режимах функционирования

4.программно технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС.

5.неотъемлемой частью работ по ИБ является оценка эффективности средств защиты осуществляющейся по методике учитывающей всю совокупность технических характеристик оцениваемого объекта.

6.защита АС должна предусматривать контроль эффективности средств защиты.

Принципы обеспечения безопасности:

· системности (Системный подход к защите компьютерных систем предполагает необходимость взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов при всех видах информационной деятельности и информационного проявления.При обеспечении ИБ ОС необходимо учитывать все слабые и наиболее уязвимые места системы, а так же характер, возможные объекты и направления атак на систему со стороны нарушителя, пути проникновения распределенной системы и НСД к информации.

· Комплексности (Для обеспечения защиты имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающие все существующие каналы угроз и не содержащие слабых мест на стыках отдельных её компонентов)

· неразрывной защиты (ЗИ это не разовое мероприятие и не конкретная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный направленный процесс предполагающий принятие соответствующих мер на всех этапах существования АС. Разработка системы защиты должна вестись параллельно обработке самой защищаемой системы.

· разумной достаточности (Важно правильно выбрать тот уровень защиты при котором затраты риск и размер возможного ущерба были бы приемлемы и не создавали неудобств пользователю.

· гибкость управления и применения (Часто приходится создавать систему защиты в условиях большой неопределенности поэтому принятые меры и средства защиты особенно в начальный период их эксплуатации могут оказывать как чрезмерный так и недостаточный уровень защиты. Для обеспечения уровня варьирования защищенности средство защиты должно обладать определенной гибкостью особенно если средство необходимо установить на работающую систему не нарушая процесса её нормального функционирования.

· простоты применения защитных мер и средств. (Механизмы защиты должны быть интуитивно понятны и просты в применении. Применение средств защиты не должно быть связано со знанием каких либо языков или требовать дополнительных затрат на её применение, а так же не должно требовать выполнения рутинных малопонятных операций.

Правовые основы обеспечения безопасности информационных технологий.Законы Российской Федерации и другие нормативные акты, руководящие и нормативно-методические документы, регламентирующие отношения субъектов в информационной сфере и деятельность организации по защите информации.

Ключевым моментом политики государства в данной области является осознание необходимости защиты любых информационных ресурсов и информационных технологий, неправомерное обращение с которыми может нанести ущерб их собственнику, владельцу, пользователю или иному лицу.

Нормативные акты правового регулирования вопросов информатизации и защиты информации в Российской Федерации включают:

· Законы Российской Федерации

· Указы Президента Российской Федерации и утверждаемые этими указами нормативные документы

· Постановления Правительства Российской Федерации и утверждаемые этими постановлениями нормативные документы (Положения, Перечни и т.п.)

· Государственные и отраслевые стандарты

· Положения, Порядки. Руководящие документы и другие нормативные и методические документы уполномоченных государственных органов (Гостехкомиссии России, ФАПСИ, ФСБ).

Федеральные законы и другие нормативные акты предусматривают:

· разделение информации на категории свободного и ограниченного доступа, причем информация ограниченного доступа подразделяется на:

· отнесенную к государственной тайне

· отнесенную к служебной тайне (информацию для служебного пользования), персональные данные (и другие виды тайн)

· и другую информацию, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу;

· правовой режим защиты информации, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу, устанавливаемый:

· в отношении сведений, отнесенных к государственной тайне, -уполномоченными государственными органами на основании Закона Российской Федерации "О государственной тайне" (от 21.07.93 г. N 5485-1);

· в отношении конфиденциальной документированной информации -собственником информационных ресурсов или уполномоченным лицом на основании Закона Российской Федерации "Об информации, информатизации и защите информации" (от 20.02.95 г. N 24-ФЗ);

· в отношении персональных данных - отдельным федеральным законом;

· лицензирование деятельности предприятий, учреждений и организаций в области защиты информации;

· аттестование автоматизированных информационных систем, обрабатывающих информацию с ограниченным доступом на соответствие требованиям безопасности информации при проведении работ со сведениями соответствующей степени конфиденциальности (секретности);

· сертификацию средств защиты информации и средств контроля эффективности защиты, используемых в АС;

· возложение решения вопросов организации лицензирования, аттестации и сертификации на органы государственного управления в пределах их компетенции, определенной законодательством Российской Федерации;

· создание автоматизированных информационных систем в защищенном исполнении и специальных подразделений, обеспечивающих защиту информации с ограниченным доступом, являющейся собственностью государства, а также осуществление контроля защищенности информации и предоставление прав запрещать или приостанавливать обработку информации в случае невыполнения требований по обеспечению ее защиты;

· определение прав и обязанностей субъектов в области защиты информации

Государственная система защиты информации

Структура и основные функции государственной системы защиты информации от ее утечки по техническим каналам и организация работ по защите информации определены в "Положении о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", утвержденном Постановлением Правительства от 15 сентября 1993 г. № 912-51.

Основные задачи государственной системы защиты информации:

• проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;

• исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных специальных программно-технических воздействий на информацию с целью ее разрушения, уничтожения, искажения или блокирования в процессе обработки, передачи и хранения;

• принятие в пределах компетенции нормативно-правовых актов, регулирующих отношения в области защиты информации;

• общая организация сил, создание средств защиты информации и средств контроля эффективности ее защиты;

• контроль за проведением работ по защите информации в органах государственного управления, объединениях, на предприятиях, в организациях и учреждениях (независимо от форм собственности).

В соответствии с Указом Президента Российской Федерации № 212 от 19,02.99 г., межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную и служебную тайну, осуществляет коллегиальный орган - Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссии России).

Согласно Постановлению Правительства РФ от 12.09.93 г. №912-51 Гостехкомиссия России возглавляет Государственную систему защиты информации.

В соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации", к основным функциям Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) в рассматриваемой области относится:

— осуществление координации деятельности по вопросам безопасности информационно-аналитических сетей, комплексов технических средств баз данных;

— осуществление координации деятельности в области разработки, производства и поставки шифровальных средств и оборудования специальной связи, по обеспечению криптографической и инженерно-технической безопасности шифрованной связи.

Федеральным законом от 03.04.95 г. N 40-ФЗ "Об органах Федеральной службы безопасности в Российской Федерации" к компетенции ФСБ в рассматриваемой области отнесены следующие вопросы:

• участие в разработке и реализации мер по защите сведений, составляющих государственную тайну;

• осуществление контроля за обеспечением сохранности сведений, составляющих государственную тайну, в государственных органах, воинских формированиях, на предприятиях, в учреждениях и организациях независимо от форм собственности;

• осуществление мер, связанных с допуском граждан к сведениям, составляющим государственную тайну.

За последние годы достигнут существенный прогресс в развитии методов решения задачи дискретного логарифмирования, что послужило причиной разработки в 2000 - 2001 годах нового государственного стандарта ЭЦП. Новый стандарт основан на математическом аппарате эллиптических кривых. Внедрение схемы ЭЦП на базе данного стандарта повышает, по сравнению с действующей схемой, уровень защищенности передаваемых сообщений от подделок и искажений.

Аттестация

При проведении работ со сведениями соответствующей степени конфиденциальности (секретности) системы информатизации должны (могут) быть аттестованы на соответствие требованиям безопасности информации.

Государственная система аттестации объектов информатизации устанавливает основные принципы, организационную структуру, порядок проведения аттестации, а также порядок контроля и надзора за эксплуатацией аттестованных объектов информатизации.

Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой государственной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации. Деятельность системы аттестации организуют уполномоченные федеральные органы по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации.

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с определенным уровнем конфиденциальности и в указанный в "Аттестате соответствия" период времени.

Обязательной аттестации подлежат объекты информатики, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатики.

При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация проводится уполномоченными органами по аттестации объектов информатизации. Органы по аттестации аккредитуются Гостехкомиссией России. Правила аккредитации определяются действующим в системе "Положением об аккредитации органов по аттестации объектов информатизации по требованиям безопасности информации". Каждый такой орган имеет лицензию Гостехкомиссии России на право выполнения работ в области защиты информации и Аттестат аккредитации. Виды работ, которые он может выполнять, указываются в области аккредитации, являющейся приложением к Аттестату аккредитации. В своей деятельности органы по аттестации руководствуются нормативно-методическими документами Гостехкомиссии России.

Аттестат соответствия утверждается руководителем органа по аттестации объектов информатизации, который и несет юридическую и финансовую ответственность за качество проведенных работ. Кроме того, органы по аттестации несут ответственность за обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.

Государственная система защиты информации. Состав государственной системы защиты информации. Организация защиты информации в системах и средствах информации и связи. Контроль состояния защиты информации.

• Государственная система защиты информации - совокупность органов и исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации. Так же является составной частью системы обеспечения национальной безопасности Российской Федерации и призвана защищать безопасность государства от внешних и внутренних угроз в информационной сфере.

• Проще говоря, Государственная система защиты информации — совокупность органов защиты информации, используемых ими средств и методов защиты информации и ее носителей, а также мероприятий, проводимых в этих целях.

В состав государственной системы защиты информации (ГСЗИ) входят:

1. В состав системы ЗИ федеральных органов исполнительной власти входят:

• системы ЗИ предприятий (учреждений и организаций);

• система управления ЗИ федеральных органов исполнительной власти;

• обеспечивающие функциональные подсистемы системы ЗИ федеральных органов исполнительной власти.

2. В состав системы ЗИ в Федеральных Округах входят:

• системы ЗИ субъектов РФ;

• системы ЗИ предприятий на территории ФО;

• система управления ЗИ в ФО;

• обеспечивающие функциональные подсистемы ЗИ в ФО.

3. В составсистемы управления ГСЗИ входят:

• органы управления;

• функциональные подсистемы управления (мониторинга, планирования, лицензирования, сертификации, аттестации, контроля и другие подсистемы*).

4. В состав обеспечивающих функциональных подсистем ГСЗИ входят следующие подсистемы:

• подготовки специалистов;

• НИОКР;

• производства средств ЗИ;

• оказания услуг;

• другие подсистемы.

Гос ведомства:

- Федеральная служба по техническому и экспортному контролю (ФСТЭК) (защита гос тайны)

- ФСБ (оперативная деятельность, криптографичекая защита информации)

- СВР (служба внешней разведки)

- Федеральная служба охраны Президента (ФСО)

- МВД

-Роскомнадзор

-Министерство Обороны

Основными организационно-техническими мероприятиями, которые проводятся государственной системой защиты информации, следует считать:

• государственное лицензирование деятельности предприятий в области защиты информации;

• аттестация объектов информации по требованиям безопасности информации, предназначенная для оценки подготовленности систем и средств информатизации и связи к обработке информации, содержащей государственную, служебную или коммерческую тайну;

• сертификация систем защиты информации;

• категорирование предприятий, выделенных помещений и объектов вычислительной техники по степени важности обрабатываемой информации.

К организационно-техническим мероприятиям, проводимым государственной системой защиты информации, также относятся:

• введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах эксплуатации технических средств, подлежащих защите;

• создание и применение информационных и автоматизированных систем управления в защищенном исполнении;

• разработка и внедрение технических решений и элементов защиты информации при создании вооружения и военной техники и при проектировании, строительстве и эксплуатации объектов информатизации, систем и средств автоматизации и связи.

 

8. Организационная структура системы обеспечения безопасности ИТ. Понятие технологии обеспечения безопасности информации и ресурсов в автоматизированной системе. Цели создания системы обеспечения безопасности ИТ.

Обеспечение информационной безопасности - это непрерывный процесс, основное содержание которого составляет управление, - управление людьми, рисками, ресурсами, средствами защиты и т.п.

Под технологией обеспечения информационной безопасности в АС понимается определенное распределение функций и регламентация порядка их исполнения, а также порядка взаимодействия подразделений и сотрудников (должностных лиц) организации по обеспечению комплексной защиты ресурсов АС в процессе ее эксплуатации.

Назначение и возможности средств защиты информации от несанкционированного доступа. Задачи, решаемые средствами защиты информации от несанкционированного доступа. Аппаратно-программные средства защиты информации от несанкционированного доступа.

Несанкционированный доступ — доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Также несанкционированным доступом в отдельных случаях называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.

СРЕДСТВА ЗАЩИТЫ ОТ НСД МОЖНО РАЗДЕЛИТЬ НА ДВЕ КАТЕГОРИИ:

- Средства ограничения физического доступа.

- Средства защиты от несанкционированного доступа по сети.

СРЕДСТВА ОГРАНИЧЕНИЯ ФИЗИЧЕСКОГО ДОСТУПА

Наиболее надежное решение проблемы ограничения физического доступа к компьютеру – использование аппаратных средств защиты информации от НСД, выполняющихся до загрузки операционной системы. Средства защиты данной категории называются «электронными замками».
Теоретически, любое программное средство контроля доступа может подвергнуться воздействию злоумышленника с целью искажения алгоритма работы такого средства и последующего получения доступа к системе. Поступить подобным образом с аппаратным средством защиты практически невозможно: все действия по контролю доступа пользователей электронный замок выполняет в собственной доверенной программной среде, которая не подвержена внешним воздействиям.

СРЕДСТВА ЗАЩИТЫ ОТ НСД ПО СЕТИ

- Виртуальные частные сети

Виртуальные частные сети обеспечивают автоматическую защиту целостности и конфиденциальности сообщений, передаваемых через различные сети общего пользования, прежде всего, через Интернет.
- Межсетевое экранирование

Межсетевой экран представляет собой программное или программно-аппаратное средство, обеспечивающее защиту локальных сетей и отдельных компьютеров от несанкционированного доступа со стороны внешних сетей путем фильтрации двустороннего потока сообщений при обмене информацией. Фактически, межсетевой экран является «урезанным» VPN-агентом, не выполняющим шифрование пакетов и контроль их целостности, но в ряде случаев имеющим ряд дополнительных функций, наиболее часто из которых встречаются следующие:

- антивирусное сканирование;

- контроль корректности пакетов;

- контроль корректности соединений (например, установления, использования и разрыва TCP-сессий);

- контент-контроль.

ЗАДАЧИ, РЕШАЕМЫЕ СРЕДСТВАМИ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА.

• защиту от вмешательства в процесс функционирования АС посторонних лиц (возможность использования автоматизированной системы и доступ к ее ресурсам должны иметь только зарегистрированные установленным порядком пользователи - сотрудники подразделений организации);

• разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС (обеспечение возможности доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям АС для выполнения ими своих служебных обязанностей);

• регистрацию действий пользователей при использовании защищаемых ресурсов АС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов сотрудниками подразделений компьютерной безопасности;

• оперативный контроль за работой пользователей системы и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы;

• защиту от несанкционированной модификации (обеспечение неизменности, целостности) используемых в АС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы и вредоносные «программы-закладки»;

• защиту хранимой, обрабатываемой и передаваемой по каналам связи информации ограниченного распространения от несанкционированного разглашения, искажения подмены или фальсификации;

• обеспечение аутентификации абонентов, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);

• гибкое управление всеми защитными механизмами.

АППАРАТНО-ПРОГРАММНЫЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА.

Программные и аппаратные средства позволяющие применять современные технологии аутентификации пользователей и предоставления доступа к информационным системам, а так же управление созданием и изменениями учетных записей пользователей в ИТ-системах. Современные средства защиты информационных систем обладают большим количеством разнообразного функционала и инструментария для решения задач защиты данных от несанкционированного доступа. В связи с этим, для выбора оптимального пути и способа решения задач по защите данных от несанкционированного доступа крайне важно четко осознавать приоритетные задачи и сценарии использования. Это поможет оптимально решить задачу и внедрить в компании оптимальный уровень защиты от несанкционированного доступа.

 

10. Антивирусные средства защиты. Общие правила применения антивирусных средств в автоматизированных системах. Технологии обнаружения вирусов. Возможные варианты размещения антивирусных средств. Антивирусная защита, как средство нейтрализации угроз.

Для борьбы с вирусами разрабатываются и применяются специальные программы. Поэтому одним из основных правил является установка в компьютер современных антивирусных программ и постоянное их обновление.

Классификация антивирусных программ

1. Сканеры - принцип работы основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов.

2. CRC-сканеры - принцип работы основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов.

3. Блокировщики - это резидентные программы, перехватывающие “вирусо-опасные” ситуации и сообщающие об этом пользователю.

4. Иммунизаторы - это программы записывающие в другие программы коды, сообщающие о заражении. Они обычно записывают эти коды в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение.