Пм. 02 «применение программно-аппаратных средств защиты информации»

ПМ.02 «ПРИМЕНЕНИЕ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ»

 

Курс лекций

Часть

 

Учебно-методический материал

 

 

2014 Тула

 

Обсуждено

на заседании цикловой комиссии

«29» августа 2014 г.протокол № 1

 

Председатель цикловой комиссии ____________ Симаков А.Ю.

 

Содержание

 

Тема 1.1. Вводная 4

Тема 1.2. Основные понятия защиты информации 6

Тема 1.3. Инженерно-технические методы и средства ЗИ 8

Тема 1.4 Программные и программно-аппаратные методы и средства обеспечения ИБ 9

Тема 1.5 Требования к комплексным системам защиты информации 10

Тема 1.6 Критерии защищённости компьютерных систем 13

Тема 1.7 П одходы к построению защищённых компьютерных систем 14

Тема 1.8 Адекватная политика безопасности 17

Тема 1.9 Способы получения несанкционированного доступа 20

Тема 1.10. Угрозы информационной безопасности 26

Тема 1.11. Организационно-правовое обеспечение ИБ 28

Тема 1.12. Методы противодействия исследованию алгоритма работы систем защиты 30

Тема 1.13 Анализ защищённости компьютерных систем 32

Тема 1.14 Создание и обоснование логической модели КСЗИ 35

Тема 1.15 Создание и обоснование графической модели КСЗИ 41

Тема 1.16 Создание и обоснование статистической модели КСЗИ 43

Тема 1.175 Создание и обоснование перечня требований к входящей информации КСЗИ 45

Тема 1.18 Создание и обоснование перечня текущего информационного потока КСЗИ 47

 

Тема 1.1. Вводная

Дисциплина «Эксплуатация подсистем безопасности автоматизированных систем» подразумевает наличие серьёзного объёма знаний по дисциплинам «Информатика», «Автоматизированные системы управления». Следовательно, вводная лекция в начальной части представляет собой комбинацию перекрёстного опроса и семинара, призванная составить у преподавателя общие представление об уровне остаточных знаний обучаемых. При этом основное усилие преподавателя, прежде всего, направлено на создание и закрепление в сознании обучаемого системного образа изучаемой дисциплины.

Опрос следует начинать с основополагающих понятий: данные, информация, система, информационная система, автоматизированная система, управление, автоматизированная система управления, свойства информации, способы передачи информации. В ходе опроса-беседы, рекомендуется обращать внимание не на чёткость формулировки, а на понимание обучаемым сущности вопроса. Таким образом, по окончании вступительной части лекции обучаемые будут подготовлены к адекватному восприятию материала лекции по изучаемой теме. В качестве повышения мотивации обучаемых к углубленному изучению дисциплины, а так же поощрения части аудитории проявившей активность в ходе опроса, отметить баллы к оценке за занятие.

С точки зрения информатики, наиболее важными представляются следующие свойства: объективность, достоверность, полнота, точность, актуальность, полезность, ценность, своевременность, понятность, доступность, краткость и пр.

Объективность информации. Объективный – существующий вне и независимо от человеческого сознания. Информация – это отражение внешнего объективного мира. Информация объективна, если она не зависит от методов ее фиксации, чьего-либо мнения, суждения.

Пример. Сообщение «На улице тепло» несет субъективную информацию, а сообщение «На улице 22°С» – объективную, но с точностью, зависящей от погрешности средства измерения.

Объективную информацию можно получить с помощью исправных датчиков, измерительных приборов. Отражаясь в сознании человека, информация может искажаться (в большей или меньшей степени) в зависимости от мнения, суждения, опыта, знаний конкретного субъекта, и, таким образом, перестать быть объективной.

Достоверность информации. Информация достоверна, если она отражает истинное положение дел. Объективная информация всегда достоверна, но достоверная информация может быть как объективной, так и субъективной. Достоверная информация помогает принять нам правильное решение. Недостоверной информация может быть по следующим причинам:

- преднамеренное искажение (дезинформация) или непреднамеренное искажение субъективного свойства;

- искажение в результате воздействия помех («испорченный телефон») и недостаточно точных средств ее фиксации.

Полнота информации. Информацию можно назвать полной, если ее достаточно для понимания и принятия решений. Неполная информация может привести к ошибочному выводу или решению.

Точность информации определяется степенью ее близости к реальному состоянию объекта, процесса, явления и т. п.

Актуальность информации – важность для настоящего времени, злободневность, насущность. Только вовремя полученная информация может быть полезна.

Полезность (ценность) информации. Полезность может быть оценена применительно к нуждам конкретных ее потребителей и оценивается по тем задачам, которые можно решить с ее помощью.

Далее следует остановиться на современных методах обработки, передачи и накопления информации. Перекрёстным опросом выявляем угрозы, связанные с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям. Обобщаем под вывод, что обеспечение информационной безопасности компьютерных систем и сетей является одним из необходимых направлений развития ИТ.

Одной из задач преподавателя является неявное давление на обучаемого, с целью появления устойчивой мотивации к изучению руководящих документов. Для этой цели необходимо на примере ГОСТ Р 50922—96, рассмотреть основные понятия защиты информации и информационной безопасности компьютерных систем и сетей.

Защита информации — это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Объект защиты — информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.

Цель защиты информации — это желаемый результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.

Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели.

Защита информации от утечки — деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа (НСД) к защищаемой информации и получения защищаемой информации злоумышленниками.

Защита информации от разглашения — деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.

Защита информации от НСД — деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником либо владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим НСД к защищаемой информации, может выступать государство, юридическое лицо, группа физических лиц, в т. ч. общественная организация, отдельное физическое лицо.

В качестве некоторого импульса для «оживления» аудитории, рекомендуется допустить ошибку и вместо аббревиатуры НСД произнести слово «ЛСД». Проверить реакцию обучаемых, обнаружившего ошибку поощрить дополнительным баллом к оценке за занятие

Тема 1.2. Основные понятия защиты информации

Рассмотрение первого учебного вопроса начинаем с обобщения материала озвученного во введении, а именно путём поощрения активных обучаемых, выясняем какие именно из свойств и функций информации могут привести к утере информации или получении несанкционированного доступа к ней.

Аппаратные средства защиты

К АСЗ относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:

- специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

- устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

- схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.

- устройства для шифрования информации (криптографические методы).

 

Тема 1.5 Требования к комплексным системам защиты информации

Понятие комплексной системы защиты информации

Как вы уже поняли, явно не достаточно провести на предприятии ряд организационных мероприятий, включить в состав автоматизированных систем некоторые технические и программные средства — и этого будет достаточно для обеспечения безопасности.

Главное не просто организовать или «собрать» механизм, а реализовать регулярный процесс, осуществляемый на всех этапах жизненного цикла систем обработки информации при комплексном использовании всех имеющихся средств защиты. При этом все средства, методы и мероприятия, используемые для ЗИ, наиболее рациональным образом объединяются в единый целостный механизм — причем не только от злоумышленников, но и от некомпетентных или недостаточно подготовленных пользователей и персонала, а также нештатных ситуаций технического характера.

Двоякость ситуации обеспечения надежной защиты находящейся в системе информации заключается в исключение случайного и преднамеренного получения информации посторонними лицами, с другой стороны, системы защиты не должны создавать заметных неудобств авторизированным пользователям в ходе их работы с ресурсами системы.

Итак, существует системно-концептуальный подход к защите информации. Под системностью как основной частью системно-концептуального похода понимается:

- системность целевая, т. е. защищенность информации рассматривается как основная часть общего понятия качества информации

- системность пространственная, предлагающая взаимоувязанное решение всех вопросов защиты на всех компонентах предприятия

- системность временная, означающая непрерывность работ по ЗИ, осуществляемых в соответствии планам

- системность организационная, означающая единство организации всех работ по ЗИ и управления ими

Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также целенаправленной организации всех производимых работ. Комплексный (системный) подход к построению любой системы включает в себя:

- изучение объекта внедряемой системы

- оценку угроз безопасности объекта

- анализ средств, которыми будем оперировать при построении системы

- оценку экономической целесообразности

- изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности

- соотношение всех внутренних и внешних факторов

- возможность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца

Комплексный (системный) подход — это принцип рассмотрения проекта, при котором анализируется система в целом, а не ее отдельные части. Его задачей является оптимизация всей системы в совокупности, а не улучшение эффективности отдельных частей. Это объясняется тем, что, как показывает практика, улучшение одних параметров часто приводит к ухудшению других, поэтому необходимо стараться обеспечить баланс противоречий требований и характеристик. Комплексный (системный) подход не рекомендует приступать к созданию системы до тех пор, пока не определены следующие ее компоненты:

Входные элементы. Это те элементы, для обработки которых создается система. В качестве входных элементов выступают виды угроз безопасности, возможные на данном объекте

Ресурсы. Это средства, которые обеспечивают создание и функционирование системы (например, материальные затраты, энергопотребление, допустимые размеры и т. д.)

Окружающая среда. Следует помнить, что любая реальная система всегда взаимодействует с другими системами, каждый объект связан с другими объектами. Очень важно установить границы области других систем, не подчиняющихся руководителю данного предприятия и не входящих в сферу его ответственности. Характерным примером важности решения этой задачи является распределение функций по защите информации, передаваемой сигналами в кабельной линии, проходящей по территориям различных объектов. Как бы ни устанавливались границы системы, нельзя игнорировать ее взаимодействие с окружающей средой, ибо в этом случае принятые решения могут оказаться бессмысленными. Это справедливо как для границ защищаемого объекта, так и для границ системы защиты.

Назначение и функции. Для каждой системы должна быть сформулирована цель, к которой она (система) стремится. Эта цель может быть описана как назначение системы, как ее функция. Чем точнее и конкретнее указано назначение или перечислены функции системы, тем быстрее и правильнее можно выбрать лучший вариант ее построения. Так, например, цель, сформулированная в самом общем виде как обеспечение безопасности объекта, заставит рассматривать варианты создания глобальной системы защиты. Если уточнить ее, определив, например, как обеспечение безопасности информации, передаваемой по каналам связи внутри здания, то круг возможных решений существенно сузится. Следует иметь в виду, что, как правило, глобальная цель достигается через достижение множества менее общих локальных целей (подцелей). Построение такого «дерева целей» значительно облегчает, ускоряет и удешевляет процесс создания системы;

Критерий эффективности. Необходимо всегда рассматривать несколько путей, ведущих к цели, в частности нескольких вариантов построения системы, обеспечивающей заданные цели функционирования. Для того чтобы оценить, какой из путей лучше, необходимо иметь инструмент сравнения — критерий эффективности. Он должен: характеризовать качество реализации заданных функций; учитывать затраты ресурсов, необходимых для выполнения функционального назначения системы; иметь ясный и однозначный физический смысл; быть связанным с основными характеристиками системы и допускать количественную оценку на всех этапах создания системы.

Таким образом, учитывая многообразие потенциальных угроз информации на предприятии, сложность его структуры, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания СЗИ на основе комплексного подхода.

Целостность ресурса или компонента системы — это свойство ресурса или компонента быть неизменным в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.

С допуском к информации и ресурсам системы связана группа таких важных понятий, как идентификация, аутентификация, авторизация. С каждым субъектом системы (сети) связывают некоторую информацию (число, строку символов), идентифицирующую субъект. Эта информация является идентификатором субъекта системы (сети). Субъект, имеющий зарегистрированный идентификатор, является законным (легальным) субъектом. Идентификация субъекта — это процедура распознавания субъекта по его идентификатору. Идентификация выполняется при попытке субъекта войти в систему (сеть). Следующим шагом взаимодействия системы с субъектом является аутентификация субъекта. Аутентификация субъекта — это проверка подлинности субъекта с данным идентификатором. Процедура аутентификации устанавливает, является ли субъект именно тем, кем он себя объявил. После идентификации и аутентификации субъекта выполняют процедуру авторизации. Авторизация субъекта — это процедура предоставления законному субъекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы (сети).

 

Социальный инжиниринг

Данный способ основан на использовании определенных свойств человеческой психики: страха, жалости, любопытства, жадности, доверчивости

Никакими техническими мерами защититься от социального инжиниринга практически невозможно, поскольку злоумышленники используют слабости не технических средств, а недостатки человеческой души. Единственный способ противодействовать - проводить периодическое обучение сотрудников, партнеров и клиентов по следующим темам:

¾ Как идентифицировать подозрительные действия и куда сообщать о них?

¾ Что может ожидать пользователей в процессе реализации атак со стороны внешних и внутренних злоумышленников? (Ни в коем случае нельзя забывать о внутренних угрозах - ведь по статистике основное число инцидентов безопасности происходит именно изнутри организации).

Какое поведение пользователя может уменьшить потенциальный ущерб, наносимый информационным системам?

Заключение

На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым элементом системы и вместе с тем самым трудно формализуемым и потенциально слабым ее звеном.

Создание системы защиты информации (СЗИ) не является главной задачей предприятия, как, например, производство продукции и получение прибыли. Поэтому создаваемая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть экономически оправданным. Тем не менее, она должна обеспечивать защиту важных информационных ресурсов предприятия от всех реальных угроз.

 

ПМ.02 «ПРИМЕНЕНИЕ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ»

 

Курс лекций

Часть

 

Учебно-методический материал

 

 

2014 Тула

 

Обсуждено

на заседании цикловой комиссии

«29» августа 2014 г.протокол № 1

 

Председатель цикловой комиссии ____________ Симаков А.Ю.

 

Содержание

 

Тема 1.1. Вводная 4

Тема 1.2. Основные понятия защиты информации 6

Тема 1.3. Инженерно-технические методы и средства ЗИ 8

Тема 1.4 Программные и программно-аппаратные методы и средства обеспечения ИБ 9

Тема 1.5 Требования к комплексным системам защиты информации 10

Тема 1.6 Критерии защищённости компьютерных систем 13

Тема 1.7 П одходы к построению защищённых компьютерных систем 14

Тема 1.8 Адекватная политика безопасности 17

Тема 1.9 Способы получения несанкционированного доступа 20

Тема 1.10. Угрозы информационной безопасности 26

Тема 1.11. Организационно-правовое обеспечение ИБ 28

Тема 1.12. Методы противодействия исследованию алгоритма работы систем защиты 30

Тема 1.13 Анализ защищённости компьютерных систем 32

Тема 1.14 Создание и обоснование логической модели КСЗИ 35

Тема 1.15 Создание и обоснование графической модели КСЗИ 41

Тема 1.16 Создание и обоснование статистической модели КСЗИ 43

Тема 1.175 Создание и обоснование перечня требований к входящей информации КСЗИ 45

Тема 1.18 Создание и обоснование перечня текущего информационного потока КСЗИ 47

 

Тема 1.1. Вводная

Дисциплина «Эксплуатация подсистем безопасности автоматизированных систем» подразумевает наличие серьёзного объёма знаний по дисциплинам «Информатика», «Автоматизированные системы управления». Следовательно, вводная лекция в начальной части представляет собой комбинацию перекрёстного опроса и семинара, призванная составить у преподавателя общие представление об уровне остаточных знаний обучаемых. При этом основное усилие преподавателя, прежде всего, направлено на создание и закрепление в сознании обучаемого системного образа изучаемой дисциплины.

Опрос следует начинать с основополагающих понятий: данные, информация, система, информационная система, автоматизированная система, управление, автоматизированная система управления, свойства информации, способы передачи информации. В ходе опроса-беседы, рекомендуется обращать внимание не на чёткость формулировки, а на понимание обучаемым сущности вопроса. Таким образом, по окончании вступительной части лекции обучаемые будут подготовлены к адекватному восприятию материала лекции по изучаемой теме. В качестве повышения мотивации обучаемых к углубленному изучению дисциплины, а так же поощрения части аудитории проявившей активность в ходе опроса, отметить баллы к оценке за занятие.

С точки зрения информатики, наиболее важными представляются следующие свойства: объективность, достоверность, полнота, точность, актуальность, полезность, ценность, своевременность, понятность, доступность, краткость и пр.

Объективность информации. Объективный – существующий вне и независимо от человеческого сознания. Информация – это отражение внешнего объективного мира. Информация объективна, если она не зависит от методов ее фиксации, чьего-либо мнения, суждения.

Пример. Сообщение «На улице тепло» несет субъективную информацию, а сообщение «На улице 22°С» – объективную, но с точностью, зависящей от погрешности средства измерения.

Объективную информацию можно получить с помощью исправных датчиков, измерительных приборов. Отражаясь в сознании человека, информация может искажаться (в большей или меньшей степени) в зависимости от мнения, суждения, опыта, знаний конкретного субъекта, и, таким образом, перестать быть объективной.

Достоверность информации. Информация достоверна, если она отражает истинное положение дел. Объективная информация всегда достоверна, но достоверная информация может быть как объективной, так и субъективной. Достоверная информация помогает принять нам правильное решение. Недостоверной информация может быть по следующим причинам:

- преднамеренное искажение (дезинформация) или непреднамеренное искажение субъективного свойства;

- искажение в результате воздействия помех («испорченный телефон») и недостаточно точных средств ее фиксации.

Полнота информации. Информацию можно назвать полной, если ее достаточно для понимания и принятия решений. Неполная информация может привести к ошибочному выводу или решению.

Точность информации определяется степенью ее близости к реальному состоянию объекта, процесса, явления и т. п.

Актуальность информации – важность для настоящего времени, злободневность, насущность. Только вовремя полученная информация может быть полезна.

Полезность (ценность) информации. Полезность может быть оценена применительно к нуждам конкретных ее потребителей и оценивается по тем задачам, которые можно решить с ее помощью.

Далее следует остановиться на современных методах обработки, передачи и накопления информации. Перекрёстным опросом выявляем угрозы, связанные с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям. Обобщаем под вывод, что обеспечение информационной безопасности компьютерных систем и сетей является одним из необходимых направлений развития ИТ.

Одной из задач преподавателя является неявное давление на обучаемого, с целью появления устойчивой мотивации к изучению руководящих документов. Для этой цели необходимо на примере ГОСТ Р 50922—96, рассмотреть основные понятия защиты информации и информационной безопасности компьютерных систем и сетей.

Защита информации — это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Объект защиты — информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.

Цель защиты информации — это желаемый результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.

Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели.

Защита информации от утечки — деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа (НСД) к защищаемой информации и получения защищаемой информации злоумышленниками.

Защита информации от разглашения — деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.

Защита информации от НСД — деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником либо владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим НСД к защищаемой информации, может выступать государство, юридическое лицо, группа физических лиц, в т. ч. общественная организация, отдельное физическое лицо.

В качестве некоторого импульса для «оживления» аудитории, рекомендуется допустить ошибку и вместо аббревиатуры НСД произнести слово «ЛСД». Проверить реакцию обучаемых, обнаружившего ошибку поощрить дополнительным баллом к оценке за занятие

Тема 1.2. Основные понятия защиты информации

Рассмотрение первого учебного вопроса начинаем с обобщения материала озвученного во введении, а именно путём поощрения активных обучаемых, выясняем какие именно из свойств и функций информации могут привести к утере информации или получении несанкционированного доступа к ней.