Тема: Необходимость обеспечения безопасности информационных систем.

Тема: Основные понятия ИБ.

Исторически считается, что обеспечение безопасности информации складывается из трех составляющих:

1. Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.

2. Целостность: неизменность информации в процессе ее передачи или хранения.

3. Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.

 

Т.о., безопасность информации – состояние защищенности информации, при котором обеспечены её конфиденциальность, доступность и целостность.

Под защитой информации понимается совокупность мероприятий и действий, направленных на обеспечение ее безопасности, а именно ее конфиденциальности, целостности и доступности в процессе сбора, передачи, обработки и хранения.

Под защитой информации в более широком смысле понимают комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.

Информационная безопасность (англ. information security) – все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности информации или средств её обработки.

 

Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

 

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

1. Законодательная, нормативно-правовая и научная база.

2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.

3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).

4. Программно-технические способы и средства обеспечения информационной безопасности.

 

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:

- выявить требования защиты информации, специфические для данного объекта защиты;

- учесть требования национального и международного Законодательства;

- использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;

- определить подразделения, ответственные за реализацию и поддержку СОИБ;

- распределить между подразделениями области ответственности в осуществлении требований СОИБ;

- на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;

- реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;

- реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);

- используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

 

Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение, программное обеспечение и обеспечение связи (коммуникации). Сами процедуры (механизмы) защиты разделяются на защиту физического уровня, защиту персонала и организационный уровень.

 

 

Тема: Угрозы ИБ.

Пункт 1.2 стр.20

 

Одним из важнейших аспектов проблемы обеспечения безопасности компьютерных систем является определение, анализ и классификация возможных угроз ИБ. Перечень значимых угроз, оценки вероятности их реализации, а также модель нарушителя служат основой для проведения анализа рисков и формулирования требований к системе защиты.

 

Угроза – потенциально возможное событие, процесс или явление которое может привести к нанесению ущерба, чьим-либо интересам.

 

Угроза ИБ (интересам субъектов информационных отношений) – называется потенциально возможное событие, процесс или явление, которое посредствам воздействия на информацию её носители и процессы обработки может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.

 

Нарушением безопасности (атакой) – называется реализация угрозы безопасности.

 

В силу особенностей современных АС существует достаточно большое количество различных видов угроз ИБ. Причем следует иметь в виду, что научно-технический прогресс может привести к появлению новых принципиально отличающихся от известных видов угроз.

 

Источники угроз ИБ:

1) Стихийные бедствия и аварии.

2) Сбои и отказы оборудования.

3) Ошибки проектирования и разработки компонентов АС (аппаратных средств, технологий обработки информации программ итд).

4) Ошибки эксплуатации (пользователи, администраторы итд).

5) Преднамеренные действия злоумышленников и нарушителей (хакеры, обиженный персонал итд).

 

Классификация угроз ИБ:

По природе возникновения угрозы ИБ подразделяют на два класса:

1) Естественные (объективные) – угрозы вызванные воздействием на АС и её элементы объективных физических процессов (износ оборудования) или стихийных природных явлений, не зависящих от человека;

2) Искусственные (субъективные) – угрозы ИБ вызванные деятельностью человека;

a) Непреднамеренные – вызванные ошибками в действиях персонала в ПО проектировании АС итд;

b) Преднамеренные – связанные с корыстными, идейными или иными устремлениями злоумышленников.

Источники угроз по отношению к АС подразделяются на:

1) Внешние;

2) Внутренние;

 

Тема: Содержание средств и методов защиты процессов переработки информации

Препятствие – метод физического преграждения пути зло­умышленнику к защищаемой информации (аппаратуре, носите­лям информации и т.д.).

Управление доступом – метод защиты переработки информа­ции регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, программных и технических средств).

Управление доступом включает в себя сле­дующие функции защиты:

1) идентификация пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

2) опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

3) проверка полномочий (соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

4) разрешение и создание условий работы в пределах установлен­ного регламента;

5) регистрация (протоколирование) обращений к защищаемым ресурсам;

6) реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Маскировка – метод защиты процессов переработки информа­ции путем ее криптографического закрытия. Этот метод широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

Регламентация – метод защиты процессов переработки инфор­мации, создающий такие условия автоматизированной обработ­ки, хранения и передачи защищаемых процессов обработки ин­формации, при которых возможности несанкционированного до­ступа к ней сводятся к минимуму.

Принуждение – метод защиты процессов переработки инфор­мации, при котором пользователи и персонал системы вынужде­ны соблюдать правила обработки, передачи и использования за­щищаемых процессов обработки информации под угрозой мате­риальной, административной или уголовной ответственности.

Побуждение – метод защиты процессов переработки инфор­мации, который побуждает пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложив­шихся моральных и этических норм (как регламентированных, так и неписаных).

Тема: Классификация средств защиты

 

технические – электрические, электромеханические и элект­ронные устройства.

 

 

Под аппаратными техническими средствами принято понимать устройства, встраиваемые непос­редственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу;

физические – автономные устройства и системы. (замки на дверях, где размещена аппаратура, решетки на окнах)

программные – программное обеспечение, специально пред­назначенное для выполнения функций защиты процессов обра­ботки информации;

организационные – организационно-технические и организа­ционно-правовые мероприятия, осуществляемые в процессе со­здания и эксплуатации вычислительной техники, аппаратуры те­лекоммуникаций для обеспечения защиты обработки информа­ции (стро­ительство помещений, проектирование компьютерной информа­ционной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация);

законодательные – законодательные акты страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры от­ветственности за нарушение этих правил;

морально-этические – всевозможные нормы, которые сложи­лись традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе.

Для реализации мер безопасности используют различные ме­ханизмы шифрования

1) Криптография – это наука об обеспечении секретности или аутентичности (подлинности) передаваемых сообщений.
Методу преобразования в криптографической системе соответ­ствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом, или битовой после­довательностью, обычно называемым шифрующим ключом.
Шифрование может быть симметричным и асимметричным. Симметричное шифрование основывается на использовании од­ного и того же секретного ключа для шифрования и дешифрова­ния. Асимметричное шифрование характеризуется тем, что для шифрования используется один ключ, являющийся общедоступ­ным, а для дешифрования – другой, являющийся секретным; при этом знание общедоступного ключа не позволяет определить секретный ключ.

2) цифровую (электронная) подпись - фор­мирование подписи отправителем и ее опознавание (верификацию) получателем.

3) контроль доступа – осуществляют проверку полно­мочий объектов АИТ (программ и пользователей) на доступ к ресурсам сети. осуществляют проверку полно­мочий объектов АИТ (программ и пользователей) на доступ к ресурсам сети.

4) обеспечение целостности данных – Отправитель дополняет передаваемый блок крип­тографической суммой, а получатель сравнивает ее с криптогра­фическим значением, соответствующим принятому блоку. Несов­падение свидетельствует об искажении информации в блоке;

5) обеспечение аутентификации – включает в себя одно­стороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих объектов проверяет подлинность другого, тогда как во втором случае проверка является взаимной;

6) постановку трафика – используют для реализации засекречи­вания потока данных. Они основываются на генерации объектами АИТ фиктивных блоков, их шифровании и организации передачи по каналам сети. Этим нейтрализуется возможность получения информации посредством наблюдения за внешними характери­стиками потоков, циркулирующих по каналам связи;

7) управление маршрутизацией – обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным), физически ненадежным каналам;

8) арбитраж, или освидетельствование – обеспечивают подтверждение характеристик данных, передаваемых между объектами АИТ, третьей стороной (арбитром).

 

Методы и средства защиты от угроз ИБ:

1. Предотвращение угроз ИБ - технологии, осуществляющие упреждение и предупреждение возможного проникновения злоумышленника, а также организацию и реализации защиты объекта на начальном этапе нападения.

2. парирование угроз - методы и приемы, препятствующие или ограничивающие воздействие на защищенный объект.

3. Нейтрализация - применение средств устране­ния и ликвидации угроз, частичной или полной их нейтрализа­ции в случае проникновения на объект либо диверсии.

Тема: Разграничение доступа

После выполнения идентификации и аутентификации необходимо установить полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования вычислительных ресурсов доступных в АС.

Такой процесс называется разграничением доступа.

Основные задачи системы – пресечение несанкционированного и контроль санкционированного доступа к информации, подлежащей защите. При этом разграничение доступа к информации и программным средствам её обработки должно осуществлятся в соответствии с функциональными обязанностями и полномочиями должностных лиц - пользователей, обслуживающего персонала и просто пользователей.

Обычно полномочия субъекта представляются:

1) Списком ресурсов доступных пользователям.

2) Правами по доступу к каждому ресурсу из списка.

Методы разграничения доступа:

1) Разграничение доступа по спискам.
При разграничении доступа по спискам задаются соответствия

a) Каждому пользователю – список ресурсов и прав доступа к ним

b) Каждому ресурсу – список пользователей и их прав доступа к каждому ресурсу.

Списки позволяют установить права с точностью до пользователя. Здесь нетрудно добавить права

2) Использование матрицы установления полномочий.
Создается таблица полномочий строками, которых являются идентификаторы субъектов, а столбцами – объекты АС.
Каждый элемент матрицы может содержать имя и размер предоставляемого ресурса, право доступа, ссылку на другую информационную структуру, уточняющую права доступа, ссылку на программу, управляющую правами доступа и другие.
Этот метод предоставляет более унифицированный и удобный подход, т.к. вся информация о полномочиях хранится в виде единой таблицы, а не разнотипных списков. Недостатками матрицы являются её возможная громоздкость и не совсем оптимальное использование ресурсов (дз подготовить матрицу разграничения полномочий).

3) По уровням секретности и категориям.
Ресурсы АС разделяются в соответствии с уровнями секретности или категорией.
При разграничении доступа по уровню секретности выделяют на уровни

1. Конфиденциально.

2. Секретно.

3. Совершенно секретно.

4. Общедоступно.

Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень секретности не выше, чем он имеет.

При разделении по категориям задается и контролируется ранг категории, соответствующей пользователю.

4) Парольное разграничение доступа.

Представляет использование методов доступа субъектов к объектам по паролю. При этом используются все методы парольной защиты. Очевидно, что постоянное использование паролей создает неудобства пользователям и временные задержки. Поэтому указанные методы используют в исключительных ситуациях.

На практике обычно сочетают различные методы разграничения доступа.

Тема: Основные понятия ИБ.

Исторически считается, что обеспечение безопасности информации складывается из трех составляющих:

1. Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.

2. Целостность: неизменность информации в процессе ее передачи или хранения.

3. Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.

 

Т.о., безопасность информации – состояние защищенности информации, при котором обеспечены её конфиденциальность, доступность и целостность.

Под защитой информации понимается совокупность мероприятий и действий, направленных на обеспечение ее безопасности, а именно ее конфиденциальности, целостности и доступности в процессе сбора, передачи, обработки и хранения.

Под защитой информации в более широком смысле понимают комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.

Информационная безопасность (англ. information security) – все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности информации или средств её обработки.

 

Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

 

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

1. Законодательная, нормативно-правовая и научная база.

2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.

3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).

4. Программно-технические способы и средства обеспечения информационной безопасности.

 

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:

- выявить требования защиты информации, специфические для данного объекта защиты;

- учесть требования национального и международного Законодательства;

- использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;

- определить подразделения, ответственные за реализацию и поддержку СОИБ;

- распределить между подразделениями области ответственности в осуществлении требований СОИБ;

- на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;

- реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;

- реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);

- используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

 

Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение, программное обеспечение и обеспечение связи (коммуникации). Сами процедуры (механизмы) защиты разделяются на защиту физического уровня, защиту персонала и организационный уровень.

 

 

Тема: Необходимость обеспечения безопасности информационных систем.

 

Необходимость защиты информационных систем обосновывается несколькими основными причинами.

 

1) Снижению средней квалификации пользователей.

2) Повсеместное распространение сетевых технологий возникает вероятность повреждения компьютеров всей сети путем воздействия лишь на один из них.

3) Появление и развитие Интернета вызвало всплеск интереса к проблеме ИБ и как следствие разработку средств защиты у сетей и систем, подключенных к Интернету.

4) Развитие и распространение программного обеспечения не соответствующего даже минимальным требованиям безопасности (особенно ОС).

5) Развитие гибких и мобильных технологий обработки информации привело к тому, что практически исчезает грань между обрабатываемыми данными и исполняемыми программами. Это привело к тому, что вероятность внедрения злоумышленников в чужие системы резко возросла.

6) В связи с созданием глобального информационного пространства, появилась необходимость создание международных стандартов, выполнение которых может обеспечить необходимый уровень защиты информации.

Тема: Угрозы ИБ.

Пункт 1.2 стр.20

 

Одним из важнейших аспектов проблемы обеспечения безопасности компьютерных систем является определение, анализ и классификация возможных угроз ИБ. Перечень значимых угроз, оценки вероятности их реализации, а также модель нарушителя служат основой для проведения анализа рисков и формулирования требований к системе защиты.

 

Угроза – потенциально возможное событие, процесс или явление которое может привести к нанесению ущерба, чьим-либо интересам.

 

Угроза ИБ (интересам субъектов информационных отношений) – называется потенциально возможное событие, процесс или явление, которое посредствам воздействия на информацию её носители и процессы обработки может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.

 

Нарушением безопасности (атакой) – называется реализация угрозы безопасности.

 

В силу особенностей современных АС существует достаточно большое количество различных видов угроз ИБ. Причем следует иметь в виду, что научно-технический прогресс может привести к появлению новых принципиально отличающихся от известных видов угроз.

 

Источники угроз ИБ:

1) Стихийные бедствия и аварии.

2) Сбои и отказы оборудования.

3) Ошибки проектирования и разработки компонентов АС (аппаратных средств, технологий обработки информации программ итд).

4) Ошибки эксплуатации (пользователи, администраторы итд).

5) Преднамеренные действия злоумышленников и нарушителей (хакеры, обиженный персонал итд).

 

Классификация угроз ИБ:

По природе возникновения угрозы ИБ подразделяют на два класса:

1) Естественные (объективные) – угрозы вызванные воздействием на АС и её элементы объективных физических процессов (износ оборудования) или стихийных природных явлений, не зависящих от человека;

2) Искусственные (субъективные) – угрозы ИБ вызванные деятельностью человека;

a) Непреднамеренные – вызванные ошибками в действиях персонала в ПО проектировании АС итд;

b) Преднамеренные – связанные с корыстными, идейными или иными устремлениями злоумышленников.

Источники угроз по отношению к АС подразделяются на:

1) Внешние;

2) Внутренние;