Тема: современные подходы к технологиям и методам обеспечения ИБ

 

Современные автоматизированные информационные технологии (АИТ), используемые при управлении различными сферами де­ятельности общества, базируются на применении КС широкого спек­тра назначений, от локальных до глобальных. С точки зрения обеспе­чения информационных взаимодействий различных объектов и субъектов они обладают следующими основными признаками ИБ:

1. наличие информации различной степени конфиденциальности;

2. необходимость криптографической защиты процессов пользо­вания информацией различной степени конфиденциальности при передаче данных;

3. иерархичность полномочий субъектов доступа и программ к автоматизированным рабочим местам (АРМ), файл-серверам, каналам связи и информации системы; необходимость оператив­ного изменения этих полномочий;

4. организация обработки информации в диалоговом режиме, режиме разделения времени между пользователями и режиме ре­ального времени;

5. обязательное управление потоками информации как в локальных сетях, так и при передаче по каналам связи на большие расстояния;

6. необходимость регистрации и учета попыток несанкционированного доступа, событий в системе и документов, выводимых на печать;

7. обязательное сохранение целостности программного обеспечения и информации в АИТ;

8. наличие средств восстановления системы защиты процессов переработки информации;

9. обязательный учет магнитных носителей;

10. наличие физической охраны средств вычислительной техники и магнитных носителей.

11. Организационные мероприятия и процедуры, используемые для решения проблемы безопасности переработки информации, реша­ются на всех этапах проектирования и в процессе эксплуатации АИТ.

Существенное значение при проектировании придается предпроектному обследованию объекта. На этой стадии:

1. устанавливают наличие секретной (конфиденциальной) инфор­мации в разрабатываемой АИТ, оценивают уровень конфиденци­альности и объемы;
2. определяют режимы обработки информации (диалоговый, те­леобработки и режим реального времени), состав комплекса тех­нических средств, общесистемные программные средства и т.д.;

Функционирование системы защиты переработки информации от несанкционированного доступа как комплекса программно-технических средств и организационных (процедурных) решений предусматривает:

· учет, хранение и выдачу пользователям информационных но­сителей, паролей, ключей;

· ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);

· оперативный контроль за функционированием систем защиты секретной информации;

· контроль соответствия общесистемной программной среды эта­лону;

· приемку включаемых в АИТ новых программных средств;

· контроль за ходом технологического процесса обработки фи­нансово-кредитной информации путем регистрации анализа дей­ствий пользователей;

· сигнализацию опасных событий и т. д.

Системы защиты процессов переработки информации в АИТ основываются на следующих принципах:

1) комплексный подход к построению системы защиты при веду­щей роли организационных мероприятий

2) разделение и минимизация полномочий по доступу к обраба­тываемой информации и процедурам обработки

3) обеспечение надежности системы защиты, т.е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднаме­ренных ошибок пользователей и обслуживающего персонала;

4) обеспечение контроля за функционированием системы защи­ты, т. е. создание средств и методов контроля работоспособности Механизмов защиты;

5) «прозрачность» системы защиты процессов переработки ин­формации для общего, прикладного программного обеспечения пользователей АИТ;

6) экономическая целесообразность использования системы за­щиты

Проблема создания системы зашиты процессов переработки информации включает в себя две взаимно дополняющие задачи:

1) разработка системы защиты переработки информации (ее синтез);

2) оценка разработанной системы защиты.

Тема: Содержание средств и методов защиты процессов переработки информации

Препятствие – метод физического преграждения пути зло­умышленнику к защищаемой информации (аппаратуре, носите­лям информации и т.д.).

Управление доступом – метод защиты переработки информа­ции регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, программных и технических средств).

Управление доступом включает в себя сле­дующие функции защиты:

1) идентификация пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

2) опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

3) проверка полномочий (соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

4) разрешение и создание условий работы в пределах установлен­ного регламента;

5) регистрация (протоколирование) обращений к защищаемым ресурсам;

6) реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Маскировка – метод защиты процессов переработки информа­ции путем ее криптографического закрытия. Этот метод широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

Регламентация – метод защиты процессов переработки инфор­мации, создающий такие условия автоматизированной обработ­ки, хранения и передачи защищаемых процессов обработки ин­формации, при которых возможности несанкционированного до­ступа к ней сводятся к минимуму.

Принуждение – метод защиты процессов переработки инфор­мации, при котором пользователи и персонал системы вынужде­ны соблюдать правила обработки, передачи и использования за­щищаемых процессов обработки информации под угрозой мате­риальной, административной или уголовной ответственности.

Побуждение – метод защиты процессов переработки инфор­мации, который побуждает пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложив­шихся моральных и этических норм (как регламентированных, так и неписаных).

Тема: Классификация средств защиты

 

технические – электрические, электромеханические и элект­ронные устройства.

 

 

Под аппаратными техническими средствами принято понимать устройства, встраиваемые непос­редственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу;

физические – автономные устройства и системы. (замки на дверях, где размещена аппаратура, решетки на окнах)

программные – программное обеспечение, специально пред­назначенное для выполнения функций защиты процессов обра­ботки информации;

организационные – организационно-технические и организа­ционно-правовые мероприятия, осуществляемые в процессе со­здания и эксплуатации вычислительной техники, аппаратуры те­лекоммуникаций для обеспечения защиты обработки информа­ции (стро­ительство помещений, проектирование компьютерной информа­ционной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация);

законодательные – законодательные акты страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры от­ветственности за нарушение этих правил;

морально-этические – всевозможные нормы, которые сложи­лись традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе.

Для реализации мер безопасности используют различные ме­ханизмы шифрования

1) Криптография – это наука об обеспечении секретности или аутентичности (подлинности) передаваемых сообщений.
Методу преобразования в криптографической системе соответ­ствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом, или битовой после­довательностью, обычно называемым шифрующим ключом.
Шифрование может быть симметричным и асимметричным. Симметричное шифрование основывается на использовании од­ного и того же секретного ключа для шифрования и дешифрова­ния. Асимметричное шифрование характеризуется тем, что для шифрования используется один ключ, являющийся общедоступ­ным, а для дешифрования – другой, являющийся секретным; при этом знание общедоступного ключа не позволяет определить секретный ключ.

2) цифровую (электронная) подпись - фор­мирование подписи отправителем и ее опознавание (верификацию) получателем.

3) контроль доступа – осуществляют проверку полно­мочий объектов АИТ (программ и пользователей) на доступ к ресурсам сети. осуществляют проверку полно­мочий объектов АИТ (программ и пользователей) на доступ к ресурсам сети.

4) обеспечение целостности данных – Отправитель дополняет передаваемый блок крип­тографической суммой, а получатель сравнивает ее с криптогра­фическим значением, соответствующим принятому блоку. Несов­падение свидетельствует об искажении информации в блоке;

5) обеспечение аутентификации – включает в себя одно­стороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих объектов проверяет подлинность другого, тогда как во втором случае проверка является взаимной;

6) постановку трафика – используют для реализации засекречи­вания потока данных. Они основываются на генерации объектами АИТ фиктивных блоков, их шифровании и организации передачи по каналам сети. Этим нейтрализуется возможность получения информации посредством наблюдения за внешними характери­стиками потоков, циркулирующих по каналам связи;

7) управление маршрутизацией – обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным), физически ненадежным каналам;

8) арбитраж, или освидетельствование – обеспечивают подтверждение характеристик данных, передаваемых между объектами АИТ, третьей стороной (арбитром).

 

Методы и средства защиты от угроз ИБ:

1. Предотвращение угроз ИБ - технологии, осуществляющие упреждение и предупреждение возможного проникновения злоумышленника, а также организацию и реализации защиты объекта на начальном этапе нападения.

2. парирование угроз - методы и приемы, препятствующие или ограничивающие воздействие на защищенный объект.

3. Нейтрализация - применение средств устране­ния и ликвидации угроз, частичной или полной их нейтрализа­ции в случае проникновения на объект либо диверсии.