Цели и задачи обеспечения информационной безопасности в информационной системе.

Цели и задачи обеспечения информационной безопасности в информационной системе.

Целями обеспечения информационной безопасности в ИС являются:

- достижение состояния защищенности жизненно важных интересов государства от различных угроз в сфере формирования, распространения и использования информационных ресурсов;

- обеспечение прав граждан на получение, использование и распространение информации;

- обеспечение информированности общества, необходимой для успешного функционирования всех его структур;

- предотвращение нарушений прав граждан и организаций на сохранение конфиденциальности и секретности информации;

- обеспечение условий, препятствующих преднамеренному искажению или сокрытию информации при отсутствии для этого законных оснований.

Задачами обеспечения информационной безопасности в ИС являются:

- выявление и прогнозирование внутренних и внешних угроз информационной безопасности, разработка и осуществление комплекса адекватных и экономически обоснованных мер по их предупреждению и нейтрализации;

- формирование единой политики государственной власти и субъектов России по обеспечению информационной безопасности в ИС;

- совершенствование и стандартизация применяемых методов и средств защиты информации в ИС;

- создание и реализация механизма государственного регулирования (лицензирования) деятельности в области защиты информации, а также обеспечение функционирования системы сертификации ИС и входящих в их состав защищенных технических средств, средств защиты информации и средств контроля эффективности принятых мер защиты.

 

Информационная война.

Информационная война: комплексное воздействие (совокупность информационных операций) на систему государственного и военного управления противостоящей стороны, на ее военно-политическое руководство, которое уже в мирное время приводило бы к принятию благоприятных для стороны-инициатора информационного воздействия решений, а в ходе конфликта полностью парализовало бы функционирование инфраструктуры управления противника.

Какой бы смысл в понятие "информационная война" ни вкладывался, оно родилось в среде военных и обозначает, прежде всего, жесткую, решительную и опасную деятельность, сопоставимую с реальными боевыми действиями.

Многие страны вынуждены принимать специальные меры для защиты своих сограждан, своей культуры, традиций и духовных ценностей от чуждого информационного влияния. Следует постоянно помнить о защите национальных информационных ресурсов и сохранении конфиденциальности информационного обмена по мировым открытым сетям. Вполне вероятно, что на этой почве могут возникать политическая и экономическая конфронтация между рядом государств, новые кризисные ситуации в международных отношениях. Поэтому в настоящее время информационная безопасность, информационная война и информационное оружие оказались в центре внимания.

Информационная война (Information war) — термин, имеющий два значения:

Воздействие на гражданское население и (или) военнослужащих другого государства путём распространения определённой информации.

Методы информационной войны:

· выброс дезинформации,

· представление информации в выгодном для себя ключе.

Разновидности информационной войны: командно-управленческая, разведывательная, психологическая, хакерская, экономическая, электронная и кибервойна.

Командно-управленческая (Command-and-control) война в качестве основного объекта воздействия рассматривает каналы связи между командованием и исполнителями. Перерезая «шею» (каналы связи), нападающий изолирует «голову» от «туловища». Утверждается, что это лучше, нежели просто убивать «голову». Считается, что Интернет родился как оборонный вариант этой войны («рассредоточенная шея»).

Разведывательная война имеет целью сбор важной в военном отношении информации и защиту собственной.

Электронная война объектом своего воздействия имеет средства электронных коммуникаций - радиосвязи, радаров, компьютерных сетей. Ее важная составляющая - криптография, позволяющая осуществлять шифрование и расшифровку электронной информации.

Психологическая война - осуществляется путем пропаганды, «промывания мозгов» и другими методами информационной обработки населения.

4 составляющие психологической войны: подрыв гражданского духа; деморализация вооруженных сил; дезориентация командования; война культур (Kulturkampf).

Хакерская война имеет целями тотальный паралич сетей, перебои связи, введение ошибок в пересылку данных, хищение информации, хищение услуг за счет несанкционированных подключений к сетям, их тайный мониторинг, несанкционированный доступ к закрытым данным. Для достижения этих целей используются различные программные средства: вирусы, «троянские кони», «логические бомбы», сниферы («нюхалки», «следилки»).

Экономическая информационная война. Две ее формы - информационную блокаду (направленная против США) и информационный империализм (метод самих США).

Система защиты информации.

Система защиты информации - совокупность специальных мер правового и административного характера, организационных мероприятий, физических и технических средств защиты, а также специального персонала, предназначенных для обеспечения безопасности ИС.

Основные принципы построения систем обеспечения информационной безопасности:

- законность,

- системность,

- комплексность,

- непрерывность защиты,

- минимизации полномочий,

- разделения функций

- гибкость управления,

- открытость алгоритмов и механизмов защиты,

- простота применения защитных мер и средств.

Основные защитные механизмы:

- идентификация и аутентификация

- разграничение доступа (и изоляция)

- регистрация событий и аудит

- контроль целостности

- шифрование данных и ЭЦП

- резервирование и резервное копирование

- затирание остаточной информации

- обнаружение и обезвреживание вирусов

- фильтрация трафика и трансляция адресов

- выявление и устранение уязвимостей

- обнаружение вторжений (атак)

- маскировка и создание ложных объектов

- страхование рисков

 

Обследование объекта

·Основные цели и задачи ИС для поддержания бизнеса

·Функциональные требования к ИС

·Критичные информационные ресурсы, процессы и сервисы

·Строгий учет всех подлежащих защите ресурсов системы

·Входные и выходные потоки данных

·Описание интерфейсов ИС

·Топология сети, прикладное и системное ПО

·Обязанности сотрудников ИС

·Типы и форматы данных

·Категории пользователей и персонала

Формирование общих требований к подсистеме ИБ:

·Инвентаризация, классификация и категорирование ресурсов

·Назначение ответственных за каждый ресурс

·Определение прав доступа к ресурсам для категорий пользователей с документальным закреплением.

Проектирование подсистемы ИБ - заключается в разработке политики ИБ в виде совокупности документируемых программных, аппаратных, организационных, административных, юридических, физических решений, набора правил и инструкций, четко регламентирующих все аспекты деятельности компании в области ИБ.

Основная цель политики ИБ - информирование пользователей ИС о наложенных на них обязательных требованиях по защите информационных ресурсов.

Эффективная система ИБ должна обеспечивать разумный баланс между политикой ИБ и техническими средствами защиты информации.

Политика безопасности – совокупности правил и ограничений (регламентов), направленных на обеспечение безопасности организации при использовании ИС.

 

23.Разработка стратегии хранения данных.Составление плана восстановительных работ.

Выделяют семь этапов разработки стратегии хранения данных.

1. Первым шагом в разработке стратегии хранения данных является исследование имеющейся среды хранения данных.

При определении местонахождения критических данных компании необходимо также обратить внимание на емкость ресурсов в этих средах..

2. Следующим шагом, будет сбор статистики о том, насколько используются ресурсы хранения данных, насколько хорошо работает система хранения и в каком направлении она развивается. Еще одна статистика, которую необходимо собрать, - это рост объема данных. Она пригодится для определения тех мест, где объем данных растет быстрее всего.

3. список потенциальных проблем. Этот список станет хорошей исходной точкой для оценки риска. Резервное копирование - основа защиты данных от потерь. Износ резервных носителей также может представлять потенциальную проблему. Данные следует переносить на новые носители задолго до того, как старые носители окажутся опасно изношенными или начнут разрушаться.

4. Четвертый этап-тестирование продуктов, отвечающих вашим требованиям к хранению данных.

5. Пятый этап планирования хранения данных состоит в выработке мер по восстановлению после аварии. Определите, какие данные непременно должны быть в порядке для поддержания бизнеса.

6. Самого по себе плана недостаточно, вы должны проверить его действенность - этап номер шесть. Если у вас есть резервный центр, временно изолируйте его и убедитесь в том, что он может выполнять ключевые функции полностью самостоятельно. Очень часто якобы полные резервные копии на самом деле не содержат таких критически важных компонентов, как файлы.DLL или конфигурационные файлы, находящиеся на рабочих станциях.

7. Седьмой, завершающий этап планирования хранения данных - разработка плана поддержания непрерывности бизнеса. Многие из описанных задач, такие как контроль производительности системы и сбор статистики о росте объемов данных, должны производиться на постоянной основе. Кроме того, по мере роста компании и ее реорганизации вы должны регулярно проводить проверку принятых мер, поскольку те, что срабатывали несколько месяцев назад, могут отказать завтра.

Составление плана восстановительных работ

Требования по составлению плана восстановительных работ:

1. Убедитесь, что Ваш план позволит произвести восстановительные работы в указанный срок;

2. Стремитесь к более тесному сотрудничеству, к максимально возможной скоординированности действий со всеми заинтересованными сторонами, в том числе с пользователями, с руководителями подразделений и с высшим руководством;

3. В большинстве случаев в организациях должны иметься письменные планы, дабы персонал не пропустил обязательные этапы работы.

4. Очень важна периодическая проверка плана, а также проверка всех процедур, программных и технических средств, которые могут выйти из строя.

5. Запасные рабочие места должны находиться на приличном расстоянии от основных, чтобы исключить возможность одновременного поражения обеих площадей, на случай если бедствие охватит целый район;

6. При написании плана учтите возможность отсутствия системных специалистов в момент аварии. Все инструкции по восстановлению должны быть написаны так, чтобы их могли понять люди, далекие от техники. Описывайте даже самые элементарные действия;

7. Если у Вас имеется запасная площадь, запланируйте наличие удаленных каналов и проводите их регулярное тестирование. При составлении плана действий персонала на случай аварии расписывайте рабочие функции каждого сотрудника с учетом его индивидуальных возможностей. Постоянно возвращайтесь к плану, привлекая всех имеющих к нему отношение сотрудников;

8. Следите за тем, чтобы у каждого члена восстановительной команды, на каждой площадке для восстановления и в удаленном месте хранения копий имелись свежие версии важных документов, а именно руководства по восстановлению, списки адресов и телефонов служащих.

Восстановление данных

Причина создания резервных копий - это возможность восстановления данных. Успешное восстановление данных возможно, если придерживаться некоторых правил, главные из которых:

· полное документирование всех мероприятий по архивации,

· периодическое проведение тестовых восстановлений данных с архивных носителей.

В ОС Microsoft Windows 2003/XP восстанавливать папки и файлы из архива могут пользователи, входящие в группу администраторов или операторов архива. Программа Backup Windows позволяет проводить процедуру восстановления данных двумя способами: вручную и с использованием мастера. Настроить параметры и запустить процесс восстановления можно, перейдя на вкладку "Восстановление и управление носителем" в главном окне программы Backup.

На этой вкладке необходимо выбрать носитель, с которого будут восстанавливаться данные. В нижней части окна можно выбрать один из следующих параметров восстановления:

· "Исходное размещение" - восстановление файлов и папок из архива в то же месторасположение, где они находились до архивации.

· "Альтернативное размещение" - восстановление файлов и папок из архива в заданную папку. Этот вариант восстановления позволяет сохранить структуру папок архивных данных.

· "Одну папку" - восстановление файлов и папок из архива в заданную папку без сохранения исходной структуры папок и подпапок. При этом в заданной папке будут восстановлены только файлы.

Функции и классификация криптосистем. Требования к криптосистемам.

Процесс криптографического закрытия данных может осуществляться как программно, так и аппаратно. Аппаратная реализация отличается существенно большей стоимостью, однако ей присущи и преимущества: высокая производительность, простота, защищенность и т. д. Программная реализация более практична, допускает известную гибкость в использовании.

Для современных криптографических систем защиты информации сформулированы следующие общепринятые требования:

• зашифрованное сообщение должно поддаваться чтению только при наличии ключа;

• число операций, необходимых для определения использованного ключа шифрования по фрагменту шифрованного сообщения и соответствующего ему открытого текста, должно быть не меньше общего числа возможных ключей;

• число операций, необходимых для расшифровывания информации путем перебора всевозможных ключей, должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров (с учетом возможности использования сетевых вычислений);

• знание алгоритма шифрования не должно влиять на надежность защиты;

• незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного сообщения даже при использовании одного и того же ключа;

• структурные элементы алгоритма шифрования должны быть неизменными;

• дополнительные биты, вводимые в сообщение в процессе шифрования, должен быть полностью и надежно скрыты в шифрованном тексте;

• длина шифрованного текста должна быть равной длине исходного текста;

• не должно быть простых и легко устанавливаемых зависимостей между ключами, последовательно используемыми в процессе шифрования;

• любой ключ из множества возможных должен обеспечивать надежную защиту информации;

• алгоритм должен допускать как программную, так и аппаратную реализацию, при этом изменение длины ключа не должно вести к качественному ухудшению алгоритма шифрования.

 

 

19) Процесс реконфигурации аппаратно-программных средств, разработки и внедрения программного обеспечения.

Регламентация процесса авторизации:

В разрешительной системе допуска (система авторизации) устанавливается:

· кто, кому, при каких условиях, к каким ресурсам ИС и на какие виды доступа может давать разрешения;

· система санкционирования и разграничения доступа, которая предполагает определение для всех пользователей конкретных перечней информационных и программных ресурсов, доступных им для чтения, модификации, удаления, выполнения и т.п..

 

Процесс авторизации устанавливается Инструкцией по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ИС организации. Разрешение на доступ дает руководитель подразделения в документируемом виде. Руководитель несет персональную ответственность за обоснованность предоставления прав.

Процедура регистрации (создания учетной записи) пользователя для сотрудника и предоставления ему (или изменения его) прав доступа к ресурсам ИС инициируется заявкой начальника подразделения (отдела, сектора), в котором работает данный сотрудник.

В заявке должно указываться:

· содержание запрашиваемых изменений:

· регистрация нового пользователя ИС,

· удаление учетной записи пользователя,

· расширение или сужение полномочий и прав доступа к ресурсам ИС ранее зарегистрированного пользователя;

· должность (с полным наименованием подразделения), фамилия, имя и отчество сотрудника;

· имя пользователя (учетной записи) данного сотрудника;

· полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач на конкретных рабочих станциях ИС).

 

Правила именования пользователей, задач, ролей и компьютеров:

 

Правила именования пользователей.

1.

С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику ОРГАНИЗАЦИИ, допущенному к работе с конкретной подсистемой ИС ОРГАНИЗАЦИИ, должно быть сопоставлено персональное уникальное имя (бюджет или учетная запись пользователя), под которым он будет регистрироваться и работать в системе. Некоторым сотрудникам в случае производственной необходимости могут быть сопоставлены несколько уникальных имен (учетных записей).

2. Использование несколькими сотрудниками при работе в ИС одного и того же имени пользователя (“группового имени”) ЗАПРЕЩЕНО.

 

3. Идентификаторы не должны являться источником информации об организации, ее структуре и функциях их владельцев (admin).

1.

2.

3.

4.

4. В ИС должны быть разработаны стандартные профили доступа для всех типовых категорий пользователей (пользователи, операторы, администраторы, привилегированные пользователи, аудиторы).

Регламентация процесса изменений конфигурации:

Регламентация устанавливается в «Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств автоматизированной системы организации». Инструкция регламентирует взаимодействие подразделений организации по обеспечению ИБ при проведении модификаций ПО и технического обслуживания средств вычислительной техники.

· Все аппаратные и программные ресурсы ИС организации должны быть установленным порядком категорированы (для каждого ресурса должен быть определен требуемый уровень защищенности). Подлежащие защите ресурсы системы (задачи, программы, АРМ) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных).

· Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация (с которых возможен доступ к защищаемым ресурсам), должна соответствовать кругу возложенных на пользователей данного АРМ функциональных обязанностей.

· Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами).

· Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств существующих АРМ в ИС организации должны осуществляться только установленным порядком.

· Инициатором программно-аппаратных изменений является либо руководитель подразделения, либо отдел ИТ предприятия. Модификация производится на основе заявки в бумажной или электронной форме.

· Все изменения конфигурации технических и программных средств защищенных рабочих станций (РС) и серверов АС организации должны производиться только на основании заявок начальников структурных подразделений либо заявок начальника отдела автоматизации (ОА), согласованных с руководителем службы (начальником отдела) обеспечения безопасности информации (ОБИ). Формы заявок на внесение изменений показаны ниже.

В заявке указываться следующие виды необходимых изменений в составе аппаратных и программных средств ПК и серверов подразделения:

· установка в подразделении новой ПЭВМ (новой ПК или сервера);

· замена ПЭВМ (ПК или сервера подразделения);

· изъятие ПЭВМ (ПК или сервера подразделения);

· добавление устройства (узла, блока) в состав конкретного ПК или сервера подразделения;

· замена устройства (узла, блока) изъятие устройства (узла, блока) из состава конкретного ПК или сервера;

· установка (развертывание) на конкретного ПК или сервера программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи на данной РС или сервере);

· обновление (замена) на конкретной РС или сервере программных средств, необходимых для решения определенной задачи (обновление версий используемых для решения определенной задачи программ);

· удаление с конкретной РС или сервера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данной РС).

Право внесения изменений в конфигурацию аппаратно-программных средств защищенных рабочих станций и серверов ИС ОРГАНИЗАЦИИ предоставляется:

· в отношении системных и прикладных программных средств, а также в отношении аппаратных средств и программно-аппаратных средств телекоммуникации - уполномоченным сотрудникам отдела ИТ;

· в отношении программно-аппаратных средств защиты - уполномоченным сотрудникам отдела ИБ.

Исполненные заявки могут впоследствии использоваться:

· для контроля правомерности установки на конкретной ПК средств при разборе конфликтных ситуаций

· для проверки правильности установки и настройки средств защиты ПК

· для восстановления конфигурации ПК после аварий

Затирание конфиденциальной информации

Изъятие ПК из состава рабочих станций подразделения ее передача на склад, в ремонт или в другое подразделение осуществляется только после того, как специалист отдела ИБ снимет с данной ПЭВМ средства защиты и предпримет необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью ответственного за ИБ в подразделении.

 

22) Источники возникновения опасных сигналов.

Достаточно объемный по своему содержанию раздел, в котором описывается модель возможного нарушителя, рассматриваются различные возможности утечки информации по техническим каналам, дается определение умышленным действиям различными лицами, какие пути могут быть для реализации неправомерных действий и какие вообще могут быть угрозы безопасности информации и ее источники. Вот об этом сейчас более подробно и поговорим.
А начнем с видов угроз информационной безопасности и их источниках.
Для начала опишем наиболее значимые угрозы и методы их реализации. К наиболее опасным отнесем: нарушение конфиденциальности (разглашение, утечка); нарушение работоспособности (дезорганизация работы); нарушение целостности (искажение, подмена, уничтожение).
Далее опишем основные источники угроз:
непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей);
преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.);
воздействия из других логических и физических сегментов АС со стороны сотрудников других подразделений;
ошибки, допущенные при проектировании АС;
аварии, стихийные бедствия и т.п.
Во втором пункте данного раздела опишем основные пути реализации непреднамеренных искусственных (субъективных) угроз АС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба.
В третьем пункте также опишем основные пути реализации, только уже преднамеренных действий (с корыстными целями, по принуждению, из желания отомстить и т.п.).
В четвертом пункте опишем возможности утечки информации по техническим каналам, т.е. в данном разделе мы указываем возможные угрозы при проведении мероприятий и эксплуатации технических средств, когда возможны утечки или нарушения целостности информации, нарушения работоспособности технических средств:
побочные электромагнитные излучения информативного сигнала от технических средств;
наводки информативного сигнала;
изменения тока потребления;
радиоизлучение;
электрические сигналы или радиоизлучения, обусловленные воздействием на АС высокочастотных сигналов, по эфиру и проводам, либо сигналов промышленных радиотехнических устройств (радиовещательные, радиолокационные станции, средства радиосвязи и т.п.), и модуляцией их информативным сигналом (облучение, 'навязывание');
радиоизлучения или электрические сигналы от внедренных специальных электронных устройств перехвата информации;
акустическое излучение информативного речевого сигнала;
просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации;
Кроме перехвата информации техническими средствами, возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны. Такого рода утечка информации возможна вследствие:
непреднамеренного прослушивания без использования технических средств разговоров, ведущихся в выделенном помещении, из-за недостаточной звукоизоляции его ограждающих конструкций, систем вентиляции и кондиционирования воздуха;
случайного прослушивания телефонных переговоров при проведении профилактических работ на АТС, кроссах, кабельных коммуникациях с помощью контрольной аппаратуры;
просмотра информации с экранов дисплеев и других средств ее отображения.
Пятым пунктом опишем неформальную модель нарушителя, дадим определение кто такой нарушитель, неопытный пользователь, любитель (т.е. человек пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из 'спортивного интереса'), мошенник, внешний нарушитель, внутренний злоумышленник, также укажем перечни тех лиц, которых можно отнести к внутренним нарушителям и тех лиц, которых можно/нужно рассматривать как внешних нарушителей.
Далее укажем какой ущерб могут нанести те или иные группы лиц и чем для этого воспользоваться, к примеру: уволенные сотрудники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа; пользователи и обслуживающий персонал из числа сотрудников организации имеют наиболее широкие возможности по осуществлению несанкционированных действий вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации и защитных мер, при этом действия этой группы лиц напрямую связано с нарушением действующих правил и инструкций.

 

 

Цели и задачи обеспечения информационной безопасности в информационной системе.

Целями обеспечения информационной безопасности в ИС являются:

- достижение состояния защищенности жизненно важных интересов государства от различных угроз в сфере формирования, распространения и использования информационных ресурсов;

- обеспечение прав граждан на получение, использование и распространение информации;

- обеспечение информированности общества, необходимой для успешного функционирования всех его структур;

- предотвращение нарушений прав граждан и организаций на сохранение конфиденциальности и секретности информации;

- обеспечение условий, препятствующих преднамеренному искажению или сокрытию информации при отсутствии для этого законных оснований.

Задачами обеспечения информационной безопасности в ИС являются:

- выявление и прогнозирование внутренних и внешних угроз информационной безопасности, разработка и осуществление комплекса адекватных и экономически обоснованных мер по их предупреждению и нейтрализации;

- формирование единой политики государственной власти и субъектов России по обеспечению информационной безопасности в ИС;

- совершенствование и стандартизация применяемых методов и средств защиты информации в ИС;

- создание и реализация механизма государственного регулирования (лицензирования) деятельности в области защиты информации, а также обеспечение функционирования системы сертификации ИС и входящих в их состав защищенных технических средств, средств защиты информации и средств контроля эффективности принятых мер защиты.