Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Уровни информационной безопасности объектов
Определяющую роль при выборе моделей и методов информационной защиты играют характеристики субъектов информационных отношений. Тем не менее для всего многообразия форм информационных отношений выделяют следующие уровни защиты:
Законодательный уровень
Можно, в свою очередь, выделить два направления развития мер обеспечения ИБ на законодательном уровне. Это меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям ИБ, а также меры, способствующие повышению образованности общества в области ИБ, помогающие в разработке и распространении средств обеспечения ИБ.
К первой группе следует отнести в первую очередь главу 28 («Преступления в сфере компьютерной информации») раздела IX новой редакции Уголовного кодекса, а также Закон «Об информации, информатизации и защите информации».
К направляющим и координирующим законам и нормативным актам относится целая группа документов, регламентирующая процессы лицензирования и сертификации в области ИБ. Главная роль здесь отведена Государственной технической комиссии (Гостехкомиссии) при Президенте РФ.
В области ИБ законы реально работают через нормативные документы, подготовленные соответствующими ведомствами. В этой связи очень важны Руководящие документы Гостехкомиссии, определяющие требования к классам защищенности средств ВТ и АС.
При обеспечении ИБ существует два аспекта: формальный – определение критериев, которым должны соответствовать защищенные ИТ, и практический – определение конкретного комплекса мер безопасности применительно к рассматриваемой ИТ.
В настоящее время ведущим считается международный стандарт «Общие критерии оценки безопасности ИТ».
Попытки стандартизации практических аспектов безопасности начались сравнительно недавно. Первой удачной попыткой в этой области стал британский стандарт BS 7799 «Практические правила управления ИБ», изданный в 1995г., в котором обобщен опыт обеспечения режима ИБ в ИС разного профиля. Впоследствии было опубликовано несколько аналогичных документов: стандарты различных организаций и ведомств, например немецкий стандарт BSI. Содержание этих документов в основном относится к этапу анализа рисков, на котором определяются угрозы безопасности и уязвимости информационных ресурсов, уточняются требования к режиму ИБ.
Административный уровень
Основой мер административного уровня (предпринимаемых руководством организации) является политика безопасности – совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
Политика безопасности определяет стратегию организации в области ИБ, а также меру внимания и количество ресурсов, которые руководство считает целесообразным выделить.
Британский стандарт BS 7799 – 1995 (пример позитивного законодательства, описывающий основные положения политики безопасности) рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:
Определение политики ИБ должно сводиться к следующим практическим шагам.
1. Определение используемых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:
2. Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.
3. Структуризация контрмер по уровням.
4. Порядок сертификации на соответствие стандартам в области ИБ. Должна быть определена периодичность проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей ИС по вопросам ИБ.
Для построения системы защиты информации необходимо определить границы системы, для которой должен быть обеспечен режим ИБ. Соответственно система управления ИБ (система защиты информации) должна строиться именно в этих границах.
Описание границ системы, для которой должен быть обеспечен режим ИБ, рекомендуется выполнять по следующему плану.
1. Структура организации. Описание существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы.
2. Размещение средств ВТ и поддерживающей инфраструктуры. Модель иерархии средств ВТ.
3. Ресурсы ИС, подлежащие защите. Рекомендуется рассмотреть ресурсы автоматизированной системы следующих классов: средства ВТ, данные, системное и прикладное ПО. Все ресурсы представляют ценность с точки зрения организации. Для их оценки должна быть выбрана система критериев и методология получения оценок по этим критериям.
4. Технология обработки информации и решаемые задачи. Для решаемых задач должны быть построены модели обработки информации в терминах ресурсов.
В результате должен быть составлен документ, в котором:
Минимальным требованиям к режиму ИБ соответствует базовый уровень ИБ. Обычной областью использования этого уровня являются типовые проектные решения. Существует ряд стандартов и спецификаций, в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, НСД и т.д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры вне зависимости от вероятности осуществления угроз и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно.
В случаях, когда нарушения режима ИБ чреваты тяжелыми последствиями, базовый уровень требований к режиму ИБ является недостаточным. Для того, чтобы сформулировать дополнительные требования, необходимо:
Политика безопасности строится на основе анализа рисков, которые признаются реальными для ИС организации. Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечивать ИБ. Под эту программу выделяются средства, назначаются ответственные, определяется порядок контроля выполнения программы. Без этой основы все прочие меры ИБ становятся неэффективными, они не могут быть всеобъемлющими и систематическими.
Процедурный уровень
К процедурному уровню защиты информации относятся меры безопасности, реализуемые людьми. Можно выделить следующие группы процедурных (организационных) мер, направленных на обеспечение ИБ:
Управление персоналом заключается в выполнении следующих условий. Во-первых, для каждой должности должны существовать квалификационные требования по ИБ. Во-вторых, в должностные инструкции должны входить разделы, касающиеся ИБ. В-третьих, каждого работника нужно научить мерам безопасности теоретически и на практике.
Меры физической защиты, известные с давних времен, нуждаются в постоянной доработке в связи с распространением сетевых технологий и миниатюризации ВТ.
Прежде всего следует защититься от утечки информации по техническим каналам. Этим занимается Гостехкомиссия.
Планирование восстановительных работ предполагает:
Подобный план нужен не только сверхважным военным организациям, но и обычным коммерческим компаниям, если они не хотят понести крупные финансовые потери.
Программно-технический уровень
Весьма объемной составляющей в области ИБ является программно-техническая реализация средств информационной защиты. Согласно современным воззрениям, в минимальном наборе надежной ИС должны быть следующее механизмы ЗИ:
Кроме того, необходимо управлять ИС в целом и механизмами безопасности в особенности. И управление, и механизмы безопасности должны функционировать в разнородной, распределенной среде, построенной, как правило, в архитектуре клиент/сервер. Это означает, что упомянутые средства должны опираться на общепринятые стандарты, быть устойчивыми к сетевым угрозам, учитывать специфику отдельных сервисов.
На сегодняшний день подавляющее большинство разработок средств ЗИ ориентировано на платформы Intel/DOS/Windows. В тоже время наиболее значимая информация концентрируется на иных серверных платформах. В защите нуждаются не отдельные ПК, не только локальные сети на базе таких компьютеров, но, в первую очередь, более современные корпоративные системы.
Угрозы информационной безопасности и каналы утечки информации
Под угрозой безопасности информации в компьютерной системе (КС) понимают событие или действие, которое может вызвать изменение функционирования КС, связанное с нарушением защищенности обрабатываемой в ней информации.
Уязвимость информации – это возможность возникновения на каком-либо этапе жизненного цикла КС такого ее состояния, при котором создаются условия для реализации угроз безопасности информации.
Атакой на КС называют действие, предпринимаемое нарушителем, которое заключается в поиске и использовании той или иной уязвимости. Иначе говоря, атака на КС является реализацией угрозы безопасности информации в ней.
Угрозы информационной безопасности могут быть разделены на угрозы, не зависящие от деятельности человека (естественные угрозы физических воздействий на информацию стихийных природных явлений), и угрозы, вызванные человеческой деятельностью (искусственные угрозы), которые являются гораздо более опасными.
Искусственные угрозы исходя из их мотивов разделяются на непреднамеренные (случайные) и преднамеренные (умышленные).
К непреднамеренным угрозам относятся:
К умышленным угрозам относятся:
В зависимости от целей преднамеренных угроз безопасности информации в КС угрозы могут быть разделены на три основные группы:
Опосредованной угрозой безопасности информации в КС является угроза раскрытия параметров подсистемы защиты информации, входящей в состав КС. Реализация этой угрозы дает возможность реализации перечисленных ранее непосредственных угроз безопасности информации.
Результатом реализации угроз безопасности информации в КС может быть утечка (копирование) информации, ее утрата (разрушение) или искажение (подделка), блокирование информации. Поскольку сложно заранее определить возможную совокупность угроз безопасности информации и результатов их реализации, модель потенциальных угроз безопасности информации в КС должна создаваться совместно собственником (владельцем) КС и специалистами по защите информации на этапе проектирования КС.
Косвенными каналами утечки называют каналы, не связанные с физическим доступом к элементам КС:
Побочные электромагнитные излучения создаются техническими средствами КС при обработке информации, существуют в диапазоне от единиц герц до 1,5 ГГц и могут распространять обрабатываемую информацию с дальностью до 1 км. Наиболее опасными с точки зрения ПЭМИН являются дисплеи, кабельные линии связи, накопители на магнитных дисках, матричные принтеры. Для перехвата ПЭМИН используется специальная портативная аппаратура, включающая в себя широкополосный автоматизированный супергетеродинный приемник с устройством регистрации информации на магнитном носителе и (или) дисплеем.
Побочные электромагнитные наводки представляют собой сигналы в цепях электропитания и заземления аппаратных средств КС и в находящихся в зоне воздействия ПЭМИН работающих аппаратных средств КС кабелях вспомогательных устройств (звукоусиления, связи, времени, сигнализации), металлических конструкциях зданий, сантехническом оборудовании. Эти наведенные сигналы могут выходить за пределы зоны безопасности КС.
Другим классом каналов утечки информации являются непосредственные каналы, связанные с физическим доступом к элементам КС. К непосредственным каналам утечки, не требующим изменения элементов КС, относятся:
К непосредственным каналам утечки, предполагающим изменение элементов КС и ее структуры, относятся:
Пассивное подключение нарушителя к устройствам или линиям связи легко предотвратить (например, с помощью шифрования передаваемой информации), но невозможно обнаружить. Активное подключение, напротив, легко обнаружить (например, с помощью хеширования и шифрования передаваемой информации), но невозможно предотвратить.
Помимо утечки информации в КС возможны также ее несанкционированное уничтожение или искажение (например, заражение компьютерными вирусами), а также несанкционированное использование информации при санкционированном доступе к ней (например, нарушение авторских прав владельцев или собственников программного обеспечения или баз данных).
Наличие в КС значительного числа потенциальных каналов утечки информации является объективным фактором и обусловливает уязвимость информации в подобных системах с точки зрения ее несанкционированного использования.
Поскольку наиболее опасные угрозы информационной безопасности вызваны преднамеренными действиями нарушителя, которые в общем случае являются неформальными, проблема защиты информации относится к формально не определенным проблемам. Отсюда следуют два основных вывода:
При решении задачи защиты информации в КС необходимо применять так называемый системно-концептуальный подход. В соответствии с ним решение задачи должно подразумевать:
Концептуальность подхода к решению задачи защиты информации в КС предусматривает ее решение на основе единой концепции (совокупности научно обоснованных решений, необходимых и достаточных для оптимальной организации защиты информации в КС).
Обеспечение информационной безопасности КС является непрерывным процессом, целенаправленно проводимым на всех этапах ее жизненного цикла с комплексным применением всех имеющихся методов и средств.
Существующие методы и средства защиты информации можно подразделить на четыре основные группы: