У вас вопросы?
У нас ответы:) SamZan.net

технические конкретные технические меры

Работа добавлена на сайт samzan.net:

Поможем написать учебную работу

Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.

Предоплата всего

от 25%

Подписываем

договор

Выберите тип работы:

Скидка 25% при заказе до 28.12.2024

Уровни информационной безопасности объектов

Определяющую роль при выборе моделей и методов информационной защиты играют характеристики субъектов информационных отношений. Тем не менее для всего многообразия форм информационных отношений выделяют следующие уровни защиты:

  1.  законодательный (законы, нормативные акты, стандарты и т.п.);
  2.  административный (действия общего характера, предпринимаемые руководством организации);
  3.  процедурный (конкретные меры безопасности, имеющие дело с людьми);
  4.  программно-технические (конкретные технические меры).

Законодательный уровень

Можно, в свою очередь, выделить два направления развития мер обеспечения ИБ на законодательном уровне. Это меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям ИБ, а также меры, способствующие повышению образованности общества в области ИБ, помогающие в разработке и распространении средств обеспечения ИБ.

К первой группе следует отнести в первую очередь главу 28 («Преступления в сфере компьютерной информации») раздела IX новой редакции Уголовного кодекса, а также Закон «Об информации, информатизации и защите информации».

К направляющим и координирующим законам и нормативным актам относится целая группа документов, регламентирующая процессы лицензирования и сертификации в области ИБ. Главная роль здесь отведена Государственной технической комиссии (Гостехкомиссии) при Президенте РФ.

В области ИБ законы реально работают через нормативные документы, подготовленные соответствующими ведомствами. В этой связи очень важны Руководящие документы Гостехкомиссии, определяющие требования к классам защищенности средств ВТ и АС.

При обеспечении ИБ существует два аспекта: формальный – определение критериев, которым должны соответствовать защищенные ИТ, и практический – определение конкретного комплекса мер безопасности применительно к рассматриваемой ИТ.

В настоящее время ведущим считается международный стандарт «Общие критерии оценки безопасности ИТ».

Попытки стандартизации практических аспектов безопасности начались сравнительно недавно. Первой удачной попыткой в этой области стал британский стандарт BS 7799 «Практические правила управления ИБ», изданный в 1995г., в котором обобщен опыт обеспечения режима ИБ в ИС разного профиля. Впоследствии было опубликовано несколько аналогичных документов: стандарты различных организаций и ведомств, например немецкий стандарт BSI. Содержание этих документов в основном относится к этапу анализа рисков, на котором определяются угрозы безопасности и уязвимости информационных ресурсов, уточняются требования к режиму ИБ.

Административный уровень

Основой мер административного уровня (предпринимаемых руководством организации) является политика безопасности – совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности определяет стратегию организации в области ИБ, а также меру внимания и количество ресурсов, которые руководство считает целесообразным выделить.

Британский стандарт BS 7799 – 1995 (пример позитивного законодательства, описывающий основные положения политики безопасности) рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

  •  вводный, подтверждающий озабоченность высшего руководства проблемами ИБ;
  •  организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области ИБ;
  •  классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
  •  штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения ИБ, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
  •  раздел, освещающий вопросы физической защиты;
  •  раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
  •  раздел, описывающий правила разграничения доступа к производственной информации;
  •  раздел, характеризующий порядок разработки и сопровождения систем;
  •  раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
  •  юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

Определение политики ИБ должно сводиться к следующим практическим шагам.

1. Определение используемых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:

  •  управление доступом к средствам ВТ, программам и данным;
  •  антивирусную защиту;
  •  вопросы резервного копирования;
  •  проведение ремонтных и восстановительных работ;
  •  информирование об инцидентах в области ИБ.

2. Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.

3. Структуризация контрмер по уровням.

4. Порядок сертификации на соответствие стандартам в области ИБ. Должна быть определена периодичность проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей ИС по вопросам ИБ.

Для построения системы защиты информации необходимо определить границы системы, для которой должен быть обеспечен режим ИБ. Соответственно система управления ИБ (система защиты информации) должна строиться именно в этих границах.

Описание границ системы, для которой должен быть обеспечен режим ИБ, рекомендуется выполнять по следующему плану.

1. Структура организации. Описание существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы.

2. Размещение средств ВТ и поддерживающей инфраструктуры. Модель иерархии средств ВТ.

3. Ресурсы ИС, подлежащие защите. Рекомендуется рассмотреть ресурсы автоматизированной системы следующих классов: средства ВТ, данные, системное и прикладное ПО. Все ресурсы представляют ценность с точки зрения организации. Для их оценки должна быть выбрана система критериев и методология получения оценок по этим критериям.

4. Технология обработки информации и решаемые задачи. Для решаемых задач должны быть построены модели обработки информации в терминах ресурсов.

В результате должен быть составлен документ, в котором:

  •  зафиксированы границы и структура системы;
  •  перечислены ресурсы, подлежащие защите;
  •  дана система критериев для оценки их ценности.

Минимальным требованиям к режиму ИБ соответствует базовый уровень ИБ. Обычной областью использования этого уровня являются типовые проектные решения. Существует ряд стандартов и спецификаций, в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, НСД и т.д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры вне зависимости от вероятности осуществления угроз и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно.

В случаях, когда нарушения режима ИБ чреваты тяжелыми последствиями, базовый уровень требований к режиму ИБ является недостаточным. Для того, чтобы сформулировать дополнительные требования, необходимо:

  •  определить ценность ресурсов;
  •  к стандартному набору добавить список угроз, актуальных для исследуемой ИС;
  •  оценить вероятности угроз;
  •  определить уровень уязвимости ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для ИС организации. Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечивать ИБ. Под эту программу выделяются средства, назначаются ответственные, определяется порядок контроля выполнения программы. Без этой основы все прочие меры ИБ становятся неэффективными, они не могут быть всеобъемлющими и систематическими.

Процедурный уровень

К процедурному уровню защиты информации относятся меры безопасности, реализуемые людьми. Можно выделить следующие группы процедурных (организационных) мер, направленных на обеспечение ИБ:

  •  управление персоналом;
  •  физическая защита;
  •  планирование восстановительных работ.

Управление персоналом заключается в выполнении следующих условий. Во-первых, для каждой должности должны существовать квалификационные требования по ИБ. Во-вторых, в должностные инструкции должны входить разделы, касающиеся ИБ. В-третьих, каждого работника нужно научить мерам безопасности теоретически и на практике.

Меры физической защиты, известные с давних времен, нуждаются в постоянной доработке в связи с распространением сетевых технологий и миниатюризации ВТ.

Прежде всего следует защититься от утечки информации по техническим каналам. Этим занимается Гостехкомиссия.

Планирование восстановительных работ предполагает:

  •  слаженность действий персонала во время и после аварий;
  •  наличие заранее подготовленных резервных производственных площадок;
  •  официально утвержденную схему переноса на резервные площадки основных информационных ресурсов;
  •  схему возвращения к нормальному режиму работы.

Подобный план нужен не только сверхважным военным организациям, но и обычным коммерческим компаниям, если они не хотят понести крупные финансовые потери.

Программно-технический уровень

Весьма объемной составляющей в области ИБ является программно-техническая реализация средств информационной защиты. Согласно современным воззрениям, в минимальном наборе надежной ИС должны быть следующее механизмы ЗИ:

  •  идентификация и проверка подлинности (аутентификация) пользователей при входе в систему;
  •  протоколирование и аудит;
  •  криптография;
  •  обеспечение целостности программных и технических средств ВТ и средств защиты ИБ.

Кроме того, необходимо управлять ИС в целом и механизмами безопасности в особенности. И управление, и механизмы безопасности должны функционировать в разнородной, распределенной среде, построенной, как правило, в архитектуре клиент/сервер. Это означает, что упомянутые средства должны опираться на общепринятые стандарты, быть устойчивыми к сетевым угрозам, учитывать специфику отдельных сервисов.

На сегодняшний день подавляющее большинство разработок средств ЗИ ориентировано на платформы Intel/DOS/Windows. В тоже время наиболее значимая информация концентрируется на иных серверных платформах. В защите нуждаются не отдельные ПК, не только локальные сети на базе таких компьютеров, но, в первую очередь, более современные корпоративные системы.

Угрозы информационной безопасности и каналы утечки информации

Под угрозой безопасности информации в компьютерной системе (КС) понимают событие или действие, которое может вызвать изменение функционирования КС, связанное с нарушением защищенности обрабатываемой в ней информации.

Уязвимость информации – это возможность возникновения на каком-либо этапе жизненного цикла КС такого ее состояния, при котором создаются условия для реализации угроз безопасности информации.

Атакой на КС называют действие, предпринимаемое нарушителем, которое заключается в поиске и использовании той или иной уязвимости. Иначе говоря, атака на КС является реализацией угрозы безопасности информации в ней.

Угрозы информационной безопасности могут быть разделены на угрозы, не зависящие от деятельности человека (естественные угрозы физических воздействий на информацию стихийных природных явлений), и угрозы, вызванные человеческой деятельностью (искусственные угрозы), которые являются гораздо более опасными.

Искусственные угрозы исходя из их мотивов разделяются на непреднамеренные (случайные) и преднамеренные (умышленные).

К непреднамеренным угрозам относятся:

  •  ошибки в проектировании КС;
  •  ошибки в разработке программных средств КС;
  •  случайные сбои в работе аппаратных средств КС, линий связи, энергосбережения;
  •  ошибки пользователей КС;
  •  воздействие на аппаратные средства КС физических полей других электронных устройств (при несоблюдении условий их электромагнитной совместимости) и др.

К умышленным угрозам относятся:

  •  несанкционированные действия обслуживающего персонала КС (например, ослабление политики безопасности администратором, отвечающим за безопасность КС);
  •  несанкционированный доступ к ресурсам КС со стороны пользователей КС и посторонних лиц, ущерб от которого определяется полученными нарушителем полномочиями.

В зависимости от целей преднамеренных угроз безопасности информации в КС угрозы могут быть разделены на три основные группы:

  •  угроза нарушения конфиденциальности, т.е. утечки информации ограниченного доступа, хранящейся в КС или передаваемой от одной КС к другой;
  •  угроза нарушения целостности, т.е. преднамеренного воздействия на информацию, хранящуюся в КС или передаваемую между КС (заметим, что целостность информации может быть также нарушена, если к несанкционированному изменению или уничтожению информации приводит случайная ошибка в работе программных или аппаратных средств КС; санкционированным является изменение или уничтожение информации, сделанное уполномоченным лицом с обоснованной целью);
  •  угроза нарушения доступности информации, т.е. отказа в обслуживании, вызванного преднамеренными действиями одного из пользователей КС (нарушителя), при котором блокируется доступ к некоторому ресурсу КС со стороны других пользователей КС (постоянно или на большой период времени).

Опосредованной угрозой безопасности информации в КС является угроза раскрытия параметров подсистемы защиты информации, входящей в состав КС. Реализация этой угрозы дает возможность реализации перечисленных ранее непосредственных угроз безопасности информации.

Результатом реализации угроз безопасности информации в КС может быть утечка (копирование) информации, ее утрата (разрушение) или искажение (подделка), блокирование информации. Поскольку сложно заранее определить возможную совокупность угроз безопасности информации и результатов их реализации, модель потенциальных угроз безопасности информации в КС должна создаваться совместно собственником (владельцем) КС и специалистами по защите информации на этапе проектирования КС.

Каналы утечки информации в КС

Косвенными каналами утечки называют каналы, не связанные с физическим доступом к элементам КС:

  •  использование подслушивающих (радиозакладных) устройств;
  •  дистанционное видеонаблюдение;
  •  перехват побочных электромагнитных излучений и наводок (ПЭМИН).

Побочные электромагнитные излучения создаются техническими средствами КС при обработке информации, существуют в диапазоне от единиц герц до 1,5 ГГц и могут распространять обрабатываемую информацию с дальностью до 1 км. Наиболее опасными с точки зрения ПЭМИН являются дисплеи, кабельные линии связи, накопители на магнитных дисках, матричные принтеры. Для перехвата ПЭМИН используется специальная портативная аппаратура, включающая в себя широкополосный автоматизированный супергетеродинный приемник с устройством регистрации информации на магнитном носителе и (или) дисплеем.

Побочные электромагнитные наводки представляют собой сигналы в цепях электропитания и заземления аппаратных средств КС и в находящихся в зоне воздействия ПЭМИН работающих аппаратных средств КС кабелях вспомогательных устройств (звукоусиления, связи, времени, сигнализации), металлических конструкциях зданий, сантехническом оборудовании. Эти наведенные сигналы могут выходить за пределы зоны безопасности КС.

Другим классом каналов утечки информации являются непосредственные каналы, связанные с физическим доступом к элементам КС. К непосредственным каналам утечки, не требующим изменения элементов КС, относятся:

  •  хищение носителей информации;
  •  сбор производственных отходов с информацией (бумажных и магнитных носителей);
  •  намеренное копирование файлов других пользователей КС;
  •  чтение остаточной информации после выполнения заданий других пользователей (областей оперативной памяти, удаленных файлов, ошибочно сохраненных временных файлов);
  •  намеренное использование для несанкционированного доступа к информации незаблокированных терминалов других пользователей КС;
  •  маскировка под других пользователей путем похищения их идентифицирующей информации (паролей, карт и т.п.);
  •  обход средств разграничения доступа к информационным ресурсам вследствие недостатков в их программном обеспечении и др.

К непосредственным каналам утечки, предполагающим изменение элементов КС и ее структуры, относятся:

  •  незаконное подключение специальной регистрирующей аппаратуры к устройствам или линиям связи (пассивное для фиксации и сохранения передаваемых данных или активное для их уничтожения, искажения или подмены);
  •  злоумышленное изменение программ для выполнения ими несанкционированного копирования информации при ее обработке;
  •  злоумышленный вывод из строя средств защиты информации.

Пассивное подключение нарушителя к устройствам или линиям связи легко предотвратить (например, с помощью шифрования передаваемой информации), но невозможно обнаружить. Активное подключение, напротив, легко обнаружить (например, с помощью хеширования и шифрования передаваемой информации), но невозможно предотвратить.

Помимо утечки информации в КС возможны также ее несанкционированное уничтожение или искажение (например, заражение компьютерными вирусами), а также несанкционированное использование информации при санкционированном доступе к ней (например, нарушение авторских прав владельцев или собственников программного обеспечения или баз данных).

Наличие в КС значительного числа потенциальных каналов утечки информации является объективным фактором и обусловливает уязвимость информации в подобных системах с точки зрения ее несанкционированного использования.

Поскольку наиболее опасные угрозы информационной безопасности вызваны преднамеренными действиями нарушителя, которые в общем случае являются неформальными, проблема защиты информации относится к формально не определенным проблемам. Отсюда следуют два основных вывода:

  •  надежная защита информации в КС не может быть обеспечена только формальными методами (например, только программными и аппаратными средствами);
  •  защита информации в КС не может быть абсолютной.

При решении задачи защиты информации в КС необходимо применять так называемый системно-концептуальный подход. В соответствии с ним решение задачи должно подразумевать:

  •  системность целевую, при которой защищенность информации рассматривается как составная неотъемлемая часть ее качества;
  •  системность пространственную, предполагающую взаимосвязанность защиты информации во всех элементах КС;
  •  системность временную, предполагающую непрерывность защиты информации;
  •  системность организационную, предполагающую единство всех работ по защите информации в КС и управления ими.

Концептуальность подхода к решению задачи защиты информации в КС предусматривает ее решение на основе единой концепции (совокупности научно обоснованных решений, необходимых и достаточных для оптимальной организации защиты информации в КС).

Обеспечение информационной безопасности КС является непрерывным процессом, целенаправленно проводимым на всех этапах ее жизненного цикла с комплексным применением всех имеющихся методов и средств.

Существующие методы и средства защиты информации можно подразделить на четыре основные группы:

  •  методы и средства организационно-правовой защиты информации;
  •  методы и средства инженерно-технической защиты информации;
  •  криптографические методы и средства защиты информации;
  •  программно-аппаратные методы и средства защиты информации.




1. Тема 5- Циклическое развитие экономики
2. Реферат- Экономический рост- сущность, типы, направления
3. тема каждой шахты характеризуется расположением всех ее транспортных выработок применяемыми в этих выработ
4. Контроль і аудит оплати праці і заробітної плати бухгалтерією Серговської філії ТОВ Лео із застосуванням АРМ Бухгалтера
5. Цена трудовых ресурсов
6. р осінній семестр Група 13 Богун Наталія Юріївна
7. Проведение аудиторских процедур при проверке расчетов по кредитам и займам ОАО Концерн «Аксион»
8. Тема 1. ВВЕДЕНИЕ В ПРЕДМЕТ
9. Kpнeги 1888 1955. Hecмoтpя н тo чтo в книгe oпиcывeтcя oпыт взимooтнoшeний мeждy людьми в ycлoвияx кпитлизм дyмeт
10. Контроль за субъектами административного права
11. политический процесс
12. на тему- ПАНТЕЛЕЙМОН КУЛІШ 1819 1897 Пантелеймон Олександрович Куліш український буржуазнолібераль
13. Тематика контрольных работ по курсу Социальная корпоративная ответственность ст
14. Power of Now Практика
15. Глазова по скалолазанию 14 ~ 15 декабря 2013 года ПРОТОКОЛ результат сложность группа М ~ 11
16. ОБЛІК ТОВАРНИХ РЕСУРСІВ Організація та методологія обліку товарних ресурсів.html
17. КОНТРОЛЬНАЯ РАБОТА 1 ЭЛЕКТРОЛИТЫ Образец билета Билеты составлены по одному шаблону в билете 5 задани
18. Тема 1. Введение в микроэкономику План 1
19. Пояснительная записка Лит
20. Морфологічні засоби виразності мови