Обеспечение безопасности КИС.

Вопросы:

1. Основные понятия информационной безопасности

2. Классификация угроз ИБ.

3. Методы и средства защиты информации.

4. критерии оценки информационной безопасности.

5. Программно-техническое обеспечение безопасности ИС,

6. Безопасность сетевых технологий.

7. Правовое обеспечение безопасности ИС.

1.

к основным понятиям относятся:

Политика безопасности – набор законов, правил и норм поведения, которые определяют, как организация обрабатывает, защищает и распределяет информацию.

Информационная безопасность – свойство процесса информатизации общества, которое характеризует состояние защищенности личности, общества и государства от возможных негативных последствий информатизации.

Система безопасности – система, которая управляется с помощью соответствующих средств доступа к информации.

Идентификация – процесс присвоения соответствующего пароля пользователю, который при вводе своего имени имеет право пользоваться вычислительными ресурсами.

Аутентификация – процесс проверки на соответствие подлинности личности пользователя (или на соответствие идентификации).

Протоколирование помогает следить за пользователями и реконструировать прошедшие события. При протоколировании события записываются дата, время, уникальный идентификатор пользователя, тип события, источник запроса, имена, затронутых объектов, описание изменений, которые вносятся в БД, метки безопасности субъектов и объектов события.

Компьютерная безопасность – совокупность технологических и административных мер, которая обеспечивает доступ, целостность и конфиденциальность ресурсам.

Угроза безопасности – любое обстоятельство или событие, которое может явиться причиной нанесения ущерба системе в виде разрушения, раскрытия или модификации данных или отказа в обслуживании.

Компьютерная преступность – любое незаконное неэтическое неправомерное действие, которое связано с автоматической обработкой данных и их передачей.

2.

Угрозы ИБ классифицируются по различным признакам:

1. по общему назначению:

1.1. политические. К ним относят изменение геополитической обстановки в результате фундаментальным перемен, информационная экспансия развитых капиталистических стран в области ИТ, установление новой гос-ти на основе принципа демократии и законности, разрушение КАС управления, стремление стран СНГ к более тесному сотрудничеству с ближним и дальним зарубежьем, низкая общеправовая и информационная культура в обществе.

1.2. экономические. Переход к рыночной экономике, критическое состояние всех отраслей народного хозяйства, расширяющиеся отношения с зарубежными странами.

1.3. организационно-технические. Недостаточная нормативно-правовая база в сфере информационных отношений, рост объема инфляции, которая передается по открытым каналам связи, обострение криминогенной обстановки, широкое использование в сфере государственного управления и кредитно-финансовой сфере незащищенных от утечки информации импортных технических и программных средств, которые используются для хранения, обработки и передачи информации.

2. по иерархическому признаку

2.1. глобальные. Недружественная политика иностранных государств в области глобального информационного мониторинга, зависимость технических средств от зарубежных, деятельность иностранных разведывательных и специальных служб, а также преступные действия международных групп.

2.2. региональные. Рост преступности в информационной сфере, отсутствие в РБ эффективных систем обеспечения целостности.

2.3. локальные.. применение подслушивающих устройств, дистанционное фотографирование, перехват акустических излучений и восстановление текста, внедрение и использование компьютерных вирусов, злоумышленный вывод из строя механизма, использование программ-ловушек, включение в библиотеку программ специализированных блоков типа «Троянский конь», незаконное подключение к линиям связи.

3. по цели реализации

3.1. нарушение конфиденциальности

3.2. нарушение целостности

3.3. нарушение доступности.

4. по принципу доступности

4.1. с использованием доступа

4.2. с использованием скрытых каналов.

5. по характеру воздействия

5.1. активные

5.2. пассивные

6. по способу воздействия на объект атаки

6.1. непосредственное воздействие

6.2. воздействие на систему разрешений.

6.3. опосредованное воздействие.

7. по использованию средств атаки

7.1. с использованием штатного ПО (вирусы)

7.2. с использованием разработанного ПО,

8. по состоянию объекта атаки

8.1. при хранении

8.2. при передаче

8.3. при обработке.

3.

информация является стратегическим ресурсом. Для ее защиты используют два основных подхода:

1. редукционный (фрагментарный). Ориентирован на избирательность относительно конкретной угрозы. Отличительная черта – отсутствие единой защищенной среды обработки информации.

2. системный (комплексный). Используется для защиты информации в сложных автоматизированных системах обработки и передачи данных.

Основными методами защиты информации является:

1. метод препятствия – метод физического преграждения пути злоумышленнику к информации.

2. метод управления доступом. С помощью этого метода для защиты информации используются все ресурсы самостоятельной системы. Функции управления доступом:

1. идентификация пользователей персонала и ресурсов системы.

2. аутентификация объекта или субъекта по предъявленному им идентификатору.

3. проверка полномочий.

4. разрешение и создание условий работы в пределах установленного регламента.

5. регистрация обращений к защищаемым ресурсам.

6. реагирование при попытках несанкционированных действий.

3. маскировка – метод защиты информации в каналах телекоммуникации путем криптографической защиты. Для этого используется два метода: RES, DES.

4. регламентация – метод, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможности несанкционированного доступа к информации сводятся к нулю.

5. принуждение – метод, при котором пользователи и персонал вынуждены соблюдать правила обработки, хранения и использования защищаемой информации под угрозой материальной, административной и уголовной ответственности.

6. побуждение – пользователь и персонал системы не нарушают установленные правила за счет соблюдения сложившихся моральных и этических норм.

Перечисленные методы поддерживаются следующими средствами, которые делятся на формальные и неформальные средства защиты. К формальным относятся физические средства (замки, блокировки дверей, решетки), программно-аппаратные комплексы (видеокамеры, в кредитно-финансовых учреждениях имеются специализированные программные комплексы Аккорд, Клиент-банк – для связи предприятия с банком). К неформальным относятся законодательные средства защиты информации, которые определяются законодательными актами той страны, где они функционируют и морально-этические средства, которые выражаются в виде норм сложившихся традиционно по мере внедрения вычислительной техники и средств связи.

4.

проблемой ИБ занимаются давно. В 1983 году Министерство обороны США выпустило книгу в оранжевой обложке с названием «Критерии оценки надежности компьютерных систем». Позже она получила название «Ст-ты TCSEC».

Критерий был разработан в США в 1988 году, в нем выделены общие требования к обеспечению безопасности обрабатываемой информации, определен перечень показателей защищенности. Было введено 6 основных требований: из них 4 относятся к управлению доступом к информации и 2 к предоставлению гарантий.

К управлению доступом к информации выделяются следующие классы безопасности компьютерных систем:

1. класс D (подсистема безопасности) присваивается тем системам, которые не прошли испытание на более высоком уровне защиты, а также системам, которые для своей защиты используют лишь отдельные функции безопасности.

2. класс С1 (избирательная защита). Средства защиты отвечают требованиям избирательного уровня. При этом обеспечивается разделение и аутентификация в том классе, где используется. При этом ему задается перечень допустимых типов доступа.

3. класс С2 (управляемый доступ). Свойства С1. при этом добавляются требования уникальной идентификации субъектов доступа, защиты и регистрации событий.

4. Класс В1(меточная защита). Метки конфиденциальности присваиваются всем субъектам и объектам системы, которые содействуют конфиденциальности информации. Доступ к объектам внутри системы разрешается только тем субъектам, чья метка отвечает определенному критерию относительно метки объекта.

5. Класс В2 (структурированная защита). Свойства как и у В1, кроме этого имеются хорошо определенная и документированная модель политики безопасности.

6. Класс А1 (верифицированная разработка). Для проверки спецификаций применяются методы формирования верификации, т.е. постоянно осуществляется анализ системы на предмет неполноты и противоречивости.

5.

Основным программно-аппаратным комплексами по защите информации являются комплексы серии Аккорд. В них выделяют:

1. электрически замок «Соболь». Функции: идентификация пользователей, защита ОС, проверка целостности и регистрация несанкционированных действий. Работает с такими системами, как MS DOS и со всеми разновидностями и версиями Windows.

2. персональные средства криптографической защиты информации семейства «Шипка». Функции: шифрование передаваемых операций, идентификация подписи и аутентификация пользователя.

Самые распространенные подсистемы этого семейства – это Аккорд РАУ (подсистема распределения, аудита и управления, позволяет объединить автоматизированные рабочие места, администраторов безопасности и пользовательских терминалов), Аккорд XR (модуль доверительной загрузки, позволяет защищать все ПК, входящие в состав локальной сети одновременно и функционирующие под управлением ОС Windows XP Professional). Кроме того для защиты используют клиент-банк, который позволяет создавать защитную среду для передачи электронных документов.

В настоящее время используется практически на всех средних и крупных предприятиях, и включен в состав, как правило, 1: С Бухгалтерии.

БАССК создает защитную среду для выполнения специальных задач (Smart Line, Smart Card – средства доступа к защищенной среде).

Крипто-КОН используется для формирования электронной подписи, которая передается по каналам связи. В РБ используется в автоматизированной системе межбанковских расчетов.

Электронная подпись представляет собой функцию, зависящую от электронного ключа, который получает, как правило, руководитель предприятия и бухгалтер от содержания самого документа (количество гласных, согласных, знаков препинания, интервалов между словами, межстрочных интервалов).

6.

Компьютерные сети сами своим существованием создают дополнительные трудности. Для защиты информации, передаваемой в компьютерных сетях, используют специализированные протоколы.

Кроме этого используется оперативное ПО – это:

1. Doctor Web для Windows

2. Doctor Web для почтовых серверов, работающих с ОС UNIX

3. Антиспам Doctor Web (для фильтрации поступаемой информации).

4. Антивирус и антиспам Doctor Web для почтовых серверов.

Механизмы контроля целостности данных, которые используются в сетевых технологиях, позволяет осуществить проверку целостности как отдельного сообщения, так и потока сообщений для проверки целостности потока сообщений используются порядковые мономера, временные штампы, криптографическое связывание, при котором результат шифрования очередного сообщения зависит от предыдущего. При общении в режиме установления изменения используются временные штампы, которые обеспечивают огр. форму защиты от дублирования.

Механизмы управления маршрутизацией.

Маршруты могут выбираться статистически или динамически. Система, зафиксировав атаки на определенном маршруте, может отказаться от его использования. На выбор маршрута оказывает влияние метка безопасности.

Механизм нотаризации. Для заверения таких коммуникационных характеристик как целостность, время, личность отправителя и пользователя. Обычно эти механизмы опираются на механизм электронной подписи.

Механизмы аутентификации. Аутентификация может достигаться за счет использования пароля, личных карточек, криптографических методов. Бывает:

1. односторонняя (клиент обычно доказывает свою подлинность серверу).

2. двухсторонняя (взаимное доказательство).

Брандмауэры с пакетными фильтрами. Они принимают решение о том, пропускать пакет или отбросить, просматривая в заголовках пакетов все IP-адреса или номера ТСР-портов.

IP-адреса или номера ТСР-портов – это, соответственно, с сетевых и транспортных уровней.

Пакетные фильтры кроме этого используют информацию прикладного уровня, т.к. все стандартные сервисы протокола TCP-IP ассоциируются и определенным номером порта.

7.

развитие процессов информатизации общества на основе современных информационных технологий и телекоммуникаций усиливается. Новый вид общественных отношений требует адекватного правового регулирования. Основным правовым актом, регулирующим информационные общественные отношения является закон РБ «Об информатизации».

Сферой действия данного закона являются отношения, возникшие при формировании и использовании информационных ресурсов на основе сбора, регистрации и хранения, обработки, накопления, поиска, распределения и предоставления потребителю документированной информации; при создании и использовании информационных технологий и средств их обеспечения; при защите информации прав субъектов, которые участвуют в информационных процессах.

Действие закона распространяется на отношения, которые возникают в связи с созданием и использованием документированной информации.

Под документированной информацией следует понимать зафиксированную на материальном носителе информацию.

Обязательным условием для включения информации в информационные ресурсы является ее документирование. Порядок документирования регламентируется такими нормативными актами как ГОСТ 6.10.4-84 «Унифицированные системы документации». Юридическую силу имеют документы на машинном носителе, которые созданы средствами вычислительной техники ГОСТ 6.38-90 «Система организационно-распорядительной документации и требования к оформлению документов». Согласно этим требованиям документ должен содержать 31 реквизит. Эти реквизиты позволяли идентифицировать документ. Документ, содержащий информацию, обр-ую ИС приобретал силу после его удостоверения должностным лицом в установленном порядке. С принятием закона «Об электронном документе и электронной подписи» от 10.1.200г. документ можно подписывать электронной подписью. В ст.11 этого закона и ст.22 отмечены цели защиты информации:

1. предотвращение утечки, хищения, утраты, искажения, подделки, несанкционированных действий по уничтожению, модификации, копированию, блокированию иных форм незаконного вмешательства в ИС,

2. сохранение полноты, точности, целостности документируемой информации, возможности управления процессом обработки и использования в соответствии с условиями, установленными собственником ИС.

3. защита прав субъекта в сфере информатизации.

4. обеспечение прав юридических и физических лиц.

5. сохранение секретности и конфиденциальности документируемой информации.

Тема 6: