Разработка политики информационной безопасности

-политика безопасности это комплекс предупредительных мер, по обеспечению комплексной инфо безопасности организации. Она включает в себя правила, процедуры, руководящие принципы в области безопасности, которых должна придерживаться организация в своей деятельности. кроме этого политика включает требования в адрес субъектов инфо отношений, при этом в политике излагается роль каждого субъекта в инфо отношениях.

Основные направления

1) Определение объема и уровня защиты данных.

2) Определение ролей субъектов отношений и разграничение прав доступа.

При описании области применения полтитки безопасности, перечисляются компоненты, автоматизированной системы обработки, хранение и передача информации, подлежащей защите:

1) аппаратные средства(компы, кабели)

2) ПО

3) данные(файлики там разные, и так понятно)

4) персонал(уборщица тетя Зина)

Информационная безопасность 25 ноября

Механизмы защиты:

2-безопасность повторного использования объектов(дополнение средств управление доступом, предостерегающее от случайного или преднамеренного извлечения конфиденциальной инфо из "мусора"). Она должна гарантироваться для областей оперативной памяти(в частности тех мест, где храниться расшифрованные пароли, хранение изображения экрана и др.)

Для реализации принудительного управления доступом с каждым субъектом и объектом используются метки безопасности. Метка субъекта описывает благонадежность, а метка объекта степень конфиденциальности содержащейся в ней информации. согласно оранжевой книги метки безопасности состоят из 2-х частей: 1-уровень секретности, а 2-список категорий. Уровни секретности образуют упорядоченное множество, а категории - неупорядоченное. Назначение категорий - описать предметную область к которой относятся данные. Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. субъект может считать инфо из объекта если уровень секретности субъекта не ниже чем у объекта, а все категории, перечисленные в метке безопасности объекта присутствуют в метке субъекта.

Цель разграничения доступа состоит в обеспечении свойств конфиденциальности, целостности в меньшей степени доступности информации утри вычислительной сети. Механизм подотчетности дополняет политику безопасности. Ее цель контроль в каждый момент времени, за тем кто работает в системе и что делает. Средства подотчетности делятся на 3 категории:

1) идентификация и аутентификация

2) предоставление доверенного пути

3) анализ регистрационной информации

Доверенный путь-связывает пользователя с доверенной вычислительной базой, минуя потенциально опасные компоненты ИС. Цель - дать пользователю возможность убедиться в подлинности обслуживающей его системы.

Анализ регистрационной инфа - аудит.Он имеет дело с действиями и событиями, которые затрагивают безопасность системы. Если фиксировать все события, то объем регистрационной информации будет слишком велик, поэтому по стандарту предусмотрена наличие средств выборочного протоколированная, как в отношении пользователей, так и в отношениях действий с объектами.

Пассивные аспекты защиты делятся на 2 вида гарантированности:

1) операционная(архитектура система и ее реализация)

она включает проверку следующих элементов - архитектура системы, целостность системы, тайные каналы передачи информации, ловеренное администрирование и доверенно восстановление после сбоев

2) технологическая(методы построения сопровождения)

Охватывает весь жизненный цикл системы, то есть этапы проектирования, реализации, тестирования, продажа и сопровождение и утилизация. все этапы должны выполняться в соответствии со стандартами, исключая любые возможные утечки и нелегальные закладки.

Классы безопасности

согласно оранжевой книги выделяют 4 уровня доверия ДСБЫ

Д - неудовлетворительные аспекте безопасности, при переходе от С к А к системам предъявляются более жесткие требования безопасности. всего 6 классов С1 С2 В1В2В3 А

Требования

С1 - доверенная вычислительная база должна управлять доступ именованных пользователей именованным объектам

+ пользователи должны идентифицировать себя, прежде чем выполнять какие либо действия с вычислительной базой, для аутентификации должен использоваться хотя бы 1 механизм (пароль)

+ вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий

+ нужны программные и аппаратные средства для периодической проверки корректности работы вычислительной базы

+ защитные механизмы должны быть протестированы на соответствие технической документации

+ должен быть описан подход к безопасности используемый производителем при реализации доверенной вычислительной базы.

+

Информационная безопасность 2 декабря

инфо по безопасности сети и там А В С Д- есть в интернете

Класс Б-3:

-для произвольного управления доступом ы обязательно использоваться списки управления доступом с указанием разрешенных режимов.

-должна быть предусмотрена возможность регистрации , появления и накопления событий, несущих угрозу политики безопасности системы

-администратор системы должен немедленно уведомлять о нарушении политики безопасности.

-доверенная вычислительная база должна быть спроектирована и структурирована таким образом, чтобы использовать комплексный концептуально простой механизм защиты с определенной семантикой(согласно смыслу).

-процедура анализа также должна быть выполнена для временных тайных каналов

-разделение ролей администратора и ответственного по безопасности

-должны быть предусмотрены механизмы, позволяющие восстанавливать систему после сбоя или нарушения без ослабления защиты

Класс А-1:

-доверенная вычислительная база должна соответствовать формальным спецификациям верхнего уровня

-должны использоваться современные методы формальной спецификации и верификации системы

-механизм управления конфигурацией должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности.

Информационная безопасность распределенных систем, рекомендации Х.800, сетевые сервисы безопасности.

Рекомендации Х.800-это обширный документ для организации сетевой безопасности. Стандарты

1) аутентификации-данный сервис обеспечивает проверку подлинности партнеров по общению и проверку подлинности баз данных. Аутентификация партнеров используется во время соединения и периодически во время сеансов.Служит для предотвращения маскарада и повтора предыдущего сеанса связи. Она бывает одностороння - клиент доказывает свою подлинность серверу, и взаимной.

2) управление доступом-обеспечивает защиту от НСД ресурсов сети

3) конфиденциальность- обеспечивает защиту от НСД всей информации, в том числе сервис, обеспечивающий конфиденциальность траффика, защищая информацию, которую можно получить анализируя потоки данных.

4) Сервис целостности данных делится на модули в зависимости от типа общения партнеров. есть типы с установлением соединения, без соединения, защищаются все данные или нет

5) неотказуемость- невозможность отказаться от совершенных действий, обеспечивает 2 вида услуг: неотказуемость с установлением подлинности и неотказуемость с подтверждением доставки.

9 декабря

Административный уровень ИБ

-действия общего характера, предпринимаемые руководством организации.Главная цель уровня - сформировать программу работ в области ИБ и обеспечить ее выполнение.Основой является большой документ, называемой политикой безопасности(500 стр).

Политика безопасности отражает подход организации к защите своих информационных ресурсов. Политика безопасности строится на основе анализа рисков , выделяются наиболее вероятные угрозы и для защиты от них принимаются максимальные усилия.

Политика среднего уровня для каждого аспекта безопасности освещает следующие темы:

1) описание аспекта(использование пользователями неофициального ПО, которое не было одобрено организацией)

2) Область применения-определяет где, когда и по отношению к кому применяется данная политика безопасности(затрагивает ли ограничение использование неофициального ПО сотрудников с портативными или домашними ПК, вынужденных переносить информацию на производственные машины)

3) Позиция организации по данному аспекту-каким образом организация реагирует на возникновение ситуации связанной с аспектом безопасности.

4) Роли и обязанности-политический документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. (Если неофициальное ПО использовать нельзя, то должен назначить быть ответственный, который за этим следит).

5) Законопослушность - политика должна содержать общее описание запрещенных действий и наказания за них.

6) Точки контакта - в структуре организации должно быть выделено подразделение, к которому обращаются пользователи за разъяснениями в случае возникновения ситуации, связанной с аспектом безопасности.

На нижнем уровне политика безопасности отвечает на следующие вопросы:

1) кто имеет право доступа к объектам или поддерживающим сервисам?

2) при каких условиях можно читать и модифицировать данные?

3) как организован удаленный доступ к сервису?

4) На нижнем уровне политика безопасности базируется на принципах целостности, доступности, конфиденциальности

Например, если рассчитывается з/п можно поставить цель, чтобы только сотрудники отдела кадров и бухгалтерии вводили и модифицировали данные.

Программа безопасности- после формирования политики безопасности составляется программа и ее реализация. В простейшем случае программа состоит из 2-х уровней: верхнего(центрального - охватывает всю организацию) и нижнего (служебного - относятся к отдельным услугам или группам похожих сервисов). Программу верхнего уровня возглавляет руководитель службы ИБ организации. у этой программы следующие цели:

-управление рисками(оценка и выбор эффективных средств защиты)

-координация деятельности в области ИБ, пополнение и распределение ресурсов

-стратегическое планирование

-контроль деятельности в области ИБ

Цель программы нижнего уровня - обеспечить надежную и экономичную защиту конкретного сервиса или группы похожих сервисов. На этом уровне решаются, какие следует использовать средства защиты, закупаются и устанавливаются технические средства, обеспечивается повседневное администрирование, отслеживается состояние уязвимых мест. За программу нижнего уровня отвечают администраторы сервисов.

Управление рисками.

организация выделят необходимые ресурсы , инициирует и контролирует выполнение программ безопасности.использование информационных систем связано с определенным набором рисков, когда ущерб от определенной угрозы неприемлемо велик(высокий уровень риска)

Когда риск неприемлемо велик, необходимо предпринять экономически оправданные меры. Чем выше уровень риска, тем больше средств выделяются на его нейтрализацию или понижение уровня. Периодическая оценка рисков необходима для контроля эффективности деятельности в области безопасности. С количественной точки зрения риск является вероятностью реализации угрозы с учетом возможного ущерба. Управление рисками включает 2 вида деятельности, которые чередуются:

1) оценка риска

2) выбор эффективных защитных средств

По отношению к выявленным рискам возможны следующие действия:

-ликвидация

-уменьшение риска счет использования доп. средств защиты

-принятие риска и выработка плана действий случае возникновения угрозы

-переадресация риска путем заключения страхового соглашения

Информационная безопасность 16 декабря.

Основные этапы управления рисками:

1) идентификация угроз-целесообразно выявлять не только сами угрозы, но и их источники, это помогает выбрать дополнительные средства защиты, например нелегальный вход в систему может быть следствием подбора пароля или подключения неавторизованного оборудования

2) после идентификации необходимо оценить вероятность осуществления угрозы, при этом часто используется трехбалльная система (низкий, средний, высокий)

3) оцените размер потенциального ущерба, например пожары бываю редко, но от них большой ущерб. Тяжесть ущербы также можно оценить по трехбалльной шкале. При оценке ущерба оцениваются не только непосредственные расходы, но и косвенные факторы, например подрыв репутации, ослабление позиций на рынке. Уязвимости притягивают не только злоумышленников, но и сравнительно честных людей, например не всякий устоит перед возможностью повысить себе з/п, если это сойдет ему с рук.

4) после накопления исходных данных, и оценки степени неопределенности, переходят к оценке риска. Часто применяется простой метод: умножение вероятности осуществления угрозы на предполагаемый ущерб. если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать или понизить степень риска до приемлемого уровня с помощью дополнительных защитных мер, например если высока вероятность нелегального входа в систему, можно приказать пользователям использовать длинные сложноугадываемые пароли

Процедурный уровень ИБ

Так как человеческий фактор является основным источником угроз, то вводятся специальные нормы и регламенты, которых должен придерживаться каждый пользователь системы. На процедурном уровне выделяют следующие классы мер:

1) управление персоналом

-Начинается с приема на работу нового сотрудника на работу, в некоторых случаях даже раньше, с описания его должности. Заканчивается увольнение сотрудника или сокращением должности. Существует 2 общих принципа:

1) разделение обязанностей(приписывает, как правильно распределить роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс) 2) минимизация привилегий (предписывает пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей)

2) физическая защита - основной принцип формулируется как "непрерывность защиты в пространстве и времени".Направление физической защиты: -управление доступом - противопожарные меры -защита инфраструктуры -защита от перехвата данных -защита мобильных систем. при проектировании и управлении физического управления доступом используется объектный подход, при этом выделяются объекты защиты, периметр безопасности.

3) поддержание работоспособности-нечаянные ошибки системных администраторов и пользователей встречаются гораздо чаще, чем ошибки аппаратного обеспечения, поэтому для поддержания работоспособности необходимо периодически проверять конфигурацию системы, квалификацию пользователей, проводить тренинги. Выделяют следующие направления: поддержка пользователей, поддержка ПО, конфигурационное управление(позволяет контролировать и фиксировать изменения, вносимые в программную конфигурацию. В первую очередь необходимо застраховаться от случайных и непродуманных конфигураций, иметь возможность вернуться к предидущей рабочей версии. Фиксирование изменений позволяет восстановить рабочую версию после аварий), резервное копирование(необходимо для восстановления программ и данных после аварии. Необходимо автоматизировать работу, составить расписание создания полных или инкрементальных копий), управление носителями(должно обеспечивать конфиденциальность, целостность, доступность информации, находящейся вне компьютерной сети. Защита состоит не только в отражении попыток НСД, но и нейтрализация внешнего влияния природной среды) Управление носителями сопровождает весь жизненный цикл -от закупки до утилизации, документирование-должно быть актуальным и должно отражать правдивую информацию, регламентные работы-для проведения их назначаются лица, которые имеют исключительный доступ к системе. На практике сложно проконтролировать действия, выполняемые данными лицами. Здесь в первую очередь учитывается степень доверия и ответственность назначенного лица.

4) реагирование на нарушение режима безопасности - реакция на нарушение режима безопасности преследует 3 цели

-локализация инцидента и уменьшение вреда

-отслеживание действий нарушителя

-недопущение повторных нарушений

Отслеживание нарушителя помогает в анализе уязвимости в системе и в некоторых случаях идентификации нарушителя.

5) планировании восстановительных работ. Процесс планирования работ:

1)выявление кртически важных уязвимостей

2) идентификация ресурсов для каждой критчесики важной функции

3) сотавление перечня возможных аварий

4) разработка стратегии восстановительных работ

5) подготовка к реализации стратегии

6) проверка стратегии

в качестве критических ресурсов могут быть:

1) персонал

2) информационная инфраструктура

3) техническая инфраструктура

шифра Плейфера

пользовании шифра Плейфера из алфавита удаляется е, Й заменяется И, Ъ-Ь.

Остается 30 букв

Чтобы перевешать алфавит используется ключевое слова

А Р Б Л Е Т
В Г Д Ж З И
К М Н О П С
У Ф Х Ц Ч Ш
Щ Ы Ь Э Ю Я

Япоидугулятьсегоднявечером

3 правила:

-открытый текст шифруется порциями по 2 бувы по следующим правилам: если повторяющиеся буквы открытого теста образуют одну пару, то между ними добавляется специальный редкоиспользуемый символ.

Комис(ы)сия

-если буквы открытого текста попадают в одну и ту же строку матрицы, то каждая из них заменяется буквой следующей за ней в той же строке справа, с тем условием, что для замены последнего элемента строки используется первый элемент той же строки.

сдвиг вправо на один

- если буква открытого теста попадает в открытой столбец, то каждый из них заменятся буквой, стоящей в данной строк под ней, а для замены самого нижнего берется самый верхний элемент.

сдвиг вниз на один

-если не выполняется ни одно из вышестоящих, то каждая буква и склады букв открытого текста заменяется буквой на пересечении содержащей эту букву строки и столбца.

По квадратику соединяется и другими сторонами становятся

Наши рекомендации