Нормативно-техническая база защиты информации в РФ
В состав документов входят гос. стандарты и отраслевые материалы:
1) Система сертификации средств криптографической защиты информации – определяет организационную структуру системы сертификации шифровальных средств, а так же устанавливает основные правила проведения сертификационных исследований и испытаний криптографических средств защиты информации;
Международные стандарты по обеспечению информационной безопасности:
1) ISO/IEC JTC1/SC22 «поиск, передача и управление информацией для взаимосвязи открытых систем»
2) ISO/TEC JTC1/SC27 – ориентированно на конкретные методы и алгоритмы защиты.
3) ISO/TC 68 «банковское дело и соответствующие финансовые операции» - направлено на защиту функционирования банковских систем.
4) ISO 15408 «критерии оценки безопасности информации информационных технологий»
А) представлены цели и концепции обеспечения безопасности, а так же общая модель построения защиты информационных систем.
Б) выделены и классифицированы 11 групп (классов) базовых задач обеспечения безопасности ИС. Каждый класс детализирован наборами требований, которые состоят из набора более мелких компонентов (т.е. введена иерархия «класс-семейство-компонент-элемент»).
В) посвящена целям, методам и уровням обеспечения гарантий качества процессов реализации требований к функциям обеспечения безопасности ИС.
Стандарты информационной безопасности распределенных систем – рекомендации Х.800 «оранжевая книга».
Определены следующие механизмы безопасности:
1) Шифрование
2) Электронная цифровая подпись
3) Механизм управления доступом (пароли, списки доступа)
4) Механизм контроля целостности данных
5) Механизм аутентификации
6) Механизм дополнения трафика
7) Механизм управления маршрутизацией
8) Механизм нотаризации(заверения)
Административный уровень обеспечения информационной безопасности.
Задачей АУ является разработка и реализация практических мероприятий по созданию системы ИБ.
Целью АУ является разработка программы работ в области ИБ обеспечение её выполнения.
Содержанием АУ являются следующие мероприятия:
1) Разработка политики безопасности
2) Проведение анализа угроз и расчета рисков
3) Выбор механизмов и средств обеспечения ИБ
Разработка политики ИБ
Политика безопасности – комплекс предупредительных мер по обеспечению ИБ организаций.
Основные направления разработки политики безопасности:
1) Определение объема и требуемого уровня защиты данных
2) Определение ролей субъектов информационных отношений
Результатом разработки политики безопасности является комплексный документ, который включает следующие группы сведений:
1) Основные положения ИБ организации – определяют важность обеспечения ИБ, общие проблемы безопасности, направления их решения, роль сотрудников
2) Область применения политики безопасности – перечисляются компоненты автоматизированной системы обработки, хранения и передачи информации, подлежащие защите
А) аппаратные средства
Б) ПО
В) данные
Г) персонал
3) Цели и задачи обеспечения ИБ организации – определяются функциональным назначением организации
4) распределение ролей и ответственности субъектов информационных отношений организации и их общие обязанности
А) специалист по информационной безопасности
Б) владелец информации
В) поставщики аппаратного и программного обеспечения
Г) администратор сети
Д) менеджер отдела
Е) операторы
Ж) аудиторы
Классификация угроз ИБ.
Угроза ИБ – потенциальная возможность нарушения режима ИБ.
Преднамеренная реализация угрозы называется атакой на ИС.
Лица, преднамеренно реализующие угрозы являются злоумышленниками.
Классификация угроз.
I. По составляющим ИБ
II. По компонентам ИС
III. По характеру воздействия
1) Случайные
- Отказы и сбои аппаратуры
- Ошибки в ПО
- Ошибки в работе персонала
- Помехи в линии связи из-за воздействия внешней среды
2) Преднамеренные - целенаправленные действия злоумышленника
- недовольство служащего служебным положением
- любопытство
- конкурентная борьба
- уязвлённое самолюбие и др.
IV. По расположению источника угроз
- внутренние
- внешние
Каналы несанкционированного доступа к информации (НСД)
I. От источника информации при НСД к нему
1) Хищение носителя информации
2) Копирование информации с носителей
3) Прослушивание разговоров
4) Установка закладных устройств в помещение и съём информации с их помощью
5) Выведывание информации у обслуживающего персонала на объекте
6) Фотографирование или видеосъемка носителей информации внутри помещения
II. Со средств обработки информации при НСД к ним
1) Снятие информации с устройств электронной памяти
2) Установка закладных устройств в средства обработки информации
3) Ввод программных продуктов, позволяющих злоумышленнику получать информацию
4) Копирование информации с технических устройств отображения
III. От источника информации без НСД к ним
1) Получение информации по акустическим каналам
2) Получение информации по вибро-акустическим каналам
3) Использование технических средств оптической разведки
4) Использование технических средств оптико-электронной разведки
5) Осмотр отходов и мусора
6) Выведывание информации у обслуживающего персонала за пределами объекта
7) Изучение выходящей за пределы объекта открытой информации
IV. Со средств обработки информации без НСД к ним
1) Электромагнитные излучения средств обработки информации
2) Электромагнитные излучения линий связи
3) Подключение к линиям связи
4) Снятие наводок электрических сигналов с линий связи
5) Снятие наводок с системы питания
6) Снятие наводок с системы заземления
7) Снятие наводок с системы теплоснабжения
8) Снятие излучения с оптоволоконных линий связи
9) Подключение к БД и по компьютерным сетям
V.
Причины нарушения доступности информации.
I. Субъективные
1) Преднамеренные
А) диверсия
Б) непосредственные действия над носителем
В) информационное воздействие
2) Непреднамеренные
А) отказы обслуживающего персонала
- нежелание работать с информационной системой
- невозможность работать с системой в силу отсутствия соответствующей подготовки
- невозможность работать с системой в силу отсутствия технической поддержки.
Б) внутренний отказ информационной системы
- отступление от установленных правил эксплуатации
- выход системы из штатного режима эксплуатации
- ошибки при конфигурировании системы
- отказы программного и аппаратного обеспечения
- разрушение данных
- разрушение или повреждение аппаратуры
В) отказ поддерживающей инфраструктуры
- нарушение работы систем связи, электропитания, теплоснабжения, кондиционирования
- разрушение или повреждение помещений
- невозможность или нежелание обслуживающего персонала выполнять свои обязанности
II. Объективные
1) Отказы аппаратуры или полный выход из строя
2) Стихийные бедствия
3) Несчастные случаи
III. Внедрение вредоносного ПО
Причины нарушения целостности информации
1) Ввод неверный данных
2) Изменение данных
Причины нарушение конфиденциальности информации
1) Кража паролей
2) Перехват данных
3) Кража оборудования
4) Злоупотребление полномочиями
5) Нанесение ущерба при сервисном обслуживании
Удаленные атаки.
Информационная разрушающее воздействие на ВС программно осуществляемое по каналам связи.
Виды удаленных атак:
1) По характеру воздействия
А) пассивные – не оказывает непосредственного влияния на работу системы, но может нарушать её политику безопасности (прослушивание канала связи).
Б) активное – оказывает непосредственное влияние на работу системы (нарушение работоспособности, вирус).
2) По цели воздействия
А) нарушение конфиденциальности
Б) нарушение целостности
В) нарушение доступности
3) По условию начала воздействия
А) атака по запросу – ожидается от атакуемого объекта запрос определенного типа
Б) атака по наступлению ожидаемого события
В) безусловная атака
4) По наличию обратной связи
А) атака с обратной связью
Б) однонаправленная атака
5) По расположению субъекта атаки
А) внутрисегментная
Б) межсегментная атака
Виды нарушения информационной безопасности
1) Вирусы
2) Действия направленные на выведение из строя того или иного узла сети
Классификация компьютерных преступлений:
1) Несанкционированный доступ и перехват
2) Изменение компьютерных данных
3) Компьютерное мошенничество
4) Незаконное копирование
5) Компьютерный саботаж
Типы нарушений информационной безопасности
1) Неправомерное завладение информацией или нарушение исключительного права её использования
А) неправомерное завладение информацией как совокупностью сведений
Б) неправомерное завладение информацией как товаром
В) неправомерное завладение информацией как идеей
2) Неправомерная модификация информации
А) как товара
Б) как идеи, алгоритма и выдачи за свою
В) как совокупность фактов сведений
3) Разрушение информации
А) как товара
Б) уничтожение
4) Действие или бездействие по созданию информации с заданными свойствами
А) распространение по сетям информации, наносящей ущерб гос-ву, обществу и личности
Б) разработка и распространение компьютерных вирусов
В) преступная халатность при разработке программного обеспечения, алгоритма в нарушение установленных норм и правил
5) Действия направленные на создание препятствий пользования информацией законным пользователем
А) неправомерное использование ресурсов автоматизированных систем
Б) информационное подавление узлов телекоммуникационных систем
Организационные методы ИБ
I) Управление персоналом
Начинается ещё до приёма нового сотрудника на работу. Существует 2 общих принципа используемых при управлении персоналом:
- разделение обязанностей
- минимизация привилегий
Что можно сделать, чтобы хоть как-то защитить свои интересы???
1) Обязательно познакомиться с должностной инструкцией
2) Можно потребовать, чтобы вас ознакомили основами общей политики безопасности, принятой на предприятии
3) Следует позаботиться о формальном протоколировании всех действий, связанных с предоставлением вам тех или иных полномочий доступа к информации и передачи этих полномочий другим лицам (на время отпуска, командировки, болезни и т.д. и т.п.)
II) Физическая защита
1) Физическое управление доступом
2) Противопожарные меры
3) Защита поддерживающей инфраструктуры
4) Защита от перехвата данных
5) Защита мобильных систем
III) Поддержание работоспособности
1) Резервное копирование
2) Поддержка пользователей
IV) Планирование восстановительных работ