Основы информационной безопасности

· поддержку пользователей;

· поддержку программного обеспечения;

· конфигурационное управление;

· резервное копирование;

· управление носителями;

· документирование;

· регламентные работы.

Элементом повседневной деятельности является отслеживание информации в области ИБ; как минимум, администратор безопасности должен подписаться на список рассылки по новым пробелам в защите (и своевременно знакомиться с поступающими сообщениями).

Нужно, однако, заранее готовиться к событиям неординарным, то есть к нарушениям ИБ. Заранее продуманная реакция на нарушения режима безопасности преследует три главные цели:

· локализация инцидента и уменьшение наносимого вреда;

· выявление нарушителя;

· предупреждение повторных нарушений.

Выявление нарушителя - процесс сложный, но первый и третий пункты можно и нужно тщательно продумать и отработать.

В случае серьезных аварий необходимо проведение восстановительных работ. Процесс планирования таких работ можно разделить на следующие этапы:

· выявление критически важных функций организации, установление приоритетов;

· идентификация ресурсов, необходимых для выполнения критически важных функций;

· определение перечня возможных аварий;

· разработка стратегии восстановительных работ;

· подготовка к реализации выбранной стратегии;

· проверка стратегии.

Программно-технические меры

Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей - оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности.

На этом рубеже становятся очевидными не только позитивные, но и негативные последствия быстрого прогресса информационных технологий. Во-первых, дополнительные возможности появляются не только у специалистов по ИБ, но и у злоумышленников. Во-вторых, информационные системы все время модернизируются, перестраиваются, к ним добавляются недостаточно проверенные компоненты (в первую очередь программные), что затрудняет соблюдение режима безопасности.

Сложность современных корпоративных ИС, многочисленность и разнообразие угроз их безопасности можно наглядно представить, ознакомившись с информационной системой Верховного суда Российской Федерации.

Меры безопасности целесообразно разделить на следующие виды:

· превентивные, препятствующие нарушениям ИБ;

· меры обнаружения нарушений;

· локализующие, сужающие зону воздействия нарушений;

· меры по выявлению нарушителя;

· меры восстановления режима безопасности.

В продуманной архитектуре безопасности все они должны присутствовать.

С практической точки зрения важными также являются следующие принципы архитектурной безопасности:

· непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;

· следование признанным стандартам, использование апробированных решений;

· иерархическая организация ИС с небольшим числом сущностей на каждом уровне;

· усиление самого слабого звена;

· невозможность перехода в небезопасное состояние;

· минимизация привилегий;

· разделение обязанностей;

· эшелонированность обороны;

· разнообразие защитных средств;

· простота и управляемость информационной системы.

Центральным для программно-технического уровня является понятие сервиса безопасности. В число таких сервисов входят:

· идентификация и аутентификация;

· управление доступом;

· протоколирование и аудит;

· шифрование;

· контроль целостности;

· экранирование;

· анализ защищенности;

· обеспечение отказоустойчивости;

· обеспечение безопасного восстановления;

· туннелирование;

· управление.

Эти сервисы должны функционировать в открытой сетевой среде с разнородными компонентами, то есть быть устойчивыми к соответствующим угрозам, а их применение должно быть удобным для пользователей и администраторов. Например, современные средства идентификации/аутентификации должны быть устойчивыми к пассивному и активному прослушиванию сети и поддерживать концепцию единого входа в сеть.

Выделим важнейшие моменты для каждого из перечисленных сервисов безопасности:

1. Предпочтительными являются криптографические методы аутентификации, реализуемые программным или аппаратно-программным способом. Парольная защита стала анахронизмом, биометрические методы нуждаются в дальнейшей проверке в сетевой среде.

2. В условиях, когда понятие доверенного программного обеспечения уходит в прошлое, становится анахронизмом и самая распространенная - произвольная (дискреционная) - модель управления доступом. В ее терминах невозможно даже объяснить, что такое "троянская" программа. В идеале при разграничении доступа должна учитываться семантика операций, но пока для этого есть только теоретическая база. Еще один важный момент - простота администрирования в условиях большого числа пользователей и ресурсов и непрерывных изменений конфигурации. Здесь может помочь ролевое управление.

Протоколирование и аудит должны быть всепроникающими и многоуровневыми, с фильтрацией данных при переходе на более высокий уровень. Это необходимое условие управляемости. Желательно применение средств активного аудита, однако нужно осознавать ограниченность их возможностей и рассматривать эти средства как один из рубежей эшелонированной обороны, причем не самый надежный. Следует конфигурировать их таким образом, чтобы минимизировать число ложных тревог и не совершать опасных действий при автоматическом реагировании.

Все, что связано к криптографией, сложно не столько с технической, сколько с юридической точки зрения; для шифрования это верно вдвойне. Данный сервис является инфраструктурным, его реализации должны присутствовать на всех аппаратно-программных платформах и удовлетворять жестким требованиям не только к безопасности, но и к производительности. Пока же единственным доступным выходом является применение свободно распространяемого ПО.

Надежный контроль целостности также базируется на криптографических методах с аналогичными проблемами и методами их решения. Возможно, принятие Закона об электронной цифровой подписи изменит ситуацию к лучшему, будет расширен спектр реализаций. К счастью, к статической целостности есть и некриптографические подходы, основанные на использовании запоминающих устройств, данные на которых доступны только для чтения. Если в системе разделить статическую и динамическую составляющие и поместить первую в ПЗУ или на компакт-диск, можно в корне пресечь угрозы целостности. Разумно, например, записывать регистрационную информацию на устройства с однократной записью; тогда злоумышленник не сможет "замести следы".

Экранирование - идейно очень богатый сервис безопасности. Его реализации - это не только межсетевые экраны, но и ограничивающие интерфейсы, и виртуальные локальные сети. Экран инкапсулирует защищаемый объект и контролирует его внешнее представление. Современные межсетевые экраны достигли очень высокого уровня защищенности, удобства использования и администрирования; в сетевой среде они являются первым и весьма мощным рубежом обороны. Целесообразно применение всех видов МЭ - от персонального до внешнего корпоративного, а контролю подлежат действия как внешних, так и внутренних пользователей.

Анализ защищенности - это инструмент поддержки безопасности жизненного цикла. С активным аудитом его роднит эвристичность, необходимость практически непрерывного обновления базы знаний и роль не самого надежного, но необходимого защитного рубежа, на котором можно расположить свободно распространяемый продукт.

Обеспечение отказоустойчивости и безопасного восстановления - аспекты высокой доступности. При их реализации на первый план выходят архитектурные вопросы, в первую очередь - внесение в конфигурацию (как аппаратную, так и программную) определенной избыточности, с учетом возможных угроз и соответствующих зон поражения. Безопасное восстановление - действительно последний рубеж, требующий особого внимания, тщательности при проектировании, реализации и сопровождении.

Туннелирование - скромный, но необходимый элемент в списке сервисов безопасности. Он важен не столько сам по себе, сколько в комбинации с шифрованием и экранированием для реализации виртуальных частных сетей.

Управление - это инфраструктурный сервис. Безопасная система должна быть управляемой. Всегда должна быть возможность узнать, что на самом деле происходит в ИС (а в идеале - и получить прогноз развития ситуации). Возможно, наиболее практичным решением для большинства организаций является использование какого-либо свободно распространяемого каркаса с постепенным "навешиванием" на него собственных функций.

Миссия обеспечения информационной безопасности трудна, во многих случаях невыполнима, но всегда благородна.

Основные тезисы

Безопасность - не продукт, она сама является процессом.

Ухищрения - вот точное определение для безопасности на сегодняшний день, поскольку обезопасить сложную систему, подобную Интернет трудно именно в силу ее сложности.

Реальные системы не подчиняются теоретическим решениям.

Хорошая защита объединяет три звена: безопасное хранилище, чтобы сохранить ценности, сигнализацию, чтобы обнаружить грабителей, и полицию, которая отреагирует на сигнал тревоги. В системах компьютерной безопасности наблюдается тенденция полагаться в основном на упреждающие меры: криптографию, брандмауэры и т.д. В большинстве случаев в них не заложено обнаружения и почти никогда нет реагирования и преследования.

Опасности в цифровом мире отображают опасности физического мира. Нападения в цифровом мире могут иметь те же цели, что и в физическом мире, но они будут проще и шире распространены. Будет сложнее проследить, поймать и доказать вину злоумышленников. И их действие будет более разрушительным. У Интернета есть три новых свойства, которые помогают осуществить атаку. Любое из них угроза, все вместе они способны вселить ужас. Автоматизация. Действие на расстоянии. Распространение технических приемов.

Поэтому Упреждающие меры вместо ответных.

Преступные атаки (как получить максимальную выгоду, разрушительные атаки, кража интеллектуальной собственности («пиратство»), присвоение личности, кража фирменной марки)

Противники - те же самые, что и в обычном мире: уголовные преступники, жаждущие обогащения, промышленные шпионы, хакеры, ищущие тайные ходы, разведка.

Аутентификация Секретность и анонимность важны для общественного и делового благосостояния, но аутентификация необходима для выживания.

Существуют два различных типа аутентификации. Это аутентификация сеанса и аутентификация транзакции (покупка с использованием кредитной карты).

Целостность Когда мы говорим об аутентификации, на самом деле имеем в виду целостность. Аутентификация имеет дело с источником данных. Целостность имеет отношение к действительности данных. Целостность не то же самое, что точность. Точность характеризует степень соответствия данной величины ее истинному значению; целостность описывает отношение данной величины самой себе через какое-то время. В физическом мире используют материальную копию объекта как доказательство целостности. В любой сетевой системе лучше проводить проверку целостности, чтобы застраховать от ошибок (рецепты и лечение). В мире, в котором нет возможности потрогать, людям нужен новый способ проверки того, что они видят.

Аудит с трудом может быть применен к компьютерам (как двойная запись в бухгалтерском учете).

Криптография - это технология, позволяющая обеспечить безопасность в киберпространстве и бороться с теми атаками и злоумышленниками, о которых шла речь выше.

Симметричное шифрование Алгоритм и ключ. Стандарт шифрования DES - общепринятый криптографический алгоритм (1997 г.) С помощью ключей решается задача включения и исключения людей из группы избранных. Алгоритм доступен для всех, а общающиеся стороны договариваются о секретном ключе, который применяется для этого алгоритма. Такие алгоритмы называют симметричными, потому что отправитель и получатель используют один и тот ключ. Ключ представляет собой случайную строку битов некоторой длины (128 битов).

Секретность должна соблюдаться как во время использования ключа так и после.

Компьютерная безопасность

Компьютерная защита объединяет такие разные вещи, как контроль санкционированного (и несанкционированного) доступа, управление учетными записями и привилегиями пользователя, защиту от копирования, от вирусов и защиту баз данных. В принципе, к защите компьютерной информации также относится защита от подсоединения других пользователей через сеть, от подбора паролей и от проникновения вирусов.

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.)

Контроль доступа. Совместное обеспечение конфиденциальности, неприкосновенности и доступности сводится к контролю доступа. Эта проблема связана не только с компьютерами. Существует два способа задать условия контроля доступа. Можно оговорить, что разрешено делать различным субъектам, или оговорить, что позволено делать с различными объектами.

Модели безопасности. Многоуровневые модели безопасности. документы.

Виды секретности документов.

Ядра безопасности и надежная вычислительная база. Многие операционные системы имеют встроенные средства безопасности. Для них разработан собственный набор понятий: монитор обращений, надежная вычислительная база, ядро безопасности.

Ядро безопасности реализует концепцию монитора обращений. «Распухание ядра» Философия Windows NT - отдавать предпочтение простому над безопасным.

Тайные каналы. Это способ для субъекта с доступом более высокого уровня послать сообщение на более низкий уровень защиты. Можно создать программы, которые тайно собирают данные, оставаясь в тени.

Критерии оценки. Есть два способа получить гарантию надежности защиты вычислительной системы: первый - «независимая проверка и верификация», второй(более дешевый) оценить систему по какому-то независимому набору критериев и присвоить ей определенный рейтинг безопасности. Первым набором критериев была «Оранжевая книга».

Будущее безопасных компьютеров. Из тех систем, которые сейчас находятся в употреблении, практически ни одна не создана по формальной модели безопасности. На рынке существуют надежные операционные системы, но все еще мало известны потребителям. Это не относится к ОС Windows.

Тесты-определения по информационной безопасности

Информационная безопасность - это

1. Отсутствие недопустимого риска, связанного с возможностью нанесения ущерба субъекту информационных отношений

2. Состояние защищенности физических и юридических лиц, государства в информационной сфере.

3. Состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

4. Защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

5. Скрытость информационных ресурсов

Информационная безопасность имеет следующие основные составляющие:

1. конфиденциальность

2. , целостность

3. доступность.

4. скрытость

Конфиденциальность информации - это

1. защита чувствительной информации от несанкционированного доступа.

2. гриф секретности

Целостность информации -- это

1. защита точности и полноты информации и программного обеспечения

2. невозможность искажения информации



Доступность информации -- это

1. обеспечение доступности информации и основных услуг для пользователя в нужное для него время.

2. Право на получение необходимой информации

Информационная война

1. Действия, предпринятые для достижения информационного превосходства путем нанесения ущерба информации, процессам, основанным на информации, и информационным системам противника при одновременной защите собственной информации, процессов, основанных на информации, и информационных систем.

2. Открытые или скрытые целенаправленные информационные воздействия систем друг на друга с целью получения определенного выигрыша в материальной, военной, политической или же идеологической сферах.

3. Уничтожение информационных систем противника

Межсетевой экран (МЭ), брандмауэр - это

1. Локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль пакетов, поступающих в абонентский пункт (АП) и (или) выходящих из абонентского пункта в рамках определенных протоколов. МЭ обеспечивает защиту АП посредством фильтрации пакетов, т. е. их анализа по совокупности критериев и принятия решения об их распространении в (из) АП на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной сети к объектам другой сети.

2. Вычислительная система или комбинация систем, создающая защитный барьер между двумя или большим количеством сетей и предотвращающая нежелательные вторжения в частную сеть (интранет). МЭ служат виртуальными барьерами для передачи пакетов из одной сети в другую и отслеживают движение данных между сетями Интернет и интранет.

3. Устройство, реализующее изоляцию сетей друг от друга.

Несанкционированный доступ к информации

1. Доступ к информации, нарушающий установленные правила ее получения.

2. Преднамеренное обращение пользователя к данным, доступ к которым ему не разрешен, с целью их чтения, обновления или разрушения.

3. Доступ субъектов к информации или действия с информацией с использованием штатных средств объекта информатизации (сети передачи данных), нарушающий установленные правила получения и работы с информацией.

4. Получение информации без соответствующего разрешения на доступ.

Доступ к информации

1. Ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.

2. Получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств.

3. Ознакомление с информацией или получение возможности ее обработки .

4. Право на получение информации

Доступность информации

1. Свойство информации быть (свободно) полученной.

2. Свойство информации быть легкой в восприятии.

Достоверная вычислительная база

1. Совокупность защитных механизмов вычислительной системы, включая программные и аппаратные компоненты, ответственные за поддержание политики безопасности. Д. в. б. состоит из одной или нескольких компонент, которые вместе отвечают за реализацию единой политики безопасности в рамках системы. Способность Д. в. б. корректно проводить единую политику безопасности зависит в первую очередь от механизмов самой Д. в. б, а также от корректного управления со стороны администрации системы

2. Вычислительная база, гарантирующая результаты с заданной точностью.

Доступ к сведениям, составляющим государственную тайну

1. Санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну.

2. Доступ к сведениям, имеющим определенный гриф секретности.

Модель защиты

1. Абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и (или) организационных мер защиты от несанкционированного доступа.

2. Совокупность средств защиты информации

Сутьь политики безопасности

1. Формальное представление политики безопасности, разработанной для системы. Оно должно содержать формальное описание требований, определяющих управление, распределение и защиту критической информации.

2. Формализованное описание средств защиты информации.

Модель угроз информации (техническими средствами)

1. Формализованное описание технических каналов утечки, сведений о методах и средствах осуществления угроз информации

2. Формализованное описание возможных сбоев в работе технических средств, представляющих угрозу информации.

Защита информации от несанкционированного доступа

1. Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.

2. Предотвращение или существенное затруднение несанкционированного доступа к программам и данным путем использования аппаратных, программных и криптографических методов и средств защиты, а также проведение организационных мероприятий. Наиболее распространенным программным методом защиты является система паролей .

3. Совокупность мер по защите информации

Защита информации от разглашения -- это

1. Деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации .

2. Присвоение информации грифа секретности.

Защита информации от утечки -- это

1. Деятельность по предотвращению неконтролируемого распространения защищаемой информации, ее разглашения и несанкционированного доступа к защищаемой информации (иностранными) разведками.

2. Защита информации от несанкционированных технических каналов доступа.

Защита информации --это

3. Деятельность, направленная на обеспечение конфиденциальности, сохранности и доступности информации .

4. Совокупность методов и средств, обеспечивающих целостность, конфиденциальность и доступность информации в условиях воздействия на нее угроз естественного и искусственного характера, реализация которых может привести к нанесению ущерба владельцам или пользователям информации.

5. Включает в себя комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.

6. Деятельность, направленная на сохранение государственной, служебной (коммерческой) или личной тайн, а также на сохранение носителей информации любого содержания. Существуют три основные формы защиты информации: правовая, организационно-техническая и страховая.

7. Совокупность методов и средств, обеспечивающих целостность, конфиденциальность и доступность информации в условиях воздействия на нее угроз естественного и искусственного характера, реализация которых может привести к нанесению ущерба владельцам или пользователям информации.

8. Определение степени конфиденциальности информации и путей ее возможной утечки.

Защита компьютера, защита вычислительной системы --это

1. Защита данных и ресурсов соответствующими мерами, обычно предпринимаемыми от случайных или умышленных действий. Такими действиями могут быть неавторизованное изменение, уничтожение, доступ, раскрытие или получение информации .

2. Регламентирование доступа к компьютеру и вычислительной системе.

Защита от копирования -- это

1. Применение специальных средств для обнаружения или предотвращения неавторизованного копирования данных, программных средств или программно-аппаратных средств.

2. Установления ключа на диски



Защита прав субъектов в сфере информационных процессов и информатизации

1. Осуществляется в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба.

2. Реализуется на законодательном уровне информационной безопасности

Защита тайны личной жизни

1. Меры, принимаемые для обеспечения тайны личной жизни. Меры включают защиту данных и ограничения на сбор, накопление и обработку данных об отдельных лицах.

2. Законодательные меры для обеспечения тайны личной жизни.

Защищаемая информация

1. Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, установленными собственником информации.

2. Информация, содержащая конфиденциальные сведения.

Размещено на Allbest.ru

...