Содержание
- Определение Политики БезопасностиПравить
- ПредпосылкиПравить
- Методы оценкиПравить
- Неэффективные политикиПравить
- Предполагаемые ущербыПравить
- Риск предприятияПравить
- Источники Править
- Политика и нформационной безопасности ФКП «БОЗ»
- 2. Вводные положения.
- 3. Политика информационной безопасности ФКП «БОЗ».
- 3.1 Назначение Политики информационной безопасности.
- 3.2 Основные принципы обеспечения информационной безопасности
- 3.3 Соответствие Политики информационной безопасности действующему законодательству
- 3.4 Ответственность за реализацию Политики информационной безопасности
- 3.5 Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе.
- 3.6 Учетные записи.
Определение Политики БезопасностиПравить
Политика безопасности организации (англ. organizational security policies) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.
В общем случае такой набор правил представляет собой некий функционал программного продукта, который необходим для его использования в конкретной организации. Если подходить к политике безопасности более формально, то она есть набор неких требований к функционалу системы защиты, закрепленных в ведомственных документах. Например, в финансовых организациях зачастую принято, чтобы в продукте предусматривалось присутствие нескольких административных ролей: администратор, аудитор и оператор системы защиты. Такое ролевое управление информационной безопасностью —скорее дань традиции и теоретически позволяет избежать «сговора» администратора и злоумышленника из числа пользователей. Для того, чтобы включить данный функционал продукта в профиль защиты, целесообразнее всего ввести соответствующую политику безопасности.
Политика безопасности зависит:
- от конкретной технологии обработки информации;
- от используемых технических и программных средств;
- от расположения организации;
ПредпосылкиПравить
Главной причиной появления политики безопасности обычно является требование наличия такого документа от регулятора — организации, определяющей правила работы предприятий данной отрасли. В этом случае отсутствие политики может повлечь репрессивные действия в отношении предприятия или даже полное прекращение его деятельности.
Кроме того, определенные требования (рекомендации) предъявляют отраслевые или общие, местные или международные стандарты. Обычно это выражается в виде замечаний внешних аудиторов, проводящих проверки деятельности предприятия. Отсутствие политики вызывает негативную оценку, которая в свою очередь влияет на публичные показатели предприятия — позиции в рейтинге, уровень надежности и т.д.
Еще одной причиной является внутреннее осознание руководством предприятия необходимости структурированного подхода к обеспечению определенного уровня безопасности. Обычно такое осознание наступает после внедрений ряда технических решений по безопасности, когда возникают проблемы управления такими решениями. Иногда сюда добавляются вопросы обеспечения безопасности персонала (Human Resources Security, куда входит как защита самих работников, так и защита от них), юридические аспекты и другие факторы, приводящие руководство предприятия к пониманию того, что обеспечение информационной безопасности выходит за рамки чисто технических мероприятий, проводимых ИТ-подразделением или другими специалистами.
Интересно, что, согласно исследованию по безопасности, проведенному компанией Deloitte в 2006 году, предприятия, которые имеют формализованные политики информационной безопасности, значительно реже подвергаются взлому. Это свидетельствует о том, что наличие политики является признаком зрелости предприятия в вопросах информационной безопасности. То, что предприятие внятно сформулировало свои принципы и подходы к обеспечению информационной безопасности означает, что в этом направлении была проделана серьезная работа.
Методы оценкиПравить
Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия «исследование снизу вверх» и «исследование сверху вниз».
Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : «Вы — злоумышленник. Ваши действия ?». То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.
Метод «сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).
Неэффективные политикиПравить
Само по себе наличие документа, озаглавленного «Политика информационной безопасности», не принесет существенной пользы предприятию, кроме, быть может, формального аргумента в споре, присутствует или отсутствует у него данная политика. Нас интересует, разумеется, в первую очередь эффективная политика безопасности.
Опыт показывает, что неэффективные политики безопасности можно разделить на хорошо сформулированные, но не практичные и на практичные, но плохо сформулированные.
Первая категория чаще всего встречается в случаях, когда специалисты по безопасности предприятия недолго думая берут готовую политику (скажем, из Internet) и, проведя минимальные изменения, утверждают ее для своего предприятия. Поскольку общие принципы безопасности у разных предприятий, даже различных отраслей, могут быть весьма схожи, такой подход достаточно широко распространен. Однако его использование может привести к проблемам, если от политики верхнего уровня понадобится спуститься к документам нижнего уровня — стандартам, процедурам, методикам и т.д. Поскольку логика, структура и идеи исходной политики были сформулированы для другого предприятия, возможно возникновение серьезных затруднений, даже противоречий в остальных документах.
Политики второй категории обычно появляются в случаях, когда возникает необходимость решить сиюминутные задачи. Например, сетевой администратор, устав бороться с попытками пользователей нарушать работу сети, в течение десяти минут набрасывает список из нескольких «можно» и «нельзя», называет его «Политикой» и убеждает руководство в необходимости его утверждения. Потом этот документ может годами использоваться на предприятии, создавая порой существенные проблемы, например при внедрении новых систем, и порождая огромное количество исключений для случаев, когда его нарушение допускается.
Предполагаемые ущербыПравить
Далее следует выяснение насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название «вычисление рисков». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки». Существует множество схем вычисления рисков, остановимся на одной из самых простых.
Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей :
| Величина ущерба | Описание |
|---|---|
| 0 | Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме |
| 1 | Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты |
| 2 | Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально |
| 3 | Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов |
| 4 | Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы. |
| 5 | Фирма прекращает существование |
Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей :
| Вероятность | Средняя частота появления |
|---|---|
| 0 | Данный вид атаки отсутствует |
| 1 | реже, чем раз в год |
| 2 | около 1 раза в год |
| 3 | около 1 раза в месяц |
| 4 | около 1 раза в неделю |
| 5 | практически ежедневно |
Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.
Риск предприятияПравить
Следующим этапом составляется таблица рисков предприятия. Она имеет следующий вид :
| Описание атаки | Ущерб | Вероятность | Риск (=Ущерб*Вероятность) |
|---|---|---|---|
| Спам (переполнение почтового ящика) | 1 | 4 | 4 |
| Копирование жесткого диска из центрального офиса | 3 | 1 | 3 |
| … | … | … | 2 |
| Итого : | 9 | ||
На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением 7. Сначала проверяется каждая строка таблицы на не превышение риска этого значения. Если такое превышение имеет место, значит, данная строка это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 7*2=14) с интегральным риском (ячейка «Итого»).
Если интегральный риск превышает допустимое значение, значит, в системе набирается множество мелких огрешностей в системе безопасности, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк выбираются те, которые дает самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.
Создание эффективной политики
Как же разработать эффективную, практичную и хорошо сформулированную политику информационной безопасности, которая позволит предприятию не просто создать стройную систему нормативных документов, но и принесет определенные финансовые преимущества, например, сохранив инвестиции или предотвратив неэффективные вложения средств?
Источники Править
Политика и нформационной безопасности ФКП «БОЗ»
Утверждена приказом Генерального директора ФКП «БОЗ» № 666 от 21.09.2017 г.
г. Бийск 2017 г.
1. Перечень используемых определений, обозначений и сокращений.
АИБ — Администратор информационной безопасности.
ИБ — Информационная безопасность.
ИР — Информационные ресурсы.
ИС — Информационная система.
НСД — Несанкционированный доступ.
СЗИ — Средство защиты информации.
СУИБ — Система управления информационной безопасностью.
ЭВМ — Электронная — вычислительная машина, персональный компьютер.
Администратор информационной безопасности — специалист или группа специалистов организации, осуществляющих контроль за обеспечением защиты информации в ЛВС, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.
Доступ к информации — возможность получения информации и ее использования.
Идентификация — присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информация — это актив, который, подобно другим активам, имеет ценность и, следовательно, должен быть защищен надлежащим образом.
Информационная безопасность — механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов общества в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т. п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов общества.
Информационная система — совокупность программного обеспечения и технических средств, используемых для хранения, обработки и передачи информации, с целью решения задач подразделений «Бийский олеумный завод» (далее — ФКП «БОЗ»).
Информационные ресурсы — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий.
Конфиденциальность — доступ к информации только авторизованных пользователей.
Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.
Политика информационной безопасности — комплекс взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых на ФКП «БОЗ» для обеспечения его информационной безопасности.
Регистрационная (учетная) запись пользователя — включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя в операционной системе (сети, базе данных, приложении и т. п.). Регистрационная запись создается администратором при регистрации пользователя в операционной системе компьютера, в системе управления базами данных, в сетевых доменах, приложениях и т. п. Она также может содержать такие сведения о пользователе, как Ф. И. О., название подразделения, телефоны, Е-таН и т. п.
Угрозы информации — потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т. е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы.
Уязвимость — недостатки или слабые места информационных активов, которые могут привести к нарушению информационной безопасности при реализации угроз в информационной сфере.
2. Вводные положения.
2.1 Введение.
Политика информационной безопасности ФКП «БОЗ» определяет цели и задачи системы обеспечения ИБ и устанавливает совокупность правил, требований и руководящих принципов в области ИБ, которыми в последствии руководствуется в своей деятельности.
2.2 Цели.
Основными целями Политики информационной безопасности являются защита информации ФКП «БОЗ» от возможного нанесения материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи, а так же обеспечение эффективной работы всего информационно-вычислительного комплекса при осуществлении деятельности, указанной в Положении о деятельности ФКП «БОЗ».
Общее руководство обеспечением ИБ осуществляется Генеральным директором ФКП «БОЗ». Ответственность за организацию мероприятий по обеспечению ИБ и контроль за соблюдением требований ИБ несет АИБ. Ответственность за функционирование информационных систем ФКП «БОЗ» несет администратор информационной системы.
Должностные обязанности АИБа и системного администратора закрепляются в соответствующих инструкциях.
Руководители структурных подразделений ФКП «БОЗ» несут ответственность за обеспечение выполнения требований ИБ в своих подразделениях.
Сотрудники ФКП «БОЗ» обязаны соблюдать порядок обращения с конфиденциальными документами, носителями ключевой информации и другой защищаемой информацией, соблюдать требования настоящей Политики и других внутренних документов ФКП «БОЗ» по вопросам обеспечения ИБ.
2.3 Задачи.
Политика информационной безопасности направлена на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.
Наибольшими возможностями для нанесения ущерба ФКП «БОЗ» обладает собственный персонал. Действия персонала могут быть мотивированы злым умыслом (при этом злоумышленник может иметь сообщников как внутри, так и вне ФКП «БОЗ»), либо иметь непреднамеренный ошибочный характер.
На основе вероятностной оценки определяется перечень актуальных угроз безопасности, который отражается в «Модели угроз».
Для противодействия угрозам ИБ на ФКП «БОЗ» на основе имеющегося опыта составляется прогностическая модель предполагаемых угроз и модель нарушителя. Чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем ниже риски нарушения ИБ при минимальных ресурсных затратах.
Разработанная на основе прогноза Политики информационной безопасности и в соответствии с ней построенная СУИБ является наиболее правильным и эффективным способом добиться минимизации рисков нарушения ИБ для ФКП «БОЗ». Необходимо учитывать, что с течением времени меняется характер угроз, поэтому следует своевременно, используя данные мониторинга и аудита, обновлять модели угроз и нарушителя.
Стратегия обеспечения ИБ заключается в использовании заранее разработанных мер противодействия атакам злоумышленников, а также программно-технических и организационных решений, позволяющих свести к минимуму возможные потери от технических аварий и ошибочных действий персонала.
Задачами настоящей политики являются:
-
описание организации СУИБ;
-
определение порядка сопровождения ИС ФКП «БОЗ».
Настоящая Политика вводится в действие приказом Генерального директора ФКП «БОЗ» и распространяется на все структурные подразделения ФКП «БОЗ» и обязательна для исполнения всеми его сотрудниками и должностными лицами. Положения настоящей Политики применимы для использования во внутренних нормативных и методических документах, а также в договорах.
Политика признается утратившей силу на основании приказа Генерального директора ФКП «БОЗ».
2.4 Порядок внесения изменений.
Изменения в Политику вносятся приказом Генерального директора ФКП «БОЗ». Инициаторами внесения изменений в Политику информационной безопасности являются:
-
Генеральный директор ФКП «БОЗ»;
-
руководители подразделений (управлений, отделов, цехов и т. д.) ФКП «БОЗ»;
-
администратор информационной безопасности.
Плановая актуализация настоящей Политики производится ежегодно и имеет целью приведение в соответствие определенных политикой защитных мер реальным условиям и текущим требованиям к защите информации.
Внеплановая актуализация Политики информационной безопасности производится в обязательном порядке в следующих случаях:
-
при изменении внутренних нормативных документов (инструкций, положений, руководств), касающихся ИБ ФКП «БОЗ»;
-
при происшествии и выявлении инцидента (инцидентов) по нарушению ИБ, влекущего ущерб ФКП «БОЗ».
Ответственность за актуализацию Политики информационной безопасности (плановую и внеплановую) и контроль за исполнением требований настоящей Политики возлагается на АИБа.
3. Политика информационной безопасности ФКП «БОЗ».
3.1 Назначение Политики информационной безопасности.
Политика информационной безопасности ФКП «БОЗ» — это совокупность норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в ФКП «БОЗ».
Политика информационной безопасности относятся к административным мерам обеспечения ИБ и определяют стратегию ФКП «БОЗ» в области ИБ.
Политика информационной безопасности регламентируют эффективную работу СЗИ. Они охватывают все особенности процесса обработки информации, определяя поведение ИС и ее пользователей в различных ситуациях. Политика ИБ реализуется посредством административно-организационных мер, физических и программно-технических средств и определяет архитектуру системы защиты.
Все документально оформленные решения, формирующие Политику, должны быть утверждены на ФКП «БОЗ».
3.2 Основные принципы обеспечения информационной безопасности
Основными принципами обеспечения ИБ являются следующие:
-
постоянный и всесторонний анализ информационного пространства ФКП «БОЗ» с целью выявления уязвимостей информационных активов;
-
своевременное обнаружение проблем, потенциально способных повлиять на ИБ ФКП «БОЗ», корректировка моделей угроз и нарушителя;
-
разработка и внедрение защитных мер, адекватных характеру выявленных угроз, с учетом затрат на их реализацию. При этом меры, принимаемые для
-
обеспечения ИБ, не должны усложнять достижение уставных целей ФКП «БОЗ», а также повышать трудоемкость технологических процессов обработки информации;
-
контроль эффективности принимаемых защитных мер;
-
персонификация и адекватное разделение ролей и ответственности между сотрудниками ФКП «БОЗ», исходя из принципа персональной и единоличной ответственности за совершаемые операции.
3.3 Соответствие Политики информационной безопасности действующему законодательству
Правовую основу Политики составляют законы Российской Федерации и другие законодательные акты, определяющие права и ответственность граждан, сотрудников и государства в сфере безопасности, а также нормативные, отраслевые и ведомственные документы, по вопросам безопасности информации, утвержденные органами государственного управления различного уровня в пределах их компетенции.
3.4 Ответственность за реализацию Политики информационной безопасности
Ответственность за разработку мер обеспечения защиты информации несёт АИБ.
Ответственность за реализацию Политики возлагается:
-
в части, касающейся разработки и актуализации правил внешнего доступа -на АИБа;
-
в части, касающейся контроля доведения правил Политики до сотрудников ФКП «БОЗ», а также иных лиц (см. область действия настоящей Политики) — на АИБа;
-
в части, касающейся исполнения правил Политики — на каждого сотрудника ФКП «БОЗ», согласно их должностным и функциональным обязанностям, и иных лиц, попадающих под область действия настоящей Политики.
3.5 Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе.
-
Обучение сотрудников ФКП «БОЗ» в области ИБ проводится согласно плану, утвержденному Генеральным директором предприятия.
-
Подписи сотрудников об ознакомлении заносятся в «Журнал проведения инструктажа по информационной безопасности».
-
Допуск персонала к работе с защищаемыми ИР ФКП «БОЗ» осуществляется только после его ознакомления с настоящей Политикой, а также после ознакомления пользователей с «Порядком работы пользователей» ФКП «БОЗ», а также иными инструкциями пользователей отдельных ИС. Согласие на соблюдение правил и требований настоящей Политики подтверждается подписями сотрудников в журналах ознакомления.
-
Допуск персонала к работе с информацией ФКП «БОЗ» осуществляется после ознакомления с «Порядком организации работы с материальными носителями»,
-
«Порядком организации работы с электронными носителями». Правила допуска к работе с ИР лиц, не являющихся сотрудниками ФКП «БОЗ», определяются на договорной основе с этими лицами или с организациями, представителями которых являются эти лица.
3.6 Учетные записи.
Настоящая Политика определяет основные правила присвоения учетных записей пользователям информационных активов ФКП «БОЗ». Регистрационные учетные записи подразделяются на:
-
пользовательские — предназначенные для идентификации/аутентификации пользователей информационных активов ФКП «БОЗ»;
-
системные — используемые для нужд операционной системы;
-
служебные — предназначенные для обеспечения функционирования отдельных процессов или приложений.
-
Каждому пользователю информационных активов ФКП «БОЗ» назначается уникальная пользовательская регистрационная учетная запись. Допускается привязка более одной пользовательской учетной записи к одному и тому же пользователю (например, имеющих различный уровень полномочий).
-
В общем случае запрещено создавать и использовать общую пользовательскую учетную запись для группы пользователей. В случаях, когда это необходимо, ввиду особенностей автоматизируемого бизнес-процесса или организации труда (например, посменное дежурство), использование общей учетной записи должно сопровождаться отметкой в журнале учета машинного времени, которая должна однозначно идентифицировать текущего владельца учетной записи в каждый момент времени. Одновременное использование одной общей пользовательской учетной записи разными пользователями запрещено.
-
Системные регистрационные учетные записи формируются операционной системой и должны использоваться только в случаях, предписанных документацией на операционную систему.
-
Служебные регистрационные учетные записи используются только для запуска сервисов или приложений.
-
Использование системных или служебных учетных записей для регистрации пользователей в системе категорически запрещено.
3.7 Использование паролей.
Настоящая Политика определяет основные правила парольной защиты на ФКП «БОЗ». Положения Политики закрепляются в «Порядке по организации парольной защиты»
3.8 Защита автоматизированного рабочего места.
-
Настоящая Политика определяет основные правила и требования по защите информации ФКП «БОЗ» от неавторизованного доступа, утраты или модификации.
-
Положения данной Политики определяются в соответствии с используемым техническим решением.
4. Профилактика нарушений Политики информационной безопасности.
- Под профилактикой нарушений Политики информационной безопасности понимается проведение регламентных работ по защите информации, предупреждение возможных нарушений ИБ на ФКП «БОЗ» и проведение разъяснительной работы по ИБ среди пользователей.
-
Положения определены документами «Об обучении сотрудников правилам защиты информации» и «Порядком технического обслуживания средств вычислительной техники».
4.1 Ликвидация последствий нарушения Политики информационной безопасности.
-
АИБ, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС, должен своевременно обнаруживать нарушения ИБ, факты осуществления НСД к защищаемым ИР и предпринимать меры по их локализации и устранению.
-
В случае обнаружения подсистемой защиты информации факта нарушения ИБ или осуществления НСД к защищаемым ИР, ИС рекомендуется уведомить АИБа, и далее следовать указаниям.
-
Действия АИБа и администратора информационной системы при признаках нарушения Политики информационной безопасности регламентируются следующими внутренними документами:
-
регламентом пользователя;
-
Политикой информационной безопасности;
-
регламентом администратора информационной безопасности;
-
регламентом системного администратора.
-
После устранения инцидента необходимо составить акт о факте нарушения и принятых мерах по восстановлению работоспособности ИС, а также зарегистрировать факт нарушения в журнале учета нарушений, ликвидации их причин и последствий.
4.2 Ответственность за нарушение Политики информационной безопасности.
-
Ответственность за выполнение правил Политики информационной безопасности несет каждый сотрудник ФКП «БОЗ» в рамках своих служебных обязанностей и полномочий.
-
На основании ст. 192 Трудового кодекса Российской Федерации сотрудники, нарушающие требования Политики информационной безопасности ФКП «БОЗ», могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы.
-
Все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный ФКП «БОЗ» в
-
результате нарушения ими правил Политики информационной безопасности (Ст. 238 Трудового кодекса Российской Федерации).
-
За неправомерный доступ к компьютерной информации, создание, использование или распространение вредоносных программ, а также нарушение правил эксплуатации ЭВМ, следствием которых явилось нарушение работы ЭВМ (автоматизированной системы обработки информации), уничтожение, блокирование или модификация защищаемой информации, сотрудники ФКП «БОЗ» несут ответственность в соответствии со статьями 272, 273 и 274 Уголовного кодекса Российской Федерации.
Основы информационной безопасности
Ответы на курс: Основы информационной безопасности
Из принципа разнообразия защитных средств следует, что:
| в разных точках подключения корпоративной сети к Internet необходимо устанавливать разные межсетевые экраны | |
| защитные средства нужно менять как можно чаще | |
| ✓ | каждую точку подключения корпоративной сети к Internet необходимо защищать несколькими видами средств безопасности |
Объектно-ориентированный подход помогает справляться с:
| ✓ | сложностью систем |
| недостаточной реактивностью систем | |
| некачественным пользовательским интерфейсом |
Что из перечисленного не относится к числу основных аспектов информационной безопасности:
| доступность | |
| целостность | |
| конфиденциальность | |
| ✓ | правдивое отражение действительности |
Средний ущерб от компьютерного преступления в США составляет примерно:
| ✓ | сотни тысяч долларов |
| десятки долларов | |
| копейки |
Сложность обеспечения информационной безопасности является следствием:
| невнимания широкой общественности к данной проблематике | |
| ✓ | быстрого прогресса информационных технологий, ведущего к постоянному изменению информационных систем и требований к ним |
| все большей зависимости общества от информационных систем |
Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на текстовый редактор могут быть наложены следующие ограничения:
| запрет на чтение каких-либо файлов, кроме редактируемых и конфигурационных | |
| запрет на выполнение каких-либо файлов | |
| ✓ | запрет на изменение каких-либо файлов, кроме редактируемых и конфигурационных |
Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на просмотрщик файлов определенного формата могут быть наложены следующие ограничения:
| ✓ | запрет на изменение каких-либо файлов |
| запрет на чтение файлов, кроме просматриваемых и конфигурационных | |
| запрет на изменение файлов, кроме просматриваемых и конфигурационных |
Самыми опасными угрозами являются:
| ✓ | непреднамеренные ошибки штатных сотрудников |
| атаки хакеров | |
| вирусные инфекции |
Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности:
| просчеты при администрировании информационных систем | |
| необходимость постоянной модификации информационных систем | |
| ✓ | сложность современных информационных систем |
Согласно рекомендациям X.800, выделяются следующие сервисы безопасности:
| ✓ | аутентификация |
| идентификация | |
| туннелирование |
Согласно «Оранжевой книге», политика безопасности включает в себя следующие элементы:
| логическое управление доступом | |
| ✓ | произвольное управление доступом |
| ✓ | принудительное управление доступом |
Уровень безопасности A, согласно «Оранжевой книге», характеризуется:
| принудительным управлением доступом | |
| произвольным управлением доступом | |
| ✓ | верифицируемой безопасностью |
В число целей программы безопасности верхнего уровня входят:
| определение ответственных за информационные сервисы | |
| ✓ | управление рисками |
| определение мер наказания за нарушения политики безопасности |
Первый шаг в анализе угроз — это:
| ✓ | идентификация угроз |
| ликвидация угроз | |
| аутентификация угроз |
Оценка рисков позволяет ответить на следующие вопросы:
| ✓ | какие защитные средства экономически целесообразно использовать? |
| как спроектировать надежную защиту? | |
| какую политику безопасности предпочесть? |
Управление рисками включает в себя следующие виды деятельности:
| определение ответственных за анализ рисков | |
| ✓ | выбор эффективных защитных средств |
| ✓ | измерение рисков |
В число возможных стратегий нейтрализации рисков входят:
| сокрытие риска | |
| ✓ | уменьшение риска |
| афиширование риска |
В число основных принципов архитектурной безопасности входят:
| применение наиболее передовых технических решений | |
| ✓ | применение простых, апробированных решений |
| сочетание простых и сложных защитных средств |
Контроль целостности может использоваться для:
| предупреждения нарушений ИБ | |
| ✓ | обнаружения нарушений |
| локализации последствий нарушений |
В число универсальных сервисов безопасности входят:
| ✓ | протоколирование и аудит |
| ✓ | экранирование |
| средства построения виртуальных локальных сетей |
Ролевое управление доступом использует следующее средство объектно-ориентированного подхода:
| инкапсуляция | |
| ✓ | наследование |
| полиморфизм |
В число основных понятий ролевого управления доступом входит:
| субъект | |
| ✓ | объект |
| метод |
Цифровой сертификат содержит:
| открытый ключ удостоверяющего центра | |
| ✓ | имя удостоверяющего центра |
| секретный ключ удостоверяющего центра |
Криптография необходима для реализации следующих сервисов безопасности:
| контроль доступа | |
| контроль защищенности | |
| ✓ | контроль целостности |
Пороговый метод выявления атак хорош тем, что он:
| поднимает мало ложных тревог | |
| способен обнаруживать неизвестные атаки | |
| ✓ | прост в настройке и эксплуатации |
В число архитектурных принципов, направленных на обеспечение высокой доступности информационных сервисов, входят:
| минимизация привилегий | |
| ✓ | апробированность всех процессов и составных частей информационной системы |
| ✓ | унификация процессов и составных частей |
Доступность достигается за счет применения мер, направленных на повышение:
| ✓ | безотказности |
| дисциплинированности | |
| лояльности |
Выявление неадекватного поведения выполняется системами управления путем применения методов, типичных для:
| ✓ | систем активного аудита |
| систем идентификации | |
| систем анализа защищенности |
Туннелирование может использоваться на следующем уровне эталонной семиуровневой модели:
| ✓ | сетевом |
| сеансовом | |
| уровне представления |
Согласно стандарту X.700, в число функций управления конфигурацией входят:
| ✓ | запуск и остановка компонентов |
| выбор закупаемой конфигурации | |
| ✓ | изменение конфигурации системы |
Сервисы безопасности подразделяются на:
| ✓ | локализующие, сужающие зону воздействия нарушений |
| буферизующие, сглаживающие злоумышленную активность | |
| глобализующие, расширяющие зону поиска нарушителя |
Нужно ли включать в число ресурсов по информационной безопасности серверы с законодательной информацией по данной тематике:
| ✓ | да, поскольку обеспечение информационной безопасности — проблема комплексная |
| нет, поскольку информационная безопасность — техническая дисциплина | |
| не имеет значения, поскольку если что-то понадобится, это легко найти |
Окно опасности появляется, когда:
| устанавливается новое ПО | |
| ✓ | появляется возможность использовать уязвимость |
| становится известно о средствах использования уязвимости |
Эффективность информационного сервиса может измеряться как:
| ✓ | максимальное время обслуживания запроса |
| рентабельность работы сервиса | |
| ✓ | количество одновременно обслуживаемых пользователей |
Среднее время наработки на отказ:
| пропорционально интенсивности отказов | |
| не зависит от интенсивности отказов | |
| ✓ | обратно пропорционально интенсивности отказов |
Что понимается под информационной безопасностью:
| защита душевного здоровья телезрителей | |
| обеспечение информационной независимости России | |
| ✓ | защита от нанесения неприемлемого ущерба субъектам информационных отношений |
Реализация протоколирования и аудита преследует следующие главные цели:
| недопущение попыток нарушений информационной безопасности | |
| недопущение атак на доступность | |
| ✓ | обнаружение попыток нарушений информационной безопасности |
| ✓ | имя пользователя |
| ✓ | открытый ключ пользователя |
| секретный ключ пользователя |
| наличия многочисленных высококвалифицированных злоумышленников | |
| ✓ | комплексного характера данной проблемы, требующей для своего решения привлечения специалистов разного профиля |
| развития глобальных сетей |
Контейнеры в компонентных объектных средах предоставляют:
| средства для сохранения компонентов | |
| механизмы транспортировки компонентов | |
| ✓ | общий контекст взаимодействия с другими компонентами и с окружением |
Уголовный кодекс РФ не предусматривает наказания за:
| неправомерный доступ к компьютерной информации | |
| ✓ | увлечение компьютерными играми в рабочее время |
| нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети |
| экранирование | |
| ✓ | аутентификация |
| идентификация |
В число целей политики безопасности верхнего уровня входят:
| ✓ | формулировка административных решений по важнейшим аспектам реализации программы безопасности |
| ✓ | обеспечение базы для соблюдения законов и правил |
| выбор методов аутентификации пользователей |
Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:
| разделение статических и динамических данных | |
| шифрование всей информации | |
| ✓ | формирование составных сервисов по содержательному принципу |
Экранирование на сетевом и транспортном уровнях может обеспечить:
| выборочное выполнение команд прикладного протокола | |
| ✓ | разграничение доступа по сетевым адресам |
| ✓ | контроль объема данных, переданных по TCP-соединению |
Главная цель мер, предпринимаемых на административном уровне:
| ✓ | сформировать программу безопасности и обеспечить ее выполнение |
| отчитаться перед вышестоящими инстанциями | |
| выполнить положения действующего законодательства |
Политика безопасности строится на основе:
| ✓ | анализа рисков |
| общих представлений об ИС организации | |
| изучения политик родственных организаций |
Статистический метод выявления атак хорош тем, что он:
| ✓ | способен обнаруживать неизвестные атаки |
| поднимает мало ложных тревог | |
| прост в настройке и эксплуатации |
Уровень риска является функцией:
| стоимости защитных средств | |
| числа уязвимостей в системе | |
| ✓ | вероятности реализации угрозы |
Окно опасности перестает существовать, когда:
| производитель ПО выпускает заплату | |
| ✓ | заплата устанавливается в защищаемой ИС |
| администратор безопасности узнает об угрозе |
| ✓ | что делать, чтобы риски стали приемлемыми? |
| ✓ | существующие риски приемлемы? |
| кто виноват в том, что риски неприемлемы? |
При использовании сервера аутентификации Kerberos пароли по сети:
| передаются в зашифрованном виде | |
| ✓ | не передаются |
| передаются в открытом виде |
Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:
| объектно-ориентированный подход популярен в академических кругах | |
| объектно-ориентированный подход поддержан обширным инструментарием | |
| ✓ | с программно-технической точки зрения, информационная безопасность — ветвь информационных технологий и должна развиваться по тем же законам |
На межсетевые экраны целесообразно возложить следующие функции:
| антивирусный контроль компьютеров внутренней сети | |
| антивирусный контроль компьютеров внешней сети | |
| ✓ | антивирусный контроль «на лету» |
В число классов мер процедурного уровня входят:
| управление персоналками | |
| ✓ | управление персоналом |
| ✓ | реагирование на нарушения режима безопасности |
В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:
| ✓ | процедурные меры |
| ✓ | программно-технические меры |
| меры обеспечения конфиденциальности |
Политика безопасности информационной системы
Стр 1 из 4
Введение
Проблема защиты информации от постороннего доступа и нежелательных воздействий на неё возникла давно, с той поры, когда человеку по каким либо причинам не хотелось делиться ею ни с кем, или не с каждым человеком. С развитием человечества, появлением частной собственности, государственного строя, борьбы за власть и дальнейшим расширением масштабов человеческой деятельности информация приобретает цену. Ценной становится та информация, обладание которой позволит её существующему и потенциальному владельцам получить какой-либо выигрыш: материальный, политический и т.д.
В период существования примитивных носителей информации её защита осуществлялась в основном организационными методами, которые включали ограничение и разграничение доступа, определённые меры наказания за разглашение тайны. По свидетельству Геродота, уже в 5 веке до н.э. использовалось преобразование информации методом кодирования. Спартанцы имели специальный механический прибор, с помощью которого важные сообщения можно было писать особым способом обеспечивающим сохранение тайны.
С переходом на использование технических средств связи информация подвергается воздействию случайных процессов (сбой оборудования, ошибки операторов) которые могут привести к её разрушению. С дальнейшим усложнением технических средств связи возросли возможности для преднамеренного доступа к информации.
С появлением сложных автоматизированных систем управления, связанных с автоматизированным вводом, хранением, обработкой и выводом информации, проблема её защиты приобрела ещё большее значение.
В настоящее время и в самом человеческом обществе, и в технологии обработки информации произошли большие изменения, которые повлияли на саму суть проблемы защиты информации, безопасности и управления доступом.
Информационная безопасность государства — состояние сохранности информационных ресурсов государства и защищенности, законных прав личности и общества в информационной сфере, процесс обеспечения конфиденциальности, целостности и доступности информации. Информационная безопасность — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.
В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.
Безопасность информации (данных) — состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность. Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.
Безопасность автоматизированной системы информации— состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.
Актуальность данной работы обусловлена тем что обычные пользователи научатся различным методам и средствам защиты информационных систем и рассмотрят различные критерии защищенности информационной системы.
Объект:критерии защищенности информационных систем.
Предмет: методы и средства обеспечения безопасности информационных систем.
Цель работы: выявить наиболее эффективные средства и методы обеспечения безопасности ИС, соответствующие критериям защищенности.
Задачи:
1. Изучить научную и техническую литературу по теме работы.
2. Изучить критерии защищённости информационных систем.
3. Рассмотреть средства и методы обеспечения информационной безопасности в соответствии с критериями защищенности ИС.
Глава 1. Критерии оценки защищённости информационных систем
Краткая классификация
Такова классификация, введенная в «Оранжевой книге». Коротко её можно сформулировать так:
1.уровень C — произвольное управление доступом;
2.уровень B — принудительное управление доступом;
3.уровень A — верифицируемая безопасность.
Конечно, в адрес «Критериев …» можно высказать целый ряд серьёзных замечаний (таких, например, как полное игнорирование проблем, возникающих в распределенных системах).
«Критерии безопасности компьютерных систем» («Оранжевая книга») были разработаны Министерством обороны США в 1983 г. с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответствующей методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах военного назначения.
Согласно «Оранжевой книге», безопасная компьютерная система — это система, поддерживающая управление доступом к обрабатываемой в ней информации. Базовые требования безопасности. В «Оранжевой книге» предложены три категории требований безопасности — политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности.
Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности.
Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов контроля доступа.
Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы.
Требование 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе.
Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты.
Требование 6. Непрерывность защиты. Все средства защиты (в том числе и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения.
Приведенные выше базовые требования к безопасности служат основой для критериев, образующих единую шкалу оценки безопасности компьютерных систем, определяющую семь классов безопасности.
В 1995 г. Национальным центром компьютерной безопасности США был опубликован документ под названием «Интерпретация критериев безопасности компьютерных систем», объединяющий все дополнения и разъяснения.
Изучив техническую и научно-техническую литературу, нами были определены следующие критерии обеспечения безопасности ИС:
1. Критерии уровня А- критерии верифицируемой безопасности.
2. Критерии уровня В- критерии принудительного управления доступом.
3. Критерии уровня С- критерии произвольного управления доступом.
Глава 2 Методы и средства обеспечения информационной безопасности
2.1. Безопасность информационной работы
Информация играет особую роль в процессе развития цивилизации. Владение информационными ресурсами и рациональное их использование создают условия оптимального управления обществом.
Одним из главных факторов, обеспечивающих эффективность в управлении различными сферами общественной жизни, является правильное использование информации различного характера.
Совершают компьютерные преступления, как правило, высококвалифицированные системные и банковские программисты, специалисты в области телекоммуникационных систем. Нешуточную угрозу информационным ресурсам представляют хакеры и крекеры,проникающие в компьютерные системы и сети путем взлома программного обеспечения защиты. Крекеры, кроме того, могут стереть или изменить данные в информационном банке в соответствии со своими интересами.
Особо ценной является информация по банковским сделкам и кредитам, проводимая по электронной почте, а также сделки на бирже. Большой интерес представляют для хакеров программные продукты, оценивающиеся на современном рынке в тысячи, а то и в миллионы долларов.
Крекеры – «компьютерные террористы» – занимаются порчей программ или информации с помощью вирусов – специальных программ, обеспечивающих уничтожение информации или сбои в работе системы.
Для многих фирм получение информации с помощью внедрения к конкурентам хакера-программиста – дело наиболее простое и прибыльное. Внедрять соперникам спецтехнику, постоянно контролировать их офис на излучение с помощью специальной аппаратуры – дело дорогостоящее и опасное.
Виды угроз П.О.
Люком называется не описанная в документации на программный продукт возможность работы с этим программным продуктом. Сущность использования люков состоит в том, что при выполнении пользователем некоторых не описанных в документации действий он получает доступ к возможностям и данным, которые в обычных условиях для него закрыты. Люки чаще всего являются результатом забывчивости разработчиков. В качестве люка может быть использован временный механизм прямого доступа к частям продукта, созданный для облегчения процесса отладки и не удаленный по ее окончании. Люки могут образовываться также в результате часто практикуемой технологии разработки программных продуктов «сверху вниз». Наконец, еще одним распространенным источником люков является так называемый «неопределенный ввод» – ввод «бессмысленной» информации, абракадабры в ответ на запросы системы. Реакция недостаточно хорошо написанной программы на неопределенный ввод может быть, в лучшем случае, непредсказуемой (когда при повторном вводе той же неверной команды программа реагирует каждый раз по-разному);
«Троянские кони».
Существуют программы, реализующие, помимо функций, описанных в документации, и некоторые другие функции, в документации не описанные. Такие программы называются «троянскими конями». Вероятность обнаружения «троянского коня» тем выше, чем очевиднее результаты его действий (например, удаление файлов или изменение их защиты). Более сложные «троянские кони» могут маскировать следы своей деятельности (например, возвращать защиту файлов в исходное состояние).
«Логические бомбы».
«Логической бомбой» обычно называют программу или даже участок кода в программе, реализующий некоторую функцию при выполнении определенного условия. Этим условием может быть, например, наступление определенной даты или обнаружение файла с определенным именем. «Взрываясь», «логическая бомба» реализует функцию, неожиданную и, как правило, нежелательную для пользователя (например, удаляет некоторые данные или разрушает некоторые системные структуры). «Логическая бомба» является одним из излюбленных способов мести программистов компаниям, которые их уволили или чем-либо обидели.
Атака «салями».
Атака «салями» превратилась в настоящий бич банковских компьютерных систем. В банковских системах ежедневно производятся тысячи операций, связанных с безналичными расчетами, переводами сумм, отчислениями и т. д. При обработке счетов используются целые единицы (рубли, центы), а при исчислении процентов нередко получаются дробные суммы. Обычно величины, превышающие половину рубля (цента), округляются до целого рубля (цента), а величины менее половины рубля (цента) просто отбрасываются. При атаке «салями» эти несущественные величины не удаляются, а постепенно накапливаются на некоем специальном счете.
Скрытые каналы.
Под скрытыми каналами подразумеваются программы, передающие информацию лицам, которые в обычных условиях эту информацию получать не должны. В тех системах, где ведется обработка критичной информации, программист не должен иметь доступа к обрабатываемым программой данным после начала эксплуатации этой программы. Для скрытой передачи информации можно с успехом использовать различные элементы формата «безобидных» отчетов, например разную длину строк, пропуски между строками, наличие или отсутствие служебных заголовков, управляемый вывод незначащих цифр в выводимых величинах, количество пробелов или других символов в определенных местах отчета и т. д.
Отказ в обслуживании.
Большинство методов нарушения безопасности направлено на то, чтобы получить доступ к данным, не допускаемый системой в нормальных условиях. Однако не менее интересным для захватчиков является доступ к управлению самой компьютерной системой или изменение ее качественных характеристик, например, получить некоторый ресурс (процессор, устройство ввода-вывода) в монопольное использование или спровоцировать ситуацию клинча для нескольких процессов.
Компьютерные вирусы.
Компьютерные вирусы являются квинтэссенцией всевозможных методов нарушения безопасности. Одним из самых частых и излюбленных способов распространения вирусов является метод «троянского коня». Вирусы отличаются только возможностью размножаться и обеспечивать свой запуск.
Заключение
Выбор способов защиты информации в информационной системе — сложная оптимизационная задача, при решении которой требуется учитывать вероятности различных угроз информации, стоимость реализации различных способов защиты и наличие различных заинтересованных сторон. В общем случае для нахождения оптимального варианта решения такой задачи необходимо применение теории игр, в частности теории биматричных игр с ненулевой суммой, позволяющими выбрать такую совокупность средств защиты, которая обеспечит максимизацию степени безопасности информации при данных затратах или минимизацию затрат при заданном уровне безопасности.
В данной работе мы рассмотрели различные критерии обеспечения информационной безопасности и методы и средства обеспечения информационной безопасности более подходящие по этим критериям. В данной работе мы рассмотрели самые эффективные на мой взгляд методы и средства обеспечения информационной безопасности как организации так и ПК обычных пользователей.
После выбора методов и механизмов необходимо осуществить разработку программного обеспечения для системы защиты. Программные средства, реализующие выбранные механизмы защиты, должны быть подвергнуты комплексному тестированию. Следует отметить, что без соответствующей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией механизмов и процедур нельзя решить проблему обеспечения безопасности информации, хранимой в информационной системе.
Список Литературы.
1. Алешенков М. Основы национальной безопасности/М.Алешенков /Основы безопасности жизни.-2005.-№11.-С.5-10.
3. Брандман Э. М. Глобализация и информационная безопасность общества/Э.М.Брандман //Философия и общество.-2006.-№1.-С.31-41.
7. Еляков А.Д. Информационная свобода человека/А.Д.Еляков // Социально-гуманитарные знания.-2005.-№3.-С.125-141.
8. Журин А. А. Информационная безопасность как педагогическая проблема //Педагогика.-2001.-№4.-С.48-55.
9. Иванов В. Смешно до горьких слез (компьютерные игры — опасное развлечение)/В. Иванов //ОБЖ.-2003.-№4.-С.19-22.
12. Морозов И. Л. Информационная безопасность политической системы / И.Л.Морозов //ПОЛИС.-2002.-№5.-С.134-146.
14. Поляков В.П. Информационная безопасность в курсе информатики /В.П.Поляков //Информатика и образование.-2006.-№10.-С.116-119.
1.6П2.154 П58
18. Шубин А. Достоверно, но без опасности: информационное общество //Российская газета.-2000.-1 декабря.-С.10-11.
Введение
Проблема защиты информации от постороннего доступа и нежелательных воздействий на неё возникла давно, с той поры, когда человеку по каким либо причинам не хотелось делиться ею ни с кем, или не с каждым человеком. С развитием человечества, появлением частной собственности, государственного строя, борьбы за власть и дальнейшим расширением масштабов человеческой деятельности информация приобретает цену. Ценной становится та информация, обладание которой позволит её существующему и потенциальному владельцам получить какой-либо выигрыш: материальный, политический и т.д.
В период существования примитивных носителей информации её защита осуществлялась в основном организационными методами, которые включали ограничение и разграничение доступа, определённые меры наказания за разглашение тайны. По свидетельству Геродота, уже в 5 веке до н.э. использовалось преобразование информации методом кодирования. Спартанцы имели специальный механический прибор, с помощью которого важные сообщения можно было писать особым способом обеспечивающим сохранение тайны.
С переходом на использование технических средств связи информация подвергается воздействию случайных процессов (сбой оборудования, ошибки операторов) которые могут привести к её разрушению. С дальнейшим усложнением технических средств связи возросли возможности для преднамеренного доступа к информации.
С появлением сложных автоматизированных систем управления, связанных с автоматизированным вводом, хранением, обработкой и выводом информации, проблема её защиты приобрела ещё большее значение.
В настоящее время и в самом человеческом обществе, и в технологии обработки информации произошли большие изменения, которые повлияли на саму суть проблемы защиты информации, безопасности и управления доступом.
Информационная безопасность государства — состояние сохранности информационных ресурсов государства и защищенности, законных прав личности и общества в информационной сфере, процесс обеспечения конфиденциальности, целостности и доступности информации. Информационная безопасность — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.
В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.
Безопасность информации (данных) — состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность. Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.
Безопасность автоматизированной системы информации— состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.
Актуальность данной работы обусловлена тем что обычные пользователи научатся различным методам и средствам защиты информационных систем и рассмотрят различные критерии защищенности информационной системы.
Объект:критерии защищенности информационных систем.
Предмет: методы и средства обеспечения безопасности информационных систем.
Цель работы: выявить наиболее эффективные средства и методы обеспечения безопасности ИС, соответствующие критериям защищенности.
Задачи:
1. Изучить научную и техническую литературу по теме работы.
2. Изучить критерии защищённости информационных систем.
3. Рассмотреть средства и методы обеспечения информационной безопасности в соответствии с критериями защищенности ИС.
Глава 1. Критерии оценки защищённости информационных систем
Политика безопасности информационной системы
Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.
Политика безопасности (информации в организации)— совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных данных — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:
1.Защита объектов информационной системы;
2.Защита процессов, процедур и программ обработки информации;
3.Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.);
4.Подавление побочных электромагнитных излучений;
5.Управление системой защиты.
При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
1.Определение информационных и технических ресурсов, подлежащих защите;
2.Выявление полного множества потенциально возможных угроз и каналов утечки информации;
3.Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
4.Определение требований к системе защиты;
5.Осуществление выбора средств защиты информации и их характеристик;
6.Внедрение и организация использования выбранных мер, способов и средств защиты;
7.Осуществление контроля целостности и управление системой защиты.
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.
Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области.
К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации.
В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.
1.2. Организационная защита информации.
Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:
1. организацию охраны, режима, работу с кадрами, с документами;
2. использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
3. организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.
1.3. Критерии определения безопасности компьютерных систем
Критерии определения безопасности компьютерных систем —содержащихся в компьютерной системе. Критерии используются для определения, классификации и выбора компьютерных систем, предназначенных для обработки, хранения и поиска важной или секретной информации.
Критерии, часто упоминающиеся как Оранжевая книга (название своё получила из-за цвета обложки), занимают центральное место среди публикаций «Радужной серии» Министерства обороны США. Изначально выпущенные Центром национальной компьютерной безопасности — подразделением Агентства национальной безопасности в 1983 году и потом обновлённые в 1985.
Аналогом Оранжевой книги является международный стандарт ISO/IEC 15408, опубликованный в 2005 году. Это более универсальный и совершенный стандарт, но вопреки распространенному заблуждению, он не заменял собой Оранжевую книгу в силу разной юрисдикции документов — Оранжевая книга используется исключительно Министерством Обороны США, в то время как ISO/IEC 15408 ратифицировали множество стран, включая Россию.
Данный стандарт получил международное признание и оказал исключительно сильное влияние на последующие разработки в области информационной безопасности (ИБ). Данный стандарт относится к оценочным стандартам и речь в нём идет не о безопасных, а о доверенных системах.
В стандарте заложен понятийный базис ИБ (безопасная система, доверенная система, политика безопасности, уровень гарантированности, подотчетность, доверенная вычислительная база, монитор обращений, ядро безопасности, периметр безопасности).
Безопасность и доверие оцениваются в данном стандарте с точки зрения управления доступом к информации, что и является средством обеспечения конфиденциальности и целостности.
Вслед за «Оранжевой книгой» появилась целая «Радужная серия». Наиболее значимой в ней явилась интерпретация «Оранжевой книги» для сетевых конфигураций, где в первой части интерпретируется «Оранжевая книга», а во второй части описываются сервисы безопасности, специфичные для сетевых конфигураций.
1.4. Политики безопасности
Политики безопасности должны быть подробными, четко определёнными и обязательными для компьютерной системы. Есть две основных политики безопасности:
1.Мандатная политика безопасности — обязательные правила управления доступом напрямую, основанные на индивидуальном разрешении, разрешении на доступ к информации и уровне конфиденциальности запрашиваемой информации. Маркирование — системы, предназначенные для обязательной мандатной политики безопасности должны предоставлять и сохранять целостность меток управления доступом и хранить метки, если объект перемещён.
2.Дискреционная политика безопасности — предоставляет непротиворечивый набор правил для управления и ограничения доступа, основанный на идентификации тех пользователей, которые намерены получить только необходимую им информацию.
Подотчетность.
В группе «Подотчетность» должны быть следующие требования:
1)Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа.
2) Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе.
Политика безопасности в компьютерных системах
Защищенная компьютерная система обязательно должна иметь средства разграничения доступа пользователей к ресурсам данной системы, проверки подлинности пользователя и противодействия выводу системы из строя.
Интегральной характеристикой защищенности компьютерной системы является политика безопасности – качественное выражение свойств защищенности в терминах, представляющих систему. Политика безопасности не должна быть чрезмерной – ужесточение защиты приводит к усложнению доступа пользователей к системе и увеличению времени доступа. Политика безопасности должна быть адекватна предполагаемым угрозам, и обеспечивать заданный уровень защиты.
Политика безопасности включает:
— множество субъектов;
— множество объектов;
— множество возможных операций над объектами;
— множество разрешенных операций для каждой пары субъект-объект, являющееся подмножеством множество возможных состояний.
Элементы множества операций над объектами выбираются в зависимости от назначения компьютерной системы, решаемых задач, конфиденциальности информации. Примерами операций над объектами могут быть «Создание объекта», «Удаление объекта», «Чтение данных» и т.д.
В защищенной компьютерной системе всегда присутствует субъект, выполняющий контроль операций субъектов над объектами, например, в операционной системе Windows таким субъектом является псевдопользователь SYSTEM. Данный компонент фактически отвечает за реализацию политики безопасности, которая реализуется путем описания доступа субъекта к объектам.
Существует два типа политики безопасности: дискретная и полномочная (мандатная). Основой дискретной политики безопасности является дискреционное управление доступом, которое определяется двумя свойствами:
— все субъекты и объекты должны быть идентифицированы;
— права доступа субъекта к объекту определяются на основе некоторого задаваемого набора правил.
К достоинствам дискретной политики безопасности можно отнести относительно простую реализацию соответствующих механизмов защиты. Этим обусловлен тот факт, что большинство используемых в настоящее время компьютерных систем обеспечивают именно дискретную политику безопасности. В качестве примера реализации дискретной политики безопасности можно привести матрицу доступов, строки которой соответствуют субъектам системы, а столбцы – объектам; элементы матрицы представляют фиксированный набор или список прав доступа. К недостаткам дискретной политики безопасности можно отнести статичность данной модели, не учитывающая динамику изменений состояния системы. Например, при подозрении на несанкционированный доступ к информации, необходимо оперативно изменить права доступа к этой информации, что не просто сделать, так как матрица доступа формируется вручную.
Полномочная модель политики безопасности основывается на том, что:
— все субъекты и объекты должны быть идентифицированы;
— имеется линейно упорядоченный набор меток секретности;
— каждому объекту присвоена метка секретности, определяющая ценность содержащейся в ней информации – его уровень секретности;
— каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему – его уровень доступа.
В отличие от дискретной политики, которая требует определения прав доступа для каждой пары субъект-объект, полномочная политика, назначением метки секретности объекту, однозначно определяет круг субъектов, имеющих права доступа к нему. И, наоборот, назначением метки секретности субъекту, однозначно определяется круг объектов, к которым он имеет права доступа. При подозрении на несанкционированный доступ к информации достаточно повысить уровень секретности данной информации, что по сравнению с редактированием матрицы доступа сделать намного проще.