Letysite.ru

IT Новости с интернет пространства
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Понятие безопасности информационной системы

Понятие безопасности информационных систем

Глава 10. ЗАЩИТА ИНФОРМАЦИИ

Понятие безопасности информационных систем

Развитие информационных систем и технологий приво­дит к их уязвимо­сти. Этому способствуют такие фак­торы, как постоянно возрастающие объ­емы обрабатывае­мых дан­ных, расширение круга пользователей, имею­щих дос­туп к информационным ресурсам, недостаточ­ный уро­вень защиты аппа­ратных и программных средств компью­теров, а также коммуни­кационных систем и др. Учитывая эти факты, безопасность информации в процессе ее сбора, хранения, обра­ботки и пере­дачи приобретает исключительно важное значе­ние.

Под безопасностью информации принято понимать ее способность со­хра­нять неизменность свойств при внешних воздействиях. Сюда от­носятся:

· доступность информации т.е. способность обеспечивать своевременный и бес­препятственный доступ к ней;

· целостность информации — способность существовать в неискаженном виде (включает физи­ческую целостность данных, логическую структуру и содер­жа­ние);

· конфиденциальность информации — т.е. способность системы сохранять ин­формацию втайне от тех, кто не имеет полномочий на доступ к ней.

Нарушение безопасности информации может нанести ущерб тому или иному субъ­екту информационных отношений.

Создание всеобщего информационного пространства, породила необ­хо­димость решения комплексной про­блемы за­щиты информа­ции. Напомним, что инфор­мация может являться предметом собствен­но­сти, может составлять государственную, служебную или коммер­ческую тайну и подлежит защите в соответ­ствии с требованиями правовых доку­мен­тов или тре­бова­ниями, уста­навливае­мыми собственником информации. В РФ в основу ор­ганиза­ции ра­боты с ин­формацией положен «Федеральный за­кон об информации, ин­фор­матизации и защите информа­ции» от 10 января 2003 г. № 15-ФЗ. Защитить информацию — это значит:

· обеспечить физическую целостность информации, т.е. не до­пустить искаже­ний или уничтожения элементов информации;

· не допустить подмены (модификации) элементов информа­ции при сохране­нии ее целостности;

· не допустить несанкционированного получения информа­ции лицами или про­цес­сами, не имеющими на это соответствую­щих полномочий;

· быть уверенным в том, что передаваемые вла­дельцем инфор­мации ре­сурсы бу­дут использоваться только в со­ответствии с обговоренными сто­ронами усло­виями.

Статистика свидетельствует, что основными причинами на­рушений ин­фор­ма­ционной безопасности являются : стихийные бедствия и аварии, сбои и отказы оборудования, последствия ошибок проектирования, ошибки экс­плуатации, преднамеренные действия нарушителей и злоумышленни­ков.

Современные компьютерные системы и сети являются весьма сложны­ми объ­ектами (подверженными влиянию чрезвычайно большого числа фак­торов), поэтому формализовать задачу описания единого и полного множе­ства угроз не представля­ется возможным. В этой связи применяют разные базовые признаки классификации угроз безопасности. Например.

1. По природе возникновения (объективные природные явления, не зави­сящие от человека, и субъективные действия, вызванные дея­тельно­стью человека).

2. По степени преднамеренности (ошибки персонала и преднамеренное действие, для получения несанкционированного доступа к ин­фор­мации).

3. По степени воздействия на компьютерные системы (пассивные уг­розы — сбор и хищение информации, активные угрозы — внедрение программ­ных или аппаратных закладок и вирусов для модификации информации или дезорга­низации работы).

4. По способу доступа к ресурсам КС (получение паролей и прав дос­тупа, обход средств защиты, использование недокументи­рованных возмож­ностей операцион­ной системы и др.).

5. По текущему месту расположения информации в компьютерной сис­теме(внешние запоминающие устройства, оперативная память, мо­ни­тор или иное ото­бражающее устройство и т.д.).

Процессы по нарушению надежности информации можно подраз­делить на случайные и злоумышленные (преднамерен­ные). В первом слу­чае их ис­точни­ками являются ошибочные действия людей, технические сбои и др., во втором случае — зло­умышленные. Проблема за­щиты информации в системах электрон­ной об­ра­ботки воз­никла прак­тически одновременно с их созда­нием. Особенно широк размах компьютерных преступле­ний в системах обра­ботки финансово-банковской ин­фор­мации. Надо признать, что, не­смотря на разра­ботку сложней­ших средств защиты, колоссальные финансовые за­траты, лю­бая компь­ютерная сис­тема защиты пока еще не является полно­стью на­деж­ной от ее взлома.

Причинами случайных воздействий при функционировании компьютер­ных систем могут быть:

· отказы и сбои аппаратуры (особенно серверов хранения информации и эле­ментов, в кото­рых осу­ществляется преобразование данных);

· помехи в каналах и на линиях связи (от воздействия внешней среды);

· схемные и системотехнические ошибки и просчеты разра­ботчиков и произ­во­дите­лей ПК;

· алгоритмические и программные ошибки;

· ошибки человека при работе с ПК.

Злоумышленные или преднамеренные угрозы — результат ак­тивного воз­дей­ст­вия человека на объекты и процессы по самым различным причинам (матери­альный интерес, желание навредить, развлечение и др.). Лиц, кото­рые используют свои знания для несанкционированного дос­тупа к инфор­ма­цион­ным ресурсам, к получению конфиденциальной и сек­ретной информа­ции, на­зывают хакерами.

Заметим, что любая система защиты увеличивает вре­мя доступа к ин­формации, поэтому по­строение защищенных компьютерных систем не ста­вит целью надежно защититься от всех классов угроз. Уровень системы за­щиты — это компромисс ме­жду понесен­ными убытками от потери конфиден­циальности информации, с одной стороны, и убытками от усложнения, удо­рожания компьютерной системы и увели­чения вре­мени доступа к ресурсам от введения систем защиты, с другой стороны.

Методы защиты информации

Для обеспечения безопасности информации в личных компьютерах и осо­бенно в офисных системах и компьютерных сетях проводятся различные меро­прия­тия, объединяемые понятием «система защиты информации».

Система защиты информации это совокупность организационных (адми­ни­стративных) и технологических мер, программно-технических средств, пра­во­вых и морально-этических норм, направленных на противо­действие угро­зам нарушителей с целью сведения до минимума возможного ущерба пользова­те­лям и вла­дельцам системы.

Организационно-административные средства защиты сводят­ся к рег­ла­мен­тации доступа к информационным и вычислитель­ным ресурсам, функ­цио­наль­ным процессам систем обработки дан­ных, к регламентации дея­тель­ности пер­сонала и др. Их цель — в наибольшей степени затруднить или ис­ключить воз­можность реализа­ции угроз безопасности.

Наиболее типичные организацион­но-административные средства:

· создание контрольно-пропускного режима на территории, где располага­ются средства обработки информации;

· мероприятия по подбору персонала, связанного с обработ­кой данных;

· хранение носителей информации, пред­ставляющих тайну, в сейфах, не дос­тупных для посторонних лиц;

· организация защиты от установки прослушивающей аппа­ратуры в помеще­ниях, связанных с обработкой информации;

· организация учета использования и уничтожения докумен­тов (носителей) с кон­фиденциальной информацией;

· разработка должностных инструкций и правил по работе с компьютер­ными сред­ствами и информационными массивами и др.

Технические средства защиты призваны создать некоторую физически замк­нутую среду вокруг объекта и элементов защиты. В этом случае преду­смат­рива­ются:

· физическая защита элементов информаци­онных систем (кодовые зам­ки, ох­ранная сигнализация и др.);

· ограничение элек­тро­магнитного излуче­ния (путем эк­раниро­вания помеще­ний);

· автономные ис­точники электропита­ния; дуб­лирование информа­ции.

Программные средства и методы защиты активнее и шире других при­ме­ня­ются для защиты информации в персональных компьютерах и ком­пьютер­ных сетях, реализуя такие функции за­щиты:

· разграничение и контроль дос­тупа к ресурсам (при этом права доступа определяются руководителем организации и прописыва­ются системным администратором, а процедура проверки прав доступа включает авто­ризацию и аутентификацию: автори­зация предпола­гает проверку уровня дос­тупа к объекту, а аутентификация — проверку под­линности пользова­теля);

· регист­рация и анализ протекающих процессов, собы­тий, поль­зова­те­лей;

· предотвращение возможных разруши­тельных воздействий на ре­сурсы.

Технологические средства защиты информации — это комплекс меро­прия­тий, органично встраиваемых в технологические про­цессы преобразова­ния данных. Среди них:

· создание архивных копий носителей;

· ручное или авто­ма­тическое сохра­нение обрабатываемых файлов во внеш­ней памяти компью­тера;

· регист­рация поль­зователей компьютерных средств в журна­лах;

· авто­матическая ре­гистрация дос­тупа пользователей к тем или иным ресур­сам;

· разработка спе­циальных инструк­ций по выполнению всех технологиче­ских процедур и др.

К правовым мерам и средствам защитыотносятся действующие в стране за­коны, нормативные акты, рег­ламентирующие правила обращения с информацией и ответствен­ность за их нарушение; нормы поведе­ния и др.

По содержанию различают преступления экономиче­ские, против общест­венных интересов и против частных интересов.

По спо­собу совершения компьютерных преступлений различают:

· несанкционированный доступ и перехват информации;

· изменение компьютерных данных;

· незаконное копирование программ и баз данных;

Основным методом правового обеспечения является уголов­ная и администра­тивная ответственность.

Основные понятия безопасности информационных систем;

Тема 12. Безопасность информационных систем

1. Основные понятия безопасности информационных систем.

2. Классификация угроз.

3. Системный подход к обеспечению безопасности.

4. Политика безопасности.

5. Базовые технологии безопасности.

При рассмотрении безопасности информационных систем обычно вы­деляют две группы проблем: безопасность компьютера и сетевая безопасность.

К безопасности компьютера относят все проблемы защиты данных, хранящихся и обрабатывающихся компьютером, который рассматривается как автономная система. Эти проблемы решаются средствами операционных систем и приложений, таких как базы данных, а также встроенными аппарат­ными средствами компьютера.

Под сетевой безопасностью понимают все вопросы, связанные с взаи­модействием устройств в сети, это прежде всего защита данных в момент их передачи по линиям связи и защита от несанкционированного удаленного доступа в сеть.

Безопасная информационная система — это система, которая обладает свойствами конфиденциальности, доступности и целостности.

Конфиденциальность — гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными).

Доступность — гарантия того, что авторизованные пользователи всегда получат доступ к данным.

Целостность — гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать дан­ные.

Любое действие, которое направлено на нарушение конфиденциально­сти, целостности и/или доступности информации называется угрозой.

Реализованная угроза называется атакой.

Риск — это вероятностная оценка величины возможного ущерба, кото­рый может понести владелец информационного ресурса в результате успеш­но проведенной атаки. Значение риска тем выше, чем более уязвимой являет­ся существующая система безопасности, и чем выше вероятность реализации атаки.

Читать еще:  Региональная безопасность это определение

Классификация угроз.

Угрозы могут быть разделены на умышленные и неумышленные.

Неумышленные угрозы вызываются ошибочными действиями лояльных сотрудников, становятся следствием низкой квалификации или безответст­венности. Кроме того, к такому роду угроз относятся последствия ненадеж­ной работы программных и аппаратных средств системы. Например, из-за отказа диска или файлового сервера могут оказаться недоступными данные, критически важные для работы предприятия. Угрозы безопасности, которые вытекают из ненадеж­ности работы программно-аппаратных средств, предотвращаются путем их совершенствования, использования резервирования на уровне аппаратуры или на уровне массивов данных.

Умышленные угрозы могут ограничиваться либо пассивным чтением данных или мониторингом системы, либо включать в себя активные дейст­вия, например, нарушение целостности и доступности информации, приведе­ние в нерабочее состояние приложений и устройств. Так, умышленные угрозы возникают в результате деятельности хакеров и явно направлены на нанесение ущерба предприятию.

В вычислительных сетях можно выделить следующие типы угроз:

• незаконное проникновение в один из компьютеров сети под видом ле­гального пользователя;

• разрушение системы с помощью программ-вирусов;

• нелегальные действия легального пользователя;

• «подслушивание» внутрисетевого трафика.

Незаконное проникновение может быть реализовано через уязвимые места в системе безопасности с использование недокументированных воз­можностей операционной системы, которые могут позволить злоумышлен­нику «обойти» стандартную процедуру, контролирующую вход в сеть.

Другим способом незаконного проникновения в сеть является исполь­зование «чужих» паролей, полученных путем подглядывания, расшифровки файла паролей, подбора паролей или получения пароля путем анализа сете­вого трафика.

Еще один способ получения пароля — это внедрение в чужой компью­тер «троянского коня». Так называют резидентную программу, работающую без ведома хозяина данного компьютера и выполняющую действия, заданные злоумышленником (в частности — считывание кодов пароля). Программа «тро­янский конь» всегда маскируется под какую-нибудь полезную утилиту или игру, а произ­водит действия, разрушающие систему. По такому принципу действуют и про­граммы-вирусы, отличительной особенностью которых является способность «заражать» другие файлы, внедряя в них свои собственные копии.

Нелегальные действия легального пользователя — этот тип угроз исхо­дит от легальных пользователей сети, которые, используя свои полномочия, пытаются выполнять действия, выходящие за рамки должностных обязанно­стей. Например, администратор сети имеет практически неограниченные права на доступ ко всем сетевым ресурсам. Однако на предприятии может быть информация, доступ к ко­торой ему запрещен.

«Подслушивание» внутрисетевого трафика — это незаконный монито­ринг сети, захват и анализ сетевых сообщений. Существует много доступных программных и аппаратных анализаторов трафика, которые делают эту задачу достаточно тривиальной. Еще более усложняется защита от этого типа уг­роз в сетях с глобальными связями, не зависимо от того, используются ли собственные, арендуемые каналы или услуги общественных территориаль­ных сетей, подобных Интернету. Интернет создавался как открытая система, предназначенная для свободного обмена информацией, поэтому TCP/IP -протоколы имеют «врожденные» недостатки защиты, используя которые злоумышленники все чаще предпринимают попытки несанкционированного доступа к информации, хранящейся на узлах Интернета.

Основы информационной безопасности

1.1. Основные понятия информационной безопасности

Прежде чем говорить об обеспечении безопасности персональных данных, необходимо определить, что же такое информационная безопасность . Термин » информационная безопасность » может иметь различный смысл и трактовку в зависимости от контекста. В данном курсе под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений , в том числе владельцам и пользователям информации и поддерживающей инфраструктуры [1].

ГОСТ » Защита информации . Основные термины и определения» вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ее конфиденциальность , доступность и целостность .

  • Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.
  • Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
  • Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [2,3]. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, — злоумышленником. Потенциальные злоумышленники называются источниками угрозы .

Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.

Угрозы можно классифицировать по нескольким критериям:

  • по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;
  • по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура );
  • по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);
  • по расположению источника угроз (внутри/вне рассматриваемой ИС).

Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход . Выделяют следующие уровни защиты информации:

  1. законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества;
  2. административный – комплекс мер, предпринимаемых локально руководством организации;
  3. процедурный уровень – меры безопасности, реализуемые людьми;
  4. программно-технический уровень – непосредственно средства защиты информации.

Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность .

1.2. ФЗ «Об информации, информационных технологиях и о защите информации»

В российском законодательстве базовым законом в области защиты информации является ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года номер 149-ФЗ. Поэтому основные понятия и решения, закрепленные в законе, требуют пристального рассмотрения.

Закон регулирует отношения, возникающие при:

  • осуществлении права на поиск, получение, передачу, производство и распространение информации;
  • применении информационных технологий;
  • обеспечении защиты информации.

Закон дает основные определения в области защиты информации. Приведем некоторые из них:

  • информация — сведения (сообщения, данные) независимо от формы их представления;
  • информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
  • информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
  • обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
  • оператор информационной системы — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
  • конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя [4].

В статье 4 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:

  1. свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
  2. установление ограничений доступа к информации только федеральными законами;
  3. открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
  4. равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
  5. обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
  6. достоверность информации и своевременность ее предоставления;
  7. неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
  8. недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Вся информация делится на общедоступную и ограниченного доступа. К общедоступной информации относятся общеизвестные сведения и иная информация , доступ к которой не ограничен. В законе, определяется информация , к которой нельзя ограничить доступ , например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

Закон выделяет 4 категории информации в зависимости от порядка ее предоставления или распространения:

  1. информацию, свободно распространяемую;
  2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
  3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
  4. информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Закон устанавливает равнозначность электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи, и документа, подписанного собственноручно.

Дается следующее определение защите информации — представляет собой принятие правовых, организационных и технических мер, направленных на:

  1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  2. соблюдение конфиденциальности информации ограниченного доступа;
  3. реализацию права на доступ к информации.
Читать еще:  Экологическая безопасность определение

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

  1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
  2. своевременное обнаружение фактов несанкционированного доступа к информации;
  3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
  4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
  5. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
  6. постоянный контроль за обеспечением уровня защищенности информации.

Таким образом, ФЗ «Об информации, информационных технологиях и о защите информации» создает правовую основу информационного обмена в РФ и определяет права и обязанности его субъектов.

Безопасность информационной системы

Тема 12 ЗАЩИТА ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ И ИНФОРМАЦИОННЫХ СИСТЕМАХ

Безопасность информационной системы

Криптографическое закрытие информации

Защита информации от компьютерных вирусов

Безопасность информационной системы

Безопасность информационной системы — свойство, заключающееся в способности системы обеспечить конфиденциальность и целостность информации [22].

Угрозы информационным системам можно объединить и следующие группы [22]:

• угроза раскрытия информации;

• угроза нарушения целостности — умышленное несанкционированное или неумышленное изменение (удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую;

• угроза отказа в обслуживании — блокировка доступа к некоторому ресурсу вычислительной системы.

По природе возникновения угрозы можно разделить на;

Естественные угрозы — это угрозы, связанные с воздействиями на ИС объективных физических процессов или природных явлений. Искусственные угрозы — это угрозы информационной системе, связанные с деятельностью человека.

Пользователем ИС могут быть осуществлены следующие непреднамеренные действия, представляющие угрозу безопасности информационной системы [22]:

• доведение до состояния частичного или полного отказа системы, разрушение аппаратных, программных, информационных ресурсов системы (порча оборудования, носителей информации, удаление, искажение файлов с важной информацией или программ, в том числе системных, и т. п.);

• неправомерное включение оборудования или изменение режимов работы устройств и программ;

• запуск сервисных программ, способных при некомпетентном использовании вызывать потерю работоспособности системы или необратимые изменения в системе;

• нелегальное внедрение и использование неучтенных программ, не являющихся необходимыми для выполнения служебных обязанностей, с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти внешних носителей);

• заражение компьютера вирусами;

• разглашение конфиденциальной информации;

• разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);

• игнорирование организационных ограничений;

• некомпетентное использование, настройка или неправомерное отключение средств защиты информации;

• пересылка данных по ошибочному адресу абонента (устройства);

• ввод ошибочных данных;

• повреждение каналов связи.

Пользователем ИС могут быть осуществлены следующие преднамеренные действия, представляющие угрозу безопасности информационной системы [22]:

• физическое разрушение системы или вывод из строя наиболее важных ее компонентов;

• отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т. п.);

• дезорганизация функционирования системы (изменение режимов работы устройств или программ, создание мощных активных радиопомех и т.п.);

• внедрение агентов в число персонала (в том числе и в службу безопасности), вербовка персонала или отдельных пользователей, имеющих определенные полномочия;

• применение подслушивающих устройств, дистанционная фото- и видеосъемка и т. п.;

• перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводка активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линий, сети питания, отопления и т. п.);

• перехват данных, передаваемых по каналам связи, и их анализ с целью осуществления попыток проникновения в систему;

• хищение носителей информации;

• несанкционированное копирование носителей информации;

• хищение производственных отходов (распечаток, записей, списанных носителей информации и т. п.);

• чтение остатков информации из оперативной памяти и с внешних запоминающих устройств, чтение информации из областей оперативной памяти, используемых операционной системой;

• незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, имитации интерфейса системы и т. п.) с последующей маскировкой под зарегистрированного пользователя;

• несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики;

• вскрытие шифров криптозащиты информации;

• внедрение аппаратных спецвложений, программ закладок и «троянских коней».

Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один способ, а их некоторую совокупность.

Формализованное описание или представления комплекса возможностей нарушителя по реализации тех или иных угроз безопасности информации называют моделью нарушителя.

При разработке модели нарушителя делаются предположения [22]:

• о категориях лиц, к которым может принадлежать нарушитель;

• о мотивах действий нарушителя;

• о квалификации нарушителя и его технической оснащенности;

• о характере возможных действий нарушителя.

По отношению к ИС нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами). Внутренними нарушителями могут быть лица из следующих категорий персонала [22]:

• персонал, обслуживающий технические средства (инженеры, техники);

• сотрудники отделов разработки и сопровождения программного обеспечения (прикладные и системные программисты);

• технический персонал, обслуживающий здание (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здание и помещения, где расположены компоненты ИС);

• сотрудники службы безопасности ИС;

• руководители различных уровней должностной иерархии.

Посторонние лица, которые могут быть внешними нарушителями [22]:

• представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжение и т. п.);

• представители конкурирующих организаций или лица, действующие по их заданию;

• лица, случайно или умышленно нарушившие пропускной режим (без цели нарушения безопасности ИС).

Можно выделить три основных мотива нарушений:

Нарушителей можно классифицировать по следующим признакам [22].

1. По уровню знаний об ИС.

2. но уровню возможностей, различают нарушителей:

• применяющих чисто агентурные методы получения сведений;

• применяющих пассивные средства (технические средства перехвата без модификации компонентов системы);

• использующих только штатные средства и недостатки систем защиты для ее преодоления, а также компактные магнитные носители информации, которые могут быть, скрытно пронесены через посты охраны;

• применяющих методы и средства активного воздействия (модификация и подключение дополнительных механических средств, подключение к каналам передачи данных, внедрение программных «закладок» и использование специальных инструментальных и технологических программ).

3. По месту действия нарушители могут быть:

• не имеющие доступа на контролируемую территорию организации;

• действующие с контролируемой территории без доступа в здания и сооружения;

• действующие внутри помещений, но без доступа к техническим средствам ИС;

• действующие с рабочих мест конечных пользователей ИС;

• имеющие доступ в зону данных (баз данных, архивов и т. п.);

• имеющие доступ в зону управления средствами обеспечения безопасности ИС.

Система защиты — это совокупность специальных мер правового и административного характера, организационных мероприятий, программно-аппаратных средств защиты, а также специального персонала, предназначенных для обеспечения информационной безопасности [22].

Для построения эффективной системы защиты необходимо провести следующие работы [22]:

• определить угрозы безопасности информации;

• выявить возможные каналы утечки информации и несанкционированного доступа (НСД) к данным;

• построить модель потенциального нарушителя;

• выбрать соответствующие меры, методы, механизмы и средства защиты.

Проблема создания системы защиты информации включает две задачи:

• разработка системы защиты информации;

• оценка разработанной системы защиты информации.

Вторая задача решается путем анализа технических характеристик системы с целью установления, удовлетворяет ли система защиты информации комплексу требований. Такая задача в настоящее время решается экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения.

Рассмотрим основное содержание методов защиты информации [22].

Создание препятствий — методы физического преграждения злоумышленнику пути к защищаемой информации (аппаратуре, носителям информации и т. д.).

Управление доступом — метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, программных и технических средств).

Защита от несанкционированного доступа к ресурсам компьютера — это комплексная проблема, подразумевающая решение следующих вопросов [22]:

• присвоение пользователю, терминалам, программам, файлам и каналам связи уникальных имен и кодов (идентификаторов);

• выполнение процедур установления подлинности при обращениях к информационной системе, то есть проверка того, что лицо или устройство, сообщившее идентификатор, в действительности ему соответствует;

• проверка полномочий, то есть проверка права пользователя на доступ к системе или запрашиваемым данным;

• автоматическая регистрация в специальном журнале всех Ёак удовлетворенных, так и отвергнутых запросов к информационным ресурсам с указанием идентификатора пользователя, терминала, времени и сущности запроса, то есть ведение аудита.

Маскировка — метод защиты информации путем ее криптографического закрытия.

Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Принуждение — метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких как технические, программные, организационные, законодательные.

Читать еще:  Угрозы национальной безопасности рф состоят из

Информационная безопасность

Защита информации
с помощью DLP-системы

Н аучно-технический прогресс превратил информацию в продукт, который можно купить, продать, обменять. Нередко стоимость данных в несколько раз превышает цену всей технической системы, которая хранит и обрабатывает информацию.

Качество коммерческой информации обеспечивает необходимый экономический эффект для компании, поэтому важно охранять критически важные данные от неправомерных действий. Это позволит компании успешно конкурировать на рынке.

Определение информационной безопасности

Безопасность информации, которая обрабатывается в организации, – это комплекс действий, направленных на решение проблемы защиты информационной среды в рамках компании. При этом информация не должна быть ограничена в использовании и динамичном развитии для уполномоченных лиц.

Требования к системе защиты ИБ

Защита информационных ресурсов должна быть:

1. Постоянной. Злоумышленник в любой момент может попытаться обойти модули защиты данных, которые его интересуют.

2. Целевой. Информация должна защищаться в рамках определенной цели, которую ставит организация или собственник данных.

3. Плановой. Все методы защиты должны соответствовать государственным стандартам, законам и подзаконным актам, которые регулируют вопросы защиты конфиденциальных данных.

4. Активной. Мероприятия для поддержки работы и совершенствования системы защиты должны проводиться регулярно.

5. Комплексной. Использование только отдельных модулей защиты или технических средств недопустимо. Необходимо применять все виды защиты в полной мере, иначе разработанная система будет лишена смысла и экономического основания.

6. Универсальной. Средства защиты должны быть выбраны в соответствии с существующими в компании каналами утечки.

7. Надежной. Все приемы защиты должны надежно перекрывать возможные пути к охраняемой информации со стороны злоумышленника, независимо от формы представления данных.

Перечисленным требованиям должна соответствовать и DLP-система. И лучше всего оценивать ее возможности на практике, а не в теории. Испытать «СёрчИнформ КИБ» можно бесплатно в течение 30 дней. Узнать подробности.

Модель системы безопасности

Информация считается защищенной, если соблюдаются три главных свойства.

Первое – целостность – предполагает обеспечение достоверности и корректного отображения охраняемых данных, независимо от того, какие системы безопасности и приемы защиты используются в компании. Обработка данных не должна нарушаться, а пользователи системы, которые работают с защищаемыми файлами, не должны сталкиваться с несанкционированной модификацией или уничтожением ресурсов, сбоями в работе ПО.

Второе – конфиденциальность – означает, что доступ к просмотру и редактированию данных предоставляется исключительно авторизованным пользователям системы защиты.

Третье – доступность – подразумевает, что все авторизованные пользователи должны иметь доступ к конфиденциальной информации.

Достаточно нарушить одно из свойств защищенной информации, чтобы использование системы стало бессмысленным.

Этапы создания и обеспечения системы защиты информации

На практике создание системы защиты информации осуществляется в три этапа.

На первом этапе разрабатывается базовая модель системы, которая будет функционировать в компании. Для этого необходимо проанализировать все виды данных, которые циркулируют в фирме и которые нужно защитить от посягательств со стороны третьих лиц. Планом работы на начальном этапе являются четыре вопроса:

  1. Какие источники информации следует защитить?
  2. Какова цель получения доступа к защищаемой информации?

Целью может быть ознакомление, изменение, модификация или уничтожение данных. Каждое действие является противоправным, если его выполняет злоумышленник. Ознакомление не приводит к разрушению структуры данных, а модификация и уничтожение приводят к частичной или полной потере информации.

  1. Что является источником конфиденциальной информации?

Источники в данном случае это люди и информационные ресурсы: документы, флеш-носители, публикации, продукция, компьютерные системы, средства обеспечения трудовой деятельности.

  1. Способы получения доступа, и как защититься от несанкционированных попыток воздействия на систему?

Различают следующие способы получения доступа:

  • Несанкционированный доступ – незаконное использование данных;
  • Утечка – неконтролируемое распространение информации за пределы корпоративной сети. Утечка возникает из-за недочетов, слабых сторон технического канала системы безопасности;
  • Разглашение – следствие воздействия человеческого фактора. Санкционированные пользователи могут разглашать информацию, чтобы передать конкурентам, или по неосторожности.

Второй этап включает разработку системы защиты. Это означает реализовать все выбранные способы, средства и направления защиты данных.

Система строится сразу по нескольким направлениям защиты, на нескольких уровнях, которые взаимодействуют друг с другом для обеспечения надежного контроля информации.

Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции. Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных.

Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и физическими носителями данных.

Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа. Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы.

Технический уровень условно разделяют на физический, аппаратный, программный и математический подуровни.

  • физический – создание преград вокруг защищаемого объекта: охранные системы, зашумление, укрепление архитектурных конструкций;
  • аппаратный – установка технических средств: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей;
  • программный – установка программной оболочки системы защиты, внедрение правила разграничения доступа и тестирование работы;
  • математический – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.

Третий, завершающий этап – это поддержка работоспособности системы, регулярный контроль и управление рисками. Важно, чтобы модуль защиты отличался гибкостью и позволял администратору безопасности быстро совершенствовать систему при обнаружении новых потенциальных угроз.

Виды конфиденциальных данных

  • Личные конфиденциальные данные: персональные данные граждан, право на личную жизнь, переписку, сокрытие личности. Исключением является только информация, которая распространяется в СМИ.
  • Служебные конфиденциальные данные: информация, доступ к которой может ограничить только государство (органы государственной власти).
  • Судебные конфиденциальные данные: тайна следствия и судопроизводства.
  • Коммерческие конфиденциальные данные: все виды информации, которая связана с коммерцией (прибылью) и доступ к которой ограничивается законом или предприятием (секретные разработки, технологии производства и т.д.).
  • Профессиональные конфиденциальные данные: данные, связанные с деятельностью граждан, например, врачебная, нотариальная или адвокатская тайна, разглашение которой преследуется по закону.

Угрозы конфиденциальности информационных ресурсов

Источниками угрозы сохранности конфиденциальных данных являются компании-конкуренты, злоумышленники, органы управления. Цель любой угрозы заключается в том, чтобы повлиять на целостность, полноту и доступность данных.

Угрозы бывают внутренними или внешними. Внешние угрозы представляют собой попытки получить доступ к данным извне и сопровождаются взломом серверов, сетей, аккаунтов работников и считыванием информации из технических каналов утечки (акустическое считывание с помощью жучков, камер, наводки на аппаратные средства, получение виброакустической информации из окон и архитектурных конструкций).

Внутренние угрозы подразумевают неправомерные действия персонала, рабочего отдела или управления фирмы. В результате пользователь системы, который работает с конфиденциальной информацией, может выдать информацию посторонним. На практике такая угроза встречается чаще остальных. Работник может годами «сливать» конкурентам секретные данные. Это легко реализуется, ведь действия авторизованного пользователя администратор безопасности не квалифицирует как угрозу.

Поскольку внутренние ИБ-угрозы связаны с человеческим фактором, отслеживать их и управлять ими сложнее. Предупреждать инциденты можно с помощью деления сотрудников на группы риска. С этой задачей справится «СёрчИнформ ProfileCenter» – автоматизированный модуль для составления психологических профилей.

Попытка несанкционированного доступа может происходить несколькими путями:

  • через сотрудников, которые могут передавать конфиденциальные данные посторонним, забирать физические носители или получать доступ к охраняемой информации через печатные документы;
  • с помощью программного обеспечения злоумышленники осуществляют атаки, которые направлены на кражу пар «логин-пароль», перехват криптографических ключей для расшифровки данных, несанкционированного копирования информации.
  • с помощью аппаратных компонентов автоматизированной системы, например, внедрение прослушивающих устройств или применение аппаратных технологий считывания информации на расстоянии (вне контролируемой зоны).

Аппаратная и программная ИБ

Все современные операционные системы оснащены встроенными модулями защиты данных на программном уровне. MAC OS, Windows, Linux, iOS отлично справляются с задачей шифрования данных на диске и в процессе передачи на другие устройства. Однако для создания эффективной работы с конфиденциальной информацией важно использовать дополнительные модули защиты.

Пользовательские ОС не защищают данные в момент передачи по сети, а системы защиты позволяют контролировать информационные потоки, которые циркулируют по корпоративной сети, и хранение данных на северах.

Аппаратно-программный модуль защиты принято разделять на группы, каждая из которых выполняет функцию защиты чувствительной информации:

  • Уровень идентификации – это комплексная система распознавания пользователей, которая может использовать стандартную или многоуровневую аутентификацию, биометрию (распознавание лица, сканирование отпечатка пальца, запись голоса и прочие приемы).
  • Уровень шифрования обеспечивает обмен ключами между отправителем и получателем и шифрует/дешифрует все данные системы.

Правовая защита информации

Правовую основу информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами и подзаконными актами.

Государство также определят меру ответственности за нарушение положений законодательства в сфере ИБ. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:

  • Статья 272 «Неправомерный доступ к компьютерной информации»;
  • Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;
  • Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».
Ссылка на основную публикацию
Adblock
detector