Главная страница
Навигация по странице:

  • 24.Принципы организации информационных систем в соответствии с требованиями по защите информации.

  • 25. Основные нормативные правовые акты в области информационной безопасности и защиты информации.

  • 26.Отечественные и зарубежные стандарты в области компьютерной безопасности.

  • 27.Принципы и методы организационной защиты информации.

  • Инженерно-технические (физические) методы и средства защиты информации

  • 28.Методы и средства обнаружения уязвимостей в корпоративных компьютерных сетях.

  • 1. Место информационной безопасности в системе национальной безопасности


    Скачать 453.88 Kb.
    Название1. Место информационной безопасности в системе национальной безопасности
    Дата03.07.2018
    Размер453.88 Kb.
    Формат файлаdocx
    Имя файлаItmo_Upravlenie_IB_gotovy.docx
    ТипДокументы
    #48281
    страница9 из 12
    1   ...   4   5   6   7   8   9   10   11   12

    23.Способы и средства защиты информации от утечки по техническим каналам.

    Защита информации от утечки по техническим каналам достигается проектно-архитектурными решениями, проведением организационных и технических мероприятий, а также выявлением портативных электронных устройств перехвата информации (закладных устройств) [39, 64].
         Организационное мероприятие - это мероприятие по защите информации, проведение которого не требует применения специально разработанных  технических средств. 
         К основным организационным и режимным мероприятиям относятся [1, 39, 54, 64, 114 ]:
         •  привлечение к проведению работ по защите информации организаций, имеющих лицензию на  деятельность в области защиты информации, выданную соответствующими органами;
         •   категорирование и аттестация объектов ТСПИ и выделенныхдля проведения закрытых мероприятий помещений (далее выделенных помещений) по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности; 
         •   использование на объекте сертифицированных ТСПИ и ВТСС; 
         •   установление контролируемой зоны вокруг объекта;
         •  привлечение к работам по строительству, реконструкции объектов ТСПИ, монтажу аппаратуры организаций, имеющих лицензию на деятельность в области защиты информации по соответствующим пунктам;
         •  организация контроля и ограничение доступа на объекты ТСПИ и в выделенные помещения;
         •  введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
         •  отключение на период закрытых мероприятий технических средств, имеющих элементы, выполняющие роль электроакустических преобразователей, от линий связи и т.д.  
         Техническое мероприятие - это мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений.      
         Технические мероприятия направлены на закрытие каналов утечки информации путем ослабления уровня информационных сигналов или уменьшением отношения сигнал/шум в местах возможного размещения портативных средств разведки или их датчиков до величин, обеспечивающих  невозможность выделения информационного сигнала средством разведки, и проводятся с использованием активных и пассивных средств.
         К техническим мероприятиям  с использованием пассивных средств относятся [1, 14, 39, 54, 64, 114 ]:
        - контроль и ограничение доступа на объекты ТСПИ и в выделенные помещения:
            • установка на объектах ТСПИ и в выделенных помещениях технических средств и систем ограничения и контроля доступа.
         -  локализация излучений:
            •   экранирование ТСПИ и их соединительных линий;
            •   заземление ТСПИ и экранов их соединительных линий;
            •   звукоизоляция выделенных помещений.
         -  развязывание информационных сигналов:
            •    установка специальных средств защиты типа "Гранит" во вспомогательных технических средствах и системах, обладающих «микрофонным эффектом» и имеющих выход за пределы контролируемой зоны (см. рис. 1.1);
            •   установка специальных диэлектрических вставок в оплетки кабелей электропитания, труб систем отопления, водоснабжения и канализации, имеющих выход за пределы контролируемой зоны (см. рис. 1.2);
            •  установка автономных или стабилизированных источников электропитания ТСПИ;
            •  установка устройств гарантированного питания ТСПИ (например, мотор-генераторов);
            •   установка в цепях электропитания ТСПИ, а также в линиях осветительной и розеточной сетей выделенных помещений помехоподавляющих фильтров типа ФП (см. рис. 1.3 и 1.4).
         Ктехническим мероприятиям  с использованием активных средств относятся [1, 39, 54, 64, 114 ]: 
         - пространственное зашумление:
            •   пространственное электромагнитное зашумление с использованием генераторов шума или создание прицельных помех (при обнаружении и определении частоты излучения закладного устройства или побочных электромагнитных излучений ТСПИ) с использованием средств создания прицельных помех (см. рис. 1.5 и 1.6 );
            •   создание акустических и вибрационных помех с использованием генераторов акустического шума (см. рис. 1.7 и 1.8);
            •   подавление диктофонов в режиме записи с использованием подавителей диктофонов.
         - линейное зашумление:
            •   линейное зашумление линий электропитания (см. рис. 1.9);
            •   линейное зашумление посторонних проводников и соединительных линий ВТСС, имеющих выход за пределы контролируемой зоны  (см. рис. 1.10).
         - уничтожение закладных устройств:
            •   уничтожение закладных устройств, подключенных к линии, с использованием специальных генераторов импульсов (выжигателей "жучков").

         Выявление портативных электронных устройств перехвата информации (закладных устройств) осуществляется проведением специальных обследований, а также специальных проверок объектов ТСПИ и выделенных помещений.
         Специальные обследования объектов ТСПИ и выделенных помещений проводятся путем их визуального осмотра без применения технических средств. 
         Специальная проверка проводится с использованием технических средств. При этом осуществляется:
        - выявление закладных устройств с использованием пассивных средств:
            •   установка в выделенных помещениях средств и систем обнаружения лазерного облучения (подсветки) оконных стекол;
            •   установка в выделенных помещениях стационарных обнаружителей диктофонов;
            •   поиск закладных устройств с использованием индикаторов поля, интерсепторов, частотомеров, сканерных приемников и программно-аппаратных комплексов контроля; 
            •   организация радиоконтроля (постоянно или на время проведения конфиденциальных мероприятий) и побочных электромагнитных излучений ТСПИ.
         - выявление закладных устройств с использованием активных средств:
            •   специальная проверка выделенных помещений с использованием нелинейных локаторов; 
            •   специальная проверка выделенных помещений, ТСПИ и вспомогательных технических средств с использованием рентгеновских комплексов.

    Защита информации от утечки по техническим каналам достигается проектно-архитектурными решениями, проведением организационных и технических мероприятий, и выявление портативных закладных устройств перехвата информации.

    Организационное мероприятие — это мероприятие проведение которого не требует специально разработанных технических средств.

    · Категорирование и аттестация объектов ТСПИ и выделенных помещений;

    · Использование сертифицированных ТСПИ и ВТСС;

    · Установление контролируемой зоны вокруг объекта;

    · Организация контроля и ограничения доступа на объекты ТСПИ и выделенные помещения;

    Технические мероприятия — это мероприятия направленные на закрытие каналов утечки путем ослабления уровня информационных сигналов в местах возможной установки технических средств разведки до величин, обеспечивающих невозможность выделения информационного сигнала.

    · Локализация излучений

    · Экранирование ТСПИ и их соединительных линий

    · Заземление ТСПИ и экранов их соединительных линий

    · Звукоизоляция выделенных помещений

    · Развязывание информационных сигналов

    · Установка специальных технических средств во ВТСС, обладающие «микрофонным эффектом»

    · Установка диэлектрических вставок в металлические конструкции ВТСС и посторонних проводников

    · Установка автономных или стабилизированных источников электропитания ТСПИ

    · Установка в цепях питания ТСПИ помехоподавляющих фильтров

    · Технические мероприятия с использованием активных средств

    · Пространственное зашумление может быть как электромагнитным (широкополосным или прицельным если известна частота на которой происходит утечка), так и акустических и вибрационных

    · Линейное зашумление линий электропередачи

    · Линейное зашумление посторонних проводников и соединительных линий ВТСС

    · Уничтожение закладных устройств с использованием специальных импульсных генераторов (так называемое выжигание закладок)

     

    ПЭМИ являются причиной возникновения электромагнитных и параметрических каналов утечки информации. Поэтому снижение уровня ПЭМИ является важной задачей. Эффективным методом снижения ПЭМИ является экранирование. Различают следующие способы: электростатическое, магнитостатическое и электромагнитное экранирование. Первые два способа заключаются в замыкании экраном (обладающего в первом случае высокой электропроводностью, а во втором случае магнитопроводностью) соответственно электрического и магнитного полей.

    Узкие щели и отверстия в металлическом экране, размеры которых малы в сравнении с длинной волны не влияют на качество экранирования.

    На высоких частотах применяются исключительно электромагнитное экранирование. Действие электромагнитного экрана основано на том, что высокочастотное электромагнитное поле ослабляется им же созданным (благодаря образующимся в толще экрана вихревым токам) полем обратного направления. Возможно применение сетчатых экранов. Экран изготовленный из низкоуглеродистой стальной сетки с ячейкой 2,5 3 мм, даёт ослабление 55-60 Децибел, Двойная на расстоянии 100 мм — 90 Дб. Из меди с ячеёй 2,5 мм — 65-70 Дб. Высокая эффективность экранирования достигается при использовании витой пары или витой пары помещенной в экран. Если длина провода превышает ¼ длины самой короткой из передаваемых по нему волн, то такой кабель должен рассматриваться как длинная линия, для уменьшения излучения она должна быть нагружены на сопротивление равное волновому сопротивлению линии. В противном случае в проводнике образуются стоячие волны ослабляющие сигнал и приводящие к излучению ПЭМИ. При параллельном расположении информационных и посторонних проводников так же необходима установка экранов. Экранироваться могут не только отдельные блоки или узлы но и помещение в целом. В обычных помещениях основной экранирующий эффект обеспечивают железобетонные конструкции. Экранирующие свойства дверей и окон хуже. При экранировании окон и дверей применяются такие технологии как токопроводящие лакокрасочные покрытия, шторы из металлизированной ткани, металлизированные стёкла устанавливаемы в металлические или металлизированные рамы. При закрытии окон и дверей должен обеспечиваться электрический контакт со стенами помещения. Для эффективного экранирования сетчатыми экранами размеры ячейки должны быть менее 0,1 размера длинны волны.

    24.Принципы организации информационных систем в соответствии с требованиями по защите информации.

    1. Принцип системности – требует рассматривать анализируемое предприятие как единое целое, выявлять типы связей между структурными элементами или бизнес-процессами, устанавливать направления информационных потоков, а также функции отдельных структурных подразделений.

    В результате все составные части объекта будут объеденены и согласованы по целям функционирования, по входным и результирующим документам и защите информации.

    1. Принцип развития – заключается в том, что ИС должна создаваться с учетом постоянного изменения информационных потребностей пользователей. Данный принцип требует разработки средств, с помощью которых ИС может адаптироваться в соответствии с новыми требованиями. В настоящее время главное требование в том, что разработчики должны организовать постоянное сопровождение ИС в процессе эксплуатации.

    2. Принцип совместимости. – построение открытой ИС,ориентированной на максимальное использование стандартов пронраммного, технического и иного обеспечения. ИС должна быть открытой, т.е. характеризовалась взаимодействием с внешней средой.

    3. Принцип непосредственного участия работников предприятия в процессе обследования и разработки ИС.

    4. Принцип безопасности - обеспечение безопасности всех информационных процессов.

    5. Принцип эффективности. – достижение рационального соотношения между затратами на создание ИС и результатами , получаемыми в процессе ее эксплуатации.

    6. Принцип структурного проектирования состоит в том, счто проектируемая система разбивается на относительно самостоятельные части. При этом разработка системы выполняется частями по функциональным подсистемам. По каждой функциональной подсистеме выделяются относительно самостоятельные комплексы задач , разработка которых может поручаться отдельным исполнителям.

    7. Принцип непрерывного развития системы вызвана непрерывной и высокой динамичностью процессов управления.

    Проектирование информационных систем характеризуется высокой стоимостью, привлечением специалистов различных профилей.

    Принципы создания ИС бухгалтерской ориентации имеют свою специфику, которая предполагает выполнение следующих требований:


     

    · Ориентация на методику Министерства финансов РФ, стандартные методы учета и типовые формы бухгалтерского учета;

    · Модульное построение , ориентированное на участки учета;

    · Ориентация на класс предприятий и организаций (средние, малые, крупные)

    В соответствии с принципом непосредственного участия работников предприятия в процессе обследования и разработки ИС. Особую роль играет конечный пользователь, так как он принимает участие в обследовании предприятия и внедрение всех информационных технологий (способов и методов обработки информации). Его участие зависит от выбранного пути внедрения ИС:

    · Проектирование и внедрение ИС собственными силами или силами проектной организации;

    · Приобретение и внедрение готовой системы собственными силами или силами разработчика.

    Первый путь целесообразен в том случае, если специфика объекта управления не позволяет воспользоваться готовыми программными системами. Создание ИС собственными силами, как правило, происходит с привлечением консалтинговых фирм для изучения и описания существующих на предприятии бизнес-процессов.

    При создании ИС на этапе обследования предприятия, технико-экономического обоснования, разработки технического задания, технического и рабочего проектов и внедрения, роль пользователя особенно велика.

    На этапе составления технического задания он формулирует свои требования к будущему программному продукту, к формам входной информации и формам получения результатов. На стадии разработки технического проекта пользователь консультирует поставщиков задач в процессе составления алгоритмов их решения.

    Именно конечный пользователь создаваемой ИС (нормировщик, финансист, маркетолог, заведующий складом, начальник цеха и т.д.) может квалифицированно дать описание задачи или бизнес-процесса для своего рабочего места, поэтому на этапе обследования без активного участия конечного пользователя не обойтись.

    25. Основные нормативные правовые акты в области информационной безопасности и защиты информации.

    Информационное законодательство представляет собой совокупность законов, иных нормативно-правовых актов, с помощью и посредствам которых государство устанавливает, изменяет либо прекращает действие соответствующих информационно-правовых норм. Информационное законодательство выступает главенствующей формой закрепления норм информационного права и важнейшим правообразующим фактором. Появление информационного законодательства в системе нормативно-правовых актов РФ свидетельствует о повышении роли государства в регулировании информационных отношений и придании им качества общественно значимых отношений.

    Систему информационного законодательства образуют различные законы и издаваемые в соответствии с ними иные нормативные правовые акты, посвященные прямому или опосредованному регулированию отношений, объектом которых является информация, производные от нее продукты и связанная с ними деятельность.

    Системы информационного законодательства включает в себя правовые акты федеральных органов и органов субъектов РФ. Среди правовых актов федеральных органов главное место занимают федеральные законы. Они обладают высшей юридической силой, регулируют наиболее важные, основополагающие отношения и содержат информационно-равовые нормы исходного характера, которые рассчитаны на постоянное либо длительное действие.

    Нормативные акты, не относящиеся к категории законов, являются подзаконными. В их число входят нормативные акты Президента РФ, Правительства РФ, ведомственные нормативные акты.

    Многие из них носят комплексный характер, но включают в себя и правила информационно-правового содержания.

    Указы Президента РФ – основные акты осуществления компетенции Президента РФ, непосредственно закрепленной в Конституции РФ и вытекающей из основополагающих принципов разделения властей. Правовые акты Правительства РФ издаются главным образом тогда, когда в законе есть на то прямые указания либо дано конкретное поручение Президента РФ.

    Ведомственные акты издаются на основе законов, указов президента и актов правительства. Они представляют собой управленческие акты органов специальной компетенции. Их юридическая сила зависит от функций издавшего их органа и специфики государственного управления информационной сферой. На уровне субъектов РФ применяются все те же формы выражения информационного права, что и на федеральном уровне (законы субъектов РФ, постановления органов исполнительной власти, акты отраслевых и территориальных органов управления).

    Наряду с актами законодательства и подзаконными нормативными актами существуют так называемые локальные нормативные акты Они, как правило, представляют собой приказы и распоряжения нормативного и индивидуального значения, принимаемые руководителями различных организаций. С помощью локальных актов регулируются самые различные информационные вопросы, например, порядок конфиденциального делопроизводства, допуска сотрудников к служебной и коммерческой тайнам, порядок организации защиты коммерческой тайны в организации и т. п.

    В систему информационного законодательства следует включить и международно-правовые акты, предметом регулирования которых являются информационные отношения.

    Несмотря на то, что информационное законодательство находится на этапе своего становления, уже сегодня можно говорить о наличии некой его упорядоченности. В основу этой упорядоченности положен принцип иерархии, выражающийся в соподчиненности актов различного уровня. Первый уровень, который можно условно назвать конституционным, отражает ведущую роль Конституции в информационно-правовом нормотворчестве. Он представлен рядом конституционных норм. Второй уровень нормативных правовых актов составляют акты информационного законодательства. Специфика данного уровня состоит в том, что федеральные законы, регулирующие отношения в информационной среде, а равно иные принятые в соответствии с ними нормативные акты подчинены Конституции и не могут ей противоречить.

    Среди законов выделяют базовый для информационной сферы федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», пришедший на смену ФЗ от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации».

    Новым законом регулируются три группы взаимосвязанных между собой отношений, складывающихся:

    при осуществлении права на поиск, получение, передачу, производство и распространение информации;

    применении информационных технологий;

    обеспечении защиты информации (ЗИ).

    К актам информационного законодательства федерального уровня относится и ФЗ от 29.11.1994 № 77-ФЗ «Об обязательном экземпляре документов». Данный нормативный акт определяет политику государства в области формирования обязательного экземпляра документов как ресурсной базы комплектования библиотечно-информационного фонда РФ и развития системы государственной библиографии, предусматривает обеспечение сохранности обязательного экземпляра документов, его общественное использование. Этим законом установлены виды обязательного экземпляра документов в категории их производителей и получателей, сроки и порядок доставки обязательного экземпляра документов, ответственность за их нарушение.

    Видное место среди законов, регулирующих отношения в информационной среде, занимает закон РФ от 27.12.1991 № 2124 – 1 «О средствах массовой информации», представляющий собой комплексный нормативный акт, регламентирующий отношения, возникающие в процессе организации и функционирования средств массовой информации (СМИ). В основных разделах закона нашли правовое опосредование вопросы организации деятельности СМИ, распространения массовой информации, отношений СМИ с гражданами и организациями, прав и обязанностей журналиста, межгосударственного сотрудничества в области массовой информации, ответственности за нарушение законодательства о СМИ.

    Особое место среди нормативных актов, регулирующих отношения по поводу информации, принадлежит закону РФ от 21.07.1993 № 5485 – 1 «О государственной тайне».

    Один из законов, регулирующих отношения в информационной сфере, – ФЗ от 07.07.2003 № 126-ФЗ «О связи». Он устанавливает правовую основу деятельности в области связи, осуществляемой под юрисдикцией РФ, определяет полномочия органов государственной власти по регулированию этой деятельности, а также права и обязанности физических лиц, осуществляющих деятельность в области связи.

    К законам, регулирующим информационные отношения, также относится и ФЗ от 06.04.2011 № 63-ФЗ «Об электронной подписи». Его цель – обеспечение правовых условий использование электронной подписи в электронных документах.

    Отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну, и других участников отношений, в том числе государства, на рынке товаров, работ и услуг, регулируются ФЗ от 29.07.2004 № 98-ФЗ «О коммерческой тайне».

    К нормативным актам данной проблематики относятся федеральные законы:

    – от 13.01.1995 № 7-ФЗ «О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации»;

    – от 12.05.2009 № 95-ФЗ «О гарантиях равенства парламентских партий при освещении их деятельности государственными общедоступными телеканалами и радиоканалами»;

    – от 27.07.2006 № 152-ФЗ «О персональных данных»;

    – от 28.12.2010 № 390-ФЗ «О безопасности»;

    – от 28.07.2012 № 139-ФЗ «О внесении изменений в федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты».

    Помимо названных выше существует множество законов, непосредственно не направленных на регулирование информационных отношений, но содержащих отдельные статьи, посвященные информации или связанные с ней. К числу следует отнести следующие федеральные законы: от 13.03.2006 № 38 -ФЗ «О рекламе»; от 29.12.1994 № 78-ФЗ «О библиотечном деле»; от 22.10.2004 № 125-ФЗ «Об архивном деле в РФ»; от 17.07.1999 № 176-ФЗ «О почтовой связи»; от 17.08.1995 № 147-ФЗ «О естественных монополиях»; от 21.02.1992 № 2395-1 «О недрах».

    Часть норм, касающихся информационных отношений, содержатся в Гражданском кодексе РФ (ГК РФ). Так, ст. 150 относит личную и семейную тайну к нематериальным благам, ст. 726 устанавливает обязанность подрядчика передать информацию заказчику, ст. 857 посвящается банковской тайне, ст. 946 – тайне страхования. Четвертая часть ГК РФ направлена на регулирование отношений в области охраны прав на результаты интеллектуальной деятельности.

    Среди подзаконных нормативных актов, регулирующих отношения в информационной сфере, можно выделить следующие:

    а) указы Президента:

    – от 11.02.2006 № 90 «О перечне сведений, отнесенных к государственной тайне»;

    – от 06.10.2004 № 1286 «Вопросы межведомственной комиссии по защите государственной тайны»;

    – от 17.05.2004 № 611 «О мерах по обеспечению безопасности РФ в сфере международного информационного обмена»;

    – от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;

    – от 15.01.2913 № 31/с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ».

    б) постановления Правительства:

    – от 12.02.2003 № 98 «Об обеспечении доступа к информации о деятельности Правительства РФ и федеральных органов исполнительной власти»;

    – от 27.05.2002 № 348 «Об утверждении Положения о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»; – от 18.02.2005 № 87 «Об утверждении перечня наименований услуг связи, вносимых в лицензии, и перечней лицензионных условий»;

    – от 22.08.1908 № 1003 «О порядке допуска лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне»;

    – от 28.10.1995 № 1050 «Об утверждении Инструкции о порядке допуска должностных лиц и граждан РФ к государственной тайне»;

    – от 26.10.2012 № 1101 «О создании единой автоматизированной системе «Единый реестр доменных имен, указателей страниц, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», содержащие информацию, распространение которой в РФ запрещено».

    Наряду с указами Президента РФ и постановлениями Правительства источниками информационного права выступают акты центральных органов государственного управления РФ (ведомственные нормативно-правовые акты). В области информационных отношений существует значительное их количество. Тематика и направленность данных актов зависит от компетенции издавшего их органа.

    Так, приказом Федеральной службы безопасности (ФСБ) РФ от 13.11.1999 № 564 утверждено «Положение о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну», которое определяет организационную структуру системы сертификации, порядок проведения сертификации и инспекционного контроля, требования к нормативным и методическим документам по сертификации, а также виды средств защиты информации, подлежащих сертификации.

    Приказом ФСБ РФ от 09.02.2005 № 66 утверждено «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации)».

    Важный элемент системы законодательства РФ в информационной сфере – международные соглашения. В соответствии с ч. 4 ст. 15 Конституции РФ нормы международных договоров обладают приоритетом по отношению к противоречащим им правилам внутригосударственных законов. Это относится как к многосторонним, так и к двусторонним договорам.

    Особое место среди многочисленных многосторонних соглашений, содержащих информационные нормы, занимают:

    – «Всеобщая декларация прав человек» от 10.12.1948;

    – «Международный пакт о гражданских и политических правах» от 10.12.1966;

    – «Заключительный акт совещания по безопасности и сотрудничеству в Европе» от 01.08.1975.

    В этих документах нашли свое воплощение международные принципы и стандарты, провозглашающие право на свободу информации, которые, однако, налагают особые обязанности и особую ответственность, сопряженные с некоторыми ограничениями прав и свобод.

    Важнейший документ, посвященный организации и активизации деятельности международного сообщества в области формирования глобального информационного общества, – «Окинавская хартия глобального информационного общества», принятая в июле 2000 г. представителями восьми ведущих стран. Этот документ устанавливает основные принципы вхождения государств в глобальное информационное общество.

    26.Отечественные и зарубежные стандарты в области компьютерной безопасности.

    Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.

    Стандарты в области информационной безопасности выполняют следующие важнейшие функции:

    - выработка понятийного аппарата и терминологии в области информационной безопасности

    - формирование шкалы измерений уровня информационной безопасности

    - согласованная оценка продуктов, обеспечивающих информационную безопасность

    - повышение технической и информационной совместимости продуктов, обеспечивающих ИБ

    - накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем

    - функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.

    Благодаря стандартам информационной безопасности:

    Преимущества использования стандартов ИБ разными группами ИТ-сообщества

    Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются:

    - повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;

    - обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг);

    - содействие соблюдению требований технических регламентов;

    - создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.

    Основными областями стандартизации информационной безопасности являются:

    • аудит информационной безопасности

    • модели информационной безопасности

    • методы и механизмы обеспечения информационной безопасности

    • криптография

    • безопасность межсетевых взаимодействий

    • управление информационной безопасностью.

    Стандарты информационной безопасности имеют несколько классификаций:

    Различные классификации стандартов информационной безопасности

    Существуют российские стандарты информационной безопасности (ГОСТ Р ИСО/МЭК 15408, ГОСТ Р 51275 и др.), причем Федеральный закон №184-ФЗ «О техническом регулировании» декларирует принцип «применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и (или) технологическим особенностям или по иным основаниям, либо Российская Федерация в соответствии с установленными процедурами выступала против принятия международного стандарта или отдельного его положения».

    Необходимость следования некоторым стандартам информационной безопасности закреплена законодательно. Однако и добровольное выполнение стандартов очень полезно и эффективно, поскольку в них описаны наиболее качественные и опробованные методики и решения. 

    ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»




    ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»




    Р 50.1.056-2005 «Техническая защита информации. Основные термины и определения»




    ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»




    ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»




    ГОСТ Р ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности»




    ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»




    ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»




    ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»




    ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»




    ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер»




    ГОСТ Р ИСО/МЭК ТО 13335-5-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети»




    ГОСТ Р ИСО/ТО 13569-2007 «Финансовые услуги. Рекомендации по информационной безопасности»




    ГОСТ Р ИСО/МЭК 15026-2002 «Информационная технология. Уровни целостности систем и программных средств»




    ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»




    ГОСТ Р ИСО/МЭК 18045-2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий»




    ГОСТ Р ИСО/МЭК 19794-2-2005 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 2. Данные изображения отпечатка пальца - контрольные точки»




    ГОСТ Р ИСО/МЭК 19794-4-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 4. Данные изображения отпечатка пальца»




    ГОСТ Р ИСО/МЭК 19794-5-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица»




    ГОСТ Р ИСО/МЭК 19794-6-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза»




    ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования»




    ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство»




    ГОСТ Р 51725.6-2002 «Каталогизация продукции для федеральных государственных нужд. Сети телекоммуникационные и базы данных. Требования информационной безопасности»




    ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты»




    ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные положения»




    ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества»




    ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»




    ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»




    ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хеширования»




    27.Принципы и методы организационной защиты информации.

    К методам и средствам организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.

    Основные свойства методов и средств организационной защиты:

    ● обеспечение полного или частичного перекрытия значительной части каналов утечки информации (например, хищения или копирования носителей информации);

    ● объединение всех используемых в КС средств в целостный механизм защиты информации.

    Методы и средства организационной защиты информации включают в себя:

    ● ограничение физического доступа к объектам КС и реализация режимных мер;

    ● ограничение возможности перехвата ПЭМИН;

    ● разграничение доступа к информационным ресурсам и процессам КС (установка правил разграничения доступа, шифрование информации при ее хранении и передаче, обнаружение и уничтожение аппаратных и программных закладок);

    ● резервное копирование наиболее важных с точки зрения утраты массивов документов;

    ● профилактику заражения компьютерными вирусами

    Перечислим основные виды мероприятий, которые должны проводиться на различных этапах жизненного цикла КС:

    1)на этапе создания КС: при разработке ее общего проекта и проектов отдельных структурных элементов — анализ возможных угроз и методов их нейтрализации; при строительстве и переоборудовании помещений — приобретение сертифицированного оборудования, выбор лицензированных организаций; при разработке математического, программного, информационного и лингвистического обеспечения — использование сертифицированных программных и инструментальных средств; при монтаже и наладке оборудования — контроль за работой технического персонала; при испытаниях и приемке в эксплуатацию — включение в состав аттестационных комиссий сертифицированных специалистов;

    2)в процессе эксплуатации КС — организация пропускного режима, определение технологии автоматизированной обработки документов, организация работы обслуживающего персонала, распределение реквизитов разграничения доступа пользователей к элементам КС (паролей, ключей, карт и т.п.), организация ведения протоколов работы КС, контроль выполнения требований служебных инструкций и т.п.;


     

    3)мероприятия общего характера — подбор и подготовка кадров, организация плановых и предупреждающих проверок средств защиты информации, планирование мероприятий по защите информации, обучение персонала, участие в семинарах, конференциях и выставках по проблемам безопасности информации и т. п.

    Инженерно-технические (физические) методы и средства защиты информации

    Под инженерно-техническими (физическими) средствами защиты информации понимают физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий, средства пожаротушения и другие средства, обеспечивающие:

    ● защиту территории и помещений КС от проникновения нарушителей;

    ● защиту аппаратных средств КС и носителей информации от хищения;

    ● предотвращение возможности удаленного (из-за пределов охраняемой территории) видеонаблюдения (подслушивания) за работой персонала и функционированием технических средств КС;

    ● предотвращение возможности перехвата ПЭМИН, вызванных работающими техническими средствами КС и линиями передачи данных;

    ● организацию доступа в помещения КС сотрудников;

    ● контроль над режимом работы персонала КС;

    ● контроль над перемещением сотрудников КС в различных производственных зонах;

    ● противопожарную защиту помещений КС;

    ● минимизацию материального ущерба от потерь информации, возникших в результате стихийных бедствий и техногенных аварий.

    Важнейшей составной частью инженерно-технических средств защиты информации являются технические средства охраны, которые образуют первый рубеж защиты КС и являются необходимым, но недостаточным условием сохранения конфиденциальности и целостности информации в КС.

    Рассмотрим немного подробнее методы и средства защиты информации от утечки по каналам ПЭМИН. Основной задачей является уменьшение соотношения сигнал/шум в этих каналах до предела, при котором восстановление информации становится принципиально невозможным. Возможными методами решения этой задачи могут быть:

    1) снижение уровня излучений сигналов в аппаратных средствах КС;

    2) увеличение мощности помех в соответствующих этим сигналам частотных диапазонах.

    Для применения первого метода необходим выбор системно-технических и конструкторских решений при создании технических средств КС в защищенном исполнении, а также рациональный выбор места размещения этих средств относительно мест возможного перехвата ПЭМИН (для соблюдения условия максимального затухания информационного сигнала). Требования к средствам вычислительной техники в защищенном исполнении определяются в специальных ГОСТах.

    Реализация второго метода возможна путем применения активных средств защиты в виде генераторов сигналоподобных помех или шума.

    Отметим перспективные методы и средства защиты информации в КС от утечки по каналам ПЭМИН:

    ● выбор элементной базы технических средств КС с возможно более малым уровнем информационных сигналов;

    ● замена в информационных каналах КС электрических цепей волоконно-оптическими линиями;

    ● локальное экранирование узлов технических средств, являющихся первичными источниками информационных сигналов;

    ● включение в состав информационных каналов КС устройств предварительного шифрования обрабатываемой информации.

    Отметим, что при использовании технических средств КС для обработки информации ограниченного доступа необходимо проведение специальных проверок, целью которых является обнаружение и устранение внедренных специальных электронных устройств подслушивания, перехвата информации или вывода технических средств из строя (аппаратных закладок). При проведении таких проверок может потребоваться практически полная их разборка, что иногда может привести к возникновению неисправностей в работе технических средств и дополнительным затратам на их устранение.

    Рассмотрим средства обнаружения электронных подслушивающих (радиозакладных) устройств, простейшими из которых являются нелинейные локаторы. Они с помощью специального передатчика в сверхвысокочастотном диапазоне радиоволн облучают окружающее пространство и регистрируют вторичный, переизлученный сигнал, поступающий от различных полупроводниковых элементов, находящихся как во включенном, так и в выключенном состоянии. Нелинейные локаторы могут не выявить радиозакладное устройство, если оно вмонтировано в электронное устройство (системный блок компьютера, телевизор, телефонный аппарат и т.п.), так как сигнал отклика от подслушивающего устройства будет замаскирован откликом от электронной аппаратуры. В этом случае потребуется применение более сложных устройств контроля постороннего радиоизлучения — индикаторов электромагнитного излучения, сканирующих приемников, компьютерных анализаторов.

    28.Методы и средства обнаружения уязвимостей в корпоративных компьютерных сетях.
    1   ...   4   5   6   7   8   9   10   11   12


    написать администратору сайта