Главная страница
Навигация по странице:

  • Методы и средства информационной безопасности экономического объекта

  • Контрольные вопросы к теме

  • Список рекомендуемой литературы

  • икт. Лекция Инф без. Лекция 1


    Скачать 95.55 Kb.
    НазваниеЛекция 1
    Дата26.11.2020
    Размер95.55 Kb.
    Формат файлаdocx
    Имя файлаЛекция Инф без.docx
    ТипЛекция
    #154244
    страница3 из 5
    1   2   3   4   5

    2. Методы и средства обеспечения информационной безопасности Под обеспечением безопасности информационных систем понимают меры, предохраняющие информационную систему от случайного или преднамеренного вмешательства в режимы ее функционирования. Существует два принципиальных подхода к обеспечению компьютерной безопасности .

    • Фрагментарный. Данный подход ориентируется на противодействие строго определенным угрозам при определенных условиях (например, специализированные антивирусные средства, отдельные средства регистрации и управления, автономные средства шифрования и т.д.).

    Достоинством фрагментарного подхода является его высокая избирательность относительно конкретной угрозы. Недостатком - локальность действия, т.е. фрагментарные меры защиты обеспечивают эффективную защиту конкретных объектов от конкретной угрозы. Но не более того.

    • Комплексный. Данный подход получил широкое распространение вследствие недостатков, присущих фрагментарному. Он объединяет разнородные меры противодействия угрозам (рис.1) и традиционно рассматривается в виде трех дополняющих друг друга направлений. Организация защищенной среды обработки информации позволяет в рамках существующей политики безопасности обеспечить соответствующий уровень безопасности АИС. Недостатком данного подхода является высокая чувствительность к ошибкам установки и настройки средств защиты, сложность управления.

    Особенностью системного подхода к защите информации является создание защищенной среды обработки, хранения и передачи информации, объединяющей разнородные методы и средства противодействия угрозам: программно-технические, правовые, организационно-экономические. Организация подобной защищенной среды позволяет гарантировать определенный уровень безопасности автоматизированной информационной системы. Системный подход к защите информации базируется на следующих методологических принципах:

    • конечной цели - абсолютного приоритета конечной (глобальной) цели;

    • единства - совместного рассмотрения системы как целого' и как совокупности частей (элементов);

    • связности - рассмотрения любой части системы совместно с ее связями с окружением;

    • модульного построения - выделения модулей в системе и рассмотрения ее как совокупности модулей;

    • иерархии - введения иерархии частей (элементов) и их ранжирования;

    • функциональности - совместного рассмотрения структуры и функции с приоритетом функции над структурой;

    • развития - учета изменяемости системы, ее способности к развитию, расширению, замене частей, накапливанию информации;

    • децентрализации - сочетания в принимаемых решениях и управлении централизации и децентрализации;

    • неопределенности - учета неопределенностей и случайностей в системе.

    Современные исследователи выделяют следующие методологические, организационные и реализационные принципы информационной (в том числе компьютерной) безопасности. Принцип законности. Состоит в следовании действующему законодательству в области обеспечения информационной безопасности. Принцип неопределенности. Возникает вследствие неясности поведения субъекта, т.е. кто, когда, где и каким образом может нарушить безопасность объекта защиты. Принцип невозможности создания идеальной системы защиты. Следует из принципа неопределенности и ограниченности ресурсов указанных средств. Принципы минимального риска и минимального ущерба. Вытекают из невозможности создания идеальной системы защиты. В соответствии с ним необходимо учитывать конкретные условия существования объекта защиты для любого момента времени. Принцип безопасного времени. Предполагает учет абсолютного времени, т.е. в течение которого необходимо сохранение объектов защиты; и относительного времени, т.е. промежутка времени от момента выявления злоумышленных действий до достижения цели злоумышленником. Принцип «защиты всех ото всех». Предполагает организацию защитных мероприятий против всех форм угроз объектам защиты, что является следствием принципа неопределенности. Принципы персональной ответственности. Предполагает персональную ответственность каждого сотрудника предприятия, учреждения и организации за соблюдение режима безопасности в рамках своих полномочий, функциональных обязанностей и действующих инструкций.

    Принцип ограничения полномочий. Предполагает ограничение полномочий субъекта на ознакомление с информацией, к которой не требуется доступа для нормального выполнения им своих функциональных обязанностей, а также введение запрета доступа к объектам и зонам, пребывание в которых не требуется по роду деятельности. Принцип взаимодействия и сотрудничества. Во внутреннем проявлении предполагает культивирование доверительных отношений между сотрудниками, отвечающими за безопасность (в том числе информационную), и персоналом. Во внешнем проявлении - налаживание сотрудничества со всеми заинтересованными организациями и лицами (например, правоохранительными органами). Принцип комплексности и индивидуальности. Подразумевает невозможность обеспечения безопасности объекта защиты каким-либо одним мероприятием, а лишь совокупностью комплексных, взаимосвязанных и дублирующих друг друга мероприятий, реализуемых с индивидуальной привязкой к конкретным условиям. Принцип последовательных рубежей безопасности. Предполагает как можно более раннее оповещение о состоявшемся посягательстве на безопасность того или иного объекта защиты или ином неблагоприятном происшествии с целью увеличения вероятности того, что заблаговременный сигнал тревоги средств защиты обеспечит сотрудникам, ответственным за безопасность, возможность вовремя определить причину тревоги и организовать эффективные мероприятия по противодействию. Принципы равнопрочности и равномощности рубежей защиты. Равнопрочность подразумевает отсутствие незащищенных участков в рубежах защиты. Равномощность предполагает относительно одинаковую величину защищенности рубежей защиты в соответствии со степенью угроз объекту защиты.

    • Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий. Он означает оптимальное сочетание программных аппаратных средств и организационных мер защиты, подтвержденное практикой создания отечественных и зарубежных систем защиты.

    • Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки. Пользователям предоставляется минимум строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации.

    • Полнота контроля и регистрации попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ЭИС без ее предварительной регистрации.

    • Обеспечение надежности системы защиты, т.е. невозможность снижения ее уровня при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.

    • Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

    • Экономическая целесообразность использования систем защиты. Она выражается в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИС без системы защиты информации.

    Методы и средства информационной безопасности экономического объекта Методами обеспечения защиты информации на предприятии являются следующие: Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.п.). Управление доступом - метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы предприятия. Управление доступом включает следующие функции защиты:

    • идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);

    • аутентификацию (установления подлинности) объекта или субъекта по предъявленному им идентификатору;

    • проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

    • регистрацию обращений к защищаемым ресурсам;

    • реагирование (сигнализация, отключение, задержка работ, отказ в запросе при попытках несанкционированных действий).

    Маскировка - метод защиты информации в автоматизированной информационной системе предприятия путем ее криптографического закрытия. Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму. Принуждение - метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной и уголовной ответственности. Побуждение - метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм Указанные выше методы обеспечения информационной безопасности реализуются с помощью следующих основных средств: физических, аппаратных, программных, аппаратно-программных, криптографических, организационных, законодательных и морально-этических. Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных устройств и систем. Аппаратные средства защиты - это электронные, электромеханические и другие устройства, непосредственно встроенные в блоки автоматизированной информационной системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т.д. Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля. Программные средства защиты информации являются наиболее распространенным видом защиты, обладая следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития. Данное обстоятельство делает их одновременно и самыми уязвимыми элементами защиты информационной системы предприятия. Аппаратно-программные средства защиты - средства, в которых программные (микропрограммные) и аппаратные части полностью взаимосвязаны и неразделимы. Криптографические средства - средства защиты с помощью преобразования информации (шифрование). Организационные средства - организационно-технические и организационно-правовые мероприятия по регламентации поведения персонала. Законодательные средства - правовые акты страны, которые регламентируют правила использования, обработки и передачи информации ограниченного доступа и которые устанавливают меры ответственности за нарушение этих правил. Морально-этические средства - нормы, традиции в обществе, например: Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ в США. Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и «неформальные» (определяемые целенаправленной деятельностью человека либо регламентирующие эту деятельность). Для реализации мер безопасности используются различные механизмы шифрования (криптографии). Криптография – это наука об обеспечении секретности или аутентичности (подлинности) передаваемых сообщений. Сущность криптографических методов заключается в следующем. Готовое к передаче сообщение – будь то данные, речь либо графическое изображение документа, обычно называется открытым.

    Для предотвращения несанкционированного доступа к сообщению оно зашифровывается, преобразуясь в шифрограмму, или закрытый текст.

    Санкционированный пользователь, получив сообщение, дешифрует или раскрывает его посредством обратного преобразования криптограммы. Вследствие чего получается исходный открытый текст. Шифрование может быть симметричным и асимметричным. Первое основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один общедоступный ключ, а для дешифрования – другой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ. Наряду с шифрованием внедряются следующие механизмы безопасности: • электронная подпись; • контроль доступа; • дублирование каналов интернет связи; 5) По сути электронная подпись (ЭП) — это некая последовательность символов, которая получена в результате определенного преобразования исходного документа (или любой другой информации) при помощи специального программного обеспечения. ЭП добавляется при пересылке к исходному документу. Любое изменение исходного документа делает ЭП недействительной. Виды электронной подписи: простая электронная подпись и усиленная электронная подпись, которая, в свою очередь, может быть квалифицированной и неквалифицированной.

     Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

     Неквалифицированной (усиленной) электронной подписью является электронная подпись, которая:

    1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи; 2) позволяет определить лицо, подписавшее электронный документ; 3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания; 4) создается с использованием средств электронной подписи.

     Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:

    1) ключ проверки электронной подписи указан в квалифицированном сертификате; 2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом. ЭП предназначена для аутентификации лица подписавшего электронный документ и позволяет осуществить:

    - доказательное подтверждение авторства документа (могут быть подписаны поля: «автор», «внесенные изменения», «метка времени») - контроль целостности передаваемого документа (при любом случайном или преднамеренном изменении документа изменится подпись следовательно она станет недействительной). Все эти свойства электронной подписи позволяют использовать её для следующих целей: - Декларирование товаров и услуг (таможенные декларации); - Регистрация сделок по объектам недвижимости; - Использование в банковских системах; - Электронная торговля и госзаказы; - В системах обращения к органам власти; -Для организации юридически значимого электронного документооборота; - В бухгалтериях предприятий различных форм собственности. В настоящее время существуют следующие устройства хранения ключа ЭП: -карты -брелок(eToken) -Memory 6) Дублирование канала интернет и сжатие информации позволяет повысить надежность системы в случае отказа или перегрузки канала связи. Отметим типичные недостатки, присущие системе безопасности экономических объектов:

    • узкое, несистемное понимание проблемы безопасности объекта;

    • пренебрежение профилактикой угроз, работа по принципу «Появилась угроза - начинаем ее устранять»;

    • некомпетентность в экономике безопасности, неумение сопоставлять затраты и результаты;

    • «технократизм» руководства и специалистов службы безопасности, интерпретация всех задач на языке знакомой им области.

    Контрольные вопросы к теме:

    1. Назовите основные принципы политики безопасности.

    2. Что означает принцип эшелонированности обороны?

    3. Какие вопросы отражаются в Концепции информационной безопасности?

    4. Что включает политика безопасности верхнего уровня?

    5. Как организован удаленный доступ к сервису?

    6. Что включает политика управления паролями?

    7. Как оценить риски реализации угроз информации?

    8. Какие этапы выделяются в жизненном цикле информационного сервиса?

    9. На каких принципах базируется системный подход к защите информации?

    10. Как обеспечивается управление доступом?

    11. Какие программные средства используются для ИБ?

    12. В чем отличия метода принуждения от метода побуждения?

    13. Чем занимается криптография?

    14. Что такое электронная подпись и для чего она используется?

    Список рекомендуемой литературы:

    1. Алибеков С.Т., Успанов Ж.Т., Хусаинов О.Б. История таможенного дела в Республике Казахстан: учеб. Пособие / С.Т. Алибеков, Ж.Т., Успанов, О.Б. Хусаинов – Алматы: ТОО «Лантар Трейд», 2019. – 186 с.

    2. Байсалова Г.Т. Правовые основы таможенного дела в Республике Казахстан. Общая часть: учеб. Пособие / Г.Т. Байсалова. – Алматы: Казак универ., 2015. – 250 с.

    3. Киселев А.К. Актуальные проблемы обеспечения защиты информации правовыми

    средствами // Юридическая наука. 2014. №3. С. 63 –70.

    1. Погодина Н.А. Информационная безопасность в деятельности таможенных органов //

    Информационная безопасность регионов. 2011. № 2. С. 56 –58.

    1. Башлы П.Н. Основы информационной безопасности в таможенных органах

    Российской Федерации : учебник. Ростов-на-Дону: РТА, Ростовский филиал. 2014. 277 с.

    1. Погодина И.В. Обеспечение информационной безопасности таможенных органов РФ // Таможенное дело. 2011. № 2. С. 32 –35.

    2. Алибеков С.Т. Таможенное право Республики Казахстан: Учебник.-Алматы, 2015.

    3. Сапаргалиев Г.С. Конституционное право Республики Казахстан (академический курс): Учеб. – Алматы: Жетi жарғы, 2007. – 544 с.

    4. Киселев А.К. Актуальные проблемы обеспечения защиты информации правовыми

    средствами // Юридическая наука. 2014. №3. С. 63 –70.

    Лекция 4.

    1   2   3   4   5


    написать администратору сайта