Московский финансово-промышленный университет «Синергия». Литература по теме Тема Нормативноправовые аспекты информационной безопасности и защиты информации Вопрос Основы нормативноправовой защиты информации
 Скачать 1.44 Mb.
|
|
Кафедра Информационных систем Денисов Д.В. © Денисов Д.В. © Московский финансово-промышленный университет «Синергия» Интернет-курс по дисциплине «Информационная безопасность» (Информационная безопасность и защита информации) Содержание Тема 1. Общие проблемы безопасности. Основные положения теории информационной безопасности Вопрос 1. Основные понятия информационной безопасности (ИБ). Вопрос 2. Понятие тайны как объекта защиты ИБ. Вопрос 3. Организация защиты информации (ЗИ). Вопрос 4. Политика информационной безопасности. Вопросы для самопроверки: Литература по теме: Тема 2. Нормативно-правовые аспекты информационной безопасности и защиты информации Вопрос 1. Основы нормативно-правовой защиты информации. Вопрос 2. Основные нормативные документы РФ по ЗИ. Вопрос 3. Защита государственной тайны. Вопрос 4. Защита коммерческой тайны (КТ). Вопрос 5. Доктрина ИБ РФ. Вопросы для самопроверки: Литература по теме: Тема 3. Административно-организационные аспекты информационной безопасности и защиты информации Вопрос 1. Организационная защита информации. Вопрос 2. Работа с конфиденциальной информацией. Вопрос 3. Функции службы безопасности. Вопрос 4. Классификация способов защиты информации. Вопрос 5. Основные действия по защите информации. Вопросы для самопроверки: Литература по теме: Тема 4. Защита информации в информационных системах. Программно-аппаратные и инженерно-технические меры информа защиты информации Вопрос 1. Основные принципы организации процесса защиты информации. Вопрос 2. Угрозы информационной безопасности. Вопрос 3. Средства защиты информации. Вопрос 4. Защита информации от утечки по техническим каналам. Вопрос 5. Формирование оценки эффективности системы информационной безопасности (ИБ). Вопросы для самопроверки: Литература по теме: Тема 1. Общие проблемы безопасности. Основные положения теории информационной б Цели и задачи изучения темы: 1. Понять основное назначение системы информационной безопасности как организованной совокупн органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних у 2. Понять, какие определены виды информации, защищаемой в соответствии с законодательством РФ 3. Сформировать представление о концептуальной модели безопасности информации. 4. Научиться классификацировать информацию по степени ее доступности, оценивать угрозы информ 5. Приобрести навыки описанияи ранжирования информационных активов предприятия. 6. Приобрести навык разработки политики информационной безопасности организации. Вопросытемы: 1. Основные понятия информационной безопасности (ИБ). 2. Понятие тайны как объекта защиты ИБ. 3. Организация защиты информации (ЗИ). 4. Политика информационной безопасности. Вопрос 1. Основные понятия информационной безопасности (ИБ). Информационная безопасность – это состояние защищенности информационной среды обще формирование, использование и развитие в интересах граждан, организаций, государств. Основные направления обеспечения безопасности информации представлены на рисунке 1. Рис. 1.Основные направления обеспечения безопасности информации Безопасность информации – состояние защищенности информации, характеризуемое способностью средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от полномочий на ознакомление с ней) целостность и доступность информации при её обработке т (Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К при Президенте РФ). Структура обеспечения безопасности информации представлена на рисунке 2. Рис. 2. Структура обеспечения безопасности информации Вопрос 2. Понятие тайны как объекта защиты ИБ. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях классифицирует информацию в зависимости от категории доступа к ней и от порядка ее предоставлени соответствии со ст. 5 указанного закона по категориям доступа информация подразделяется на общед информацию ограниченного доступа, т.е. такую информацию, доступ к которой ограничен федеральны предоставления или распространения информация подразделяется: • на свободно распространяемую; • предоставляемую по соглашению лиц, участвующих всоответствующих отношениях; • подлежащую предоставлению или распространению всоответствии с федеральными законами имущественном положении кандидатов в депутаты); • ограничиваемую или запрещаемую к распространению в Российской Федерации (например, разж расовую или религиозную ненависть и вражду). Право разрешать или ограничивать доступ к информации и определять условия такого доступа информации. Обладатель информации обязан принимать меры по защите информации и ограничивать до такая обязанность установлена федеральными законами (статья 6 Федерального закона «Об инфор технологиях и о защите информации»). Ограничение доступа к информации возможно только конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспеч безопасности государства и устанавливается федеральными законами. Статья 2 Федерального закона «Об информации, информационных технологиях и о защите ин обязательность соблюдения конфиденциальности информации ограниченного доступа, т.е. «обязательно получившим доступ к определенной информации, требование не передавать такую информацию третьи обладателя». Информация ограниченного доступа подразделяется на сведения, представляющие собой: • государственную тайну; • коммерческую тайну; • служебную тайну; • профессиональную тайну — сведения, полученные гражданами (физическими лицами) при исполн профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельн • персональные данные граждан (физических лиц). Помимо прямо указанных в законе существуют и иные виды информации ограниченного доступа. В Указе Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфи предпринята попытка упорядочить состав конфиденциальной информации. Указом утвержден перечень све характера, в котором перечислены шесть видов информации: 1) сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентиф личность(персональные данные), за исключением сведений, подлежащих распространению в средствах мас установленных федеральными законами случаях; 2) сведения, составляющие тайну следствия и судопроизводства; 3) служебные сведения, доступ к которым ограничен органами государственной власти в соот кодексом Российской Федерации и федеральными законами (служебная тайна); 4) сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соот Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее); 5) сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии Российской Федерации и федеральными законами (коммерческая тайна); 6) сведения о сущности изобретения полезной модели или промышленного образца до официальной них. Наличие в п. 4 перечня, касающегося профессиональной тайны, слов «и так далее» предполагает его пр Федеральный закон «Об информации, информационных технологиях и о защите информации» в ча перечень сведений, доступ к которым не может быть ограничен: 1) нормативные правовые акты, затрагивающие права, свободы и обязанности человека устанавливающие правовое положение организаций и полномочия государственных органов, органов местн 2) информацию о состоянии окружающей среды; 3) информацию о деятельности государственных органов и органов местного самоуправления, а бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну); 4) информацию, накапливаемую в открытых фондах библиотек, музеев и архивов, а также в государс и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических информацией; 5) иную информацию, недопустимость ограничения доступа к которой установлена федеральными за Таким образом, анализ законодательства показывает, что: 1) информацией является совокупность предназначенных для передачи формализованных знан предметах, фактах, событиях, явлениях и процессах независимо от формы их представления; 2) правовой защите подлежит не только документированная информация; 3) информация может быть конфиденциальной, ознакомление с которой ограничивается ее собственн законодательством, и массовой, предназначенной для неограниченного круга лиц. Под угрозами конфиденциальности информации принято понимать потенциальные или реально отношению к информационным активам, приводящие к неправомерному овладению охраняемым формирование системы защиты информации (СЗИ) целесообразно начать с формализации информационны выявления тех из них, которые в первую очередь могут стать объектом неправомерных действий, например Такими действиями являются: • ознакомление с конфиденциальной информацией различными путями и способами без нарушения е • модификация информации в криминальных целях как частичное или значительное изменение соста сведений; • разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материальн В конечном итоге противоправные действия с информацией приводят к нарушению ее конфи достоверности и доступности, что в свою очередь приводит к нарушению, как режима управления, так ложной или неполной информации. Вопрос 3. Организация защиты информации (ЗИ). Понимая информационную безопасность как «состояние защищенности информационной среды общ формирование, использование и развитие в интересах граждан, организаций», правомерно определи информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, наруш При этом, естественно, следует рассматривать и меры защиты информации от неправомерных нанесению ущерба. Практика показала, что для анализа такого значительного набора источников, объектов и действий це методы моделирования, при которых формируется как бы «заместитель» реальных ситуаций. При это модель не копирует оригинал, она проще. Модель должна быть достаточно общей, чтобы описывать реаль сложности. Можно предложить компоненты модели информационной безопасности на первом уровне декомпози такими компонентами концептуальной модели безопасности информации могут быть следующие: а) объекты угроз; б) угрозы; в) источники угроз; г) цели угроз со стороны злоумышленников; д) источники информации; е) способы неправомерного овладения конфиденциальной информацией (способы доступа); ж) направления защиты информации; з) способы защиты информации; в средства защиты информации. Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деят (персонала, материальных и финансовых ценностей, информационных ресурсов). Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и д Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управл Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведен корыстных целях и уничтожение для нанесения прямого материального ущерба. Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения исто утечки информации через технические средства и за счет несанкционированного доступа к охраняемым све Источниками конфиденциальной информации являются люди, документы, публикации, техническ технические средства обеспечения производственной и трудовой деятельности, продукция и отходы произв Основными направлениями защиты информации являются правовая, организационная и инжен информации как выразители комплексного подхода к обеспечению информационной безопасности. Средствами защиты информации являются физические средства, аппаратные средства, п криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и с аппаратными средствами. В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обес противоправных действий, их предотвращение, пресечение и противодействие несанкционированному дост В обобщенном виде рассмотренные компоненты в виде концептуальной модели безопасности и следующей схеме (рис. 3). Рис. 3. Концептуальная модель безопасности информации Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в инфо противоположными интересами можно рассматривать с позиции активности в действиях, пр конфиденциальными сведениями. В этом случае возможны такие ситуации: а) владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что злоумышленнику легко получить интересующие его сведений; б) источник информационного ресурса соблюдает меры информационной безопасности, тогда злоумы прилагать значительные усилия к осуществлению доступ к охраняемым сведениям, используя для этого всю несанкционированного проникновения: легальное или нелегальное, за ходовое или беззаходовое; в) промежуточная ситуация — это утечка информации по техническим каналам, при которой источни (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в св В общем, факт получения охраняемых сведений злоумышленниками или конкурентами на одновременно с этим в значительной части законодательных актов, законе, кодексов, официальных матер понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации. 1. Разглашение — это умышленные или неосторожные действия с конфиденциальными сведениями, п ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и действий с деловой и научной информацией. Как правило, причиной разглашения конфиденциальн недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопони тщательного соблюдения (рисунок 4). Тут важно отметить, что субъектом в этом процессе выступает источн секретов. Рис. 4. Разглашение секретных сведений 2. Утечка — это бесконтрольный выход конфиденциальной информации за пределы организации или была доверена. Под каналом утечки информации принято понимать физический путь от источника конфиден злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для о информации необходимы определенные пространственные, энергетические и временные условия, а та злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации. 3. Несанкционированный доступ — это противоправное преднамеренное овладение конфиденциально имеющим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется раз инициативного сотрудничества, выражающегося в активном стремлении «продать» секреты, до использо проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится ч или создавать вблизи него специаль ные посты контроля и наблюдения — стационарных или в подвижном самыми современными техническими средствами. Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое защиту информации как от разглашения, так и от утечки по техническим каналам и от несанкциониро стороны конкурентов и злоумышленников. Такой подход к классификации действий, способствующих неправомерному овладению конфиде показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для о информационной безопасности. Вопрос 4. Политика информационной безопасности. Политика безопасности определяет стратегию управления в области информационной безопасности, и количество ресурсов, которые считает целесообразным выделить руководство. Политика безопасности строится на основе анализа рисков, которые признаются реальными для и организации. Политика безопасности организации должна иметь структуру краткого, легко понимаемого док политики, поддерживаемого рядом более конкретных документов специализированных политик и процедур Политика безопасности обычно оформляется в виде документа, включающего такие разделы, как оп применения, позиция организации, распределение ролей и обязанностей, санкции и др. С практической точки зрения политики безопасности можно разделить на три уровня: верхний, средни Верхний уровень политики безопасности определяет решения, затрагивающие организацию в це весьма общий характер и исходят, как правило, от руководства организации. Такие решения могут включать в себя следующие элементы: • формулировка целей, которые преследует организация в области информационной безопасности, оп направлений в достижении этих целей; • формирование или пересмотр комплексной программы обеспечения информационной безопасности ответственных лиц за продвижение программы; • обеспечение материальной базы для соблюдения законов и правил; • формулировка управленческих решений по вопросам реализации программы безопасности, которы рассматриваться на уровне организации в целом. Политика безопасности верхнего уровня формулирует цели организации в области информационной целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критическ первом плане должна стоять целостность данных. Для организации, занимающейся продажами, важна ак предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных организация в первую очередь будет заботиться о конфиденциальности информации, то есть о ее защите доступа. На верхний уровень выносится управление ресурсами безопасности и координация использования специального персонала для защиты критически важных систем, поддержание контактов с обеспечивающими или контролирующими режим безопасности. Политика верхнего уровня должна четко определять сферу своего влияния. В политике должны быть должностных лиц по выработке программы безопасности и по проведению ее в жизнь, то есть политик подотчетности персонала. Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской организация должна соблюдать существующие законы. Во-вторых, следует контролировать действи выработку программы безопасности. В-третьих, необходимо обеспечить исполнительскую дисциплин системы поощрений и наказаний. Средний уровень политики безопасности определяет решение вопросов, касающихся отдельных а безопасности, но важных для различных систем, эксплуатируемых организацией. Примеры таких вопросов - отношение к доступу в Интернет (проблема сочетания свободы получения внешних угроз), использование домашних компьютеров и т.д. Политика безопасности среднего уровня должна определять для каждого аспекта информационной моменты: • описание аспекта - позиция организации может быть сформулирована в достаточно общем виде как преследует организация в данном аспекте; • область применения - следует специфицировать, где, когда, как, по отношению к кому и чему приме безопасности; • роли и обязанности - документ должен содержать информацию о должностных лицах, отвечающих безопасности в жизнь; • санкции - политика должна содержать общее описание запрещенных действий и наказаний за них; • точки контакта - должно быть известно, куда следует обращаться за разъяснениями, помощью и доп информацией. Обычно «точкой контакта» служит должностное лицо. Нижний уровень политики безопасности относится к конкретным сервисам. Эта политика включает правила их достижения, - поэтому ее порой трудно отделить от вопросов реализации. В отличие о рассматриваемая политика должна быть более детальной. Приведем несколько примеров вопросов, на которые следует дать ответ при следовании политике безо уровня: • кто имеет право доступа к объектам, поддерживаемым сервисом; • при каких условиях можно читать и модифицировать данные; • как организован удаленный доступ к сервису. Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делат чем более четко и формально они изложены, тем проще поддержать их выполнение программно-технически Обычно политика безопасности организации включает следующие компоненты: • базовая политика безопасности; • процедуры безопасности; • специализированные политики безопасности. Основные положения политики безопасности организации описываются в следующих документах: а) обзор политики безопасности; б) описание базовой политики безопасности; в) руководство по архитектуре безопасности. Главным компонентом политики безопасности организации является базовая политика безопасности. Базовая политика безопасности устанавливает, как организация обрабатывает информацию, кто може как это можно сделать. В описании базовой политики безопасности определяются разрешенные и запрещ указываются необходимые средства управления в рамках реализуемой архитектуры безопасности. С базово согласовываются специализированные политики и процедуры безопасности. Обзор политики безопасности раскрывает цель политики безопасности, описывает структуру подробно излагает, кто и за что отвечает, устанавливает процедуры и предполагаемые временные рамки д зависимости от масштаба организации политика безопасности может содержать больше или меньше раздел Руководство по архитектуре безопасности описывает реализацию механизмов безопасности в к используемых в сети организации. С учетом особенностей применения специализированные политики безопасности можно разделить на а) политики, затрагивающие значительное число пользователей; б) политики, связанные с конкретными техническими областями. К специализированным политикам, затрагивающим значительное число пользователей, относятся: а) политика допустимого использования; б) политика удаленного доступа к ресурсам сети; в) политика защиты информации; г) политика защиты паролей и др. К специализированным политикам, связанным с конкретными техническими областями, относятся: а) политика конфигурации межсетевых экранов; б) политика по шифрованию и управлению криптоключами; в) политика безопасности виртуальных защищенных сетей VPN; г) политика по оборудованию беспроводной сети и др. Вопросы для самопроверки: 1. Какой нормативный документ классифицирует информацию в зависимости от категории доступа к предоставления или распространения? 2. Как классифицируется информация по порядку ее предоставления или распространения? 3. Кому принадлежит право разрешать или ограничивать доступ к информации и определять условия 4. Как классифицируется информация ограниченного доступа? 5. Какие категории информации входят в перечень сведений конфиденциального характера? 6. Что понимается под угрозой конфиденциальности информации? 7. Какие компоненты входят в концептуальную модель безопасности информации? 8. В чем состоит различие между разглашением, утечкой и несанкционированным доступом к информ Литература по теме: Основная литература: 1. Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: учебн Директ-Медиа, 2015. – 253 с. http://biblioclub.ru Дополнительная литература: 1. Аверченков В.И. Аудит информационной безопасности: учебное пособие. – 3-е изд., стер. – М.: Фли http://biblioclub.ru 2. Аверченков В.И. Служба защиты информации: организация и управление: учебное пособие / В.И. А – 3-е изд., стер. – М.: Флинта, 2016. –186 с. http://biblioclub.ru 3. Кияев В. Безопасность информационных систем: курс / В. Кияев, О. Граничин. – М.: Национальный «ИНТУИТ», 2016. – 192 с. http://biblioclub.ru 4. Системы защиты информации в ведущих зарубежных странах: учебное пособие / В.И. Аверченков, Кондрашин, М.В. Рудановский. – 4-е изд., стер. – М.: Флинта, 2016. http://biblioclub.ru Нормативно-правовые акты: 1. Указ Президента РФ от 06.03.1997 N 188 « Об утверждении Перечня сведений конфиденциального 23.09.2005). 2. Федеральный закон от 27.07.2006 N 149-ФЗ « Об информации, информационных технологиях и редакции от 13.07.2015 с изм. и доп., вступ. в силу с 10.01.2016). |