Московский финансово-промышленный университет «Синергия». Литература по теме Тема Нормативноправовые аспекты информационной безопасности и защиты информации Вопрос Основы нормативноправовой защиты информации

Тема 4. Защита информации в информационных системах.
Программно-аппаратные и инженерно-технические меры информационной безопасности и защ
Цели и задачи изучения темы:
1.
Сформировать представление об основных принципах организации процесса защиты информации.
2.
Научиться определять основные требования к системе защиты информации.
3.
Научиться классифицировать угрозы информационной безопасности.
4.
Сформировать представление о комплексе инженерно-технических средств защиты информации.
5.
Понять основные возможности, достоинства и недостатки аппаратных и программных средств защи
6.
Сформировать представление об основных способах защиты информации от утечки по техническим
7.
Приобрети навык оценки эффективности системы информационной безопасности.
Вопросы темы:
1.
Основные принципы организации процесса защиты информации.
2.
Угрозы информационной безопасности.
3.
Средства защиты информации.
4.
Защита информации от утечки по техническим каналам.
5.
Формирование оценки эффективности системы информационной безопасности (ИБ).
Вопрос 1. Основные принципы организации процесса защиты информации.
Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформиров структура защиты, основу которой составляют:
•
весьма развитый арсенал технических средств защиты информации, производимых на промышленн
•
значительное число фирм, специализирующихся на решении вопросов защиты информации;
•
достаточно четко очерченная система взглядов на эту проблему;
•
наличие значительного практического опыта и другое.
Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная орга информационных ресурсов. Причем в этом должны активно участвовать профессиональные спец сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.
Опыт также показывает, что:
•
обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный проц обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развит непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;
•
безопасность информации может быть обеспечена лишь при комплексном использовании всего арс защиты во всех структурных элементах производственной системы и на всех этапах технологического цикл
Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в ед механизм — систему защиты информации (СЗИ). При этом функционирование системы должно контролиро дополняться в зависимости от изменения внешних и внутренних условий;
•
никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей п и соблюдения ими всех установленных правил, направленных на ее защиту.
С учетом накопленного опыта можно определить систему защиты информации как организованную
специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внут
угроз.
Таким образом, можно сформулировать следующие основные требования к СЗИ:
•
Непрерывность.
•
Плановость.
•
Целенаправленность.
•
Конкретность.
•
Активность.
•
Надежность.
•
Универсальность.
•
Комплексность.
Вопрос 2. Угрозы информационной безопасности.
Угроза – совокупность условий и факторов, создающих потенциальную или реально существующ конфиденциальности, доступности и (или) целостности информации. Классификация угроз представлена на

Рис. 6. Классификация угроз
Основной целью защиты информации является обеспечение заданного уровня её безопасности.
Под заданным уровнем безопасности информации понимается такое состояние защищенности и котором обеспечивается допустимый риск её уничтожения, изменения и хищения (не обеспечивае целостность и доступность.
При этом под уничтожением информации понимается не только её физическое уничтожение, но санкционированного доступа к ней.
В общем случае при блокировке информации в результате неисправности замка или утери ключа компьютера, искажения кода загрузочного сектора винчестера или дискеты и других факторах информ похищается и при определенных усилиях доступ к ней может быть восстановлен. Следовательно, блокиров угрозы ее безопасности не создаст. При этом под уничтожением информации понимается не только её физи стойкое блокирование санкционированного доступа к ней.
В общем случае при блокировке информации в результате неисправности замка или утери ключа компьютера, искажения кода загрузочного сектора винчестера или дискеты и других факторах информ похищается и при определенных усилиях доступ к ней может быть восстановлен. Следовательно, блокиров угрозы ее безопасности не создаст. Однако при невозможности доступа к ней в нужный момент её пользов так же, как если бы она были уничтожена.
Угроза может быть реализована с различной вероятностью. Вероятность реализации утраты б определяет риск ее владельца.
Допустимость риска означает, что ущерб в результате реализации угроз не приведет к серь собственника информации.
Ущерб может проявляться в разнообразных формах:
•
неполучение прибыли, ожидаемой от информации при её материализации в новой продукции или п обоснованного решения;
•
дополнительные затраты на замену образцов техники, характеристики которой стали известны конк
•
и другие.
По некоторым оценкам, например, попадание к конкуренту около 20% объёма конфиденциальной и привести к ее банкротству.
Риск владельца информации зависит от уровня инженерно-технической защиты информации, к определяется ресурсами системы.
Ресурс может быть определен в виде количества людей, привлекаемых к защите информации, в виде и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительст технических средств, их эксплуатации и других расходов.
Вопрос 3. Средства защиты информации.
Инженерно-техническая защита (ИТЗ) – совокупность специальных органов, технических средс использованию в интересах защиты конфиденциальной информации. Классификация средств ИТЗ представ

Рис. 7. Классификация средств ИТЗ
Более детальная классификация физических и аппаратных средств защиты представлены на ри программных и аппаратных средств защиты информации является предметом изучения отдельного курса аппаратных средств и их быстрое устаревание компенсируются постоянно обновляемыми программным высокую гибкость и небольшую стоимость по сравнению с аппаратными средствами.
Рис. 8. Классификация физических средств защиты информации
Рис. 9. Классификация аппаратных средств защиты информации
Аппаратные средства защиты применяются для решения следующих задач:
•
Проведение специальных исследований технических средств обеспечения производственной деятел возможных каналов утечки информации.

•
Выявление каналов утечки информации на разных объектах и в помещениях.
•
Локализация каналов утечки информации.
•
Поиск и обнаружение средств промышленного шпионажа.
•
Противодействие несанкционированному доступу к источникам конфиденциальной информации и
Программные средства защиты:
•
Средства собственной защиты. Элементы защиты, присущие самому программному обеспечению его продажу и препятствующие незаконным действиям.
•
Средства защиты в составе вычислительной системы. Средства защиты аппаратуры, дисков и ш использовании таких средств операционная среда, в отличие от штатного режима, постоянно изменяется, по программ зависит от определенных действий, специальных мер предосторожности и условий, гарантирующ
•
Средства защиты с запросом информации. Требуют для своей работы ввода дополнительной инф подтверждения полномочий пользователей.
•
Средства активной защиты. Инициируются при возникновении особых обстоятельств:
o в воде неправильного пароля;
o других попытках НСД.
•
Средства пассивной защиты направлены на предостережение, контроль, поиск улик и доказатель неотвратимого раскрытия факта НСД.
Вопрос 4. Защита информации от утечки по техническим каналам.
В основе утечки лежит неконтролируемый перенос конфиденциальной информации посредством радиационных и других полей и материальных объектов.
Причинами «неконтролируемости» являются:
•
несовершенство норм по сохранению информации;
•
нарушение этих норм (в том числе и несовершенных);
•
отступление от правил обращения с носителями конфиденциальной информации.
Основные факторы возникновения утечки конфиденциальной информации:
•
недостаточное знание работниками предприятия правил защиты информации и непонимание (или н необходимости их тщательного соблюдения;
•
использование неаттестованных технических средств обработки конфиденциальной информации;
•
слабый контроль за соблюдением правил защиты информации;
•
неэффективное использование правовых, организационных и инженерно-технических мер;
•
текучесть кадров, в том числе, владеющих сведениями конфиденциального характера.
Защита информации от утечки по техническим каналам – это комплекс организационно-тех мероприятий исключающих или ослабляющих бесконтрольный выход конфиденциальной информации за зоны.
Контролируемая зона (КЗ) – это пространство (территория, здание, часть здания) в котором искл пребывание лиц, не имеющих постоянного или разового пропуска и посторонних транспортных средств.
Границей КЗ могут являться:
•
периметр охраняемой территории предприятия;
•
ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено территории.
Известно, что информация вообще передается полем или веществом. Это либо акустичес электромагнитное излучение, либо лист бумаги с текстом. Но ни переданная энергия, ни посланное вещест значения не имеют, они служат лишь носителями информации. Человек не рассматривается, как носитель и субъектом отношений или источником.
Основываясь на этом, можно утверждать, что по физической природе возможны следующие средства
•
световые лучи;
•
звуковые волны;
•
электромагнитные волны;
•
материалы и вещества.
Используя в своих интересах те или иные физические поля, человек создает определенную систему п другу. Такие системы принято называть системами связи. Любая система связи (система передачи информац
•
источника информации;
•
передатчика;
•
канала передачи информации;
•
приемника;
•
получателя информации.

Эти системы используются в повседневной практике в соответствии со своим предназначением и средствами передачи информации, работа которых контролируется с целью обеспечения надежной д передачи информации, исключающей неправомерный доступ к ней со стороны конкурентов.
Однако существуют определенные условия, при которых возможно образование системы передачи ин в другую независимо от желания объекта и источника. При этом, естественно, такой канал в явном виде не д
По аналогии с каналом передачи информации такой канал называют каналом утечки информац источника сигнала, физической среды его распространения и приемной аппаратуры на стороне злоумышлен
Применительно к практике с учетом физической природы образования каналы утечки информа следующие группы:
•
визуально-оптические;
•
акустические (включая и акустико-преобразовательные);
•
электромагнитные (включая магнитные и электрические);
•
материально-вещественные (бумага, фото, магнитные носители, производственные отходы различн жидкие, газообразные).
Визуально-оптические каналы.
Это, как правило, непосредственное или удаленное (в том числе и телевизионное наблюдение). П
является свет, испускаемый источником конфиденциальной информации или отраженный от него в вид ультрафиолетовом диапазонах.
Средства и способы защиты информации от утечки по визуально-оптическому каналу:
•
располагать объекты защиты так, чтобы исключить отражение света в стороны возможного располо
(пространственные ограждения);
•
уменьшить отражательные свойства объекта защиты;
•
уменьшить освещенность объекта защиты (энергетические ограничения);
•
использовать средства преграждения или значительного ослабления отраженного света: ширмы, экр темные шторы и другие преграждающие среды, преграды;
•
применять средства маскирования, имитации с целью защиты и введения в заблуждение злоумышл
•
использовать средства активной, пассивной защиты источника от неконтролируемого распростране излученного света и других излучений;
•
осуществлять маскировку объектов защиты, варьируя отражательными свойствами и контрастом фо
•
применять маскирующие средства сокрытия объектов можно в виде аэрозольных завес и маскирую укрытий.
Акустические каналы.
Для человека слух является вторым по информативности органом чувств после зрения. Поэтому од каналов утечки информации является акустический канал.
В акустическом канале переносчиком информации является звук, лежащий в полосе ультра- (более инфразвукового диапазонов. Диапазон звуковых частот, слышимых человеком, лежит в пределах от 16 до 2
человеческой речи – от 100 до 6000 Гц.
Акустические каналы утечки образуются за счет распространения акустических (механических)
воздушном пространстве:
•
переговоры на открытом пространстве;
•
открытые двери, окна, форточки;
•
вентиляционные каналы.
Средства и способы защиты информации от утечки по акустическому каналу:
Организационные:
•
архитектурно-планировочные;
•
пространственные;
•
режимные.
Организационно-технические:
•
пассивные;
•
звукоизоляция;
•
звукопоглощение;
•
активные;
•
звукоподавление;
•
защищенные акустические системы;

•
создание звуковых помех (уровень шума должен превышать уровень речевого сигнала не менее чем
Электромагнитные каналы.
Переносчиком информации являются электромагнитные волны в диапазоне от сверхдлинных с длино менее 30 Гц) до субмиллиметровых с длиной волны 1-0,1 м (частоты от 300 до 3000 ГГц). Каждый из этих волн обладает специфическими возможностями распространения как по дальности, так и в пространстве (р
Длинные волны, например, распространяются на весьма большие расстояния, миллиметровые – на прямой видимости в пределах единиц и десятков километров.
Кроме того, различные телефонные и иные провода и кабели связи создают вокруг себя магнитн которые также выступают элементами утечки информации за счет наводок на другие провода и непосредственной зоне их расположения.
Известны следующие электромагнитные каналы утечки информации:
•
микрофонный эффект элементов электронных схем;
•
электромагнитное излучение низкой и высокой частоты (в том числе и побочные электромагнитные
ПЭМИН);
•
возникновение паразитной генерации усилителей различного назначения;
•
цепи питания и заземления электронных схем;
•
взаимное влияние проводов и линий связи;
•
высокочастотное навязывание;
•
волоконно-оптические системы.
Наиболее эффективным средством предотвращения утечки информации по электромагнитны шифрование. В этом случае даже если злоумышленник сможет перехватить передаваемую информацию время для ее расшифровки.
Вопрос 5. Формирование оценки эффективности системы информационной безопасности (ИБ).
Наиболее общей формой представления ресурса является денежная мера. Поэтому оценка эфф осуществляется в денежном выражении, а также в относительных величинах. Основными показателями явл случае реализации угроз по отношению к информационным активам, объем средств (материальных ресурсо информации и срок окупаемости мер по усовершенствованию системы ИБ.
Расчет величины потерь в случае реализации угроз по отношению к информационным активам удо данные в виде таблицы 3.
Величины потерь (рисков) для критичных информационных ресурсов до/после внедрения/модерни
информации
Актив
Угроза
Величина потерь
(тыс. руб.)
Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер. Разов закупку, установку и наладку дорогостоящей техники, постоянный — на заработную плату сотрудникам поддержание определенного уровня безопасности, прежде всего, путем эксплуатации технических средств и защиты. Для соответствующих расчетов удобно использовать данные, представленные в виде таблиц 4 и 5.
Содержание и объем разового ресурса, выделяемого на защиту информации
Организационные мероприятия
№
п\п
Выполняемые действия
Среднечасовая
зарплата
специалиста (руб.)
Трудоемкость
операции (чел.
час)
Стоимость,
всего (тыс.
руб.)
Стоимость проведения организационных мероприятий, всего
Мероприятия инженерно-технической защиты
№ п/
п
Номенклатура ПиАСИБ,
расходных материалов
Стоимость,
единицы (тыс. руб)
Кол-во (ед.
измерения)
Стоимость,
всего (тыс.
руб.)
Стоимость проведения мероприятий инженерно-технической защиты

Объем разового ресурса, выделяемого на защиту информации
Содержание и объем постоянного ресурса, выделяемого на защиту информаци
Организационные мероприятия
№
п\п
Выполняемые действия
Среднечасовая
зарплата
специалиста (руб.)
Трудоемкость
операции (чел.
час)
Стоимость,
всего (тыс.
руб.)
Стоимость проведения организационных мероприятий, всего
Мероприятия инженерно-технической защиты
№ п/
п
Номенклатура ПиАСИБ,
расходных материалов
Стоимость,
единицы (тыс. руб)
Кол-во
(ед.измерения)
Стоимость,
всего (тыс.
руб.)
Стоимость проведения мероприятий инженерно-технической защиты
Объем постоянного ресурса, выделяемого на защиту информации
Пусть
R
∑
- суммарное значение ресурса, выделенного на защиту информации за год;
R
ср
– реальные среднегодовые потери из-за инцидентов информационной безопасности;
R
прогн
– прогнозируемые потери после модернизации системы ИБ.
Тогда срок окупаемости затрат на обеспечение ИБ составит:
Т
ок
=R
∑
/(R
ср
–R
прогн
)
Вопросы для самопроверки:
1.
Что необходимо для достижения наибольшего эффекта от использования различных средств защит
2.
Что требуется от пользователей для обеспечения требуемого уровня безопасности информации?
3.
В чем заключаются основные требования к системе защиты информации?
4.
Как классифицируются угрозы информационной безопасности?
5.
Что относится к физическим средствам защиты информации?
6.
Что относится к аппаратным средствам защиты информации?
7.
Что относится к программным средствам защиты информации?
8.
Как обеспечивается защита информации от утечки по визуально-оптическому каналу?
9.
Как обеспечивается защита информации от утечки по акустическому каналу?
10.
Как обеспечивается защита информации от утечки по электромагнитному каналу?
11.
Как рассчитывается ущерб от реализации угрозы информационной безопасности?
Литература по теме:
Основная литература:
1.
Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: учебн
Директ-Медиа, 2015. – 253 с. http://biblioclub.ru
Дополнительная литература:
1.
Аверченков В.И. Аудит информационной безопасности: учебное пособие. – 3-е изд., стер. – М.: Фли http://biblioclub.ru
2.
Аверченков В.И. Служба защиты информации: организация и управление: учебное пособие / В.И. А
– 3-е изд., стер. – М.: Флинта, 2016. –186 с. http://biblioclub.ru
3.
Кияев В. Безопасность информационных систем: курс / В. Кияев, О. Граничин. – М.: Национальный
«ИНТУИТ», 2016. – 192 с. http://biblioclub.ru
4.
Системы защиты информации в ведущих зарубежных странах: учебное пособие / В.И. Аверченков,
Кондрашин, М.В. Рудановский. – 4-е изд., стер. – М.: Флинта, 2016. http://biblioclub.ru

ID:1363116-19

1   2   3   4