Основы информационной безопасности_Сычев Ю.Н_Уч.-практ. пос_ЕАОИ. Международный консорциум Электронный университет Московский государственный университет экономики, статистики и информатики
 Скачать 2.05 Mb.
|
|
Тема 5. Методы и средства защиты компьютерной информации Изучив тему 5, студент должен: знать: методы защиты информации как организовать информационную безопасность в организации; уметь: применять методы защиты информации акцентировать внимание на понятиях: ограничение доступа, разграничение доступа, разде- ление доступа, криптографическое преобразование ин- формации, контроль и учет доступа, законодательные меры. Содержание темы (дидактические единицы и их характери- стика): Рассматриваются методы защиты информации: ограничение доступа, разграничение доступа, разделение доступа, криптографи- ческое преобразование информации, контроль и учет доступа, за- конодательные меры, обеспечение информационной безопасности в Интернете. Цели и задачи изучения темы: Получение знаний о методах защиты информации. Получение знаний и навыков по обеспечению информационной безопасности организации при ее подключении к Интернет. Порядок изучения темы Распределение бюджета времени по теме: − количество часов отведенных на практические занятия, из них в компьютерной аудитории – 8/8; − количество часов, отведенных на самостоятельную работу – 32. Основы информационная безопасность 146 Виды самостоятельной работы студентов: − изучение учебного пособия «Информационная безопас- ность»; − подготовка к участию в форуме по теме «Методы защиты ин- формации»; − изучение дополнительной литературы; − выполнение тестовых заданий по теме. Методические указания по изучению вопросов темы При изучении учебных вопросов: изучить тему 5 по учебному пособию «Информационная безопасность»; принять участие в форуме по теме «Методы защиты инфор- мации»; изучить дополнительные материалы. При изучении темы необходимо: читать литературу: 1. «Информационная безопасность: Уч. Пособие. – М.: МЭСИ, 2007. 2. Герасименко В.А., Малюк А.А. Основы защиты информации, – М.: ППО «Известия», 1997. Гл. 1,2. 3. Мельников В.И. Защита информации в компьютерных систе- мах. – М.: Финансы и статистика, 1997. – Разд. 1. 4. Милославская Н.Г., Толстой А.И. Интрасети: доступ в Internet, защита. – М.: ООО «ЮНИТИ-ДАНА», 2000., Гл. 1. 5. Проскурин В.Г., Крутов С.В. Программно-аппаратные средст- ва обеспечения информационной безопасности. Защита в операци- онных системах. – М.: Радио и связь, 2000. 6. Белкин П.Ю. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных. – М.: Радио и связь, 1999. посетить сайты: www.compulenta.ru, www.isecurity.ru, www.oxpaha.ru, www.cyberterrorism report.ru. Вопросы темы 5.1. Методы обеспечения информационной безопасности РФ. 5.2. Ограничение доступа. 5.3. Контроль доступа к аппаратуре. 5.4. Разграничение и контроль доступа к информации. 5.5. Предоставление привилегий на доступ. Методы и средства защиты компьютерной информации 147 5.6. Идентификация и установление подлинности объекта (субъекта). 5.7. Защита информации от утечки за счет побочного элек- тромагнитного излучения и наводок. 5.8. Методы и средства защиты информации от случайных воздействий. 5.9. Методы защиты информации от аварийных ситуаций. 5.10. Организационные мероприятия по защите информации. 5.11. Организация информационной безопасности компании. 5.12. Выбор средств информационной безопасности. 5. 13. Информационное страхование. 5.1. Методы обеспечения информационной безопасности Российской Федерации Информационная безопасность Российской Федерации явля- ется одной из составляющих национальной безопасности Россий- ской Федерации и оказывает влияние на защищенность националь- ных интересов Российской Федерации в различных сферах жизне- деятельности общества и государства. Угрозы информационной безопасности Российской Федерации и методы ее обеспечения яв- ляются общими для этих сфер. В различных сферах жизнедеятельности имеются свои осо- бенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности Рос- сийской Федерации. Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно- технические и экономические. Рис. 5.1. Методы обеспечения информационной безопасности Методы обеспечения инфор- мационной безопасности правовые экономические организационно - технические Основы информационная безопасность 148 К правовым методам обеспечения информационной безопас- ности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обес- печения информационной безопасности Российской Федерации. Наиболее важными направлениями этой деятельности являются: внесение изменений и дополнений в законодательство Рос- сийской Федерации, регулирующее отношения в области обеспече- ния информационной безопасности, в целях создания и совершен- ствования системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с между- народными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодатель- ными актами и законодательными актами субъектов Российской Федерации, а также в целях конкретизации правовых норм, уста- навливающих ответственность за правонарушения в области обес- печения информационной безопасности Российской Федерации; законодательное разграничение полномочий в области обес- печения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, опреде- ление целей, задач и механизмов участия в этой деятельности обще- ственных объединений, организаций и граждан; разработка и принятие нормативных правовых актов Россий- ской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное ис- пользование, преднамеренное распространение недостоверной ин- формации, противоправное раскрытие конфиденциальной инфор- мации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну; уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития инфор- мационной инфраструктуры России; законодательное закрепление приоритета развития нацио- нальных сетей связи и отечественного производства космических спутников связи; определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на тер- Методы и средства защиты компьютерной информации 149 ритории Российской Федерации, и правовое регулирование дея- тельности этих организаций; создание правовой базы для формирования в Российской Фе- дерации региональных структур обеспечения информационной безопасности. К организационно-техническим методам обеспечения ин- формационной безопасности Российской Федерации относятся: создание и совершенствование системы обеспечения инфор- мационной безопасности Российской Федерации; усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пре- сечение правонарушений в информационной сфере, а также выяв- ление, изобличение и привлечение к ответственности лиц, совер- шивших преступления и другие правонарушения в этой сфере; разработка, использование и совершенствование средств за- щиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, по- вышение надежности специального программного обеспечения; создание систем и средств предотвращения несанкциониро- ванного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функциониро- вания систем и средств информатизации и связи; выявление технических устройств и программ, представляю- щих опасность для нормального функционирования информаци- онно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографи- ческих средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации; сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандарти- зация способов и средств защиты информации; совершенствование системы сертификации телекоммуника- ционного оборудования и программного обеспечения автоматизи- рованных систем обработки информации по требованиям инфор- мационной безопасности; Основы информационная безопасность 150 контроль за действиями персонала в защищенных информа- ционных системах, подготовка кадров в области обеспечения ин- формационной безопасности Российской Федерации; формирование системы мониторинга показателей и характери- стик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства. К экономическим методам обеспечения информационной безопасности Российской Федерации относятся: разработку программ обеспечения информационной безо- пасности Российской Федерации и определение порядка их финан- сирования; совершенствование системы финансирования работ, связан- ных с реализацией правовых и организационно-технических мето- дов защиты информации, создание системы страхования информа- ционных рисков физических и юридических лиц. Обеспечение информационной безопасности Российской Фе- дерации в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации. Воздействию угроз информационной безопасности Россий- ской Федерации в сфере экономики наиболее подвержены: система государственной статистики; кредитно-финансовая система; информационные и учетные автоматизированные системы под- разделений федеральных органов исполнительной власти, обеспечи- вающих деятельность общества и государства в сфере экономики; системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности; системы сбора, обработки, хранения и передачи финансо- вой, биржевой, налоговой, таможенной информации и информа- ции о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности. Переход к рыночным отношениям в экономике вызвал появ- ление на внутреннем российском рынке товаров и услуг множества отечественных и зарубежных коммерческих структур – производи- телей и потребителей информации, средств информатизации и за- щиты информации. Бесконтрольная деятельность этих структур по Методы и средства защиты компьютерной информации 151 созданию и защите систем сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации создает реальную угрозу безопасности России в эко- номической сфере. Аналогичные угрозы возникают при бескон- трольном привлечении иностранных фирм к созданию подобных систем, поскольку при этом складываются благоприятные условия для несанкционированного доступа к конфиденциальной экономи- ческой информации и для контроля за процессами ее передачи и обработки со стороны иностранных спецслужб. Критическое состояние предприятий национальных отраслей промышленности, разрабатывающих и производящих средства ин- форматизации, телекоммуникации, связи и защиты информации, приводит к широкому использованию соответствующих импортных средств, что создает угрозу возникновения технологической зависи- мости России от иностранных государств. Серьезную угрозу для нормального функционирования эко- номики в целом представляют компьютерные преступления, свя- занные с проникновением криминальных элементов в компьютер- ные системы и сети банков и иных кредитных организаций. Недостаточность нормативной правовой базы, определяющей ответственность хозяйствующих субъектов за недостоверность или сокрытие сведений об их коммерческой деятельности, о потреби- тельских свойствах производимых ими товаров и услуг, о результа- тах их хозяйственной деятельности, об инвестициях и тому подоб- ном, препятствует нормальному функционированию хозяйствую- щих субъектов. В то же время существенный экономический ущерб хозяйствующим субъектам может быть нанесен вследствие разгла- шения информации, содержащей коммерческую тайну. В системах сбора, обработки, хранения и передачи финансовой, биржевой, на- логовой, таможенной информации наиболее опасны противоправ- ное копирование информации и ее искажение вследствие предна- меренных или случайных нарушений технологии работы с инфор- мацией, несанкционированного доступа к ней. Это касается и феде- ральных органов исполнительной власти, занятых формированием и распространением информации о внешнеэкономической дея- тельности Российской Федерации. Основными мерами по обеспечению информационной безо- пасности Российской Федерации в сфере экономики являются: организация и осуществление государственного контроля за созданием, развитием и защитой систем и средств сбора, обработки, Основы информационная безопасность 152 хранения и передачи статистической, финансовой, биржевой, нало- говой, таможенной информации; коренная перестройка системы государственной статистиче- ской отчетности в целях обеспечения достоверности, полноты и за- щищенности информации, осуществляемая путем введения строгой юридической ответственности должностных лиц за подготовку пер- вичной информации, организацию контроля за деятельностью этих лиц и служб обработки и анализа статистической информации, а также путем ограничения коммерциализации такой информации; разработка национальных сертифицированных средств за- щиты информации и внедрение их в системы и средства сбора, об- работки, хранения и передачи статистической, финансовой, бирже- вой, налоговой, таможенной информации; разработка и внедрение национальных защищенных систем электронных платежей на базе интеллектуальных карт, систем элек- тронных денег и электронной торговли, стандартизация этих сис- тем, а также разработка нормативной правовой базы, регламенти- рующей их использование; совершенствование нормативной правовой базы, регулирую- щей информационные отношения в сфере экономики; совершенствование методов отбора и подготовки персонала для работы в системах сбора, обработки, хранения и передачи эко- номической информации. Наиболее важными объектами обеспечения информационной безопасности Российской Федерации в области науки и техники яв- ляются: результаты фундаментальных, поисковых и прикладных научных исследований, потенциально важные для научно- технического, технологического и социально-экономического развития страны, включая сведения, утрата которых может на- нести ущерб национальным интересам и престижу Российской Федерации; открытия, незапатентованные технологии, промышленные образцы, полезные модели и экспериментальное оборудование; научно-технические кадры и система их подготовки; системы управления сложными исследовательскими комплек- сами (ядерными реакторами, ускорителями элементарных частиц, плазменными генераторами и др.). Методы и средства защиты компьютерной информации 153 5.2. Ограничение доступа Ограничение доступа заключается в создании некоторой фи- зической замкнутой преграды вокруг объекта защиты с организаци- ей контролируемого доступа лиц, связанных с объектом защиты по своим функциональным обязанностям. Ограничение доступа к автоматизированной системе обра- ботки информации (АСОИ) заключается: в выделении специальной территории для размещения АСОИ; в оборудовании по периметру выделенной зоны специальных ограждений с охранной сигнализацией; в сооружении специальных зданий или других сооружений; в выделении специальных помещений в здании; в создании контрольно-пропускного режима на территории, в зданиях и помещениях. Задача средств ограничения доступа – исключить случайный и преднамеренный доступ посторонних лиц на территорию размещения АСОИ и непосредственно к аппаратуре. В указанных целях создается защитный контур, замыкаемый двумя видами преград: физической и контрольно-пропускной. Такие преграды часто называют системой охранной сигнализации и системой контроля доступа. Традиционные средства контроля доступа в защищаемую зо- ну заключаются в изготовлении и выдаче допущенным лицам спе- циальных пропусков с размещенной на них фотографией личности владельца и сведений о нем. Данные пропуска могут храниться у владельца или непосредственно в пропускной кабине охраны. В по- следнем случае допущенное лицо называет фамилию и свой номер, либо набирает его на специальной панели кабины при проходе че- рез турникет, пропускное удостоверение выпадает из гнезда и по- ступает в руки работника охраны, который визуально сверяет лич- ность владельца с изображением на фотографии, названную фами- лию с фамилией на пропуске. Эффективность защиты данной сис- темы выше первой. При этом исключаются потеря пропуска, его пе- рехват и подделка. Кроме того, есть резерв в повышении эффектив- ности защиты с помощью увеличения количества проверяемых па- раметров. Однако основная нагрузка по контролю при этом ложится на человека, а он, как известно, может ошибаться. К проверяемым параметрам можно отнести биометрические методы аутентификации человека. |