ОЗИ. Пособие_2019. Основы защиты информации

1
Министерство образования Республики Беларусь
Учреждение образования
«Белорусский государственный университет информатики и радиоэлектроники»
Факультет инфокоммуникаций
Кафедра защиты информации
Н. В. Насонова, Г. А. Пухир, С. Н. Петров
ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ
Рекомендовано УМО по образованию в области
информатики и радиоэлектроники в качестве учебно-методического пособия
для специальностей I ступени высшего образования, закрепленных за УМО
Минск БГУИР 2019
Би бл ио те ка
БГ
УИ
Р

2
УДК 004.056.5:347.771(076)
ББК 32.972.5я73+67.404.3я73
Н31
Р е ц е н з е н т ы: кафедра информационно-измерительной техники и технологий Белорусского национального технического университета
(протокол №14 от 24.04.2018); заведующий лабораторией микро- и наносенсорики государственного научно-производственного объединения «Оптика, оптоэлектроника и лазерная техника» доктор технических наук, профессор Н. И. Мухуров
Насонова, Н. В.
Н31
Основы защиты информации : учеб.-метод. пособие / Н. В. Насонова,
Г. А. Пухир, С. Н. Петров. – Минск : БГУИР, 2019. – 83 с. : ил.
ISBN 978-985-543-437-6.
Рассмотрены современные подходы к безопасности информационных систем, основанные на анализе рисков с определением ожидаемых затрат на защиту информа- ции. Приводится анализ ситуаций, возникающих в сфере авторского права и смежных прав. Предложены задания, связанные с патентными исследованиями, рассмотрены во- просы возникновения и применения прав промышленной собственности. Раскрыты во- просы коммерческого использования объектов интеллектуальной собственности и защи- ты прав авторов и правообладателей.
УДК 004.056.5:347.771(076)
ББК 32.972.5я73+67.404.3я73
ISBN 978-985-543-437-6
© Насонова Н. В., Пухир Г. А,
Петров С. Н., 2019
© УО «Белорусский государственный университет информатики и радиоэлектроники», 2019
Би бл ио те ка
БГ
УИ
Р

3
Содержание
Практическое занятие №1 Описание информационного объекта.
Классификация информации .................................................................................... 4
Практическое занятие №2 Анализ рисков информационной безопасности ....... 7
Практическое занятие №3 Авторское право и смежные права ............................. 14
Практическое занятие №4 Патентные исследования ............................................. 20
Практическое занятие №5 Промышленная собственность ................................... 29
Практическое занятие №6 Коммерческое использование объектов интеллектуальной собственности ............................................................................ 36
Практическое занятие №7 Защита прав авторов и правообладателей ................. 45
Приложение А Авторский договор (заказа на создание статьи) .......................... 56
Приложение Б Отчет о патентных исследованиях ................................................. 63
Приложение В Регламент поиска ............................................................................. 64
Приложение Г Бланк заявления на выдачу патента на изобретение .................... 67
Приложение Д Среднестатистическая ставка роялти ............................................ 70
Приложение Е Коэффициент технико-экономической значимости .................... 72
Приложение Ж Договор на покупку лицензии ....................................................... 73
Би бл ио те ка
БГ
УИ
Р

4
Практическое занятие №1
Описание информационного объекта. Классификация информации
Цель работы: изучить типовой алгоритм описания информационной системы; получить практические навыки по его применению.
1.1 Краткие теоретические сведения
Информационная технология – совокупность методов, способов, прие- мов и средств обработки документированной информации, включая приклад- ные программные средства и регламентированный порядок их применения.
На этапе описания информационной системы (ИС) необходимо указать цели ее создания, границы, информационные ресурсы, требования в области информационной безопасности (ИБ) и компоненты управления информацион- ной системой и режимом ИБ.
При описании ИС рекомендуется указать:
– аппаратные средства ИС, их конфигурацию;
– используемое программное обеспечение (ПО);
– интерфейсы системы, т. е. внешние и внутренние связи с позиции ин- формационной технологии;
– типы данных и информации;
– обязанности персонала, работающего в данной ИС;
– критичные типы данных и информационные процессы;
– функциональные требования к ИС;
– категории пользователей системы и обслуживающего персонала;
– формальные требования в области информационной безопасности (ИБ), применимые к данной ИС (законодательство, ведомственные стандарты и т. д.);
– архитектуру подсистемы ИБ;
– топологию локальной сети;
– программно-технические средства обеспечения ИБ;
– входные и выходные потоки данных;
– систему управления в данной ИС (должностные инструкции);
– существующую систему управления в области ИБ (резервное копирова- ние, процедуры реагирования на внештатные ситуации, инструкции по ИБ, контроль поддержания режима ИБ и т. д.);
– организацию физической безопасности;
– управление и контроль внешней по отношению к ИС средой (климати- ческими параметрами, электропитанием, защитой от затоплений и т. д.).
Для системы, находящейся в стадии проектирования, и для уже суще- ствующей системы характер описания ИС и степень подробности ответов будут разными. Для системы в стадии проектирования достаточно указать общие тре- бования в области ИБ.
Би бл ио те ка
БГ
УИ
Р

5
1.1.1 Технология описания системы
Для получения информации по перечисленным пунктам на практике ре- комендуется использовать:
– разнообразные вопросники (check-листы), которые могут быть адресо- ваны к различным группам управленческого и обслуживающего персонала;
– интервью аналитиков (внешних), которые проводят неформальные бе- седы с персоналом и затем готовят формализованное описание;
– анализ документации предприятия;
– специализированный инструментарий (ПО).
Существует ПО, благодаря которому удается частично автоматизировать процесс описания. К нему относятся:
– сканеры, дающие возможность составить схему информационной системы;
– программы для структурированного описания информационных систем, позволяющие создать необходимые отчетные формы.
Информационный ресурс – это совокупность данных, организованных для получения достоверной информации в самых разных областях знаний и прак- тической деятельности. Под информационными ресурсами понимают отдель- ные документы или массивы документов в информационных системах.
Независимо от характера самих информационных ресурсов они облада-
ют одной или несколькими из следующих характеристик:
– признаются ценными для организации;
– их невозможно заменить без затрат средств, времени, иных ресурсов или их сочетания;
– существенно влияют на деятельность организации, без этих ресурсов возникает угроза для основной деятельности организации.
Классификация данных и документов производится, если необходимо разделить данные, которые обладают малой ценностью (если вообще обладают такой), и данные, которые весьма важны для организации.
При классификации данных предполагается следующее:
– все данные имеют владельца;
– владелец данных или процесса должен классифицировать информацию, поместив ее в одну из категорий безопасности, в зависимости от юридических обязательств, затрат, корпоративной политики и коммерческих нужд;
– владелец должен объявить, кто имеет доступ к данным;
– владелец отвечает за данные и должен обеспечить, чтобы они были за- щищены в соответствии с их классификацией;
– все документы должны классифицироваться, и уровень классификации следует указать на заглавной странице.
Важность информационного ресурса – субъективное понятие, которое должно быть конкретизировано его владельцем. В общем случае владелец ин- формационного ресурса выбирает систему критериев, которые описывают раз- ные аспекты конфиденциальности, целостности и доступности информации, а также ценность (стоимость) информационного ресурса.
Би бл ио те ка
БГ
УИ
Р

6
Классификация информационных ресурсов производится с учетом кон- фиденциальности, целостности и доступности.
Результаты идентификации и классификации ресурсов заносят в реестр информационных ресурсов, примерная форма которого приведена в таблице 1.1.
Таблица 1.1 – Форма реестра информационных ресурсов
Описание ин- формационного ресурса
Владе- лец
Тип сре- ды
Конфиденциаль- ность
Целост- ность
Доступ- ность
1.2 Практические задания
Задание 1.2.1
Создать компанию, деятельность которой – сфера информационных тех- нологий.
Задание 1.2.2
Конкретизировать род деятельности компании, определить ее штат, структуру административного управления.
Задание 1.2.3
Составить краткие должностные инструкции (в части обязанностей) для каждой категории работников компании.
Задание 1.2.4
Определить категорию информации, с которой работают в данной компа- нии, исходя из ее рода деятельности.
Задание 1.2.5
Составить полный список необходимого оборудования для нормальной работы компании, включая при необходимости и бытовую технику.
Задание 1.2.6
Составить схему информационной системы компании с учетом соответ- ствующего оборудования.
1.2 Контрольные вопросы
1 Что такое информационная система?
2 Какие этапы включает в себя процесс описания информационной системы?
3 Как оценить важность информационного ресурса?
Список использованных источников
Защита информации : учеб. пособие / А. П. Жук [и др.]. – М. : РИОР:
ИНФРА-М, 2013. – 392 с.
Би бл ио те ка
БГ
УИ
Р

7
Практическое занятие №2
Анализ рисков информационной безопасности
Цель работы: изучить принципы управления информационными риска- ми; получить практические навыки анализа рисков информационных активов с использованием методики CRAMM.
2.1 Краткие теоретические сведения
В настоящее время управление информационными рисками представляет собой одно из наиболее динамично развивающихся направлений стратегиче- ского и оперативного менеджмента в области защиты информации. Его основ- ные задачи – объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности эко- номической деятельности компании. Поэтому под термином управление ин-
формационными рисками обычно понимается системный процесс идентифика- ции, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями нормативно-правовой базы (НПБ) в области защиты информации и собственной корпоративной политики безопасности.
Качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты ин- формации, адекватные текущим целям и задачам бизнеса компании. При этом основной НПБ является британский стандарт BS 7799 («Практические правила управления информационной безопасностью»), на основе которого были при- няты международные стандарты ISO 17799 и ISO 13335.
Согласно ГОСТ Р 51897-2002 риск – это сочетание вероятности события и его последствий, а его величина РИСК может быть вычислена по формулам
РИСК = ВЕРОЯТНОСТЬ
ущерба
∙ ЦЕНА
ущерба
,
(2.1)
РИСК = ВЕРОЯТНОСТЬ
угрозы
∙ ВЕРОЯТНОСТЬ
уязвимости
∙ ЦЕНА
ущерба.
(2.2)
Если информационный объект (ИО) подвержен нескольким угрозам
(критериям оценки возможного ущерба), то совокупный РИСК
общий нанесения злоумышленниками ущерба ИО может быть представлен как

=

=
N
i
i
i
U
p
1
общий
РИСК
,
(2.3) где N – КОЛИЧЕСТВО, равное «несколько»;
U
i
– ЦЕНА
ущерба по i-й угрозе;
р
i
– ВЕРОЯТНОСТЬ
ущерба
(весовой коэффициент) i-й угрозы.
Параметр р
i
выбирается экспертами из условия

=
=
N
i
i
p
1 1
(2.4)
Би бл ио те ка
БГ
УИ
Р

8
Методики управления рисками делятся на количественные и качественные.
Качественные методики относительно просты, они разработаны на осно- ве требований стандарта ISO 17799. К качественным методикам управления рисками относятся методики COBRA и RA SoftwareTool.
Методика COBRA представляет собой требования стандарта ISO 17799 в виде тематических вопросников (checklist’s), на которые следует ответить в процессе оценки рисков информационных активов и электронных бизнес- транзакций компании. Далее введенные ответы автоматически обрабатываются, и с помощью соответствующих правил логического вывода формируется ито- говый отчет c текущими оценками информационных рисков компании и реко- мендациями по их управлению.
Методика RA SoftwareTool позволяет выполнять оценку информационных рисков в соответствии с требованиями ISO 17799, а при желании – в соответ- ствии с более детальными спецификациями руководства PD 3002 («Руковод- ство по оценке и управлению рисками») Британского института стандартов.
Вторую группу методик управления рисками составляют количественные
методики. Суть их сводится к поиску единственного оптимального решения из множества существующих. Чтобы прийти к такому решению, необходимо от- ветить на следующие вопросы: «Как, оставаясь в рамках утвержденного годо- вого (квартального) бюджета на информационную безопасность, достигнуть максимального уровня защищенности информационных активов компании?» или «Какую из альтернатив построения корпоративной защиты информации
(защищенного сайта или корпоративной почты) выбрать с учетом известных ограничений бизнес-ресурсов компании?». К количественным методикам управления рисками относятся методики CRAMM, MethodWare и др.
Рассмотрим наиболее распространенную из них – CRAMM.
Управление рисками в данной методике осуществляется в несколько этапов.
На первом этапе инициализации – «Initialization» – определяются границы исследуемой информационной системы компании, состав и структура ее основ- ных физических и информационных активов и транзакций. Первичная инфор- мация собирается в процессе бесед с менеджерами проектов, менеджером поль- зователей или другими сотрудниками.
На втором этапе идентификации и оценки ресурсов – «Identification and
Valuation of Assets» – четко идентифицируются активы и определяется их стои- мость. Расчет стоимости информационных активов однозначно позволяет опреде- лить необходимость и достаточность предлагаемых средств контроля и защиты.
На третьем этапе оценивания угроз и уязвимостей – «Threat and
Vulnerability Assessment» – идентифицируются и оцениваются угрозы и уязви- мости информационных активов компании.
Для такой оценки и идентификации в коммерческом варианте метода
СRAMM (профиль Standard, в других вариантах совокупность будет иной; напри- мер, в версии, используемой в правительственных учреждениях, добавляются па-
Би бл ио те ка
БГ
УИ
Р

9 раметры, отражающие такие области, как национальная безопасность и междуна- родные отношения) используется определенная совокупность критериев.
Критерии последствий реализации угроз информационной безопасности следующие:
– ущерб репутации организации;
– финансовые потери, связанные с восстановлением ресурсов;
– дезорганизация деятельности компании;
– финансовые потери от разглашения и передачи информации конкурентам.
Четвертый этап анализа рисков – «Risk Analysis» – позволяет получить количественные оценки рисков. Эти оценки могут быть рассчитаны по форму- лам (2.1) – (2.4). Этап не является обязательным.
На пятом этапе управления рисками – «Risk Management» – предлагают- ся меры и средства уменьшения или уклонения от риска. Возможно проведение коррекции результатов или использование других методов оценки. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказ- чиком. Только после этого можно переходить к заключительной стадии метода.
На заключительной стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиваются на группы и подгруппы по следующим категориям:
– обеспечение безопасности на сетевом уровне;
– обеспечение физической безопасности;
– обеспечение безопасности поддерживающей инфраструктуры;
– меры безопасности на уровне системного администратора.
Ключевыми определениями при анализе информационных рисков явля- ются следующие:
– критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс, т. е. как сильно повлияет угроза на работу ресурса;
– вероятность реализации угрозы через данную уязвимость (P(V)) – сте- пень возможности реализации угрозы через данную уязвимость в тех или иных условиях.
Исходя из данных двух параметров определяется уровень угрозы по уяз- вимости (Th):
100
)
(
100
V
P
ER
Th

=
(2.5)
На основании значений уровней угроз по уязвимости осуществляется расчет по всем уязвимостям, по которым реализуется данная угроза (CTh):

=
−
−
=
n
i
n
Th
Cth
1
)
1
(
1
(2.6)
Би бл ио те ка
БГ
УИ
Р

10
Рассмотрим возможности методики CRAMM на примере. Пусть прово- дится оценка информационных рисков следующей корпоративной информаци- онной системы (рисунок 2.1).
По этой схеме условно выделим следующие элементы системы:
– рабочие места (РМ), на которых операторы вводят информацию, посту- пающую из внешнего мира;
– почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет и из ведомственных каналов связи (ВКС);
– сервер обработки, на котором установлена система управления базами данных (СУБД);
– сервер резервного копирования;
– РМ группы оперативного резерва (РМ ГОР);
– РМ администратора безопасности.
Функционирование системы осуществляется следующим образом. Дан- ные, введенные с РМ пользователей, поступившие на почтовый сервер из Ин- тернета и ВКС, направляются на сервер корпоративной обработки данных. За- тем эти сведения поступают на рабочие места группы оперативного резерва, и там принимаются решения по передаче данных в СУБД.

  1   2   3   4   5   6   7   8   9   10