Предмет и задачи программных и программноаппаратных средств защиты информации
Скачать 0.79 Mb.
|
1. / Предмет и задачи программных и программно-аппаратных средств защиты информации Предметом защиты информации является компьютерная система или автоматизированная система обработки данных (АСОД). Компьютерная система - это комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации. Наряду с термином «информация» применительно к КС часто используют термин «данные». Предметом защиты в КС является информация. Материальной основой существования информации в КС являются электронные и электромеханические устройства (подсистемы), а также машинные носители. Информация имеет ценность. Ценность информации определяется степенью ее полезности для владельца. Обладание истинной (достоверной) информацией дает ее владельцу определенные преимущества. Истинной или достоверной информацией является информация, которая с достаточной для владельца (пользователя) точностью отражает объекты и процессы окружающего мира в определенных временных и пространственных рамках. Информация, искаженно представляющая действительность (недостоверная информация), может нанести владельцу значительный материальный и моральный ущерб. Если информация искажена умышленно, то ее называют дезинформацией. Законом «Об информации, информатизации и защите информации» гарантируется право собственника информации на ее использование и защиту от доступа к ней других лиц (организаций). Если доступ к информации ограничивается, то такая информация является конфиденциальной. Конфиденциальная информация может содержать государственную или коммерческую тайну. Коммерческую тайну могут содержать сведения, принадлежащие частному лицу, фирме, корпорации и т. п. Государственную тайну могут содержать сведения, принадлежащие государству (государственному учреждению). В соответствии с законом «О государственной тайне» сведениям, представляющим ценность для государства, может быть присвоена одна из трех возможных степеней секретности. В порядке возрастания ценности (важности) информации ей может быть присвоена степень (гриф) «секретно», «совершенно секретно» или «особой важности». В государственных учреждениях менее важной информации может присваиваться гриф «для служебного пользования». Для обозначения ценности конфиденциальной коммерческой информации используются три категории: • «коммерческая тайна - строго конфиденциально»; • «коммерческая тайна - конфиденциально»; • «коммерческая тайна». Используется и другой подход к градации ценности коммерческой информации: • «строго конфиденциально - строгий учет»; • «строго конфиденциально»; • «конфиденциально». 2. / Классификация ППСЗИ 3. / Профили защиты ППСЗИ Предназначение ПЗ состоит в том, чтобы изложить проблему безопасности для определенной совокупности систем или продуктов (изделий) ИТ, называемых далее объектами оценки (ОО), и сформулировать требования безопасности для решения данной проблемы. При этом ПЗ не регламентирует то, каким образом данные требования будут выполнены, обеспечивая, таким образом, независимое от реализации описание требований безопасности. Профиль защиты включает взаимосвязанную информацию, имеющую отношение к безопасности ИТ, в том числе: - формулировку потребности в безопасности, соответствующую проблеме безопасности и выраженную в терминах, ориентированных на пользователей изделий ИТ; - описание среды ОО, уточняющее формулировку потребности в безопасности с учетом порождаемых средой угроз, которым нужно противостоять, политики безопасности, которая должна выполняться, и сделанных предположений; - цели безопасности ОО, основанные на описании среды безопасности и предоставляющие информацию относительно того, как и в какой мере должны быть удовлетворены потребности в безопасности. Предназначение целей безопасности заключается в том, чтобы снизить риск и обеспечить поддержание политики безопасности организации, в интересах которой ведется разработка ПЗ; - функциональные требования безопасности и требования доверия к безопасности, которые направлены на решение проблемы безопасности в соответствии с описанием среды безопасности ОО и целями безопасности для ОО и ИТ-среды. Функциональные требования безопасности выражают то, что должно выполняться ОО и ИТ-средой для удовлетворения целей безопасности. Требования доверия к безопасности определяют степень уверенности в правильности реализации функций безопасности ОО; - обоснование, показывающее, что функциональные требования и требования доверия к безопасности являются надлежащими для удовлетворения сформулированной потребности в безопасности. Посредством целей безопасности должно быть показано, что необходимо сделать в плане решения проблем безопасности, имеющихся в описании среды безопасности ОО. Функциональные требования безопасности и требования доверия к безопасности должны удовлетворять целям безопасности. 4. / Стандарты по защите информации Система стандартов по защите информации (ССЗИ) - совокупность взаимосвязанных стандартов, устанавливающих характеристики продукции, правила осуществления и характеристики процессов, выполнения работ или оказания услуг в области защиты информации. Национальные стандарты (ГОСТы) в общем случае являются рекомендательными. Основополагающим стандартом РФ в области защиты информации (некриптографическими методами) является ГОСТ Р 52069.0-2013 "Защита информации. Система стандартов. Основные положения".
5. / Нормативно-правовые акты в области обеспечения информационной безопасности в Российской Федерации Федеральный закон от 28 декабря 2010 г. N 390-ФЗ «О безопасности» закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности. Федеральный закон от 27.07.2006, г., № 149-ФЗ «Об информации, информационных технологиях и о защите информации» фиксирует базовые нормы для всей системы информационного законодательства, в т.ч. правового обеспечения информационной безопасности. Федеральный закон от 21 июня 1993 № 5485-1 «О государственной тайне», Федеральные законы от 29 июля 2004 № 98-ФЗ «О коммерческой тайне» и от 27.07.2006 г. № 152-ФЗ «О персональных данных» устанавливают правовые режимы информации ограниченного доступа, в том числе, сведений, составляющих государственную и коммерческую тайну. Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи». Нормы названного закона определяют правовой режим технологического обеспечения защиты информации в системе базовых законов информационного законодательства. Уголовный кодекс РФ в главе 28 Кодекса предусматривает ответственность за совершение преступлений в сфере компьютерной информации (ст.272-275). Трудовой кодекс РФ устанавливает правовой режим персональных данных работника, определяет общие требования по их обработке и защите, устанавливает сроки хранения таких данных и процедуру их использования. Указ Президента РФ от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена». В данном Указе устанавливается запрет подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну к информационно-телекоммуникационным сетям международного информационного обмена. 6. / Компьютерный инцидент Компьютерный инцидент – факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктурой (КИИ), сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки. В соответствии с приказами ФСБ России от 24 июля 2018 г. №№366-368, субъекты КИИ и Национальный координационный центр по компьютерным инцидентам (НКЦКИ) осуществляют информационное взаимодействие, в ходе которого субъекты КИИ обязаны уведомлять НКЦКИ о компьютерных инцидентах, произошедших на объектах КИИ. В целях унификации сведений, передаваемых в ходе информационного взаимодействия между НКЦКИ и субъектом КИИ, НКЦКИ и владельцами российских информационных ресурсов, НКЦКИ и иностранными (международными) организациями, выделяются базовые категории и типы компьютерных инцидентов, представленные в таблице. Базовые категории и типы компьютерных инцидентов безопасности = Категория компьютерного инцидента и его международное обозначение - Тип компьютерного инцидента и его международное обозначение = Заражение вредоносным программным обеспечением (malware) - Внедрение в контролируемый объект КИИ модулей вредоносного программного обеспечения (malware infection) = Распространение вредоносного программного обеспечения (malware distribution) - Использование контролируемого объекта КИИ для распространения вредоносного программного обеспечения (malware command and control) = Нарушение или замедление работы контролируемого информационного ресурса (availability) - Компьютерная атака типа «отказ в обслуживании», направленная на контролируемый объект КИИ (dos) - Распределенная компьютерная атака типа «отказ в обслуживании», направленная на контролируемый объект КИИ (ddos) - Несанкционированный вывод объекта КИИ из строя (sabotage) - Непреднамеренное отключение объекта КИИ (outage) = Несанкционированный доступ в систему (intrusion) - Успешная эксплуатация уязвимости на контролируемом объекте КИИ (application compromise) - Компрометация учетной записи на контролируемом объекте КИИ (account compromise) = Сбор сведений с использованием информационнокоммуникативных технологий (information gathering) - Прослушивание (захват) сетевого трафика контролируемого объекта КИИ (traffic hijacking) - Социальная инженерия, направленная на компрометацию объекта КИИ (social engineering) = Нарушение безопасности информации (information content security) - Несанкционированное разглашение информации, обрабатываемой на контролируемом объекте КИИ (unauthorised access) - Несанкционированное изменение информации, обрабатываемой на контролируемом объекте КИИ (unauthorised modification) = Распространение информации с неприемлемым содержимым (abusive content) - Рассылка спам-сообщений с контролируемого объекта КИИ (spam) - Публикация на контролируемом объекте КИИ запрещенной законодательством РФ информации (prohibited content) = Мошенничество с использованием информационнокоммуникативных технологий (fraud) - Злоупотребление при использовании объекта КИИ (unauthorized purposes) - Публикация на контролируемом объекте КИИ мошеннической информации (phishing) 7. / Защита автоматизированных систем в обработке данных от несанкционированного доступа Объекты защиты Исходные данные — первичная информация, поступающая на хранение и обработку в АИС от клиентов, пользователей, контрагентов. Производные данные — информация, которая создается непосредственно в АИС, в процессе обработки исходных данных. Сюда относят отчеты, базы данных и другие структурированные информационные массивы. Служебные. Данные вспомогательного характера, архивы защитных систем, данные сканирования. Программные средства защиты данных — лицензированное ПО или ПО собственной разработки. Алгоритмы, на основе которых разрабатываются программы. Планирование и реализация систем защиты Важным требованием при обеспечении защиты информации в АИС является планомерное решение этой задачи. Эта деятельность должна быть структурирована и разбита на этапы. Можно выделить такие этапы: Этап планирования. Составляется перечень требований к системе информационной безопасности. Требования зависят от характера выполняемых бизнес-процессов, модели действующих внутренних и внешних угроз и степени их опасности, потребностей пользователей. Планирование выполняют в соответствии с действующими стандартами, которые регулируют информационную безопасность. Это международный стандарт ISO/IEC 27001 и его прямой российский аналог ГОСТ Р ИСО/МЭК 27001, а также ряд других стандартов. Этап внедрения. Должны быть исключены ошибки или срывы сроков по причине неточностей в планировании и бюджетировании. Этап управления. Оперативное управление безопасностью — это организованная система реагирования на любые инциденты информационной безопасности и нештатные ситуации. Оно реализуется комплексно с обеспечением работы в «ручном» и автоматическом режиме. В крупных организациях должна быть создана оперативно-диспетчерская служба. В малых компаниях управление системой информационной безопасности АИС может выполнять один сисадмин. Плановое руководство. Включает в себя периодический аудит системы информационной безопасности, комплексный анализ его результатов, подготовку по итогам анализа доклада и предложений руководству по совершенствованию системы и усилению защитных мер. Повседневная работа по поддержанию информационной безопасности. Включает процессы планирования, организации, управления, оценки, обнаружения возникающих инцидентов, внесение оперативных корректировок в функционирование аппаратных и программных защитных средств. На каждом из этих этапов должны применяться в полном объеме доступные ресурсы и осуществляться контроль эффективности. Методы защиты информации При построении системы защиты информации в АИС могут применяться одновременно разные методы, в том числе: методы повышения уровня достоверности данных; методы защиты информации в автоматизированных системах от их потери в результате аварий и аппаратных сбоев; методы контроля физического доступа к оборудованию и сетям, который может приводить к хищению данных, повреждению аппаратуры, преднамеренному созданию нештатных и аварийных ситуаций, установке шпионских приборов и т. д.; методы идентификации пользователей, аутентификации ПО, съемных носителей. Применяются и другие методы организационного и аппаратно-программного характера. Первые реализуются централизованно на уровне компании, а выбор аппаратно-программных методов остается на выбор специалиста. Организационные Выбор организационных методов и их применение определяется спецификой деятельности компании, включая ее правовое регулирование. Выделяют две категории организационных методов защиты информации — системные и административные. К числу системных методов принадлежат: повышение степени надежности оборудования, выбор аппаратуры с минимальными рисками отказа, использование специального оборудования для минимизации рисков потери данных при аварийном отключении питания; организация резервирования информации на внешних серверах для предотвращения ошибок в результате системных сбоев или физического повреждения оборудования; ранжирование пользователей с предоставлением разных уровней допуска для уменьшения вероятности хищения, изменения, уничтожения информации; структурирование обработки данных, совершенствование смежных процессов, формирование специализированных кластеров для работы с определенными типами данных. За разработку и внедрение применяемых в организации административных методов защиты несет ответственность руководство фирмы, вышестоящие инстанции, подразделения безопасности и управления персоналом. Среди административных методов защиты информации можно назвать такие способы: утверждение внутренних нормативных документов, регламентирующих обработку данных и доступ к АИС; создание у персонала заинтересованности в защите данных; создание режима коммерческой тайны, внесение положений об ответственности за ее разглашение в контракты с работниками и трудовые договоры; обучение и повышение мотивации персонала; улучшение эргономики и условий труда, чтобы исключить потерю данных и системные сбои в связи с потерей внимания и усталостью работников. Внедрение организационных методов проводится с параллельным аудитом, который показывает их эффективность и позволяет совершенствовать защиту. |