Главная страница
Навигация по странице:

  • Принципы и методы организационной защиты информации. К методам и средствам организационной защиты информации

  • Инженерно-технические (физические) методы и средства защиты информации

    		•

    Экзамен в Магистратуру. Содержание. Место информационной безопасности в системе национальной безопасности


    Скачать 0.79 Mb.
    НазваниеСодержание. Место информационной безопасности в системе национальной безопасности
    Дата29.04.2019
    Размер0.79 Mb.
    Формат файлаdocx
    Имя файлаЭкзамен в Магистратуру.docx
    ТипДокументы
    #75702
    страница11 из 14
    1   ...   6   7   8   9   10   11   12   13   14

    Преимущества использования стандартов ИБ разными группами ИТ-сообщества

    Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются:

    - повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;

    - обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг);

    - содействие соблюдению требований технических регламентов;

    - создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.

    Основными областями стандартизации информационной безопасности являются:

    • аудит информационной безопасности

    • модели информационной безопасности

    • методы и механизмы обеспечения информационной безопасности

    • криптография

    • безопасность межсетевых взаимодействий

    • управление информационной безопасностью.

    Стандарты информационной безопасности имеют несколько классификаций:

    arinteg-stand02

    Различные классификации стандартов информационной безопасности

    Существуют российские стандарты информационной безопасности (ГОСТ Р ИСО/МЭК 15408, ГОСТ Р 51275 и др.), причем Федеральный закон №184-ФЗ «О техническом регулировании» декларирует принцип «применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и (или) технологическим особенностям или по иным основаниям, либо Российская Федерация в соответствии с установленными процедурами выступала против принятия международного стандарта или отдельного его положения».

    Необходимость следования некоторым стандартам информационной безопасности закреплена законодательно. Однако и добровольное выполнение стандартов очень полезно и эффективно, поскольку в них описаны наиболее качественные и опробованные методики и решения. 



    ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»
    pdf_icon

    ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»
    pdf_icon

    Р 50.1.056-2005 «Техническая защита информации. Основные термины и определения»
    pdf_icon

    ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»
    pdf_icon

    ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»
    pdf_icon

    ГОСТ Р ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности»
    pdf_icon

    ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»
    pdf_icon

    ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»
    pdf_icon

    ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»
    pdf_icon

    ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»
    pdf_icon

    ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер»
    pdf_icon

    ГОСТ Р ИСО/МЭК ТО 13335-5-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети»
    pdf_icon

    ГОСТ Р ИСО/ТО 13569-2007 «Финансовые услуги. Рекомендации по информационной безопасности»
    pdf_icon

    ГОСТ Р ИСО/МЭК 15026-2002 «Информационная технология. Уровни целостности систем и программных средств»
    pdf_icon

    ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»
    pdf_icon

    ГОСТ Р ИСО/МЭК 18045-2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий»
    pdf_icon

    ГОСТ Р ИСО/МЭК 19794-2-2005 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 2. Данные изображения отпечатка пальца - контрольные точки»
    pdf_icon

    ГОСТ Р ИСО/МЭК 19794-4-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 4. Данные изображения отпечатка пальца»
    pdf_icon

    ГОСТ Р ИСО/МЭК 19794-5-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица»
    pdf_icon

    ГОСТ Р ИСО/МЭК 19794-6-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза»
    pdf_icon

    ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования»
    pdf_icon

    ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство»
    pdf_icon

    ГОСТ Р 51725.6-2002 «Каталогизация продукции для федеральных государственных нужд. Сети телекоммуникационные и базы данных. Требования информационной безопасности»
    pdf_icon

    ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты»
    pdf_icon

    ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные положения»
    pdf_icon

    ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества»
    pdf_icon

    ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»
    pdf_icon

    ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»
    pdf_icon

    ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хеширования»



    1. Принципы и методы организационной защиты информации.

    К методам и средствам организационнойзащиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.

    Основные свойства методов и средств организационной защиты:

    ● обеспечение полного или частичного перекрытия значительной части каналов утечки информации (например, хищения или копирования носителей информации);

    ● объединение всех используемых в КС средств в целостный механизм защиты информации.

    Методы и средства организационной защиты информации включают в себя:

    ● ограничение физического доступа к объектам КС и реализация режимных мер;

    ● ограничение возможности перехвата ПЭМИН;

    ● разграничение доступа к информационным ресурсам и процессам КС (установка правил разграничения доступа, шифрование информации при ее хранении и передаче, обнаружение и уничтожение аппаратных и программных закладок);

    ● резервное копирование наиболее важных с точки зрения утраты массивов документов;

    ● профилактику заражения компьютерными вирусами

    Перечислим основные виды мероприятий, которые должны проводиться на различных этапах жизненного цикла КС:

    1) на этапе создания КС: при разработке ее общего проекта и проектов отдельных структурных элементов — анализ возможных угроз и методов их нейтрализации; при строительстве и переоборудовании помещений — приобретение сертифицированного оборудования, выбор лицензированных организаций; при разработке математического, программного, информационного и лингвистического обеспечения — использование сертифицированных программных и инструментальных средств; при монтаже и наладке оборудования — контроль за работой технического персонала; при испытаниях и приемке в эксплуатацию — включение в состав аттестационных комиссий сертифицированных специалистов;

    2) в процессе эксплуатации КС — организация пропускного режима, определение технологии автоматизированной обработки документов, организация работы обслуживающего персонала, распределение реквизитов разграничения доступа пользователей к элементам КС (паролей, ключей, карт и т.п.), организация ведения протоколов работы КС, контроль выполнения требований служебных инструкций и т.п.;

    3) мероприятия общего характера — подбор и подготовка кадров, организация плановых и предупреждающих проверок средств защиты информации, планирование мероприятий по защите информации, обучение персонала, участие в семинарах, конференциях и выставках по проблемам безопасности информации и т. п.

    Инженерно-технические (физические) методы и средства защиты информации

    Под инженерно-техническими (физическими) средствами защиты информации понимают физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий, средства пожаротушения и другие средства, обеспечивающие:

    ● защиту территории и помещений КС от проникновения нарушителей;

    ● защиту аппаратных средств КС и носителей информации от хищения;

    ● предотвращение возможности удаленного (из-за пределов охраняемой территории) видеонаблюдения (подслушивания) за работой персонала и функционированием технических средств КС;

    ● предотвращение возможности перехвата ПЭМИН, вызванных работающими техническими средствами КС и линиями передачи данных;

    ● организацию доступа в помещения КС сотрудников;

    ● контроль над режимом работы персонала КС;

    ● контроль над перемещением сотрудников КС в различных производственных зонах;

    ● противопожарную защиту помещений КС;

    ● минимизацию материального ущерба от потерь информации, возникших в результате стихийных бедствий и техногенных аварий.

    Важнейшей составной частью инженерно-технических средств защиты информации являются технические средства охраны, которые образуют первый рубеж защиты КС и являются необходимым, но недостаточным условием сохранения конфиденциальности и целостности информации в КС.

    Рассмотрим немного подробнее методы и средства защиты информации от утечки по каналам ПЭМИН. Основной задачей является уменьшение соотношения сигнал/шум в этих каналах до предела, при котором восстановление информации становится принципиально невозможным. Возможными методами решения этой задачи могут быть:

    1) снижение уровня излучений сигналов в аппаратных средствах КС;

    2) увеличение мощности помех в соответствующих этим сигналам частотных диапазонах.

    Для применения первого метода необходим выбор системно-технических и конструкторских решений при создании технических средств КС в защищенном исполнении, а также рациональный выбор места размещения этих средств относительно мест возможного перехвата ПЭМИН (для соблюдения условия максимального затухания информационного сигнала). Требования к средствам вычислительной техники в защищенном исполнении определяются в специальных ГОСТах.

    Реализация второго метода возможна путем применения активных средств защиты в виде генераторов сигналоподобных помех или шума.

    Отметим перспективные методы и средства защиты информации в КС от утечки по каналам ПЭМИН:

    ● выбор элементной базы технических средств КС с возможно более малым уровнем информационных сигналов;

    ● замена в информационных каналах КС электрических цепей волоконно-оптическими линиями;

    ● локальное экранирование узлов технических средств, являющихся первичными источниками информационных сигналов;

    ● включение в состав информационных каналов КС устройств предварительного шифрования обрабатываемой информации.

    Отметим, что при использовании технических средств КС для обработки информации ограниченного доступа необходимо проведение специальных проверок, целью которых является обнаружение и устранение внедренных специальных электронных устройств подслушивания, перехвата информации или вывода технических средств из строя (аппаратных закладок). При проведении таких проверок может потребоваться практически полная их разборка, что иногда может привести к возникновению неисправностей в работе технических средств и дополнительным затратам на их устранение.

    Рассмотрим средства обнаружения электронных подслушивающих (радиозакладных) устройств, простейшими из которых являются нелинейные локаторы. Они с помощью специального передатчика в сверхвысокочастотном диапазоне радиоволн облучают окружающее пространство и регистрируют вторичный, переизлученный сигнал, поступающий от различных полупроводниковых элементов, находящихся как во включенном, так и в выключенном состоянии. Нелинейные локаторы могут не выявить радиозакладное устройство, если оно вмонтировано в электронное устройство (системный блок компьютера, телевизор, телефонный аппарат и т.п.), так как сигнал отклика от подслушивающего устройства будет замаскирован откликом от электронной аппаратуры. В этом случае потребуется применение более сложных устройств контроля постороннего радиоизлучения — индикаторов электромагнитного излучения, сканирующих приемников, компьютерных анализаторов.

    1. 1   ...   6   7   8   9   10   11   12   13   14

    написать администратору сайта