Главная страница
Навигация по странице:

  • Имитация

  • Законодательный уровень

  • Программно-технологический уровень

  • Безопасность геоинформационных технологий

  • Информационная безопасность_лекция 2. Тема Интегрированная система информационной безопасности


    Скачать 81 Kb.
    НазваниеТема Интегрированная система информационной безопасности
    АнкорИнформационная безопасность_лекция 2.doc
    Дата13.03.2019
    Размер81 Kb.
    Формат файлаdoc
    Имя файлаИнформационная безопасность_лекция 2.doc
    ТипДокументы
    #25681

    доц. В.И.Морозова дисц. «Информационная безопасность»

    Тема 2. Интегрированная система информационной безопасности

    1. Понятие интегрированной системы информационной безопасности
    2. Информационная безопасность и геоинформационные технологии.


    Концепция безопасности

    1. Безопасность геоинформационных технологий


    Информационная безопасность в компьютерных и коммуникационных системах является одной из самых актуальных тем в современной информатике. В настоящее время многие организации столкнулись с потерей жизненно важной информации, вызванной сбоями компьютерных систем, несанкционированным проникновением злоумышленников в их корпоративные сети. Это привело к необходимости использования интегрированной системы информационной безопасности (ИСИБ), базирующейся на трех основных принципах:

    • целостность данных - защита данных от сбоев, искажений и уничтожения;

    • конфиденциальность информации - доступ к информации только тех пользователей, которые наделены соответствующими правами;

    • доступность информации для всех авторизованных пользователей.

    Интегрированная система информационной безопасности включает в себя:

    1. выработку политики информационной безопасности, определяющую какую информацию и от кого следует защищать; кому и какая информация требуется для служебного использования; требования к степени защиты для каждого вида информации; размеры ущерба от потери того или иного вида информации; организация работ по защите информации. Для выработки политики информационной безопасности необходимо осуществить сбор информации, отражающей структуру организации; перечень и характеристики функций, выполняемых каждым подразделением и сотрудниками; описание функциональных связей между подразделениями и отдельными рабочими местами; перечень информационных объектов, циркулирующих в системе; перечень применяемых прикладных и системных программ; описание топологии комплекса технических средств. Полученные данные обрабатываются и систематизируются. Информационные объекты можно классифицировать: по тематике, по иерархическому признаку, по предполагаемому размеру ущерба от потери того или иного вида информации, по сложности ее восстановления. Для осуществления поставленной задачи необходимо создание независимого подразделения информационной безопасности, основными функциями которого являются предоставление пользователям доступа к информации в соответствии с принятой в организации политикой безопасности, а также контролем за ее выполнением.

    2. анализ рисков, заключающийся в оценке ситуаций, в результате которых произошли потеря или рассекречивание данных. Здесь необходимо определить требования к средствам обеспечения информационной безопасности и осуществить выбор соответствующих программных средств и технических решений. По результатам анализа составляется отчет, в котором содержится перечень рисков, упорядоченных по степени их «опасности», и рекомендации по их снижению. Проведенный анализ должен предоставить руководству предприятия всю информацию для принятия соответствующих защитных мер.

    3. планирование обеспечения безопасности заключается в разработке документа (плана), содержащего описание мер, средств и способов обеспечения информационной безопасности, а также последовательности их выполнения.

    4. планирование действий в чрезвычайной ситуацииподразумевает определение резервных средств для обеспечения функционирования организации и восстановления работоспособности системы. План действий в чрезвычайной ситуации разрабатывается на основе результатов анализа рисков.

    5. средства обеспечения информационной безопасности:

    • системы контроля доступа управляют правами доступа пользователей, регистрируют обращения к данным, осуществляют аутентификацию пользователей и сетевых систем;

    • системы шифрования информации (кодирование данных, хранящихся на дисках пользователей и передаваемые по телекоммуникационным каналам);

    • системы электронно-цифровой подписи обеспечивают аутентификацию получаемой информации и контроль ее целостности;

    • системы антивирусной защиты контролируют состояние памяти ВС, предотвращают заражение файлов на локальных и сетевых дисках, а также распространение вирусов по сети;

    • системы защиты firewall осуществляют авторизацию входящего и исходящего трафика между локальной компьютерной сетью и Internet;

    • системы резервного хранения и восстановления информации.

    Все необходимые действия по сбору и анализу информации, а также планированию мероприятий в рамках ИСИБ выполняются специальными подразделениями информационной безопасности (в крупных организациях) и системными администраторами (в небольших организациях).

    В Windows NT реализованы средства аутентификации, авторизации и аудита, которые можно встретить во многих операционных системах (например, UNIX или OS/2).

    Для формирования политики назначения и использования паролей администратору предоставляются гибкие средства, обеспечивающие: задание максимального и минимального сроков действия пароля; хранение списка уже использованных паролей; управление поведением системы после нескольких неудачных попыток логического входа и т.п.

    Примечание. В Internet появилась демо-версия интеллектуальной утилиты NT_Cracker, которая проверяет существующие в системе Windows NT пароли на возможность их разгадывания.

    Информационная безопасность и геоинформационные технологии


    В течение первой половины века широко использовался термин "защита информации". В 60-е годы возникло понятие "компьютерной безопасности", в 70-е - "безопасность данных". В настоящее время более полным понятием, связанным с безопасностью в компьютерных системах и информационных технологиях, является понятие "информационная безопасность".

    Системы информационной безопасности становятся доминирующими в системах национальной безопасности, в безопасности предпринимательской, финансовой и производственной деятельности. В настоящее время информация стала объектом гражданско-правовых отношений и вошла в рыночный оборот. На получение и систематизацию различных информационных продуктов и услуг, на формирование информационных ресурсов затрачиваются значительные финансовые средства. В связи с этим выдвигаются требования к постепенному сокращению безвозмездного доступа к информационным ресурсам и обеспечению их защиты от несанкционированно распространения.

    Необходимость защиты информации возрастает по мере увеличения ее ценности, с развитием электронных систем и технологий телекоммуникаций, с возрастанием уровня информатизации общества и повышением технического уровня конечных пользователей компьютерных технологий.

    Меры, принимаемые при защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе называют информационной безопасностью. Информационная безопасность (ИБ) включает в себя комплекс мер по защите процессов обработки, хранения и представления информации. ИБ дает гарантию в достижении следующих целей:

    • конфиденциальность информации;

    • целостность информации и связанных с ней процессов;

    • доступность информации по мере ее необходимости;

    • учет всех процессов, связанных с обработкой информации.

    Для организации систем ИБ необходимо классифицировать информационные объекты и субъекты доступа к ним. Множество информационных объектов можно условно разделить на две категории: с ограниченным доступов и общедоступные. Причем, некоторые категории общедоступной информации могут со временем переходить в категорию с ограниченным доступом и наоборот. Существуют категории общедоступной информации, доступ к которым не может быть ограничен, например сведения о состоянии окружающей среды.

    При организации систем ИБ необходимо принять во внимание основные группы методов, используемых для совершения НСД. К этим группам относятся:

    Имитация - подмена информации в процессе ее ввода или вывода.

    Сканирование - методы анализа всей доступной информации.

    "Троянский конь" - группа методов, основанных на подмене известной программы или информационного продукта аналогом, содержащим дополнительные функции.

    "Люк" - методы (упрощенный вариант предшествующей группы), основанные на использовании скрытого программного или аппаратного механизма, позволяющего обойти методы защиты в системе и войти в системы.

    Технология "салями" - методы, основанные на НСД, совершаемых небольшими частями (незаметными). Обычно эта технология сопровождается изменением программы, например, платежи округляются до нескольких центов, а разница между реальной и округленной суммой поступает на специально открытый счет злоумышленника.

    Суперотключение - специфическая группа методов, основанных на входе в систему в сбойных ситуациях. Названа по имени программы, применявшейся в ряде компьютерных центров, которая обходила системные меры защиты и использовалась при аварийных ситуациях.

    В процессе создания новых технологий в результате интеллектуального труда возникают информационные объекты, представляющие информационную ценность. Это могут быть алгоритмы, методики работ, перспективные технические решения, результаты маркетинговых исследований и т.д. Существуют два вида защиты информации:

    1. пассивная защита - характерна режимом открытости, доступности для всех лиц кроме тех, которые могут ее использовать в коммерческих целях. Такую защиту информационных продуктов устанавливает патентное и авторское право.

    2. активная защита - связана с установлением режимов секретности и разграничения доступа. Такую защиту обеспечивает система ИБ.

    Система ИБ должна постоянно совершенствоваться. Это должно быть заложено в концепции безопасности. Концепция безопасности реализуется политикой безопасности. В настоящее время политика безопасности во многих странах осуществляется на четырех уровнях: законодательном, административном, процедурном, программно-технологическом.

    Законодательный уровень политики безопасности, определяемый нормативно-правовой информационной базой страны.

    Административный уровень - определяется рядом организационно-управленческих мероприятий, предпринимаемых на каждом предприятии или фирме. Он обеспечивается совокупностью документированных управленческих решений, направленных на защиту информации. Сюда входят следующие разделы:

    • Организационный (описание подразделений, комиссий, групп и т.д., отвечающих за работу в области ИБ);

    • Классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;

    • Штатный (описание должностей, организации обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);

    • Раздел, освещающий вопросы физической защиты;

    • Раздел, описывающий правила разграничения доступа к производственной информации;

    • Раздел, характеризующий порядок разработки и сопровождения систем;

    • Раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;

    • Юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

    Административный уровень - белое пятно в отечественной практике. На сегодня нет законов, обязывающих организацию проводить политику безопасности.

    Процедурный уровень - меры безопасности, реализуемы на низшем (операционном) уровне управления (управление персоналом, физическая защита, реагирование на нарушения режима безопасности, планирование восстановительных работ).

    Программно-технологический уровень включает меры безопасности, реализуемые за счет программно-технических средств. Этот уровень можно считать уровнем реализации, в то время как остальные уровни - уровни организации.

    В рамках этого уровня должны быть доступны, по крайней мере, следующие механизмы обеспечения ИБ:

    • идентификация и проверка подлинности (аутентификация) пользователей;

    • управление доступом;

    • протоколирование и аудит;

    • криптография;

    • (межсетевое) экранирование.

    В соответствии с действующим законодательством в России порядком, за идентификацию/аутентификацию, управление доступом, протоколирование/аудит отвечает Гостехкомиссия России, за криптографию - ФАПСИ1, межсетевое экранирование является спорной территорией.

    Безопасность геоинформационных технологий

    Особенностью современных геоинформационных систем (ГИС) является то, что они построены на основе интеграции многих информационных систем, интеграции данных и интеграции технологий. Это определяет разнообразие данных, применяемых в ГИС. Другой особенностью является то, что ГИС-технологии охватывают более широкий спектр систем по сравнению с ГИС, поэтому рассмотрение ИБ ГИС-технологий включает вопросы ИБ ГИС. Разнообразие обрабаатывемых данных и широта технологий определяет повышенную уязвимость ГИС-технологий к НСД.

    Цель функционирования системы информационной безопасности ГИС-технологий:

    Информационная безопасность требует учета всех событий, в течение которых информация создается, модифицируется, к ней осуществляется доступ или распространение.

    На процедурном уровне прослеживаются четыре функции системы информационной безопасности ГИС:

    предотвращение – доступ к информации и ГИС-технологии авторизованного персонала;

    обнаружение – раннее выявление преступлений и злоупотреблений, даже если механизмы защиты были обойдены;

    ограничение – снижение размера последствий НДС при его прохождении;

    восстановление - обеспечение восстановления информации при наличии документированных и проверенных планов по восстановлению.

    Безопасность геоинформационных технологий – это более широкое и глубокое понятие, чем защита информации. Под безопасностью ГИС-технологий понимается их способность обеспечивать защиту информационных ресурсов и технологий от действия внутренних и внешних, случайных и преднамеренных угроз, а также выполнение предписанных им функций без нанесения ущерба потребителям информации.

    В связи с тем, что состояние внешней среды по отношению к ГИС-технологиям постоянно меняется, необходимо периодически проводить их внешний аудит. Внутренний аудит – это анализ системных журналов, внешний – оценка безопасности ГИС и ГИС-технологий к внешним угрозам.

    Оценка безопасности ГИС-технологий проводится в целях соответствия достигнутого уровня безопасности заданному в ТЗ на разработку ГИС-технологий, а также соответствия параметров требованиям стандартов и нормативных документов в отношении ГИС-технологий данного класса. При определении оценки безопасности используются спецификации, нормативные материалы, программно-методический аппарат проведения оценок и принятые стандарты и критерии.

    В настоящее время общеупотребительным подходом к построению критериев оценки безопасности ГИС-технологий является использование совокупности определенным образом упорядоченных качественных требований к функциональным механизмам обеспечения безопасности, их эффективности и гарантированности реализации. Такая совокупность гармонизированных стандартов и критериев оценки называется профилем.

    Результирующая оценка уровня безопасности ГИС-технологий имеет качественное выражение. Такой подход положен в основу всех реально действующих нормативных документов по оценке безопасности. Пока ни в одном из нормативных документов по оценке безопасности количественные показатели не применяются, хотя в некоторых допускается их использование.

    Специфика информационных технологий как объекта оценки определяется присутствием в них программного обеспечения в качестве определяющего компонента.

    Ввиду большой функциональной, структурной и логической сложности программного обеспечения на практике невозможно в полном объеме оценить его поведение во всем возможном диапазоне его применения.

    Современное программно-технологическое обеспечение для ГИС представляет собой совокупность более-менее самостоятельных частей, которые сами по себе являются объектами авторского права: программные модули, фотоизображения, графические изображения, картографические произведения и т.д. Стать обладателем исключительных прав на такой комплекс можно только будучи автором всего информационного продукта в целом или автором частей комплекса, но в этом случае права на оставшиеся части необходимо получить от авторов или владельцев других частей.

    В качестве общих требований к нормативно-методической базе оценке безопасности ГИС-технологий можно выделить следующие:

    • универсальность, способность обеспечивать оценку безопасности любых видов ГИС-технологий и отдельных их компонентов;

    • гибкость, способность формирования требований и получения оценок безопасности ГИС-технологий, максимально учитывающих особенности их применения;

    • конструктивность, способность объективным образом оценивать уровень безопасности ГИС-технологий и влиять на процесс ее обеспечения;

    • преемственность, способность интерпретировать результаты оценок, полученных в других системах оценки безопасности ГИС-технологий;

    • расширяемость, способность наращивания системы критериев и показателей без нарушения их общего построения.

    Рассмотрение существующих систем нормативных документов в области сертификации ГИС-технологий показывает, что в своей основе они в значительной мере этим требованиям не удовлетворяют, и, что необходимо их совершенствование.

    Применение средств защиты на уровне приложений ГИС-технологий – наиболее надежный, но и сложный вариант, так как реализовать его может только сам разработчик. Этот метод дает более строгий контроль доступа к данным и процессам обработки, так как позволяет заложить в систему алгоритмы всевозможных проверок, отличные от стандартных, хорошо известных хакерам. Такой подход позволяет создать систему самотестирования – метода анализа программного продукта им самим, реагирующего на все попытки проникновения извне.

    Некоторые разработчики коммерческих приложений вместе с основными продуктами поставляют собственные программы администрирования своих же приложений (прикладные утилиты администрирования), что позволяет достичь более высокой степени защиты и контроля работающих приложений. При этом администратору системы не нужны внешние программы администрирования, так как вся необходимая информация (списки пользователей, их пароли и права доступа) контролируются упомянутыми утилитами. Пока эти работы в области ГИС-технологий ведутся недостаточно эффективно.

    Надежная система безопасности должна не только выполнять оперативные функции предотвращения НДС, но и функцию аудитора, фиксируя в аудиторском журнале все подозрительные события за время работы системы. Особенно важно для ГИС-технологий то, что система информационной безопасности должна включать периодическое резервное копирование. В ГИС обрабатывается много разнообразных взаимосвязанных данных (изображения, таблицы, графика и т.д.). Повреждение чего-либо из этой совокупности или нарушение связей приведут к невозможности дальнейшей работы.

    Проблема организации информационной безопасности стоит особенно остро в ГИС-технологиях, если учесть, что они планируются к использованию и уже применяются как системы регионального и муниципального управления.

    1 ФАПСИ – Федеральное Агентство Правительственной связи и информации





    написать администратору сайта