Инфа. Тема № 5 Состояние информационной безопасности в РФ. Учебные вопросы
Скачать 7.16 Mb.
|
Учебные вопросы: 1.Цели и задачи информационной безопасности; 2.Основы информационной безопасности; 3.Принципы обеспечения информационной безопасности 1.Цели и задачи информационной безопасности Информационная безопасность – обеспечение конфиденциальности и целостности информации, недопущение несанкционированных действий с ней, в частности, ее использования, раскрытия, искажения, изменения, исследования и уничтожения. Положения информационной безопасности одинаковы для всех форм хранения информации: физических, цифровых или любых других. С появлением компьютеризированных информационных систем безопасность данных вышла на первый план. Основные цели информационной безопасности Использование систем информационной безопасности ставит перед собой конкретные задачи по сохранению ключевых характеристик информации и обеспечивает: конфиденциальность данных – доступ есть только у лиц, имеющих на это полномочия; доступность информационных систем с находящимися в них данными конкретным пользователям, у которых есть право доступа к таким сведениям; целостность данных предполагает блокировку несанкционированного изменения информации; подлинность – полнота и общая точность информации; неотказуемость – возможность определить источник или авторство информации. Главная цель систем информационной безопасности – гарантия защиты данных от внешних и внутренних угроз. Для обеспечения в информационной системе полной конфиденциальности применяются четыре метода, актуальных для любого формата информации: ограничение или полное закрытие доступа к информации; шифрование; дробление на части и разрозненное хранение; скрытие самого факта существования информации. Виды информационных угроз Для определения правильной стратегии информационной защиты необходимо определить, что угрожает безопасности данных. Угрозы информационной безопасности – вероятные события и действия, которые в перспективе способны привести к утечке или потере данных, несанкционированному доступу к ним. Это, в свою очередь, приведет к моральному или материальному ущербу. Первичное свойство угроз информационных систем – происхождение, по которому угрозы делятся на следующие: Техногенные источники – угрозы, вызванные проблемами с техническим обеспечением, их прогнозирование затруднительно. Антропогенные источники – угрозы человеческих ошибок. Могут быть как нечаянными, так и преднамеренными атаками. Непреднамеренные угрозы – это случайная ошибка, например, пользователь по незнанию отключил антивирус. Как правило, антропогенные проблемы можно спрогнозировать для принятия предупредительных мер. Умышленные угрозы безопасности приводят к информационным преступлениям. Стихийные источники – непреодолимые обстоятельства, которые имеют низкую вероятность прогнозирования, и их предотвращение невозможно. Это различные стихийные бедствия, пожары, землетрясения, прекращение подачи электричества из-за ураганов. Также по расположению источника относительно информационной системы угрозы классифицируются на внешние и внутренние. Особенно применительно такое разделение к масштабным системам государственного уровня. Если внешний уровень – это атаки со стороны хакеров, компаний-конкурентов или враждебно настроенных государств, то внутренние угрозы обусловлены: низким уровнем программно-технического обеспечения; на государственном уровне – плохим развитием технологии передачи данных и ИТ-сектора в целом; низкой компьютерной грамотностью пользователей. Основная цель систем информационной безопасности – ликвидация внутренних угроз. Они обычно состоят в следующем: происходит изъятие данных злоумышленниками, уничтожаются информационные пакеты, что нарушает работу информационной среды; сотрудники создают бэкдоры или сливают информацию; шпионские программы незаметно воздействуют на рабочий код и системное оборудование. Поэтому фактически вся работа системы информационной безопасности сводится к созданию безопасных каналов связи, защите серверов, обеспечению безопасности внешних носителей и рабочих мест пользователей. Вопрос поддержания безопасности информационных систем одинаково остро стоит и перед обычными пользователями, и перед предприятиями. Потеря данных для компаний влечет за собой, прежде всего, потерю доверия и репутации. Для человека же в лучшем случае утечка выливается в навязчивый показ таргетированной рекламы, в худшем – конфиденциальная информация (пароли, данные банковских карт, сведения для входа в системы) может быть использована мошенниками в корыстных целях. Для контроля данных, обращающихся в информационной среде, используют различные программные средства: сверхмощные приложения, работа которых состоит в обеспечении безопасности и шифровании финансовых и банковских реестров информации; глобальные решения, работающие на уровне всего информационного массива; утилиты для решения конкретных проблем. Методы защиты информационных систем Смысл информационной защиты в сохранении информации в первозданном виде, исключая доступ посторонних. Системный подход состоит из четырех составляющих обеспечения безопасности: законы и нормативно-правовые акты; распределение задач между ИБ-подразделениями; политика информационной безопасности; техническое и программное обеспечение. Всем методам защиты на предприятии присущи такие характеристики: применение технических средств, фактическое использование которых растет по мере расширения информационного пространства и количества рабочих станций; постоянный мониторинг баз данных; непрерывная разработка новых вычислительных систем с улучшенными методами шифрования, постоянное шифрование уже имеющимися методами; ограничение доступа к информации на предприятии. Наиболее серьезную угрозу для информационных систем представляют компьютерные вирусы. Они приносят больше всего убытков информационной инфраструктуре. Основная проблема состоит в том, что антивирусное программное обеспечение не может полностью предупредить появление новых угроз. Вследствие этого, так или иначе, происходит повреждение информационных пакетов и нарушение работы информационных систем. Устранение проблемы возможно только по факту после нахождения вредоносного вмешательства. Также стоит упомянуть физические методы защиты информации – устройства, мгновенно распознающие стороннее вмешательство в систему. Для построения эффективной и работоспособной системы руководствуются примерным планом: выявляют необходимые данному объекту степени защиты; соотносят их с положениями законов и постановлений, действующих на территории страны в этом направлении деятельности; обращаются к предыдущим наработкам; назначают ответственные подразделения и распределяют ответственность между ними; определяют политику информационной безопасности данного объекта и используют необходимые программно-технические методы для ее внедрения. 2.Основы информационной безопасности. Информационная безопасность – состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п...» Защита информации – представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации. Угрозы информационной безопасности РФугроза информационной безопасности Российской Федерации (далее - информационная угроза) - совокупность действий и факторов, создающих опасность нанесения ущерба национальным интересам в информационной сфере; угрозы информационной безопасности классифицируются на угрозы1 К конфиденциальности 2 Ц целостности 3 Д доступности Соотношение внешних и внутренних угрозВнутренние угрозы:неквалифицированная внутренняя политика; отсутствие соответствующей квалификации персонала; преднамеренные и непреднамеренные действия персонала по нарушению безопасности; техногенные аварии и разрушения, пожары. Внешние угрозы:воздействия недобросовестных конкурентов; преднамеренные и непреднамеренные действия заинтересованных лиц и структур; утечка конфиденциальной информации; несанкционированное проникновение на объект защиты; несанкционированный доступ к носителям информации и каналам связи; стихийные бедствия; преднамеренные и непреднамеренные действия поставщиков услуг по обеспечению безопасности Угрозы безопасности информации в КС можно разделить на: а)случайные; б) преднамеренные.К случайным угрозам относятся: стихийные бедствия аварии; сбои и отказы технических средств; ошибки при разработке компьютерных систем; алгоритмические и программные ошибки; ошибки пользователей и обслуживающего персонала. К преднамеренным угрозам относятся:традиционный шпионаж и диверсии; несанкционированный доступ к информации (НСД); электромагнитные излучения и наводки (ПЭМИН); несанкционированная модификация структур; Вредоносное программное обеспечение (вирусы). Средства обеспечения информационной безопасности - средства, используемые силами обеспечения информационной безопасности. К ним относятся:Технические (Физические) Организационные Правовые Технологические Программные Технические меры-защита от несанкционированного доступа к системе -резервирование особо важных компьютерных подсистем -организация вычислительных сетей -установка противопожарного оборудования -оснащение замками, сигнализациями. Организационные мерыохрана вычислительного центра, тщательный подбор персонала, наличие плана восстановления работоспособности (после выхода из строя), универсальность средств защиты от всех пользователей. Организационные методы включают в себя три составляющие:ограничение доступа; разграничение доступа; контроль доступа. Ограничение доступа – это создание некоторых замкнутых рубежей вокруг объекта защиты.Доступ лиц к объекту осуществляется в контролируемых условиях и лишь для выполнения ими функциональных обязанностей. Ограничение доступа в отношении компьютерной системы заключается в такой организации ее работы, чтобы был исключен доступ к ней посторонних лиц: следует разместить компьютеризированное рабочее место в отдельном изолированном помещении, дверь в помещение должна быть оборудована механическим или электромеханическим замком. В период длительного отсутствия пользователя системный блок и носители информации могут быть изолированы в сейфе. Разграничения доступаразделение информации на части и организации доступа к ней в соответствии с функциональными обязанностями пользователя. Задача разграничения доступа состоитв защите информации от нарушителя, который входит в круг лиц, допущенных к работе в компьютерной системе. При этом деление информации может выполняться в соответствии с различными критериями: по степени важности, секретности, функциональному назначению и т.д. Обычно при организации разграничения доступа следует придерживаться следующих правил: техническое обслуживание оборудования в процессе эксплуатации должно выполняться специальным персоналом без доступа к информации, подлежащей защите; любое изменение программного обеспечения должен выполнять выделенный специально для этой цели специалист. Контроль доступа– это определение подлинности субъекта и фиксация факта доступа. При этом вначале каждому субъекту присваивается уникальный образ, имя или число. Идентификация- присвоение субъекту уникального образа, имени или числа Аутентификация- Установление подлинности субъекта, то есть процесс проверки, является ли субъект тем, за кого себя выдает. Общая процедура идентификации и аутентификации пользователя Правовые мерыРазработка норм, устанавливающих ответственность за компьютерные преступления; Защита авторских прав программистов; Совершенствование уголовного и гражданского законодательства. Спасибо за внимание!Программные методы защиты данных В крупных локальных сетях не так уж редки случаи заражения отдельных компьютеров или целой группы компьютеров различными вирусами. Наиболее распространенными методами защиты от вирусов по сей день остаются всевозможные антивирусные программы. Однако все чаще и чаще защита с помощью антивирусных программ становится недостаточно эффективной. В связи с этим, распространение получают программно-аппаратные методы защиты (Сетевые адаптеры Ethernet в Flash-памяти содержат антивирусную программу) 3.Принципы обеспечения информационной безопасности Принципы обеспечения безопасности классифицируют по четырем группам: ориентирующие; технические; организационные; управленческие. Ориентирующие принципы представляют собой основные идеи для поиска безопасных решений и накапливания информационной базы. К ним относятся: а) принцип активности оператора. Человек (оператор), не участвуя физически в управлении процессом, находится в состоянии постоянной готовности вмешаться в него (например, работа диспетчера); б) принцип гуманизации деятельности - ориентирует на рассмотрение проблем безопасности человека как первоочередных при решении любых производственных задач; в) принцип системности - ориентирует на учет всех без исключения элементов, формирующих опасные или вредные факторы, которые могут привести к несчастному случаю; г) принцип деструкции - направлен на поиск хотя бы одного элемента в системе обстоятельств, искусственное удаление которого позволило бы не допустить несчастного случая (например, понижение температуры в помещении не позволяет произойти самовозгоранию паров топлива или органической пыли); д) принцип снижения опасности - направлен не на ликвидацию опасности, а только на снижение ее уровня (например, снижение напряжения до 36 В при пользовании электроинструментом без заземления); е) принцип замены оператора - направлен на замену человека роботом, станками с программным управлением; ж) принцип ликвидации опасности - состоит в устранении опасных и вредных факторов при выполнении технологических процессов (например, замена опасного оборудования безопасным, применение научной организации труда и т. д.); з) принцип классификации - направлен на распределение опасных и вредных факторов по определенным признакам, что позволяет делать обоснованные прогнозы относительно неизвестных фактов или закономерностей Технические принципы основаны на использовании физических законов с применением технических средств. К ним относятся: а) принцип блокировки - исключает возможность проникновения человека в опасную зону (например, автоматические шлагбаумы, двери, заслонки, створки, которые закрываются или фиксируются при приближении человека к опасной зоне); б) принцип слабого звена - заключается в запланированном разрушении одного из звеньев механизма в случае его перегрузки (например, плавкие предохранители, шпонки, штифты, предохранительные муфты); в) принцип прочности - направлен на повышение уровня безопасности наиболее ответственных элементов конструкций путем повышения коэффициента запаса прочности, когда значения критериев разрушения материала превышают допустимые нагрузки в эксплуатации; г) принцип флегматизации - заключается в применении ингибиторов (инертных компонентов) в целях замедления скорости химических реакций или превращения горючих веществ в негорючие; д) принцип экранирования - заключается в размещении между человеком и источником опасности преграды, гарантирующей защиту от опасностей (защита от шума, магнитных полей, ионизирующих излучений и т. п.); е) принцип защиты расстоянием - заключается в том, что источник опасности устанавливается от человека на расстоянии, при котором обеспечивается заданный уровень безопасности. Принцип основан на том, что некоторые опасные или вредные факторы снижают свое воздействие на человека при увеличении расстояния; ж) принцип герметизации - заключается в обеспечении невозможности утечки жидкой или газовой среды из одной зоны в другую (сальниковые уплотнения, оболочки, баллоны, сильфоны, мембраны, диафрагмы); з) принцип вакуумирования - заключается в проведении технологических процессов при пониженном давлении по сравнению с атмосферным (например, для смещения точки кипения жидкости в сторону более низких температур, для транспортировки пыли в аппаратах, где вакуум позволяет вести процесс более экономично и безопасно); и) принцип компрессии - состоит в проведении в целях безопасности различных процессов под повышенным давлением по сравнению с атмосферным (например, для снижения температуры самовоспламенения в камерах с агрессивными средами: мука, сахарная пыль и т. д.). Организационные принципы - это те принципы, которые с целью повышения безопасности способствуют реализации положения научной организации деятельности. К ним относятся: а) принцип защиты временем - предполагает сокращение длительности нахождения человека под воздействием опасных или вредных факторов до безопасных значений, сокращение времени хранения продуктов и товаров в таре с целью предотвращения отравлений, взрывов и пожаров; б) принцип нормирования - состоит в регламентации условий, соблюдение которых обеспечивает необходимый уровень безопасности (например, ПДК ПДУ - предел допустимой концентрации вредных веществ в среде обитания, уровня излучений, воздействия магнитных полей и т. д.); в) принцип несовместимости - заключается в пространственном или временном разделении объектов реального мира с целью предотвращения их взаимодействия друг с другом (например, запрещено хранить в одном помещении продукты питания и токсико-химические вещества или краски); г) принцип эргономичности - состоит в том, что для обеспечения безопасности учитываются антропометрические, психофизические и психологические свойства человека при создании рабочего места, места отдыха и социально-бытовых нужд; д) принцип информации - заключается в передаче и усвоении персоналом сведений, обеспечивающих необходимый уровень безопасности (например, инструктаж, обучение, предупреждающие знаки, сигнализация); е) принцип резервирования (дублирования) - состоит в одновременном применении нескольких устройств, способов, приемов, направленных на защиту от одной и той же опасности (например, несколько выходов для эвакуации в помещениях, несколько двигателей в самолете, аварийное освещение в зданиях, имеющее несколько различных источников энергопитания), ж) принцип подбора кадров - заключается в таком подборе людей по специальности, практическому опыту работы, формирования структуры служб и отделов, которые были бы способны обеспечить необходимый уровень безопасности на производстве; з) принцип последовательности - заключается в формировании определенной очередности выполнения операций, процессов, регламентных работ с целью снижения уровня опасности (например, перед допуском рабочего к выполнению работы проводится инструктаж по технике безопасности, перед включением в работу станочного оборудования - выполняется техосмотр). Управленческие принципы - это те принципы, которые определяют взаимосвязь и отношения между отдельными стадиями и этапами процесса обеспечения безопасности. К ним относятся: а) принцип плановости - состоит в установлении на определенном периоде количественных показателей и направлений деятельности. Планирование в области безопасности направлено на улучшение условий труда, б) принцип стимулирования - опирается на распределение материальных благ и моральных поощрений в зависимости от результатов труда работающего, в) принцип компенсации - состоит в предоставлении дополнительных льгот на работах с тяжелыми условиями труда с целью восстановления или поддержания здоровья (например, повышение тарифных ставок для работающих по "горячей сетке", выдача лечебно-профилактического питания для предупреждения профессиональных заболеваний); г) принцип эффективности - состоит в сопоставлении фактических результатов с плановыми и оценке достигнутых показателей по критериям затрат и выгод (например, контроль уровня травматизма на производстве, улучшение условий труда по сравнению с принятыми обязательствами); д) принцип контроля - заключается в организации органов контроля и надзора с целью проверки объектов на соответствие их регламентированным требованиям безопасности; е) принцип обратной связи - заключается в организации системы получения информации о результатах воздействия управляющей системы на управляемую путем сравнения параметров соответствующих состояний (например, контроль за расходом топлива в зависимости от скорости движения автомобиля); ж) принцип адекватности - заключается в том, что система управляющая должна быть адекватно сложной по сравнению с управляемой; з) принцип ответственности - означает, что для обеспечения безопасности должны быть регламентированы права, обязанности и ответственность лиц, которые участвуют в управлении безопасностью (например, за здоровье и жизни людей отвечает руководитель предприятия, а контроль за условиями труда должен быть возложен на работника службы охраны труда). |