МиСЗИ Лекция 6. Информационная безопасность основные понятия и определения Основные законы кр по обеспечению иб понятие информационной безопасности. Основные составляющие информационной безопасности. Важность и сложность проблемы информационной безопасности
 Скачать 0.63 Mb.
|
|
Информационная безопасность: основные понятия и определения Основные законы КР по обеспечению ИБ Понятие информационной безопасности. Основные составляющие информационной безопасности. Важность и сложность проблемы информационной безопасности. Правовую основу обеспечения информационной безопасности настоящее время составляют Конституция КР, Концепция национальной безопасности Кыргызской Республики, законы Кыргызской Республики: "О гарантиях и свободе доступа к информации", "О защите государственных секретов Кыргызской Республики", "О средствах массовой информации", "О телевидении и радиовещании", "Об издательском деле", "Об обязательном экземпляре документов", "Об электрической и почтовой связи", "Об электронном управлении, постановление Правительства Кыргызской Республики "Об утверждении Требований к защите информации, содержащейся в базах данных государственных информационных систем" от 21 ноября 2017 года № 762, другие нормативные правовые акты Кыргызской Республики, а также международные договоры, участницей которых является Кыргызская Республика. Основные законы КР по обеспечению ИБ В концепции используются следующие основные термины: национальные интересы КР в информационной среде (далее - национальные интересы в информационной среде) - объективно значимые потребности в сохранении системы жизненных устоев и ценностей, обеспечении устойчивого развития и защищенности личности, общества и государства в информационной сфере; информационная безопасность КР (далее - информационная безопасность) - состояние защищенности личности, общества и государства от информационных угроз; угроза информационной безопасности - потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба национальным интересам в информационной сфере в краткосрочной и долгосрочной перспективе; обеспечение информационной безопасности - осуществление комплекса общегосударственных и отраслевых мер по прогнозированию, выявлению, предупреждению и нейтрализации информационных угроз, а также устранению последствий их проявления; система обеспечения информационной безопасности - часть системы национальной безопасности, включающая совокупность сил и средств обеспечения информационной безопасности; силы обеспечения информационной безопасности - государственные органы, органы местного самоуправления и организации, уполномоченные в соответствии с законодательством Кыргызской Республики на участие в обеспечении информационной безопасности; (к постановлению Правительства Кыргызской Республики от 3 мая 2019 года № 209) КОНЦЕПЦИЯ информационной безопасности Кыргызской Республики на 2019-2023 годы информационная инфраструктура - совокупность информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления технологическими процессами, используемых для формирования, создания, преобразования, передачи, использования и хранения информации, а также для управления технологическими процессами; информационная сфера - совокупность информации, объектов информатизации, информационных систем, информационно-телекоммуникационных сетей, сетей связи, информационных технологий, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений; объект информационных отношений - информация, информационные технологии, информационная инфраструктура, информационные ресурсы, информационные процессы, направленные на удовлетворение информационных потребностей общества; субъект информационных отношений - физические и юридические лица, их объединения, государственные и негосударственные организации, общество в целом, которые являются участниками информационных отношений, наделенные определенными правами и обязанностями в информационной сфере и способные их осуществлять; информационное воздействие - действия, направленные на изменение восприятия информации субъектом информационной среды; методы обеспечения информационной безопасности - правовые, организационно-технические и экономические методы, направленные на обеспечение информационной безопасности; информационное пространство - сфера деятельности, связанная с формированием, созданием, преобразованием, передачей, использованием и хранением информации; контент - любое информационно-значимое наполнение средств массовой коммуникации. Под средствами массовой коммуникации понимается совокупность средств массовой информации (пресса, радио, телевидение, сеть Интернет) и средств массового воздействия (театр, кино, цирк, литература). 2. Понятие информационной безопасности.Под информацией (информационным обеспечением) понимается любой вид накапливаемых, хранимых и обрабатываемых данных. Движение информации в ЭВМ неразрывно связано с функционированием программ ее обработки и обслуживания (информационное программное обеспечение). Под информационной безопасностью понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности. Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Информационная безопасность является одним из важнейших аспектов интегральной безопасности. Факты информационных нападений на сайты государственных органов КР с целью нарушить целостность систем передачи данных: - В январе 2015 года хакеры осуществили дефейс (тип хакерской атаки, при которой страница web-сайта заменяется другой) сайта Духовного управления мусульман Кыргызстана и вывесили на главную страницу экстремистские материалы. На восстановление доступа к сайту у его владельцев ушло несколько дней. Через 9 месяцев после атаки на сайт ДУМК, был дважды зарегистрирован несанкционированный доступ к сайту МЧС республики. Эту проблему решили за несколько часов благодаря оперативным действиям сотрудников МЧС. Но самое громкое событие произошло 4 сентября 2015 года. За один этот день хакеры сделали дефейс порталов сразу четырёх госорганов: Госагентства связи, Агентства по охране окружающей среды, Национальной библиотеки и Фонда обязательного медицинского страхования. Вычислить злоумышленников тогда не удалось. Но специалисты предположили, что дефейс всех четырёх ресурсов сделала одна группа, использовавшая уязвимость в CMS (системе управления) этих ресурсов. В ноябре того же года сделали дефейс сайта Министерства культуры, информации и туризма. Этот сайт восстанавливали 2 месяца. Хуже всего то, что очень малая часть инцидентов в сфере ИБ становится известна широкой аудитории. В пяти из восьми вышеперечисленных случаев ведомства-владельцы сайтов и общественность о дефейсе узнали от журналистов и пользователей соцсетей. Меры информационной безопасности в Кыргызстане фактически никак не закреплены. Да, какие-то нормы по хранению государственных тайн и работе с персональными данными существуют. Например, ни в административном, ни в уголовном кодексе не прописана ответственность субъектов, например, за утерю данных. Жёсткие меры предусмотрены только в отношении гостайн. Сведения аналитического центра КР «Стратегия Восток-Запад» Проблемы информационной безопасности КР Проблемы информационной безопасности РФИллюстрациями являются следующие факты:
По сведениям ФБР ущерб от компьютерных преступлений в США в 1997 г. составил 136 миллионов долларов. По данным отчета «Компьютерная преступность и безопасность – 1999: проблемы и тенденции» 32% респондентов – обращались в правоохранительные органы по поводу компьютерных преступлений 30% респондентов – сообщили, что их ИС были взломаны злоумышленниками; 57% - подверглись атакам через Интернет; 55% - отметили случаи нарушений ИБ со стороны собственных сотрудников; 33 % - не смогли ответить не вопрос «были ли взломаны Ваши веб-серверы и системы электронной коммерции?». Проблемы информационной безопасностиГлобальное исследование по информационной безопасности 2004 г., проведенное консалтинговой фирмой Ernst&Young выявило следующие основные аспекты:
По мнению респондентов «недостаточная осведомленность в вопросах ИБ» является главным препятствием для создания эффективной системы ИБ. Лишь 28% отметили в качестве приоритетных задач «повышение уровня обучения сотрудников в области ИБ»; «Неправомерные действия сотрудников при работе с ИС» были поставлены на второе место по распространенности угроз ИБ, после вирусов, «троянов» и Интернет-червей. Менее 50% респондентов проводят обучения сотрудников в области ИБ; Лишь 24% опрошенных считают, что их отделы ИБ заслуживают наивысшей оценки за удовлетворение бизнес потребностей своих организаций своих организаций; Лишь 11% респондентов считают, что принятые государственными органами нормативные акты в области безопасности позволили существенно улучшить состояние их информационной безопасности. Угроза информационной безопасности (ИБ) – потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Попытка реализации угрозы называется атакой. Классификация угроз ИБ можно выполнить по нескольким критериям:
по компонентам ИС, на которые угрозы нацелены (данные, программа, аппаратура, поддерживающая инфраструктура); по способу осуществления (случайные или преднамеренные действия природного или техногенного характера); по расположению источника угроз (внутри или вне рассматриваемой ИС). Угрозы информационной безопасности1. Уничтожение информационных объектов 2. Утечка информации 3. Искажение информации 4. Блокирование объекта информации Объекты защиты информации Владельцы и пользователи Носители и средства обработки Системы связи и информатизации Объекты органов управления 3. Основные составляющие информационной безопасности.Информационная безопасность - многогранная, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход. Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры. Примеры реализации угрозы нарушения конфиденциальностиЧасть информации, хранящейся и обрабатываемой в ИС, должна быть сокрыта от посторонних. Передача данной информации может нанести ущерб как организации, так и самой информационной системе. Конфиденциальная информация может быть разделена на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, однако ее раскрытие может привести к несанкционированному доступу ко всей информации. Предметная информация содержит информацию, раскрытие которой может привести к ущербу (экономическому, моральному) организации или лица. Средствами атаки могут служить различные технические средства (подслушивание разговоров, сети), другие способы (несанкционированная передача паролей доступа и т.п.). Важный аспект – непрерывность защиты данных на всем жизненном цикле ее хранения и обработки. Пример нарушения – доступное хранение резервных копий данных. Примеры реализации угрозы нарушения целостности данныхОдними из наиболее часто реализуемых угроз ИБ являются кражи и подлоги. В информационных системах несанкционированное изменение информации может привести к потерям. Целостность информации может быть разделена на статическую и динамическую. Примерами нарушения статической целостности являются:
несанкционированное изменение данных; изменение программного модуля вирусом; Примеры нарушения динамической целостности: нарушение атомарности транзакций; дублирование данных; внесение дополнительных пакетов в сетевой трафик. Понятие атаки на информационную системуАтака – любое действие или последовательность действий, использующих уязвимости информационной системы и приводящих к нарушению политики безопасности. Механизм безопасности – программное и/или аппаратное средство, которое определяет и/или предотвращает атаку. Сервис безопасности - сервис, который обеспечивает задаваемую политикой безопасность систем и/или передаваемых данных, либо определяет осуществление атаки. Сервис использует один или более механизмов безопасности. Принципы обеспечения информационной безопасностиСистемность; Комплексность; Непрерывность защиты; Разумная достаточность; Гибкость управления и применения; Открытость алгоритмов и механизмом защиты; Простота применения защитных мер и средств. Принцип системностиУчет всех элементов, условий, факторов при всех видах информационной деятельности, при всех режимах функционирования, на всех этапах функционального цикла,при всех видах взаимодействия с внешней средой. Принцип комплексностиСогласование всех разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее элементов. Принцип непрерывностиПринятие соответствующих мер защиты на всех этапах жизненного цикла ИС от разработки до завершения этапа функционирования. Разумная достаточностьПри достаточном времени и средствах преодолевается любая защита.Поэтому имеет смысл создавать только достаточный уровень защиты, при котором затраты, риск, размер возможного ущерба были бы приемлемы. Угрозы информационной безопасности многогранны и заранее не определены. Для успешного противодействия необходимо наличие возможности изменения применяемых средств, оперативного включения или исключения используемых средств защиты данных, добавления новых механизмов защиты. Открытость механизмов защитыЗнание алгоритмов защиты не должно давать средств и возможностей ее преодоления.Это не означает, что информация о системе защиты должна быть общедоступна-параметры системы должны быть также защищены. Принцип простоты применения средств защитыМеханизмы защиты должны быть понятны и просты в использовании.Не должны использоваться специальные языки, малопонятные или трудоемкие для пользователя дополнительные действия. Виды утечки информации (гост Р 50922-96)Разглашение Несанкционированный доступ к информации Получение защищаемой информации разведками Каналы утечки информацииЭлектромагнитный канал(частотный , сетевой, линейный каналы и заземление) Акустический канал Визуальный канал Информационный канал(линии связи, локальные сети,машинные носители информации,терминальные и периферийные устройства) Основные принципы обеспечения информационной безопасности предприятияОбеспечение целостности и сохранности данных; Соблюдение конфиденциальности информации; Доступность информации для всех авторизованных пользователей при условии контроля за всеми процессами использования ими получаемой информации Беспрепятственный доступ к информации в любой момент, когда она может понадобиться предприятию. Для реализации данных принципов необходима интегрированная система информационной безопасности, выполняющая следующие функции: Выработку политики информационной безопасности; Анализ рисков (ситуаций, в которых может быть нарушена нормальная работа ИС, а также утрачены или рассекречены данные); Планирование мер по обеспечению ИБ; Планирование действий в чрезвычайных ситуациях; Выбор технических средств обеспечения ИБ. Политика безопасностиПолитика безопасности Совокупность правил и норм по уровню информационной безопасности, по характеру и способам обрабатываемой информации, правилам ее хранения и доступа и применяемым средствам защиты. Политика ИБ определяет: Какую информацию и от кого (чего) следует защищать; Кому и какая информация требуется для выполнения служебных обязанностей; Какая степень защиты необходима для каждого вида информации; Чем грозит потеря того или иного вида информации; Как организовать работу по защите информации. Основные механизмы безопасностиИдентификация и аутентификация Управление доступом Протоколирование и аудит Криптография Экранирование Физическая защита инфраструктуры 4. Важность и сложность проблемы информационной безопасности.Защита информации (ЗИ) – комплекс мероприятий, направленных на обеспечение важнейших аспектов ИБ: доступности, целостности и конфиденциальности. Система называется безопасной (надежной), если она, используя соответствующие аппаратные и программные средства, управляет доступом к информации так, что только должным образом авторизованные лица или же действующие от их имени процессы получают право читать, писать, создавать и удалять информацию. Система считается надежной, если она, с использованием достаточных аппаратных и программных средств обеспечивает одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа. Основными критериями оценки надежности являются: политика безопасности и гарантированность. Политика безопасности отображает тот набор законов, правил и норм поведения, которым пользуется конкретная организации при обработке, защите и распространении информации. Гарантированность показывает насколько корректно выбраны механизмы, обеспечивающие безопасность системы. В надежной системе должны регистрироваться все происходящие события, касающиеся безопасности системы (должен использоваться механизм подотчетности, протоколирования, дополняющийся анализом заполненной информации, т.е. аудитом). Формирование режима ИБ – проблема комплексная. Меры по ее решению можно разделить на четыре уровня: Законодательный (законы, нормативные акты, стандарты и т.д.) Административный (действия общего характера, предпринимаемые руководством организации) Процедурный (конкретные меры безопасности, имеющие дело с людьми) Программно-технический (конкретные технические меры ). Методы обеспечения ИБРассмотрим пример классификации методов, используемых для обеспечения информационной безопасности:
управление доступом – метод защиты с помощью регулирования использования информационных ресурсов системы; маскировка – метод защиты информации путем ее криптографического преобразования; регламентация – метод защиты информации, создающий условия автоматизированной обработки, при которых возможности несанкционированного доступа сводится к минимуму; принуждение – метод защиты, при котором персонал вынужден соблюдать правила обработки, передачи и использования информации; побуждение – метод защиты, при котором пользователь побуждается не нарушать режимы обработки, передачи и использования информации за счет соблюдения этических и моральных норм. Средства защиты информационных системТакие средства могут быть классифицированы по следующим признакам:
физические средства – реализуются в виде автономных устройств и систем; программные средства – программное обеспечение, предназначенное для выполнения функций защиты информации; криптографические средства – математические алгоритмы, обеспечивающие преобразования данных для решения задач информационной безопасности; организационные средства – совокупность организационно-технических и организационно-правовых мероприятий; морально-этические средства – реализуются в виде норм, сложившихся по мере распространения ЭВМ и информационных технологий; законодательные средства – совокупность законодательных актов, регламентирующих правила пользования ИС, обработку и передачу информации. Этапы реализации механизмов ИБ-11) Формулировка угроз и выбор стандартов безопасности 2)Декомпозиция информационной системы 3) Анализ потов информации 4) Разработка (выбор) мер информационной защиты 5) Определение иерархии угроз по степени опасности. Этапы реализации механизмов ИБ-26) Определение иерархии защитных мероприятий 7) Формулировка политики безопасности 8) Анализ вероятности угроз 9) Анализ человеческого фактора 10) Анализ опасности перехвата данных Этапы реализации механизмов ИБ-311) Определение реакций на нарушения режима ИБ 12) Проверка сервисов безопасности на корректность 13) Реализация механизма идентификации и аутентификации 14) Выбор парольной системы 15) Реализация протоколирования и аудита Этапы реализации механизмов ИБ-416) Выбор стандартов шифрования 17) Установка механизмов экранирования 18) Установка технических средств идентификации (электронные замки и т.п.) 19) Организация режима поддержки работоспособности системы 20) Определение направлений модернизации системы в случае обнаружения слабости информационной защиты Стандарт защищенности США«Оранжевая книга»- стандарт США, принят в 1985 г. Предоставляет производителям и экспертам стандарт для разрабатываемых программных продуктов по обеспечению требований гарантированной защищенности при обработке информации. Европейские критерии ИБСтандарт ISO-IEC 15408. Общие критерии оценки информационной безопасности. Стандарт ISO 17799. Международный стандарт сетевой безопасности. Ripe MD-160. Стандарт цифровой подписи. Российские стандарты ИБСтандарт шифрования ГОСТ 28147-89 Стандарт хэш-функции ГОСТ Р 34.11-94 Стандарт цифровой подписи ГОСТ Р 34.10-94 Средства вычислительной техники. Защита от НСД. Общие технические требования. ГОСТ Р 50739-95 Контрольные вопросы:Что понимают под ИБ? Что такое защита информации (ЗИ)? Назовите основные составляющие ИБ. В каком случае можно считать систему надежной (защищенной)? Каковы критерии оценки надежности системы? Назовите основные уровни ИБ. Ресурсы Internet по ИБwww.cryptography.ru www.agentura.ru www.infosecurity.ru www.sec.ru www.jetinfo.isib.ru www.sbcinfo.ru Дополнительные задания:Подобрать материал к докладу «Основные составляющие безопасности АИС» Подобрать материал к реферату «Виды угроз в АИС» «Программно-аппаратные методы защиты» Классификация сетевых атак |