ЛекцииПАСдляЭБК (1). Средства защиты информации
 Скачать 59.63 Kb.
|
|
1. Защита информации 2. Средства защиты информации 3. Информационная защита информации 4. Системы защиты информации 5. Технологии защиты информации 6. Техническая защита информации 7. Организация защиты информации 8. Защита данных информации 9. Защита доступа информации 10. Криптографическая защита информации 11. Требования по защите информации 12. Методы защиты информации 13. Защита информации России 14. Защита информации от несанкционированного доступа 15. Защита от утечки информации 16. Развитие защиты информации 17. Защита персональной информации 18. Суть защиты информации 19. Объекты защиты информации 20. Программная защита информации Защита информации Информация является одним из наиболее ценных ресурсов любой компании, поэтому обеспечение защиты информации является одной из важнейших и приоритетных задач. Безопасность информационной системы - это свойство, заключающее в способности системы обеспечить ее нормальное функционирование, то есть обеспечить целостность и секретность информации. Для обеспечения целостности и конфиденциальности информации необходимо обеспечить защиту информации от случайного уничтожения или несанкционированного доступа к ней. Под целостностью понимается невозможность несанкционированного или случайного уничтожения, а также модификации информации. Под конфиденциальностью информации - невозможность утечки и несанкционированного завладения хранящейся, передаваемой или принимаемой информации. Известны следующие источники угроз безопасности информационных систем: • антропогенные источники, вызванные случайными или преднамеренными действиями субъектов; • техногенные источники, приводящие к отказам и сбоям технических и программных средств из-за устаревших программных и аппаратных средств или ошибок в ПО; • стихийные источники, вызванные природными катаклизмами или форс-мажорными обстоятельствами. В свою очередь антропогенные источники угроз делятся: • на внутренние (воздействия со стороны сотрудников компании) и внешние (несанкционированное вмешательство посторонних лиц из внешних сетей общего назначения) источники; • на непреднамеренные (случайные) и преднамеренные действия субъектов. Существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа к ней в системах и сетях: • перехват информации; • модификация информации (исходное сообщение или документ изменяется или подменяется другим и отсылается адресату); • подмена авторства информации (кто-то может послать письмо или документ от вашего имени); • использование недостатков операционных систем и прикладных программных средств; • копирование носителей информации и файлов с преодолением мер защиты; • незаконное подключение к аппаратуре и линиям связи; • маскировка под зарегистрированного пользователя и присвоение его полномочий; • введение новых пользователей; • внедрение компьютерных вирусов и так далее. Для обеспечения безопасности информационных систем применяют системы защиты информации, которые представляют собой комплекс организационно - технологических мер, программно - технических средств и правовых норм, направленных на противодействие источникам угроз безопасности информации. При комплексном подходе методы противодействия угрозам интегрируются, создавая архитектуру безопасности систем. Необходимо отметить, что любая системы защиты информации не является полностью безопасной. Всегда приходиться выбирать между уровнем защиты и эффективностью работы информационных систем. К средствам защиты информации ИС от действий субъектов относятся: • средства защита информации от несанкционированного доступа; • защита информации в компьютерных сетях; • криптографическая защита информации; • электронная цифровая подпись; • защита информации от компьютерных вирусов. Средства защита информации от несанкционированного доступа Получение доступа к ресурсам информационной системы предусматривает выполнение трех процедур: идентификация, аутентификация и авторизация. Идентификация - присвоение пользователю (объекту или субъекту ресурсов) уникальных имен и кодов (идентификаторов). Аутентификация - установление подлинности пользователя, представившего идентификатор или проверка того, что лицо или устройство, сообщившее идентификатор является действительно тем, за кого оно себя выдает. Наиболее распространенным способом аутентификации является присвоение пользователю пароля и хранение его в компьютере. Авторизация - проверка полномочий или проверка права пользователя на доступ к конкретным ресурсам и выполнение определенных операций над ними. Авторизация проводится с целью разграничения прав доступа к сетевым и компьютерным ресурсам. Защита информации в компьютерных сетях Локальные сети предприятий очень часто подключаются к сети Интернет. Для защиты локальных сетей компаний, как правило, применяются межсетевые экраны - брандмауэры (firewalls). Экран (firewall) - это средство разграничения доступа, которое позволяет разделить сеть на две части (граница проходит между локальной сетью и сетью Интернет) и сформировать набор правил, определяющих условия прохождения пакетов из одной части в другую. Экраны могут быть реализованы как аппаратными средствами, так и программными. Криптографическая защита информации Для обеспечения секретности информации применяется ее шифрование или криптография. Для шифрования используется алгоритм или устройство, которое реализует определенный алгоритм. Управление шифрованием осуществляется с помощью изменяющегося кода ключа. Извлечь зашифрованную информацию можно только с помощью ключа. Криптография - это очень эффективный метод, который повышает безопасность передачи данных в компьютерных сетях и при обмене информацией между удаленными компьютерами. Электронная цифровая подпись Для исключения возможности модификации исходного сообщения или подмены этого сообщения другим необходимо передавать сообщение вместе с электронной подписью. Электронная цифровая подпись - это последовательность символов, полученная в результате криптографического преобразования исходного сообщения с использованием закрытого ключа и позволяющая определять целостность сообщения и принадлежность его автору при помощи открытого ключа. Другими словами сообщение, зашифрованное с помощью закрытого ключа, называется электронной цифровой подписью. Отправитель передает незашифрованное сообщение в исходном виде вместе с цифровой подписью. Получатель с помощью открытого ключа расшифровывает набор символов сообщения из цифровой подписи и сравнивает их с набором символов незашифрованного сообщения. При полном совпадении символов можно утверждать, что полученное сообщение не модифицировано и принадлежит его автору. Защита информации от компьютерных вирусов Компьютерный вирус – это небольшая вредоносная программа, которая самостоятельно может создавать свои копии и внедрять их в программы (исполняемые файлы), документы, загрузочные сектора носителей данных и распространяться по каналам связи. В зависимости от среды обитания основными типами компьютерных вирусов являются: 1. Программные (поражают файлы с расширением .СОМ и .ЕХЕ) вирусы. 2. Загрузочные вирусы. 3. Макровирусы. 4. Сетевые вирусы. Средства защиты информации Средства защиты информации — это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации. В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы: • Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они препятствуют доступу к информации, в том числе с помощью её маскировки. К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны — недостаточная гибкость, относительно большие объём и масса, высокая стоимость. • Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств — универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки — ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств). • Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства. • Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки — высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении. По степени распространения и доступности выделяются программные средства, другие средства применяются в тех случаях, когда требуется обеспечить дополнительный уровень защиты информации. Программные средства защиты информации: • Встроенные средства защиты информации. • Антивирусная программа (антивирус) — программа для обнаружения компьютерных вирусов и лечения инфицированных файлов, а также для профилактики — предотвращения заражения файлов или операционной системы вредоносным кодом. • Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства. Кроме программ шифрования и криптографических систем, существует много других доступных внешних средств защиты информации. • Межсетевые экраны (также называемые брандмауэрами или файрволами — от нем. Brandmauer, англ. firewall — «противопожарная стена»). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода — это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой. • Proxy-servers (proxy — доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью — маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях — например, на уровне приложения (вирусы, код Java и JavaScript). • VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие: • специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности; • устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации; • схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных; • устройства для шифрования информации (криптографические методы); • модули доверенной загрузки компьютера. Для защиты периметра информационной системы создаются: • системы охранной и пожарной сигнализации; • системы цифрового видео наблюдения; • системы контроля и управления доступом (СКУД). Защита информации от её утечки техническими каналами связи обеспечивается следующими средствами и мероприятиями: • использованием экранированного кабеля и прокладка проводов и кабелей в экранированных конструкциях; • установкой на линиях связи высокочастотных фильтров; • построение экранированных помещений («капсул»); • использование экранированного оборудования; • установка активных систем зашумления; • создание контролируемых зон. Информационная защита информации Построение системы защиты должно основываться на следующих основных принципах: 1.Системность подхода; 2.Комплексность подхода; . Разумная достаточность средств защиты; . Разумная избыточность средств защиты; . Гибкость управления и применения; . Открытость алгоритмов и механизмов защиты; . Простота применения защиты, средств и мер; . Унификация средств защиты. Информационная сфера (среда) - это сфера деятельности, связанная с созданием, распространением, преобразованием и потреблением информации. Любая система защиты информации имеет свои особенности и в то же время должна отвечать общим требованиям. Общими требованиями к системе защиты информации являются следующие: 1. Система защиты информации должна быть представлена как нечто целое. Целостность системы будет выражаться в наличии единой цели ее функционирования, информационных связей между ее элементами, иерархичности построения подсистемы управления системой защиты информации. 2. Система защиты информации должна обеспечивать безопасность информации, средств информации и защиту интересов участников информационных отношений. 3. Система защиты информации в целом, методы и средства защиты должны быть по возможности «прозрачными» для пользователя, не создавать ему больших дополнительных неудобств, связанных с процедурами доступа к информации и в то же время быть непреодолимыми для несанкционированного доступа злоумышленника к защищаемой информации. 4. Система защиты информации должна обеспечивать информационные связи внутри системы между ее элементами для согласованного их функционирования и связи с внешней средой, перед которой система проявляет свою целостность и поступает как единое целое. Таким образом, обеспечение безопасности информации, в том числе в компьютерных системах, требует сохранения следующих ее свойств: 1. Целостность. Целостность информации заключается в ее существовании в неискаженном виде, не измененном по отношению к некоторому ее исходному состоянию. 2. Доступность. Это свойство, характеризующее способность обеспечивать своевременный и беспрепятственный доступ пользователей к интересующим их данным. 3. Конфиденциальность. Это свойство, указывающее на необходимость введения ограничений на доступ к ней определенного круга пользователей. Под угрозой безопасности понимается возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику или пользователю, проявляющегося в опасности искажения, раскрытия или потери информации. Реализация той или иной угрозы безопасности может производиться с целью нарушения свойств, обеспечивающих безопасность информации. Системы защиты информации Для защиты информации создается система защиты информации, состоящая из совокупности органов и (или) исполнителей, используемой ими техники защиты, организованная и функционирующая по правилам, установленным правовыми, распорядительными и нормативными документами в области защиты информации. Государственную систему защиты информации образуют: • Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и ее центральный аппарат; • ФСБ, МО, СВР, МВД, их структурные подразделения по защите информации; • структурные и межотраслевые подразделения по защите информации органов государственной власти; • специальные центры ФСТЭК России; • организации по защите информации органов государственной власти; • головные и ведущие научно-исследовательские, научно-технические, проектные и конструкторские учреждения; • предприятия оборонных отраслей промышленности, их подразделения по защите информации; • предприятия, специализирующиеся на проведении работ в области защиты информации; • вузы, институты по подготовке и переподготовке специалистов в области защиты информации. ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам: • обеспечения безопасности информации в ключевых системах информационной инфраструктуры; • противодействия иностранным техническим разведкам; • обеспечения защиты информации, содержащей государственную тайну, не криптографическими способами; • предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней; • предотвращения специальных воздействий на информацию (ее носители) с целью ее добывания, уничтожения, искажения и блокирования доступа к ней. Руководство деятельностью ФСТЭК России осуществляет президент РФ. Непосредственное руководство работами по защите информации осуществляют руководители органов государственной власти и их заместители. В органе государственной власти могут создаваться технические комиссии, межотраслевые советы. Головные и ведущие НИО органов государственной власти разрабатывают научные основы и концепции, проекты нормативно-технических и методических документов по защите информации. На них возлагается разработка и корректировка моделей иностранных технических разведок. Предприятия, занимающиеся деятельностью в области защиты информации, должны получить лицензию на этот вид деятельности. Лицензии выдаются ФСТЭК России, ФСБ, СВР в соответствии с их компетенцией и по представлению органа государственной власти. Организация работ по защите информации возлагается на руководителей организаций. Для методического руководства и контроля за обеспечением защиты информации может быть создано подразделение по защите информации или назначен ответственный (штатный или внештатный) за безопасность информации. Разработка системы ЗИ производится подразделением по технической защите информации или ответственным за это направление во взаимодействии с разработчиками и ответственными за эксплуатацию объектов ТСОИ. Для проведения работ по созданию системы ЗИ могут привлекаться на договорной основе специализированные предприятия, имеющие соответствующие лицензии. Работы по созданию системы ЗИ проводятся в три этапа. На I этапе разрабатывается техническое задание на создание СЗИ: • вводится запрет на обработку секретной (служебной) информации на всех объектах ТСОИ до принятия необходимых мер защиты; • назначаются ответственные за организацию и проведение работ по созданию системы защиты информации; • определяются подразделения или отдельные специалисты, непосредственно участвующие в проведении указанных работ, сроки введения в эксплуатацию системы ЗИ; • проводится анализ возможных технических каналов утечки секретной информации; • разрабатывается перечень защищаемых объектов ТСОИ; • проводится категорирование ОТСС, а также ВП; • определяется класс защищенности автоматизированных систем, участвующих в обработке секретных (служебных) данных; • определяется КЗ; • оцениваются возможности средств ИТР и других источников угроз; • обосновывается необходимость привлечения специализированных предприятий для создания системы защиты информации; • разрабатывается техническое задание (ТЗ) на создание СЗИ. Разработка технических проектов на установку и монтаж ТСОИ производится проектными организациями, имеющими лицензию ФСТЭК. На II этапе: • разрабатывается перечень организационных и технических мероприятий по защите объектов ТСОИ в соответствии с требованиями ТЗ; • определяется состав серийно выпускаемых в защищенном исполнении ТСОИ, сертифицированных средств защиты информации, а также состав технических средств, подвергаемых специальным исследованиям и проверке; разрабатываются технические паспорта на объекты ТСОИ и инструкции по обеспечению безопасности информации на этапе эксплуатации технических средств. На III этапе осуществляются: • проведение специальных исследований и специальной проверки импортных ОТСС, а также импортных ВТСС, установленных в выделенных помещениях; • размещение и монтаж технических средств, входящих в состав объектов ТСОИ; • разработка и реализация разрешительной системы доступа к средствам вычислительной техники и автоматизированным системам, участвующим в обработке секретной (служебной) информации; • приемосдаточные испытания системы защиты информации по результатам ее опытной эксплуатации; • аттестация объектов ТСОИ по требованиям защиты информации. |