close

Вход

Забыли?

вход по аккаунту

?

Презентация

код для вставкиСкачать
Федеральное агентство по образованию РФ
Владивостокский государственный университет экономики и сервиса
Основы
информационной
безопасности
Для студентов направления «Радиотехника»
Номоконова Н.Н., профессор каф. электроники
Владивосток 2008
Термины. Уровни угроз.
ЛЕКЦИЯ 1
Определение информационной безопасности
Информационная
безопасность - это
комплекс мероприятий
по сохранению
информации от
потерь, с
использованием
средств управления,
согласно выбранной
стратегии, с
определенными
гарантиями.
Примеры информационных
систем
Корпоративная локальная
сеть
Канал связи
Web-сайт и webориентированные приложения
Термины безопасности
Конфиденциальность - для обеспечения
конфиденциальности информация в системе
должна быть доступна только определенным
людям, как в пределах, так и вне её.
Целостность - информация должна быть
защищена от изменений, приводящих к ее
искажению.
Доступность - информация должна быть по
мере необходимости легко доступна
(соответствующим людям).
Гарантированность - должны существовать
средства определения степени эффективности
первых трех требований.
Принципы построения
безопасных систем
Принцип невозможности
перехода в небезопасное состояние
означает, что при любых
обстоятельствах, в том числе
нештатных, защитное средство либо
полностью выполняет свои функции,
либо полностью блокирует доступ.
Принципы построения
безопасных систем
Принцип минимизации
привилегий предписывает
выделять пользователям и
администраторам только те права
доступа, которые необходимы им
для выполнения служебных
обязанностей.
Принципы построения
безопасных систем
Принцип разделения
обязанностей предполагает такое
распределение ролей и
ответственности, при котором один
человек не может нарушить
критически важный для
организации процесс.
Принципы построения
безопасных систем
Принцип эшелонированности
обороны предписывает не полагаться
на один защитный рубеж, каким бы
надежным он ни казался. За средствами
физической защиты должны следовать
программно-технические средства, за
идентификацией и аутентификацией управление доступом и, как последний
рубеж, - протоколирование и аудит.
Принципы построения
безопасных систем
Принцип разнообразия защитных
средств рекомендует организовывать
различные по своему характеру
оборонительные рубежи, чтобы от
потенциального злоумышленника
требовалось овладение разнообразными
и, по возможности несовместимыми
между собой навыками.
Принципы построения
безопасных систем
Принцип простоты и управляемости
информационной системы в целом и
защитных средств в особенности.
Только для простого защитного средства
можно формально или неформально
доказать его корректность. Только в
простой и управляемой системе можно
проверить согласованность
конфигурации разных компонентов и
осуществить централизованное
администрирование.
Принципы построения
безопасных систем
Принцип лояльности пользователей.
Носит нетехнический характер. Если
пользователи и/или системные
администраторы считают
информационную безопасность чем-то
излишним или даже враждебным,
безопасный режим сформировать
заведомо не удастся. Следует с самого
начала предусмотреть комплекс мер,
направленный на обеспечение
лояльности пользователей системы, на
постоянное обучение, теоретическое и,
главное, практическое.
Возможные решения,
составляющие безопасную
систему
Пароль + Логин
Биометрическая система
Аудиторская система (статистика)
Имитация нападения. Реализуется либо
программами либо нанимается профессионал
на этапе тестирования.
Введение экранов и ложных объектовловушек.
Требования к безопасному
паролю
Больше 7 символов (время подбора
увеличивается многократно).
Отказ от использования простых слов
(бесполезность атак по словарю).
Использование спецсимволов и цифр
(также увеличивает время подбора).
Не пользоваться одним и тем же
паролем для разных систем
(возможность взлома или утечки пароля
простой системы, а затем использование
его в другой).
Внутренние опасности
Взятка (сотруднику заплатили за какуюто информацию, которую он
беспрепятственно скопировал на
дискету).
Нерасторопность (потеря листка с
паролем, ноутбука, брелка).
Неумышленное повреждение или
изменение данных.
Недостаточное понимание принципов
безопасности (человек считает, что
система не нужна, излишне навязчива,
или враждебно настроен к ней).
Решения для внутренней
безопасности
Основной принцип безопасности ограничение доступа.
Необходимая работа по обучению,
введению культуры и навыков
пользования системой.
Проведение мероприятий по
созданию необходимого уровня
лояльности пользователей к
системе безопасности.
ГОСУДАРСТВЕННАЯ ПОЛИТИКА
ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Лекция 2
Государственная политика обеспечения
информационной безопасности
основывается на следующих принципах:
государство обеспечивает контроль за созданием,
сохранностью и использованием национальных
информационных ресурсов, а также способствует
предоставлению гражданам доступа к мировым
информационным ресурсам;
государство обеспечивает право граждан свободно
искать, получать, передавать, производить и
распространять информацию любым законным способом;
засекречивание есть исключение из общего), права на
доступ к информации; рассекречивания информации
осуществляется в установленном законом порядке;
ответственность за сохранность информации ее
засекречивание и рассекречивание персонифицируется;
Государственная политика обеспечения
информационной безопасности
основывается на следующих принципах:
любое юридическое или физическое лицо, собирающее,
накапливающее и обрабатывающее персональные и
любые другие конфиденциальные данные, несет
ответственность перед законом за их сохранность и
использование;
перечни сведений, могущих быть отнесенными к
конфиденциальной информации или, наоборот, не
могущие быть отнесены к таковым, определяются
установленным законом порядком;
интересы собственников, владельцев и распорядителей
информационных ресурсов охраняются законом.
Общегосударственный механизм выявления
угроз и защиты интересов России в
информационной сфере
защищенности системы формирования
информационных ресурсов;
необходимого уровня защищенности
применяемых технологий передачи и
обработки информации;
конституционных прав и свобод
граждан, законных интересов
государства и общества в сфере
информатизации.
ГОСТ РФ “Защита информации”
Защищаемая информация:
Информация, являющаяся предметом
собственности и подлежащая защите в
соответствии с требованиями правовых
документов или требованиями,
устанавливаемыми собственником
информации. Собственником
информации может быть: государство,
юридическое лицо, группа физических
лиц, отдельное физическое лиц
ГОСТ РФ “Защита информации”
Защита информации (ЗИ):
Деятельность, направленная на
предотвращение утечки
защищаемой информации,
несанкционированных и
непреднамеренных воздействий на
защищаемую информацию.
ГОСТ РФ “Защита информации”
Защита информации от утечки:
Деятельность, направленная на
предотвращение
неконтролируемого
распространения защищаемой
информации в результате ее
разглашения,
несанкционированного доступа к
информации и получения ЗИ
разведками.
ГОСТ РФ “Защита информации”
Защита информации от
несанкционированного
воздействия: Деятельность,
направленная на предотвращение
воздействия на ЗИ с нарушением
установленных прав и (или) правил на
изменение информации, приводящего к
ее искажению, уничтожению,
блокированию доступа к информации, а
также к утрате, уничтожению или сбою
функционирования носителя
информации.
ГОСТ РФ “Защита информации”
Защита информации от
непреднамеренного воздействия:
Деятельность, направленная на
предотвращение воздействия на ЗИ
ошибок ее пользователя, сбоя
технических и программных средств
информационных систем, природных
явлений или иных нецеленаправленных
на изменение информации мероприятий,
приводящих к искажению, уничтожению
или сбою функционирования носителя
информации.
ГОСТ РФ “Защита информации”
Защита информации от
разглашения: Деятельность,
направленная на предотвращение
несанкционированного доведения
защищаемой информации до
потребителей, не имеющих права
доступа к этой информации.
ГОСТ РФ “Защита информации”
Защита информации от
несанкционированного
доступа: Деятельность,
направленная на предотвращение
получения ЗИ заинтересованным
субъектом с нарушением
установленных правовыми
документами или собственником,
владельцем информации прав или
правил доступа к ЗИ.
ГОСТ РФ “Защита информации”
Защита информации от
разведки: Деятельность,
направленная на
предотвращение получения
ЗИ разведкой.
ГОСТ РФ “Защита информации”
Защита информации от
технической разведки:
Деятельность, направленная на
предотвращение получения ЗИ
разведкой с помощью технических
средств.
Доктрина информационной
безопасности Российской
Федерации
Лекции 3 и 4
Доктрина информационной безопасности
Российской Федерации
Жизненно важные интересы в информационной
сфере
для общества:
построение информационного общества;
защита национальных духовных ценностей,
пропаганда национального культурного наследия, норм
морали и общественной нравственности;
предотвращение манипулирования массовым
сознанием;
приоритетное развитие современных
телекоммуникационных технологий, сохранение и
развитие отечественного научного и производственного
потенциала;
Доктрина информационной безопасности
Российской Федерации
Жизненно важные интересы в информационной
сфере
для государства:
защита интересов личности и общества;
формирование институтов общественного контроля за
органами государственной власти;
формирование системы подготовки, принятия и
реализации решений органами государственной власти,
обеспечивающей баланс интересов личности, общества и
государства;
защита государственных информационных систем, в
том числе государственных информационных ресурсов;
защита единого информационного пространства
страны;
Доктрина информационной безопасности
Российской Федерации
Жизненно важные интересы в информационной
сфере
для личности:
соблюдение конституционных прав и свобод граждан
на поиск, получение, передачу, производство и
распространение объективной информации;
реализация права граждан на неприкосновенность
частной жизни;
обеспечение права граждан на защиту своего
здоровья от неосознаваемой человеком вредной
информации;
защита права на объекты интеллектуальной
собственности.
Доктрина информационной безопасности
Российской Федерации
Угрозы жизненно важным интересам в
информационной сфере
внутренние:
отставание России от ведущих стран мира по уровню
информатизации;
ослабление роли русского языка как государственного
языка РФ;
размывание единого правового пространства страны
вследствие принятия субъектами РФ нормативных правовых
актов, противоречащих Конституции РФ и федеральному
законодательству;
Доктрина информационной безопасности
Российской Федерации
Угрозы жизненно важным интересам в
информационной сфере
внутренние:
разрушение единого информационного и духовного
пространства России, активизации различного рода
религиозных сект, наносящих значительный ущерб духовной
жизни общества, представляющих прямую опасность для
жизни и здоровья граждан;
отсутствие четко сформулированной информационной
политики, отвечающей национальным целям, ценностям и
интересам;
Доктрина информационной безопасности
Российской Федерации
Угрозы жизненно важным интересам в
информационной сфере
внешние:
целенаправленное вмешательство и
проникновение в деятельность и развитие
информационных систем РФ;
стремление сократить использование
русского языка как средства общения за
пределами России;
Доктрина информационной безопасности
Российской Федерации
Угрозы жизненно важным интересам в
информационной сфере
внешние:
попытки не допустить участия России на
равноправной основе в международном
информационном обмене;
подготовка к информационным войнам и
использование информационного оружия.
Доктрина информационной безопасности
Российской Федерации
Принципы обеспечения информационной
безопасности
законность (соблюдение норм
международного права Конституции РФ и
законодательства РФ при осуществлении
деятельности по обеспечению
информационной безопасности);
сбалансированность (соблюдение баланса
интересов субъектов правоотношений, их
взаимная ответственность);
реальность выдвигаемых задач (с учетом
имеющихся ресурсов, сил и средств);
Доктрина информационной безопасности
Российской Федерации
Принципы обеспечения информационной
безопасности
сочетание централизованного управления силами и
средствами обеспечения безопасности с передачей в
соответствии с федеральным устройством России части
полномочий в этой области органам государственной власти
субъектов РФ и органам местного самоуправления;
интеграция с международными системами обеспечения
информационной безопасности.
Доктрина информационной безопасности
Российской Федерации
Основные задачи в обеспечении
информационной безопасности
формирование и реализация единой государственной
политики по обеспечению защиты национальных интересов от
угроз в информационной сфере;
совершенствование законодательства РФ в сфере
обеспечения информационной безопасности;
определение полномочий органов государственной власти
РФ, субъектов РФ и органов местного самоуправления в сфере
обеспечения информационной безопасности;
Доктрина информационной безопасности
Российской Федерации
Основные задачи в обеспечении
информационной безопасности
координация деятельности органов государственной
власти по обеспечению информационной безопасности;
создание условий для успешного развития
негосударственного компонента в сфере обеспечения
информационной безопасности, осуществления
эффективного гражданского контроля за деятельностью
органов государственной власти;
установление необходимого баланса между
потребностью в свободном обмене информацией и
допустимыми ограничениями ее распространения;
Доктрина информационной безопасности
Российской Федерации
Основные задачи в обеспечении
информационной безопасности
Совершенствование информационной структуры,
ускорение развития новых информационных технологий
и их широкое распространение, унификация средств
поиска, сбора, хранения, обработки и анализа
информации с учетом вхождения России в глобальную
информационную инфраструктуру;
развитие отечественной индустрии
телекоммуникационных и информационных средств, их
приоритетное по сравнению с зарубежными аналогами
распространение на внутреннем рынке;
защита государственных информационных ресурсов,
прежде всего в федеральных органах государственной
власти, на предприятиях оборонного комплекса;
Доктрина информационной безопасности
Российской Федерации
Основные задачи в обеспечении
информационной безопасности
духовное возрождение России;
обеспечение сохранности и защиты культурного и
исторического наследия (в том числе музейных, архивных,
библиотечных фондов, основных историко-культурных
объектов);
сохранение традиционных духовных ценностей при
важнейшей роли Русской православной церкви и церквей
других конфессий;
пропаганда средствами массовой информации элементов
национальных культур народов России, духовно-нравственных,
исторических традиций, норм общественной жизни и
передового опыта подобной пропагандистской деятельности;
Доктрина информационной безопасности
Российской Федерации
Основные задачи в обеспечении
информационной безопасности
повышение роли русского языка как государственного
языка и языка межгосударственного общения народов
России и государств - участников СНГ;
создание оптимальных экономических условий для
осуществления важнейших видов творческой
деятельности;
организация международного сотрудничества по
обеспечению информационной безопасности.
Доктрина информационной безопасности
Российской Федерации
Функции государственной системы по
обеспечению информационной
безопасности
оценка состояния информационной безопасности в
стране, определение приоритетов по интересам в
информационной сфере;
выявление и учет источников внутренних и внешних
угроз, проведение их мониторинга и классификации;
определение основных направлений предотвращения
угроз или минимизация ущерба от их реализации;
Доктрина информационной безопасности
Российской Федерации
Функции государственной системы
по обеспечению информационной
безопасности
организация исследований в сфере обеспечения
информационной безопасности;
разработка и принятие законов и иных нормативных
актов, установление стандартов и нормативов в сфере
обеспечения информационной безопасности;
разработка федеральных целевых и ведомственных
программ обеспечения информационной безопасности,
координация работ по их реализации;
организация единой системы лицензирования,
сертификации, экспертизы и контроля в этой сфере;
Доктрина информационной безопасности
Российской Федерации
Функции государственной системы по
обеспечению информационной
безопасности
подготовка специалистов по обеспечению
информационной безопасности, в том числе из
работников правоохранительных и судебных органов;
информирование общественности о реальной ситуации в
сфере обеспечения информационной безопасности и
работе государственных органов в этой сфере;
изучение практики обеспечения информационной
безопасности, обобщение и пропаганда передового
опыта такой работы в регионах;
Доктрина информационной безопасности
Российской Федерации
Функции государственной системы
по обеспечению информационной
безопасности
правовая защита граждан и интересов общества в
информационной сфере;
организация обучения способам и методам
самозащиты физических лиц от основных угроз в
информационной сфере;
содействие разработке и принятию норм
международного права в сфере обеспечения
информационной безопасности.
Доктрина информационной безопасности
Российской Федерации
Структура государственной системы
защиты информации
Федеральная служба по техническому и экспортному контролю
(ФСТЭК) Российской Федерации и ее центральный аппарат
a) Специальные центры, подчиненные в специальном
отношении ФСТЭК Российской Федерации;
b) Головная научно-исследовательская организация в
Российской Федерации по защите информации.
Доктрина информационной безопасности
Российской Федерации
Структура государственной системы
защиты информаци
Федеральная служба безопасности Российской
Федерации.
Федеральная служба охраны Российской Федерации
Министерство обороны Российской Федерации.
Служба внешней разведки Российской Федерации.
Структурные и межотраслевые подразделения по защите
информации органов государственной власти.
Доктрина информационной безопасности
Российской Федерации
Структура государственной системы защиты
информации
Головные и ведущие научно-исследовательские, научнотехнические, проектные и конструкторские организации по
защите информации органов государственной власти.
Предприятия, проводящие работы по оборонной тематике и
другие работы с использованием сведений, отнесенных к
государственной или служебной тайне, их подразделения по
защите информации.
Доктрина информационной безопасности
Российской Федерации
Главные направления работ
обеспечение эффективного управления системой защиты
информации;
определение сведений, охраняемых от технических средств
разведки, и демаскирующих признаков, раскрывающих эти
сведения;
организация и проведение контроля состояния защиты
информации;
Доктрина информационной безопасности
Российской Федерации
Главные направления работ
Анализ и оценка реальной опасности перехвата информации
техническими средствами разведки, несанкционированного
доступа, разрушения (уничтожения) или искажения
информации путем преднамеренных программно-технических
воздействий в процессе ее обработки, передачи и хранения в
технических средствах, выявление возможных технических
каналов утечки информации, подлежащих защите;
разработка организационно-технических мероприятий по
защите информации и их реализация.
Доктрина информационной безопасности
Российской Федерации
Организационно-технические
мероприятия по защите
информации
лицензирование деятельности предприятий в области
защиты информации;
сертификация средств защиты информации и
контроля за ее эффективностью, систем и средств
информатизации и связи в части защищенности
информации от утечки по техническим каналам;
обеспечение условий защиты информации при
подготовке и реализации международных договоров и
соглашений;
Доктрина информационной безопасности
Российской Федерации
Организационно-технические
мероприятия по защите
информации
введение территориальных, частотных, энергетических,
пространственных и временных ограничений в режимах
использования технических средств, подлежащих защите;
разработка и внедрение технических решений и элементов
защиты информации при создании и эксплуатации вооружения
и военной техники, при проектировании, строительстве
(реконструкции) и эксплуатации объектов, систем и средств
информатизации и связи;
категорирование вооружения и военной техники,
предприятий (объектов) по степени важности защиты
информации в оборонной, экономической, политической,
научно-технической и других сферах деятельности
государства;
Доктрина информационной безопасности
Российской Федерации
Организационно-технические
мероприятия по защите
информации
аттестация объектов по выполнению требований
обеспечения защиты информации при проведении работ
со сведениями соответствующей степени секретности;
оповещение о пролетах космических и воздушных
летательных аппаратов, кораблях и судах, ведущих
разведку объектов (перехват информации, подлежащей
защите), расположенных на территории Российской
Федерации;
создание и применение информационных и
автоматизированных систем управления в защищенном
исполнении;
Доктрина информационной безопасности
Российской Федерации
Организационно-технические
мероприятия по защите
информации
разработка средств защиты информации и контроля
за ее эффективностью (специального и общего
применения) и их использование;
применение специальных методов технических мер и
средств защиты исключающих перехват информации,
передаваемой по каналам связи.
ПОНЯТИЕ, СТРУКТУРА И
ПРИЗНАКИ ИНФОРМАЦИИ
С ОГРАНИЧЕННЫМ ДОСТУПОМ
Лекция 5
ПОНЯТИЕ, СТРУКТУРА И ПРИЗНАКИ
ИНФОРМАЦИИ
С ОГРАНИЧЕННЫМ ДОСТУПОМ
Под информацией с ограниченным
доступом понимается информация, доступ к
которой ограничен в соответствии с законом с
целью защиты прав и законных интересов
субъектов права на тайну. Она состоит из
государственной тайны и конфиденциальной
информации.
ПОНЯТИЕ, СТРУКТУРА И ПРИЗНАКИ
ИНФОРМАЦИИ
С ОГРАНИЧЕННЫМ ДОСТУПОМ
Конфиденциальная информация включает
в себя то множество тайн, которое
предлагается свести к пяти основным видам:
коммерческая тайна;
банковская тайна;
профессиональная тайна;
персональные данные;
служебная тайна.
ПОНЯТИЕ, СТРУКТУРА И ПРИЗНАКИ
ИНФОРМАЦИИ
С ОГРАНИЧЕННЫМ ДОСТУПОМ
Законодательство РФ устанавливает ряд
обязательных признаков и условий
охраноспособности права на информацию с
ограниченным доступом.
Первым обязательным признаком, при котором
возможна правовая охрана информации с ограниченным
доступом, должна быть ее защита:
предотвращение утечки, хищения, утраты, искажения,
подделки такой информации;
предотвращение несанкционированных действий по
уничтожению, модификации, искажению, копированию,
блокированию информации;
реализация прав и законных интересов на
государственную тайну и конфиденциальную
информацию их обладателей.
ПОНЯТИЕ, СТРУКТУРА И ПРИЗНАКИ
ИНФОРМАЦИИ
С ОГРАНИЧЕННЫМ ДОСТУПОМ
В ФЗ “Об информации, информационных технологиях и о
защите информации” от 27.06.2006 г. N 149-ФЗ, «О
коммерческой тайне» от 29 июля 2004 г. N 98-ФЗ, «О
персональных данных» от 27 июля 2006 г. N 152-ФЗ
указывается, что режим защиты информации
устанавливается в отношении:
сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона РФ "О
государственной тайне";
конфиденциальной информации - собственником
информационных ресурсов или уполномоченным лицом
на основании Федерального закона;
персональных данных - федеральным законом.
ПОНЯТИЕ, СТРУКТУРА И ПРИЗНАКИ
ИНФОРМАЦИИ
С ОГРАНИЧЕННЫМ ДОСТУПОМ
Вторым признаком охраноспособности права
на информацию с ограниченным доступом в
соответствии с законодательством является то,
что защите подлежит лишь
документированная информация
(зафиксированная на материальном
носителе).
ПОНЯТИЕ, СТРУКТУРА И ПРИЗНАКИ
ИНФОРМАЦИИ
С ОГРАНИЧЕННЫМ ДОСТУПОМ
Третьим признаком охраноспособности права
на информацию с ограниченным доступом
выступает ее соответствие ограничениям,
установленным в законодательстве.
ПОНЯТИЕ, СТРУКТУРА И ПРИЗНАКИ
ИНФОРМАЦИИ
С ОГРАНИЧЕННЫМ ДОСТУПОМ
В ФЗ “Об информации, информационных технологиях и
о защите информации” от 27.06.2006 г. N 149-ФЗ приведен
общий перечень случаев, когда не могут быть отнесены
(запрещено относить) к информации с ограниченным
доступом следующие сведения:
законодательные и другие нормативные акты,
устанавливающие правовой статус органов государственной
власти, органов местного самоуправления, организаций,
общественных объединений, а также права, свободы и
обязанности граждан, порядок их реализации;
ПОНЯТИЕ, СТРУКТУРА И ПРИЗНАКИ
ИНФОРМАЦИИ
С ОГРАНИЧЕННЫМ ДОСТУПОМ
документы, содержащие информацию о чрезвычайных
ситуациях, экологическую, метеорологическую,
демографическую, санитарно-эпидемиологическую и другую
информацию, необходимую для обеспечения безопасного
функционирования населенных пунктов, производственных
объектов, безопасности граждан и населения в целом;
документы, содержащие информацию о деятельности органов
государственной власти и органов местного самоуправления,
об использовании бюджетных средств и других
государственных и местных ресурсов, о состоянии экономики и
коммерческой и служебной тайне.
МЕТОДЫ, СРЕДСТВА И УСЛОВИЯ
ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Лекция 6
МЕТОДЫ, СРЕДСТВА И УСЛОВИЯ
ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Методами обеспечения ЗИ на
предприятиях являются:
1.
2.
3.
4.
5.
препятствие;
управление доступом;
маскировка;
регламентация;
принуждение и побуждение.
МЕТОДЫ, СРЕДСТВА И УСЛОВИЯ
ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Аппаратные средства защиты - это различные
электронные, электромеханические и другие устройства,
непосредственно встроенные в блоки
автоматизированной информационной системы (АИС)
или оформленные в виде самостоятельных устройств и
сопрягающихся с этими блоками. Они предназначены
для внутренней защиты структурных элементов средств
и систем вычислительной техники: терминалов,
процессоров, периферийного оборудования, линий связи
и т.д.
МЕТОДЫ, СРЕДСТВА И УСЛОВИЯ
ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Основные функции аппаратных средств защиты:
- запрещение несанкционированного (неавторизованного)
внешнего доступа (удаленного пользователя,
злоумышленника) к работающей автоматизированной
информационной системе;
- запрещение несанкционированного внутреннего доступа
к отдельным файлам или базам данных информационной
системы, возможного в результате случайных или
умышленных действий обслуживающего персонала;
- защита активных и пассивных (архивных) файлов и баз
данных, связанных с необслуживанием или отключением
автоматизированной информационной системы;
- защита целостности программного обеспечения.
МЕТОДЫ, СРЕДСТВА И УСЛОВИЯ
ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Программные средства защиты - предназначены для
выполнения логических и интеллектуальных функций
защиты и включаются либо в состав программного
обеспечения АИС, либо в состав средств, комплексов и
систем аппаратуры контроля.
С помощью программных СЗИ решаются следующие
задачи информационной безопасности:
контроль загрузки и входа в систему с помощью
персональных идентификаторов (имя, код, пароль и
т.п.);
- разграничение и контроль доступа субъектов к ресурсам
и компонентам СЗИ, внешним ресурсам;
- изоляция программ процесса, выполняемого в интересах
конкретного субъекта, от других субъектов (обеспечение
работы каждого пользователя в индивидуальной среде);
МЕТОДЫ, СРЕДСТВА И УСЛОВИЯ
ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
- управление потоками конфиденциальной
информации с целью предотвращения записи
на носители данных несоответствующего
уровня (грифа) секретности;
- защита информации от компьютерных вирусов;
- стирание остаточной конфиденциальной
информации в разблокированных после
выполнения запросов полях оперативной
памяти компьютера;
МЕТОДЫ, СРЕДСТВА И УСЛОВИЯ
ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
- обеспечение целостности информации путем
введения избыточности данных;
- автоматический контроль за работой
пользователей системы на базе результатов
протоколирования и подготовки отчетов по
данным записей в системном регистрационном
журнале.
МЕТОДЫ, СРЕДСТВА И УСЛОВИЯ
ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Аппаратно программные СЗИ средства, содержащие в своем составе
элементы реализующие функции ЗИ, в
которых программные
(микропрограммные) и аппаратные
части полностью взаимозависимы и
неразделимы. Данные средства ЗИ
используются при реализации
биометрических методов
аутентификации пользователе АИС.
МЕТОДЫ, СРЕДСТВА И УСЛОВИЯ
ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Криптографические методы
защиты информационных данных это методы ЗИ с помощью
криптографического преобразования,
под которым понимается
преобразование данных шифрованием
или выработкой имитовставки.
МЕТОДЫ, СРЕДСТВА И УСЛОВИЯ
ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Основными криптографическими
методами ЗИ являются:
- шифрование с помощью датчика псевдослучайных
чисел;
- шифрование с помощью криптографических
стандартов шифрования данных ( с симметричной
схемой шифрования), использующих проверенные и
апробированные алгоритмы шифрования данных,
например американский стандарт DES, отечественный
стандарт - ГОСТ 28147-89;
- шифрование с помощью криптографических стандартов
шифрования данных ( с асимметричной схемой
шифрования) систем с открытым ключом, в которых для
шифрования данных используется один ключ, а для
расшифровки - другой.
УГРОЗЫ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ И ИХ
КЛАССИФИКАЦИЯ
Лекция 7
УГРОЗЫ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ И ИХ КЛАССИФИКАЦИЯ
Информационная угроза – это способ
получения конфиденциальной
информации в конкретной физической
форме её проявления.
Конкретную реализацию
информационной угрозы с указанием
необходимых специальных технических
средств (СТС) часто называют
сценарием.
СТС
негласное визуальное
наблюдение и
документирование
получение акустической
информации
2
1
перехват информации с
технических каналов связи
прослушивание
телефонных
переговоров
4
3
негласное исследование
предметов и документов
негласный контроль
почтовых сообщений и
отправлений
6
5
негласное проникновение и
обследование помещений и
др. объектов
контроль движущихся
транспортных средств
7
негласное получение
информации с техн.
средств хранения,
обработки и передачи
8
негласная
идентификация
личности
9
10
УГРОЗЫ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ И ИХ КЛАССИФИКАЦИЯ
КЛАССИФИКАЦИЯ И КРАТКАЯ ХАРАКТЕРИСТИКА
ТЕХНИЧЕСКИХ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ
Под техническими средствами приема, обработки, хранения и
передачи информации (ТСПИ) понимают технические средства,
непосредственно обрабатывающие конфиденциальную
информацию.
Концепция защиты от
несанкционированного доступа
к информации
Лекция 8
Классификация средств вычислительной техники по уровню
защищенности от НСД
Наименование показателя
Класс защищенности
6
5
4
3
2
1
1. Произвольный контроль доступа
+
+
+
=
+
=
2. Принудительный контроль доступа
-
-
+
=
=
=
3. Очистка памяти после использования
-
+
+
+
=
=
4. Изоляция модулей системы
-
-
+
=
+
=
5. Маркировка документов
-
-
+
=
=
=
6. Защита ввода и вывода на сменный носитель
-
-
+
=
=
=
7. Сопоставление пользователя с устройством
-
-
+
=
=
=
8. Идентификация и аутентификация
+
=
+
=
=
=
9. Гарантия проектирования
-
+
+
+
+
+
10. Регистрация
-
+
+
+
=
=
11. Взаимодействие пользователя с КСЗ
-
-
-
+
=
=
12. Надежное восстановление
-
-
-
+
=
=
13. Целостность КСЗ
-
+
+
+
=
=
14. Контроль модификации
-
-
-
-
+
=
15. Контроль дистрибуции
-
-
-
-
+
=
16. Гарантии архитектуры
-
-
-
-
-
+
17. Тестирование
+
+
+
+
+
=
18. Руководство пользователя
+
=
=
=
=
=
19. Руководство по КСЗ
+
+
=
+
+
=
20. Текстовая документация
+
+
+
+
+
=
21. Проектная документация
+
+
+
+
+
+
Обозначения:
“-” – нет требований к данному
классу
“+” – новые или дополнительные
требования
“=” – требования к классу
совпадают с требованиями
предыдущего класса
“КСЗ” – Комплекс Средств Защиты
Классификация автоматизированных систем по уровню
защищенности от НСД
Подсистемы и требования
Классы защищенности
3Б
3А
2Б
2А
1Д
1Г
1В
1Б
1А
+
+
+
+
+
+
+
+
+
1. Подсистема управления доступом
1.1.
Идентификация, проверка подлинности
и контроль доступа субъектов
в систему
1.2.
к терминалам, ЭВМ, узлам сети ЭВМ,
каналам связи, внешним
устройствам ЭВМ
+
+
+
+
+
к программам
+
+
+
+
+
к томам, каталогам, записям, полям
записей
+
+
+
+
+
Управление потоками информации
+
+
+
+
Классификация автоматизированных систем по уровню
защищенности от НСД
Подсистемы и требования
Классы защищенности
3Б
3А
2Б
2А
1Д
1Г
1В
1Б
1А
+
+
+
+
+
+
+
+
+
+
+
+
+
+
запуска/завершения программ и процессов (заданий,
задач)
+
+
+
+
+
доступа программ субъектов к защищаемым файлам,
включая их создание, удаление и передачу по линиям
и каналам связи
+
+
+
+
+
доступа к терминалам, ЭВМ, узлам сети ЭВМ,
каналам связи, внешним устройствам ЭВМ,
программам, томам, каталогам, записям, полям
записей
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
2. Подсистема регистрации и учета
2.1.
Регистрация и учет:
входа/выхода субъектов доступа в/из системы (узла
сети)
выдачи печатных (графических) выходных
документов
+
изменения полномочий субъектов доступа
создаваемых защищаемых объектов доступа
2.2.
Учет носителей информации
2.3.
Очистка (обнуление, обезличивание) освобождаемых
областей оперативной памяти ЭВМ и внешних
накопителей
2.4.
Сигнализация попыток нарушеня защиты
+
+
+
+
+
+
+
+
Классификация автоматизированных систем по уровню
защищенности от НСД
Подсистемы и требования
Классы защищенности
3Б
3А
2Б
2А
1Д
1Г
1В
1Б
1А
+
+
3. Криптографическая подсистема
3.1.
Шифрование конфиденциальной
информации
3.2.
Шифрование информации,
принадлежащей разным субъектам
доступа (группам субъектов), на разных
ключах
3.3.
Использование аттестованных
(сертифицированных) криптографических
средств
+
+
+
+
+
Классификация автоматизированных систем по уровню
защищенности от НСД
Подсистемы и требования
Классы защищенности
3Б
3А
2Б
2А
1Д
1Г
1В
1Б
1
А
4. Подсистема обеспечения целостности
4.1.
Обеспечение целостности
программных средств и
обрабатываемой информации
+
+
+
+
+
+
+
+
+
4.2.
Физическая охрана средств
вычислительной техники и
носителей информации
+
+
+
+
+
+
+
+
+
4.3.
Наличие администратора (службы)
защиты информации в АС
4.4.
Периодическое тестирование
средств защиты от НСД
+
+
+
+
+
4.5.
Наличие средств восстановления
СЗИ от НСД
+
+
+
+
+
4.6.
Использование сертифицированных
средств защиты
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
Документ
Категория
Презентации
Просмотров
154
Размер файла
2 226 Кб
Теги
1/--страниц
Пожаловаться на содержимое документа