Тема. Технологии обеспечения безопасности информационных систем 1. Понятие информационной безопасности (ИБ). Угрозы безопасности и их классификация. 2. Правовое обеспечение безопасности ИТ. 3. Организационно-экономическое обеспечение ИБ. 4. Программно-техническое обеспечение защиты ИБ.

Информационная безопасность - это состояние защищенности информационной среды общества, обеспечение её формирования, использования и развития в интересах граждан, организаций, государства. защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий, направленных на нанесение ущерба.

Защита информации – это средства обеспечения безопасности информации. Безопасность информации – это защита информации от утечки, модификации и утраты. Утечка информации – ознакомление постороннего лица с содержанием секретной информации. Модификация информации – несанкционированное изменение информации, корректное по форме и содержанию, но другое по смыслу. Утрата информации – физическое уничтожение информации.

доступность (возможность за приемлемое время получить требуемую информационную услугу); целостность (непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения); конфиденциальность (защита от несанкционированного ознакомления). Основные категории информации с точки зрения ИБ:

Угроза ИБ - возможность осуществления действия, направленного против объекта защиты, проявляющаяся в опасности искажений и потерь информации. Доступ к информации Санкционированный Несанкционированный

Рис. По данным Computer Security, ошибки персонала составляют более 50% причин потерь на предприятии

Статистика внутренних угроз 80% инсайдеров, проявляли негативное поведение еще до инцидента; 92% - перевод на менее квалифицированную работу; 59% бывшие служащие, из них 48% были уволены, 38% были вынуждены подать заявление об уходе, 7% сняты с должности; 86% работали на технических должностях; 96% инсайдеров - мужчины; 57% - «недовольные» чем-то.

Рис. Угрозы в локальной сети предприятия

Политические (глобальный мониторинг, нарушение информационных связей, низкая общая правовая и информационная культура и др.), Экономические (критическое состояние отраслей «информационной» промышленности, кооперация с зарубежными странами), Организационно-технические (недостаточная нормативно-правовая база, рост объемов передаваемой информации, обострение криминогенной обстановки и др.). Угрозы информационной безопасности

Источники угроз информационной безопасности на глобальном уровне недружественная политика иностранных государств в области информационного мониторинга; деятельность иностранных разведывательных и спецслужб; деятельность иностранных структур, направленная против интересов государств СНГ; преступные действия международных групп, формирований и отдельных лиц.

Источники угроз информационной безопасности на региональном уровне использование устаревшей информационной инфраструктуры для передачи конфиденциальной информации; отставание от развитых стран мира в темпах и масштабах разработки и внедрения новейших информационных технологий; высокий уровень технологической зависимости страны от зарубежных государств; использование устаревших методов и средств защиты информационных сетей.

Источники угроз информационной безопасности на локальном уровне перехват электронных излучений; применение подслушивающих устройств; дистанционное фотографирование; хищение носителей информации; чтение остаточной информации в памяти системы после выполнения санкционированных запросов; маскировка под зарегистрированного пользователя; внедрение и использование компьютерных вирусов.

Законодательные акты в области ИБ США 2007 г. "Стратегии информационной безопасности" Постановление Межпарламентской Ассамблеи Евразийского экономического сообщества 2004 г. "О типовых проектах законодательных актов в сфере информационных технологий ("Об информатизации", "Об информационной безопасности", "Основные принципы электронной торговли")" РФ 2000 г. "Доктрина информационной безопасности Российской Федерации" 2006 г. закон "Об информации, информационных технологиях и защите информации "

Закон Республики Беларусь «Об информатизации» от 6 сентября 1995 г. N 3850-XII (Ведомости Верховного Совета Республики Беларусь, 1995 г., N 33, ст.428) Закон Республики Беларусь «Об электронном документе» от 10 января 2000 г. 357-З (Национальный реестр правовых актов Республики Беларусь, 2000 г., N 7, 2/132)

Закон «Об электронном документе» решает следующие юридические вопросы: признание существования электронного документа; установление правил его создания, обращения и хранения; признание сделки надлежаще заключенной при использовании электронной цифровой подписи (ЭЦП), регламентация порядка ее использования; регулирование центров, сертифицирующих ЭЦП; определение механизма представления электронных документов в качестве судебных доказательств и др.

Проект Закона Республики Беларусь "Об информации, информатизации и защите информации" (Постановление Палаты представителей Национального собрания Республики Беларусь от N 787-П3/VII) Одобрен Советом Республики "Об информации, информатизации и защите информации"Постановление Палаты представителей Национального собрания Республики Беларусь от N 787-П3/VII Решение Совета глав правительств Содружества Независимых Государств от 4 июня 1999 г. "О Концепции информационной безопасности государств-участников Содружества Независимых Государств в военной сфере"

Уголовный кодекс Республики Беларусь несанкционированный доступ к компьютерной информации модификация компьютерной информации компьютерный саботаж изготовление либо сбыт специальных средств для получения неправомерного доступа к системе или сети разработка, использование либо распространение вредоносных программ

УКАЗ ПРЕЗИДЕНТА РЕСПУБЛИКИ БЕЛАРУСЬ 17 июля 2001 г. 390 «ОБ УТВЕРЖДЕНИИ КОНЦЕПЦИИ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ РЕСПУБЛИКИ БЕЛАРУСЬ»

Состав системы информационной безопасности органы государственной власти и управления, Государственный центр безопасности информации (ГЦБИ); государственные и межведомственные комиссии и советы; структурные и межотраслевые подразделения; научно-исследовательские («НИИ технической защиты информации»), проектные и конструкторские организации; учебные заведения.

Функции системы информационной безопасности разработка и реализация стратегии обеспечения ИБ; оценка состояния ИБ; организация разработки программ обеспечения ИБ; организация научных исследований в области ИБ; обеспечение контроля за созданием и использованием средств защиты информации; осуществление международного сотрудничества в сфере ИБ.

Стандарты в области инф. безопасности ISO/IEC DTR «ИТ. Основы защиты информации для открытых систем»; ISO/IEC DTR «ИТ. Модель защиты информации верхних уровней»; ISO/IEC DTR «ИТ. Общие функции защиты верхних уровней»; ISO «Общие критерии оценки безопасности информационных технологий»; ISO/IEC DTR ,2,3 - «ИТ. Руководство по управлению безопасностью ИТ". ISO «ИТ. Практические правила управления информационной безопасностью»; Международный стандарт менеджмента безопасности ISO/IEC 27001

Стандарт менеджмента безопасности ISO/IEC Организационные методы обеспечения ИБ Политика безопасности, Управление ресурсами Пользователи информационной системы Физическая безопасность Управление коммуникациями и процессами Контроль доступа Приобретение, разработка и сопровождение информационных систем Управление инцидентами ИБ Управление непрерывностью ведения бизнеса

Стандарты Республики Беларусь СТБ ,2, (ИСО/МЭК ) И Т и безопасность. Критерии оценки безопасности информационных технологий СТБ П , Задание по обеспечению безопасности СТБ П Профиль защиты СТБ П Программные средства защиты от воздействия вредоносных программ и антивирусные ПО СТБ П Требования к защите информации от несанкционированного доступа (НСД) СТБ П Средства защиты информации от НСД в автоматизированных системах. СТБ П Критерии оценки безопасности ИТ

Компьютерная преступность - это любые незаконные, неэтичные или неправомерные действия, связанные с автоматической обработкой данных и/или их передачей. Перечень компьютерных преступлений: компьютерное мошенничество; компьютерный подлог (подделка); повреждение компьютерной информации или программ; несанкционированный доступ; несанкционированное производство; другие.

Политика безопасности - система взглядов, целей и задач, принципов и способов достижения требуемого уровня защищенности информации (напр. парольная политика, политика анализа рисков, политика защиты сетевого оборудования и пр.).

Содержание парольной политики компании Cisco «Введение». «Цель политики». «Область применения». «Политика». «Ответственность». «Термины и определения». «История изменений данной политики».

Рис. Панель «Параметры», вкладка «Безопасность»

Средства доступа к информации Идентификация (identification) = имя пользователя (user name), или логин (login). Аутентификация (authentication) = пароль (password). Авторизация = набор полномочий.

Таблица. Биометрические параметры человека, используемые в системах контроля допуска Физиологические Поведенческие Отпечатки пальцев Подпись Отпечаток ладони Тембр голоса Радужная оболочка глаза Клавиатурный почерк Сетчатка глаза Геометрия кисти руки Геометрия лица Структура ДНК

Организационно-экономические методы защиты информации стандартизация методов и средств защиты информации; сертификация компьютерных систем и сетей по требованиям безопасности; лицензирование деятельности в сфере защиты информации; страхование информационных рисков; контроль за действием персонала.

Организационно- административные методы защиты информации выделение специальных защищенных помещений; выделение специальных ПК для обработки конфиденциальной информации; организация специального делопроизводства; организация регламентированного доступа пользователей к работе на ПК; запрет на использование открытых каналов связи для передачи конфиденциальной информации; постоянный контроль за соблюдением требований по защите информации.

ограничение доступа посторонних лиц внутрь корпуса оборудования; отключение ПК от сети при обработке на нем конфиденциальной информации; установка клавиатуры и печатающих устройств на мягкие прокладки с целью снижения утечки информации по акустическому каналу; организация электропитания ПК от отдельного блока питания; использование бесперебойных источников питания. Организационно-технические методы защиты информации

Программно-техническое обеспечение защиты информационной безопасности: физические, аппаратные, программные, аппаратно-программные, криптографические методы и средства защиты информации.

Физические методы: замки, инерционные датчики, специальные установки, сейфы и металлические шкафы, экранизация рабочих помещений, магнитные ловушки, экранированный кабель, сетевые фильтры подавления электромагнитных излучений; диэлектрические вставки.

Аппаратные средства: идентификация субъектов (пользователей, обслуживающего персонала) и объектов (ресурсов) системы; проверка полномочий; регистрация (протоколирование) при обращении к запрещаемым ресурсам; реагирование (отказ в обслуживании, сигнализация) при попытках несанкционированного доступа к защищаемым ресурсам.

Программные средства защиты контроль загрузки и входа в систему с помощью персональных идентификаторов (имя, код, пароль и т. п.); разграничение и контроль доступа к ресурсам; обеспечение работы каждого пользователя в индивидуальной среде; управление потоками конфиденциальной информации; защита файлов от вирусов; стирание остаточной конфиденциальной информации; автоматический контроль за работой пользователей.

Рис. Брандмауэр запрещает доступ в локальную сеть из Интернет пользователям, не имеющим соответствующих полномочий

Рис. Персональный брандмауэр Кaspersky Anti-Hacker (защита от внешних угроз и обнаружение вторжений)

ЗАО «Авест» производитель систем криптографической защиты данных в Республике Беларусь продукты ЗАО "АВЕСТ" имеют сертификаты соответствия СТБ, выданные Государственным Центром по Безопасности Информации при Президенте Республики Беларусь.

Криптографические методы и средства защиты информации Рис. Принцип шифрования с секретным ключом

Рис. Схема шифрования с секретным (симметричным) ключом

Рис. Сообщение мог послать только А (лишь он обладает частным ключом), т.е. проблема аутентификации решена. Но, например, B не уверен, что письмо не прочитал также С. Таким образом, конфиденциальность не обеспечена

Рис. Сообщение может прочесть только А, так как лишь он обладает частным ключом, раскрывающим сообщение, то есть проблема конфиденциальности решена. Но А не может быть уверен, что сообщение не прислал С, выдающий себя за В. Таким образом, аутентификация не обеспечивается

Рис. Шифрование с симметричным и асимметричным ключом

Рис. Система сертификации имеет многоуровневый характер

Рис. 3. Схема получения антивирусными компаниями информации о новых вирусах

Рис. 4. «Антивирус Касперского Personal»

Рис. 7. Рассылка СПАМа

Рис. 8. Kaspersky Anti-Spam реализован в виде дополнительного меню в Microsoft Outlook

Пользователи сети Интернет США – около 200 млн. чел., Китай – 111 млн. и Япония – 85,29 млн. человек. В России число пользователей на конец 2005 года составляло 21,8 млн е месте в мире. Украина - 4,5 млн. пользователей - 12 место в мире. Беларусь заняла 13 место среди стран мира по количеству пользователей Интернета - к началу 2006 года насчитывается порядка 3,39 млн. пользователей.

Статистика пользователей Интернет 38% взрослого городского населения пользуется Интернет. Доли пользователей Интернет среди мужчин и женщин – 56,9% и 43,1% соответственно. Чаще всего Интернетом пользуются: минчане (62,3%), жители Минской (27%), Гродненской (22,6%) и Гомельской (20,8%) областей. Доля респондентов-пользователей в возрасте: от лет – 50%; года – 32%, лет – 11%, 60 лет и старше – 7%.

Дистанционное образование

Объекты и способы защиты ИБ в информационной системе Данные списки контроля доступа, шифрование Приложения защита приложений, антивирусные системы Компьютеры защита ОС, управление обновлениями, аутентификация Внутренняя сеть сегментация сети, IP Security, система обнаружения вторжений Периметр межсетевые экраны, VPN-соединений Физическая защита охрана, средства наблюдения Политики и процедуры обучение пользователей, политика безопасности предприятия

Спасибо за внимание