Учебная дисциплина Информационные системы в экономике Лекция 11 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Лектор: Пасхальный Алексей Владимирович кандидат технических наук, доцент 1 1

Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Под безопасностью информации понимается состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз. Другими словами - это устойчивость информации к случайным или преднамеренным воздействиям, исключающее недопустимые риски ее уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя информации. 2 2

1. Модель системы защиты информации 3 3

4 4 Применительно к уровню защиты информацию можно разделить на три категории: информация, составляющая государственную тайну; сведения, содержащие коммерческую тайну; персональные данные.

5 5 Информация, составляющая государственную тайну. Владельцем этой категории информации является государство. Оно само выдвигает требования по ее защите и контролирует их исполнение Законом РФ "О государственной тайне" от 21 июля 1993 г Нарушение этих требований влечет за собой применение санкций, предусмотренных Уголовным кодексом РФ. К государственной тайне относятся защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

6 6 Сведения, содержащие коммерческую тайну. Информацией этой категории владеют предприятия, и поэтому они вправе ею распоряжаться и самостоятельно определять степень защиты. В Федеральном законе Российской Федерации от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» тайна определена следующим образом: коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

7 7 Персональные данные. Собственниками информации данной категории являемся мы сами. Осознавая степень важности этой информации и ее роль в обеспечении безопасности каждой отдельно взятой личности, государство рассматривает ее защиту как одну из своих важных задач. Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных» регламентирует отношения, связанные с обработкой персональных данных

8 8 Информация нуждающаяся в защите на предприятии: вся информация, имеющая коммерческую значимость, а именно сведения о клиентах, поставщиках, новых разработках и ноу-хау, факты и содержание заключенных договоров с партнерами; данные о себестоимости продукции и услуг предприятия; результаты аналитических и маркетинговых исследований и вытекающие из них практические выводы; планы организации, тактика и стратегия действий на рынке; данные о финансовом состоянии организации, размерах окладов, премий, денежном наличном обороте.

9 9 Основными целями защиты информации являются: предотвращение утечки, хищения, искажения, подделки; обеспечение безопасности личности, общества, государства; предотвращение несанкционированного ознакомления, уничтожения, искажения, копирования, блокирования информации в информационных системах; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных; сохранение государственной тайны, конфиденциальности документированной информации;

10 соблюдение правового режима использования массивов, программ обработки информации, обеспечение полноты, целостности, достоверности информации в системах обработки; сохранение возможности управления процессом обработки и пользования информацией.

11 Основными задачами защиты информации традиционно считаются обеспечение: доступности (возможность за приемлемое время получить требуемую информационную услугу); конфиденциальности (защищенность информации от несанкционированного ознакомления); целостности (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения); юридической значимости.

12 Система защиты информации должна выполнять следующие функции: регистрация и учет пользователей, носителей информации, информационных массивов; обеспечение целостности системного и прикладного программного обеспечения и обрабатываемой информации; защита коммерческой тайны, в том числе с использованием сертифицированных средств криптозащиты; создание защищенного электронного документооборота с использованием сертифицированных средств криптопреобразования и электронной цифровой подписи; централизованное управление системой защиты информации, реализованное на рабочем месте администратора информационной безопасности;

13 защищенный удаленный доступ мобильных пользователей на основе использования технологий виртуальных частных сетей (VPN); управление доступом; обеспечение эффективной антивирусной защиты.

2. Угрозы информационной безопасности 14

15 Построение надежной защиты компьютерной системы невозможно без предварительного анализа возможных угроз безопасности системы, который включает в себя: выявление характера хранящейся в системе информации, выделение наиболее опасных угроз (несанкционированное чтение, несанкционированное изменение и т.д.); оценку затрат времени и средств на вскрытие системы, допустимых для злоумышленников; оценку ценности информации, хранящейся в системе; построение модели злоумышленника (другими словами, определение того, от кого нужно защищаться - от постороннего лица, пользователя системы, администратора и т.д.); оценку допустимых затрат времени, средств и ресурсов системы на организацию ее защиты.

16 Основные классы угроз безопасности, направленных против информационных ресурсов: угрозы, реализуемые либо воздействием на программное обеспечение и конфигурационную информацию системы, либо посредством некорректного использования системного и прикладного программного обеспечения; угрозы, связанные с выходом из строя технических средств системы, приводящим к полному или частичному разрушению информации, хранящейся и обрабатываемой в системе; угрозы, обусловленные человеческим фактором и связанные с некорректным использованием сотрудниками программного обеспечения или с воздействием на технические средства, в большей степени зависят от действий и "особенностей" морального поведения сотрудников;

17 угрозы, вызванные перехватом побочных электромагнитных излучений и наводок, возникающих при работе технических средств системы, с использованием специализированных средств технической разведки.

18 Угрозы с использованием программных средств В этом классе выделяются следующие основные угрозы: использование сотрудниками чужого идентификатора; использование чужого идентификатора поставщиками услуг; использование чужого идентификатора посторонними; несанкционированный доступ к приложению; внедрение вредоносного программного обеспечения; злоупотребление системными ресурсами; отказ от подтверждения авторства передаваемой информации; ошибки при маршрутизации; использование телекоммуникаций для несанкционированного доступа сотрудниками организации, поставщиком услуг, посторонними лицами;

19 неисправность средств сетевого управления, управляющих или сетевых серверов; сбои системного и сетевого программного обеспечения; сбои прикладного программного обеспечения.

20 Угрозы техническим средствам В этом классе выделяются следующие основные угрозы: пожар; затопление; природные катаклизмы; неисправности сетевого сервера, накопительного устройства, печатающих устройств, сетевых распределяющих компонентов, сетевых шлюзов, сетевых интерфейсов, электропитания, кондиционеров.

21 В этом классе выделяются следующие основные угрозы: ошибки операторов (ошибки администраторов при конфигурировании системы); ошибки пользователей при работе с системой; ошибки при работах с программным обеспечением (ошибки администраторов при проведении профилактических работ); ошибки при работах с оборудованием (ошибки сотрудников службы технической поддержки при проведении профилактических работ); кражи со стороны сотрудников. Угрозы, обусловленные человеческим фактором

3. Комплекс мероприятий по защите информации 22

23 Организационные мероприятия предусматривают: формирование и обеспечение функционирования системы информационной безопасности; организацию делопроизводства в соответствии с требованиями руководящих документов; использование для обработки информации защищенных систем и средств информатизации, а также технических и программных средств защиты, сертифицированных в установленном порядке; возможность использования информационных систем для подготовки документов конфиденциального характера только на учтенных установленным порядком съемных магнитных носителях и только при отключенных внешних линиях связи;

24 организацию контроля за действиями персонала при проведении работ на объектах защиты организации; обучение персонала работе со служебной (конфиденциальной) информацией и др.

25 Организационно-технические мероприятия: экспертиза деятельности организации в области защиты информации; обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений; аттестация объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями, составляющими служебную тайну; сертификация средств защиты информации, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам связи; разработка и внедрение технических решений и элементов защиты информации на всех этапах создания и эксплуатации объектов, систем и средств информатизации и связи;

26 применение специальных методов, технических мер и средств защиты информации, исключающих перехват информации, передаваемой по каналам связи.

27 Инженерно-технические мероприятия: предотвращение перехвата техническими средствами информации, передаваемой по каналам связи; выявление внедренных электронных устройств перехвата информации (закладных устройств); предотвращение утечки информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими техническими средствами, электроакустических преобразований и др.

28 Программные (программно-аппаратные) мероприятия по предотвращению утечки информации предусматривают: исключение несанкционированного доступа к информации; предотвращение специальных воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации; выявление внедренных программных или аппаратных "закладок"; исключение перехвата информации техническими средствами; применение средств и способов защиты информации и контроля эффективности при обработке, хранении и передаче по каналам связи.

29 Правовые мероприятия - создание в организации нормативной правовой базы по информационной безопасности – предусматривают разработку на основе законодательных актов Российской Федерации необходимых руководящих и нормативно- методических документов, перечней охраняемых сведений, мер ответственности лиц за нарушение порядка работы с конфиденциальной информацией.

30 4. Идентификационные системы

31 Более сложные системы идентификации, использующие технические средства, как правило, включают три основных функциональных элемента: носители кода или данных; считывающие головки или головки записи/считывания, обеспечивающие передачу информации между носителями кода или носителями данных и устройствами управления; устройства управления, предварительно обрабатывающие информацию и передающие ее на верхний уровень системы (персональный компьютер или программируемый контроллер).

32 Использование биометрической идентификация позволяет эффективно решить целый ряд проблем: предотвратить проникновение злоумышленников на охраняемые территории и в помещения за счет подделки, кражи документов, карт, паролей; ограничить доступ к информации и обеспечить персональную ответственность за ее сохранность; обеспечить допуск к ответственным объектам только сертифицированных специалистов; избежать накладных расходов, связанных с эксплуатацией систем контроля доступа (карты, ключи); исключить неудобства, связанные с утерей, порчей или элементарным забыванием ключей, карт, паролей.

32 Использование биометрической идентификация позволяет эффективно решить целый ряд проблем: предотвратить проникновение злоумышленников на охраняемые территории и в помещения за счет подделки, кражи документов, карт, паролей; ограничить доступ к информации и обеспечить персональную ответственность за ее сохранность; обеспечить допуск к ответственным объектам только сертифицированных специалистов; избежать накладных расходов, связанных с эксплуатацией систем контроля доступа (карты, ключи); исключить неудобства, связанные с утерей, порчей или элементарным забыванием ключей, карт, паролей.

Классификация биометрических характеристик человека Биометрическая аутентификация Динамические методы Статические методы по отпечаткам пальцев по форме ладони по ДНК другие методы по сетчатке глаза по радужной оболочке глаза по форме лица по термограмме лица по расположению вен на кисти руки по рукописному почерку по клавиатурному почерку по голосу другие методы

Статические методы аутентификации По отпечатку пальца По форме ладони По сетчатке глаза По форме лица

Диаграмма используемых методов аутентификации