Профессор кафедры ИСиТ СтГАУ к.т.н., профессор Жук Александр Павлович Тема лекции: «Информационная безопасность» Учебные вопросы: 1. Основные понятия в области информационной безопасности. 2. Зарубежное и отечественное законодательство в области информационной безопасности. 3. Информационная безопасность автоматизированных систем. 1
Вопрос 1: Основные понятия в области информационной безопасности. 2
В связи с массовой информатизацией современного общества все большую актуальность приобретает знание нравственно-этических норм и правовых основ использования средств новых информационных технологий в повседневной практической деятельности. Наглядными примерами, иллюстрирующими необходимость защиты информации и обеспечения информационной безопасности, являются участившиеся сообщения о компьютерных «взломах» банков, росте компьютерного пиратства, распространении компьютерных вирусов. Число компьютерных преступлений растет, также увеличиваются масштабы компьютерных злоупотреблений. Умышленные компьютерные преступления составляют заметную часть преступлений, но злоупотреблений компьютерами и ошибок еще больше. 3
Информация - совокупность сведений (сообщений) об окружающем нас мире (событиях, лицах, явлениях, процессах, факторах и их взаимосвязях), представленных в виде, пригодном для передачи одними людьми и восприятия другими, используемых в целях получения знаний и принятия решения. "Критичная" (конфиденциальная, защищаемая) информация - это информация с соответствующими грифами секретности, информация для служебного пользования, информация, являющаяся собственностью учреждения. Информационная угроза - фактор или совокупность факторов, создающих опасность нарушения свойств информации. Информационные ресурсы - информация по всем направлениям жизнедеятельности общества, организованная в форме документов и массивов документов (архивов, фондов), программ для ЭВМ, баз данных, баз знаний, а также в других формах организации информации. База данных - совокупность организованных, взаимосвязанных данных на машиночитаемых и других физических носителях. 4
Информационно - телекоммуникационная система – совокупность взаимосвязанных каналами дальнего приема и передачи информации аппаратно-программных и технических средств, объединенных в единое целое из территориально разнесенных элементов с целью обеспечения технологического цикла обработки информации (поиска, сбора, хранении, переработки, редактирования и выдачи потребителю в требуемой форме результатов такой обработки, т.е. ИТКС включает в себя компьютерные сети, программное обеспече ние и систему связи. Технические каналы утечки информации - физическая среда распространения опасных сигналов, несущих конфиденциальную информацию, Выходящая за пределы охраняемой территории. Информационная безопасность состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства (ст. 2. Федерального закона от «Об участии в международном информационном обмене»). 5
В качестве стандартной модели безопасности часто приводят модель CIA: конфиденциальность (англ. confidentiality); целостность (integrity); доступность (availability). Под конфиденциальностью понимается доступность информации только определённому кругу лиц. Под целостностью понимается гарантия существования информации в исходном виде. Под доступностью понимается возможность получение информации авторизованным пользователем в нужное для него время. Выделяют и другие категории: аутентичность возможность установления автора информации; апеллируемость возможность доказать что автором является именно заявленный человек, а не никто другой. 6
Информационная безопасность есть активное противодействие государства таким угрозам, которые возникают когда под видом свободы слова осуществляется политика внедрения в сознание граждан информации и культурных стандартов, определенным образом ориентирующих и мотивирующих их деятельность, подменяющих традиционные духовные ценности и, в конечном итоге, ведущих к разложению национальной идентичности и размыванию государственного суверенитета. Словосочетание информационная безопасность является переводом на русский язык английского термина information security.information security В России словосочетание информационная безопасность имеет (чаще всего) научный, теоретический окрас, а словосочетание защита информации применяется при описании практических мероприятий. Цель информационной безопасности - обезопасить ценности системы, защитить и гарантировать точность и целостность информации и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. 7
Вопрос 2: Зарубежное и отечественное законодательство в области информационной безопасности 8
Использование информационных систем должно производиться в соответствии с существующим законодательством. Данное положение, разумеется, применимо к любому виду деятельности, однако информационные технологии специфичны в том отношении, что развиваются исключительно быстрыми темпами. Почти всегда законодательство отстает от потребностей практики, и это создает в обществе определенную напряженность. Для информационных технологий подобное отставание законов, нормативных актов, национальных и отраслевых стандартов оказывается особенно болезненным. Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно разделить на четыре уровня: 1. Законодательный (законы, нормативные акты, стандарты и т.п.); 2. Административный (действия общего характера, предпринимаемые руководством организации); 3. Процедурный (конкретные меры безопасности, имеющие дело с людьми); 4. Программно-технический (конкретные технические меры). 9
Конституция РФ непосредственно не регулирует отношения в области производства и применения новых информационных технологий, но создает предпосылки для такого регулирования, закрепляя права граждан (свободно искать, получать, передавать, производить и распространять информацию любым законным способом - ст. 29 ч. 4; на охрану личной тайны - ст. 24 ч. 1 и др.) и обязанности государства (по обеспечению возможности ознакомления гражданина с документами и материалами, непосредственно затрагивающими его права и свободы - ст. 24 ч. 2). Гражданский кодекс РФ (ГК) в большой степени определяет систему правоотношений в рассматриваемой области. Часть первая ГК устанавливает правовые режимы информации - служебная и коммерческая тайна, а также личная и семейная тайна. На уровне действующих законов России в области информационной безопасности можно считать в достаточной степени урегулированными вопросы охраны исключительных прав и частично защиты информации (в рамках государственной тайны). Не получили достойного отражения в законодательстве две группы правооотношений: право граждан на доступ к информации, защита информации (в том числе коммерческая и служебная тайны). 10
Доктрина информационной безопасности Российской Федерации Основой для формирования государственной политики в сфере информации является Доктрина информационной безопасности Российской Федерации, утвержденная 9 сентября 2000 г. Президентом России. Она включает в себя перечень основных видов возможных угроз для информационной безопасности, которые в том числе связаны с телекоммуникационными системами. К числу таких угроз отнесены: · закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам; · вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи; · неспособность предприятий национальных отраслей электронной промышленности производить на базе новейших достижений микроэлектроники передовых информационных технологий конкурентоспособную наукоемкую продукцию, позволяющую обеспечить достаточный уровень технологической независимости России от зарубежных стран, что приводит к вынужденному широкому использованию импортных программно-аппаратных средств при создании и развитии в России информационной инфраструктуры; · увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности; · нарушение установленного регламента сбора, обработки и передачи информации, преднамеренные действия и ошибки персонала информационных и телекоммуникационных систем, отказ технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах; · использование не сертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты информации и контроля их эффективности; · привлечение к работам по созданию, развитию и защите информационных и телекоммуникационных систем организаций и фирм, не имеющих государственных лицензий на осуществление этих видов деятельности. 11
Доктрина информационной безопасности Российской Федерации В качестве некоторых общих методов обеспечения информационной безопасности Доктриной, в частности, предполагаются: · обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь, в области создания специализированной вычислительной техники для образцов вооружения и военной техники; · законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи. В числе первоочередных мер, направленных на обеспечение информационной безопасности, в Доктрине, в частности, названы: · принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации; · повышение правовой культуры и компьютерной грамотности граждан; · развитие инфраструктуры единого информационного пространства России [...]; · создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства; · пресечение компьютерной преступности; · создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации; · обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения. 12
Доктрина информационной безопасности Российской Федерации В число основных организационно-технических мероприятий по защите информации в общегосударственных информационных и телекоммуникационных системах включены: 1. Лицензирование деятельности организаций в области защиты информации; 2. Аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну; 3. Сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи. 13
Закон «О правовой охране программ для электронных вычислительных машин и баз данных» (от с послед, изм. и доп.) продолжает создание механизмов правовой охраны компонентов новых информационных технологий. Впервые предметом правового регулирования стали программы для ЭВМ и базы данных. Последние определены в ст.1 как «объективная форма представления и организации совокупности данных (например, статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ». Согласно ст. 2 «программы для ЭВМ и базы данных относятся настоящим Законом к объектам авторского права. Программам для ЭВМ предоставляется правовая охрана как произведениям литературы, а базам данных - как сборникам». Закон регулирует исключительные авторские права на программы для ЭВМ и базы данных (как личные, так и имущественные). Причем «авторское право на программу для ЭВМ или базу 1 данных возникает в силу их создания», а для признания и осуществления авторского права на них «не требуется депонирования, (регистрации или соблюдения иных формальностей» (ст. 4). 14
Закон «Об авторском праве и смежных правах» (от с послед, изм. и доп.). Данный закон наряду с законом «О правовой охране программ для электронных вычислительных машин и баз данных» составляет законодательство Российской Федерации об авторском праве и смежных правах, применяемое к программам для ЭВМ и базам данных. Среди объектов охраны закон предусматривает (ст. 7) программы для ЭВМ, причем охрана распространяется на все виды программ (в том числе на операционные системы), которые могут быть выражены на любом языке и в любой форме, включая исходный текст. В той же статье к объектам охраны (как производные, составные произведения) отнесены базы данных. Базы данных определяются в этом законе аналогично закону «О правовой охране программ для электронных вычислительных машин и баз данных». Закон исключает из объектов авторского права «идеи, методы, процессы, системы, способы, концепции, принципы, открытия, факты» (ст. 6), а также «официальные документы (законы, судебные решения, иные тексты законодательного, административного и судебного характера); сообщения о событиях и фактах, имеющие информационный характер» (ст. 8). Закон подчеркивает (ст.6), что авторское право на произведение не связано с правом собственности на материальный объект, в котором произведение выражено. Передача права собственности на материальный объект или права владения материальным объектом сама по себе не влечет передачи каких- либо авторских прав на произведение, выраженное в этом объекте, за исключением случаев продажи произведений изобразительного искусства. 15
Закон «О государственной тайне» (от с послед, изм. и доп.). Настоящий Закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации. При этом в качестве носителей сведений, составляющих государственную тайну, рассматриваются «материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов» (ст. 2). В соответствии с этим определением закон применяется и к сведениям, составляющим государственную тайну и хранимым в памяти ЭВМ. В ст. 10 впервые в отечественном законодательстве было введено понятие «собственник информации» (предприятие, учреждение, организация и граждане). Однако это понятие в рамках закона не нашло своего применения. Информация, составляющая государственную тайну, должна быть выведена за сферу рыночных отношений, поэтому нормы гражданского права к ней неприменимы. В отношении государственной тайны речь может идти не о ее цене, а об оценке «размеров ущерба, наступившего в результате несанкционированного распространения сведений, составляющих государственную тайну, а также ущерба, нанесенного собственнику информации в результате ее засекречивания» (ст. 4, ч. 3). 16
Федеральный закон «О связи» (от ФЗ с послед, изм. и доп.). Средства связи вместе со средствами вычислительной техники составляют техническую базу обеспечения процесса сбора, обработки, накопления и распространения информации (ст. 1). Сети электросвязи представляют собой технологические системы, обеспечивающие один или несколько видов передач: телефонную, телеграфную, факсимильную передачу данных и других видов документальных сообщений, включая обмен информацией между ЭВМ, телевизионное, звуковое и иные виды радио- и проводного вещания (ст. 2). Таким образом, закон регулирует обширную область правоотношений, возникающих при передаче информации по каналам связи (при осуществлении удаленного доступа пользователей к базам данных, обмене электронными сообщениями и других ситуациях). 17
Федеральный закон «Об информации, информатизации и защите информации» (от ФЗ). Данный закон, называемый авторами «базовым», положил начало формированию новой отрасли законодательства. Поэтому принципиальные решения, закрепленные в законе, требуют пристального рассмотрения. В ст. 1 определена сфера регулирования правоотношений. Это отношения, возникающие при: · формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; · создании и использовании информационных технологий и средств их обеспечения; · защите информации, прав субъектов, участвующих в информационных процессах и информатизации. Среди объектов регулирования центральное место занимают (ст. 2): · документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать; · информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах); · средства обеспечения автоматизированных информационных систем и их технологий - программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию. 18
Федеральный закон «Об информации, информатизации и защите информации» (от ФЗ). Относительно этих объектов регулирования установлены: · основы правового режима информационных ресурсов (ст. 4); · состав государственных информационных ресурсов (ст. 7)и порядок их формирования (ст. 8); · режимы доступа к информационным ресурсам (ст. 10) и порядок их использования (ст ); · порядок использования информации о гражданах (персональные данные) как части государственных информационных ресурсов (ст. 11, 14); · порядок сертификации информационных систем, технологий, средств их обеспечения и лицензирования деятельности по формированию и использованию информационных ресурсов (ст. 19); · принципы защиты информации и прав субъектов в области информатизации (ст. 20, 21, 22, 23 и 24). Важнейшим элементом реализуемой в законе концепции является объявление информационных ресурсов объектом права собственности и включение их в состав имущества (ст. 6). Устанавливается право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (ст. 4), а также право собственности на информационные системы, технологии и средства их обеспечения (ст. 17). Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения определяется законом как субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами (ст. 2). Это указывает на то, что закон распространяет на все указанные объекты нормы вещного права. 19
Стандарты в области информационной безопасности (зарубежные) BS :2005 Британский стандарт BS 7799 первая часть. BS 7799 Part 1 Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определенных на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ. BS :2005СУИБ BS :2005 Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 Information Security management specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации. BS :2005 BS :2006 Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности BS :2006 ISO/IEC 17799:2005 Международный стандарт, базирующийся на BS :2005. ISO/IEC 17799:2005 ISO/IEC Словарь и определения. ISO/IEC ISO/IEC 27001:2005 Международный стандарт, базирующийся на BS :2005. ISO/IEC 27001:2005 ISO/IEC Сейчас: ISO/IEC 17799:2005. Дата выхода 2007 год. ISO/IEC ISO/IEC Сейчас: BS :2006 Руководство по менеджменту рисков ИБ. ISO/IEC
Стандарты в области информационной безопасности (отечественные) ГОСТ Р Защита информации. Основные термины и определения. ГОСТ Р Р Информационные технологии. Основные термины и определения в области технической защиты информации. Р ГОСТ Р Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство. ГОСТ Р ГОСТ Р Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. ГОСТ Р ИСО/МЭК ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. ГОСТ Р ИСО/МЭК ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. ГОСТ Р ИСО/МЭК ГОСТ Р ИСО/МЭК «Общие критерии оценки безопасности информационных технологий» стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами. ГОСТ Р ИСО/МЭК
Стандарты в области информационной безопасности (отечественные) ГОСТ Р ИСО/МЭК «Информационные технологии. Методы безопасности. Руководство по управлению безопасностью информации». Прямое применение международного стандарта с дополнением ISO/IEC 17799:2005. ГОСТ Р ИСО/МЭК ГОСТ Р ИСО/МЭК «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта ISO/IEC 27001:2005. ГОСТ Р ИСО/МЭК Стандарт ЦБР СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Версия стандарта управления информационной безопасностью в банковской сфере РФ, предложенная Банком России, разработана на базе международных спецификаций ISO/IEC 17799, ISO/IEC и CobiT, с учетом общепринятых иностранных законов и стандартов в области ИБ акты Сарбейниса-Оксли (SOX, Sarbanes-Oxley Act of 2002) и GLBA (Gramm-Leach-Bliley Act), адаптированых к местной специфике.ЦБРСТО БР ИББС-1.0Банком РоссииCobiTSOXGLBA ГОСТ Р Аспекты безопасности. Правила включения в стандарты. ГОСТ Р German Information Security Agency. IT Baseline Protection Manual - Standard security safeguards (Руководство по базовому уровню защиты информационных технологий). 22
Вопрос 3: Информационная безопасность автоматизированных систем 23
Практически любая АС может выступать в качестве объекта информационной атаки, которая может быть определена как совокупность действий злоумышленника, направленная на нарушение одного из трёх свойств информации - конфиденциальности, целостности или доступности. Для реализации информационной атаки нарушителю необходимо активизировать или, другими словами, использовать определённую уязвимость АС. Под уязвимостью принято понимать слабое место АС, на основе которого возможна успешная реализация атаки. Примерами уязвимостей АС могут являться: некорректная конфигурация сетевых служб АС, наличие ПО без установленных модулей обновления, использование нестойких к угадыванию паролей, отсутствие необходимых средств защиты информации и др. 24
25 Связь уязвимости, атаки и её возможных последствий
Уязвимости являются основной причиной возникновения информационных атак. Наличие самих слабых мест в АС может быть обусловлено самыми различными факторами, начиная с простой халатности сотрудников, и заканчивая преднамеренными действиями злоумышленников. Уязвимости могут присутствовать как в программно-аппаратном, так и организационно-правовом обеспечении АС. Основная часть уязвимостей организационно-правового обеспечения обусловлена отсутствием на предприятиях нормативных документов, касающихся вопросов информационной безопасности. Примером уязвимости данного типа является отсутствие в организации утверждённой концепции или политики информационной безопасности, которая бы определяла требования к защите АС, а также конкретные пути их реализации. Уязвимости программно-аппаратного обеспечения могут присутствовать в программных или аппаратных компонентах рабочих станций пользователей АС, серверов, а также коммуникационного оборудования и каналов связи АС. Уязвимости АС могут быть внесены как на технологическом, так и на эксплуатационном этапах жизненного цикла АС. На технологическом этапе нарушителями могут быть инженерно-технические работники, участвующие в процессе проектирования, разработки, установки и настройки программно-аппаратного обеспечения АС. 26
Внесение эксплуатационных уязвимостей может иметь место при неправильной настройке и использовании программно-аппаратного обеспечения АС. В отличие от технологических, устранение эксплуатационных уязвимостей требует меньших усилий, поскольку для этого достаточно изменить конфигурацию АС. Характерными примерами уязвимостей этого типа являются: наличие слабых, не стойких к угадыванию паролей доступа к ресурсам АС. При активизации этой уязвимости нарушитель может получить несанкционированный доступ к АС путём взлома пароля при помощи метода полного перебора или подбора по словарю; наличие в системе незаблокированных встроенных учётных записей пользователей, при помощи которых потенциальный нарушитель может собрать дополнительную информацию, необходимую для проведения атаки. Примерами таких учётных записей являются запись "Guest" в операционных системах или запись "Anonymous" в FTP-серверах; неправильным образом установленные права доступа пользователей к информационным ресурсам АС. В случае если в результате ошибки администратора пользователи, работающие с системой, имеют больше прав доступа, чем это необходимо для выполнения их функциональных обязанностей, то это может привести к несанкционированному использованию дополнительных полномочий для проведения атак. Например, если пользователи будут иметь права доступа на чтение содержимого исходных текстов серверных сценариев, выполняемых на стороне Web- сервера, то этим может воспользоваться потенциальный нарушитель для изучения алгоритмов работы механизмов защиты Web-приложений и поиска в них уязвимых мест; наличие в АС неиспользуемых, но потенциально опасных сетевых служб и программных компонентов. Так, например, большая часть сетевых серверных служб, таких как Web-серверы и серверы СУБД поставляются вместе с примерами программ, которые демонстрируют функциональные возможности этих продуктов. В некоторых случаях эти программы имеют высокий уровень привилегий в системе или содержат уязвимости, использование которых злоумышленником может привести к нарушению информационной безопасности системы. Примерами таких программ являются образцы CGI-модулей, которые поставляются вместе с Web- приложениями, а также примеры хранимых процедур в серверах СУБД; неправильная конфигурация средств защиты, приводящая к возможности проведения сетевых атак. Так, например, ошибки в настройке межсетевого экрана могут привести к тому, что злоумышленник сможет передавать через него пакеты данных. 27
Уязвимости могут использоваться злоумышленниками для реализации информационных атак на ресурсы АС. Согласно разработанной классификации любая атака в общем случае может быть разделена на четыре стадии: стадия рекогносцировки. На этом этапе нарушитель осуществляет сбор данных об объекте атаки, на основе которых планируются дальнейшие стадии атаки. Примерами такой информации являются: тип и версия операционной системы (ОС), установленной на узлах АС, список пользователей, зарегистрированных в системе, сведения об используемом прикладном ПО и др. При этом в качестве объектов атак могут выступать рабочие станции пользователей, серверы, а также коммуникационное оборудование АС; стадия вторжения в АС. На этом этапе нарушитель получает несанкционированный доступ к ресурсам тех узлов АС, по отношению к которым совершается атака; стадия атакующего воздействия на АС. Данный этап направлен на достижение нарушителем тех целей, ради которых предпринималась атака. Примерами таких действий могут являться нарушение работоспособности АС, кража конфиденциальной информации, хранимой в системе, удаление или модификация данных системы и др. При этом атакующий может также осуществлять действия, которые могут быть направлены на удаление следов его присутствия в АС; стадия дальнейшего развития атаки. На этом этапе выполняются действия, которые направлены на продолжение атаки на ресурсы других узлов АС. 28
В настоящее время существует большое количество организационных и технических мер защиты, которые могут использоваться для защиты от информационных атак. организационные и технические. Организационные средства связаны с разработкой и внедрением на предприятиях нормативно-правовых документов, определяющих требования к информационной безопасности АС. Примерами таких документов являются политика и концепция обеспечения информационной безопасности, должностные инструкции по работе персонала с АС и т.д. Технические же средства защиты АС реализуются при помощи соответствующих программных, аппаратных или программно-аппаратных комплексов. На сегодняшний день можно выделить следующие основные виды технических средств защиты: средства криптографической защиты информации; средства разграничения доступа пользователей к ресурсам АС; средства межсетевого экранирования; средства анализа защищённости АС; средства обнаружения атак; средства антивирусной защиты; средства контентного анализа; средства защиты от спама. 29
Средства криптографической защиты информации представляют собой средства вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее конфиденциальности и контроля целостности. Защита информации может осуществляться в процессе её передачи по каналам связи или в процессе хранения и обработки информации на узлах АС. Для решения этих задач используются различные типы СКЗИ, описание которых приводится ниже. Средства разграничения доступа предназначены для защиты от несанкционированного доступа к информационным ресурсам системы. Разграничение доступа реализуется средствами защиты на основе процедур идентификации, аутентификации и авторизации пользователей, претендующих на получение доступа к информационным ресурсам АС. Межсетевые экраны (МЭ) реализуют методы контроля за информацией, поступающей в АС и/или выходящей из АС, и обеспечения защиты АС посредством фильтрации информации на основе критериев, заданных администратором. Процедура фильтрации включает в себя анализ заголовков каждого пакета, проходящего через МЭ, и передачу его дальше по маршруту следования только в случае, если он удовлетворяет заданным правилам фильтрации. При помощи фильтрования МЭ позволяют обеспечить защиту от сетевых атак путём удаления из информационного потока тех пакетов данных, которые представляют потенциальную опасность для АС. Средства анализа защищённости выделены в представленной выше классификации в обособленную группу, поскольку предназначены для выявления уязвимостей в программно-аппаратном обеспечении АС. Системы анализа защищённости являются превентивным средством защиты, которое позволяет выявлять уязвимости при помощи анализа исходных текстов ПО АС, анализа исполняемого кода ПО АС или анализа настроек программно- аппаратного обеспечения АС. 30
Системы обнаружения атак представляют собой специализированные программные или программно-аппаратные комплексы, предназначенные для выявления информационных атак на ресурсы АС посредством сбора и анализа данных о событиях, регистрируемых в системе. Система обнаружения атак включает в себя следующие компоненты: модули-датчики, предназначенные для сбора необходимой информации о функционировании АС. Иногда датчики также называют сенсорами; модуль выявления атак, выполняющий анализ данных, собранных датчиками, с целью обнаружения информационных атак; модуль реагирования на обнаруженные атаки; модуль хранения данных, в котором содержится вся конфигурационная информация, а также результаты работы средств обнаружения атак; модуль управления компонентами средств обнаружения атак. Средства антивирусной защиты предназначены для обнаружения и удаления вредоносного ПО, присутствующего в АС. К таким вредоносным программам относятся компьютерные вирусы, а также ПО типа "троянский конь", "spyware" и "adware". Средства защиты от спама обеспечивают выявление и фильтрацию незапрошенных почтовых сообщений рекламного характера. В ряде случаев для рассылки спама используется вредоносное программное обеспечение, внедряемое на хосты АС и использующее адресные книги, которые хранятся в почтовых клиентах пользователей. Средства контентного анализа предназначены для мониторинга сетевого трафика с целью выявления нарушений политики безопасности. В настоящее время можно выделить два основных вида средств контентного анализа - системы аудита почтовых сообщений и системы мониторинга Интернет-трафика. 31
Комплексный подход к защите от информационных атак предусматривает согласованное применение правовых, организационных и программно-технических мер, перекрывающих в совокупности все основные каналы реализации вирусных угроз. В соответствии с этим подходом в организации должен быть реализован следующий комплекс мер: меры по выявлению и устранению уязвимостей, на основе которых реализуются угрозы. Это позволит исключить причины возможного возникновения информационных атак; меры, направленные на своевременное обнаружение и блокирование информационных атак; меры, обеспечивающие выявление и ликвидацию последствий атак. Данный класс мер защиты направлен на минимизацию ущерба, нанесённого в результате реализации угроз безопасности. 32
33 Основные направления обеспечения информационной безопасности автоматизированных систем
Литература 1.О ГОСУДАРСТВЕННОЙ ТАЙНЕ. Закон Российской Федерации от 21 июля 1993 года (в ред. Федерального закона от 6 октября 1997 года 131-ФЗ). 2.ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ. Федеральный закон Российской Федерации от 20 февраля 1995 года 24-ФЗ. Принят Государственной Думой 25 января 1995 года. 3.О ПРАВОВОЙ ОХРАНЕ ПРОГРАММ ДЛЯ ЭЛЕКТРОННЫХ ВЫЧИСЛИТЕЛЬНЫХ МАШИН И БАЗ ДАННЫХ. Закон Российской Федерации от 23 фентября 1992 года ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ. Федеральный закон Российской Федерации от 10 января 2002 года 1-ФЗ. 5.ОБ АВТОРСКОМ ПРАВЕ И СМЕЖНЫХ ПРАВАХ. Закон Российской Федерации от 9 июля 1993 года О ФЕДЕРАЛЬНЫХ ОРГАНАХ ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ И ИНФОРМАЦИИ. Закон Российской Федерации (в ред. Указа Президента РФ от ; Федерального закона от ФЗ. 7.Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации / Государственная техническая комиссия при Президенте Российской Федерации. 8.Инструкция о порядке маркирования сертификатов соответствия, их копий и сертификационных средств защиты информации / Государственная техническая комиссия при Президенте Российской Федерации. 9.Положение по аттестации объектов информатизации по требованиям безопасности информации / Государственная техническая комиссия при Президенте Российской Федерации. 34
Литература 9.Положение о сертификации средств защиты информации по требованиям безопасности информации: с дополнениями в соответствии с Постановлением Правительства Российской Федерации от 26 июня 1995 года 608 "О сертификации средств защиты информации" / Государственная техническая комиссия при Президенте Российской Федерации. 10.Положение о государственном лицензировании деятельности в области защиты информации / Государственная техническая комиссия при Президенте Российской Федерации. 11.Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации. 12.Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации. 13.Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации. 14.Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации. 15.Защита информации. Специальные защитные знаки. Классификация и общие требования: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации. 16.Защита от несанкционированного доступа к информации. Термины и определения: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации. 35