1 Основы информационной безопасности Лопухов Виталий Михайлович к.т.н., доцент информационных кафедр ВУЗов г.Барнаула 2012

2 Тема 2 (лекции 2-4) Концепция информационной безопасности. Система защиты информации.

3

4 Комплексное использование всего арсенала имеющихся средств защиты

5

6 Защита информации должна быть: непрерывной плановой целенаправленной конкретной активной универсальной комплексной

Система защиты информации должна: охватывать весь технологический комплекс информационной деятельности; быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа; быть открытой для изменения и дополнения мер обеспечения безопасности информации; быть нестандартной, разнообразной; быть простой для технического обслуживания и удобной для эксплуатации пользователями; быть надежной; быть комплексной, 7

Требования к системе безопасности: четкость определения полномочий и прав пользователей на доступ к определенным видам информации; предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы; сведение к минимуму числа общих для нескольких пользователей средств защиты; учет случаев и попыток несанкционированного доступа к конфиденциальной информации; обеспечение оценки степени конфиденциальной информации; обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. 8

9 Методы определения требований к ЗИ Оценка параметров защищаемой информации Показатели, характери- зующие информацию как обеспечивающий ресурс Показатели, характери- зующие информацию как объект труда способ кодирования объем важность полнота адекватность релевантность толерантность

10 Методы определения требований к ЗИ Факторы, влияющие на требуемый уровень защиты Характер обрабатываемой информации Архитектура АС Условия функ- ционирования АС Технология обработки информации Организация работы АС

11 Общая структурная схема системы защиты информации (СЗИ) Лингвистическое обеспечение Информационное обеспечение Программное обеспечение Математическое обеспечение Техническое обеспечение Организационно-правовые нормы Организационно-технические мероприятия Системные программисты Обслуживающий персонал Администраторы банков данных Диспетчеры и операторы АС Администрация АС Пользователи Служба защиты информации СЗИСЗИ Ресурсы АС Организационно- правовое обеспечение Человеческий компонент

12 Модель построения системы защиты информации

13 Модель безопасности Модель безопасности отображает: - окружающую среду, содержащую ограничения и угрозы, которые постоянно меняются и известны лишь частично; - активы организации; - уязвимости, присущие данным активам; - меры для защиты активов; - приемлемые для организации остаточные риски.

14 Определения информационная безопасность: Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки; безопасность информационно-телекоммуникационных технологий (безопасность ИТТ): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информационно- телекоммуникационных технологий; аутентичность: Свойство, гарантирующее, что субъект или ресурс идентичны заявленным; доступность: Свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта. конфиденциальность: Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса;

15 Определения целостность: Свойство сохранения правильности и полноты активов; неотказуемость: Способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты; достоверность: Свойство соответствия предусмотренному поведению и результатам; угроза: Потенциальная причина инцидента, который может нанести ущерб системе или организации; уязвимость: Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами. активы: Все, что имеет ценность для организации; инцидент информационной безопасности: Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

16 КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

17 Тайна (конфиденциальная информация) - информация о действиях (состоянии и иных обстоятельствах) определенного лица (гражданина, организации, государства), не подлежащих разглашению. тайна тайна частной жизни профессиональная тайна коммерческая тайна служебная тайна Государственная тайна N 98-ФЗ "О коммерческой тайне" ст. 183 УК РФ адвокатская тайна (ст. 8 N 63 ФЗ "Об адвокатской деятельности и адвокатуре в Российской Федерации«) ст. 137 УК РФ, тайна усыновления ребёнка (ст. 139 СК РФ) Закон РФ N "О государственной тайне", ст. 275, 276, 283 и 284 УК РФ Указ Президента РФ от N 188 "Об утверж- дении Перечня сведений конфиденциальн. характера"

Источники конфиденциальной информации 18

Угрозы конфиденциальной информации - потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. 19 РАЗРУШЕНИЕ (уничтожение) ОЗНАКОМЛЕ- НИЕ (получение)

20

21 Системная классификация угроз Виды угроз Нарушение физической целостности Уничтожение (искажение) Нарушение логической структуры Искажение структуры Нарушение содержания Несанкционированная модификация Нарушение конфиденциальности Несанкционированное получение Нарушение права собственности Присвоение чужого права

22 Системная классификация угроз Природа происхождения угроз Случайная Отказы Сбои Ошибки Стихийные бедствия Побочные влияния Преднамеренная Злоумышленные действия людей

23 Системная классификация угроз Предпосылки появления угроз Объективные Количественная недостаточность элементов системы Качественная недостаточность элементов системы Субъективные Разведорганы иностранных государств Промышленный шпионаж Уголовные элементы Недобросовестные сотрудники

24 Примеры угроз Угрозы, обусловленные человеческим фактором Угрозы среды целенаправленныеслучайные Подслушивание / перехват. Ошибки и упущения. Землетрясение. Модификация информации. Удаление.Молния. Атака хакера на систему. Ошибка маршрутизации. Наводнение. Злонамеренный код. Материальные несчастные случаи Пожар Хищение

Модель информационной безопасности

Модель информационной безопасности Уязвимость - слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами

27 Источники угроз Люди Посторонние лица Пользователи Персонал Технические устройства Регистрации Передачи Хранения Переработки Выдачи Модели, алгоритмы, программы Общего назначения Прикладные Вспомогательные Технологические схемы обработки Ручные Интерактивные Внутримашинные Сетевые Внешняя среда Состояние атмосферы Побочные шумы Побочные сигналы

28 «Примитивные» пути хищения информации хищение носителей информации и документальных отходов; инициативное сотрудничество; склонение к сотрудничеству со стороны взломщика; выпытывание; подслушивание; наблюдение и другие пути. Действия, приводящие к неправомерному овладению конфиденциальной информацией: Разглашение – это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Утечка – это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Несанкционированный доступ – это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Способы доступа к конфиденциальной информации

29 Наиболее распространенные пути несанкционированного доступа к информации: 1.чтение остаточной информации в памяти системы после выполнения санкционированных запросов; 2.копирование носителей информации с преодолением мер защиты 3.маскировка под зарегистрированного пользователя; 4.маскировка под запросы системы; 5.использование недостатков языков программирования и операционных систем; 6.незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации; 7.вредоносные программы 8.злоумышленный вывод из строя механизмов защиты; 9.расшифровка специальными программами зашифрованной информации Способы доступа к конфиденциальной информации

30 Классификация причин несанкционированного получения информации отказы сбои ошибки стихийные бедствия злоумышленные действия побочные влияния Основной аппаратуры; программ; людей; носителей информации; систем питания; систем обеспечения нормальных условий работы аппаратуры и персонала; систем передачи данных; вспомогательных материалов Основной аппаратуры; программ; людей; систем передачи данных Основной аппаратуры; программ; людей; носителей информации; систем питания; систем обеспечения нормальных условий работы аппаратуры и персонала; систем передачи данных; вспомогательных материалов Пожар; наводнение; землетрясение; ураган; взрыв; авария Хищения; подмена; подключение; поломка (повреждение); диверсия Электромагнитные излучения устройств АС; паразитные наводки; внешние электромагнит- ные излучения; вибрация; внешние атмосферные явления

31 Основные направления защиты информации