1 1 Основы информационной безопасности Лопухов Виталий Михайлович к.т.н., доцент информационных кафедр ВУЗов г.Барнаула

2 Тема лекции Угрозы безопасности субъектам электронного документооборота. Концепция информационной безопасности.

3 3

ФЗ О сновные понятия: Информация - сведения (сообщения, данные) независимо от формы их представления; Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов; Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств; Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к кото- рой осуществляется с использованием средств вычислительной техники; Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; Доступ к информации - возможность получения информации и ее использования; Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

ФЗ О сновные понятия: Предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц; Распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц; Электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети; Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволя- ющими определить такую информацию или в установленных законода- тельством Российской Федерации случаях ее материальный носитель; Электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах; (от N 227-ФЗ) Оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее БД.

6 Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Информационная безопасность – это состояние защищённости информационной среды общества, обеспечивающее её формирование, использование и развитие в интересах граждан, организаций, государств.

7 Признаки тайны тайна есть, прежде всего, сведения, информация; сведения должны быть известны или доверены узкому кругу лиц; сведения могут быть известны или доверены определенным субъектам в силу их профессиональной или служебной деятельности, осуществления определенных поручений; сведения не полежат разглашению (огласке); разглашение сведений (информации) может повлечь наступление негативных последствий (материальный и моральный ущерб ее собственнику, пользователю или иному лицу); на лицах, которым доверена информация, не подлежащая оглашению, лежит правовая обязанность ее хранить; за разглашение этих сведений устанавливается законом юридическая ответственность.

8 8 Виды информации Массовая информация - предназначенные для неограниченного круга лиц печатные, аудио-, аудиовизуальные и иные сообщения и материалы. Тайны: Страхования Налоговая Завещания усыновления ребенка Связи Банковская Аудиторская Коммерческая Адвокатская Семейная Личная … Закон РФ N Закон РФ N

9 9 N 152-ФЗ Основные понятия: Персональные данные (ПД) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имуществен- ное положение, образование, профессия, доходы, другая информация; Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организу- ющие и (или) осуществляющие обработку ПД, а также определяющие цели и содержание обработки ПД; Обработка ПД - действия (операции) с ПД, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных; Распространение ПД - действия, направленные на передачу ПД определен- ному кругу лиц (передача ПД) или на ознакомление с ПД неогра- ниченного круга лиц, в том числе обнародование ПД в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом;

10 N 152-ФЗ Основные понятия: Использование ПД - действия (операции) с ПД, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПД или других лиц либо иным образом затрагивающих права и свободы субъекта ПД или других лиц; Блокирование ПД - временное прекращение сбора, систематизации, накопле- ния, использования, распространения ПД, в том числе их передачи; Уничтожение ПД - действия, в результате которых невозможно восстановить содержание ПД в информационной системе ПД или в результате которых уничтожаются материальные носители персональных данных; Обезличивание ПД - действия, в результате которых невозможно определить принадлежность ПД конкретному субъекту персональных данных;

11 N 152-ФЗ Основные понятия: ИС ПД - информационная система, представляющая собой совокупность ПД, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПД с использованием средств автоматизации или без использования таких средств; Конфиденциальность ПД - обязательное для соблюдения оператором или иным получившим доступ к ПД лицом требование не допускать их распрос- транения без согласия субъекта ПД или наличия иного законного основания; Трансграничная передача ПД - передача ПД оператором через Государ- ственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства; Общедоступные ПД - ПД, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

12 Ответственность, предусмотренная законом Уголовная ответственность 1. непосредственный нарушитель 2. должностное лицо (руководитель) Уголовный Кодекс РФ Административная ответственность 1. непосредственный нарушитель 2. должностное лицо (руководитель) 3. юридическое лицо Кодекс РФ об административных правонарушениях Гражданско-правовая ответственность 1. непосредственный нарушитель (суд общей юрисдикции) 2. юридическое лицо (арбитражный суд) Гражданский Кодекс РФ

13 CSI: Ключевые наблюдения Н аиболее распространены вирусные угрозы – почти половина респондентов (49%) имела подобные инцидентыН аиболее распространены вирусные угрозы – почти половина респондентов (49%) имела подобные инциденты 2 7% респондентов заявили об обнаружении направленных атак вредоносных программ2 7% респондентов заявили об обнаружении направленных атак вредоносных программ П одавляющее большинство респондентов уже имеют (68%) или разрабатывают (18%) формальную политику безопасностиП одавляющее большинство респондентов уже имеют (68%) или разрабатывают (18%) формальную политику безопасности –Лишь 1% респондентов не имеет политики безопасности Источник: 2008 CSI Computer Crime and Security Survey Н аиболее дорогие угрозы – финансовое мошенничество, усреднённая «стоимость» которых $500000Н аиболее дорогие угрозы – финансовое мошенничество, усреднённая «стоимость» которых $ –На втором месте угрозы, связанные с появлением в корп. сетях bot-netов, повлёкшие усреднённые потери в размере $ на респондента –Общий усреднённый уровень потерь респондентов от угроз – $300000

14 САМЫЕ КРУПНЫЕ ЭКОНОМИЧЕСКИЕ ПРЕСТУПЛЕНИЯ 1. Бразильский фишер – более 30 млн. долларов Бразильский фишер Валдир Пауло де Алмейда был руководителем преступной группировки, подозревавшейся в похищении более 37 млн. долларов с банковских счетов. В его команду входило 18 хакеров, которые использовали для кражи денег фишинг-атаки и трояны. Эта преступная группировка ежедневно рассылала пользователям более трех миллионов зараженных электронных писем. 2. Банкоматный флешмоб - $9 млн. Получив доступ к номерам более чем 1,5 млн. зарплатных банковских карт и 1,1 млн. номеров социального страхования, в один и тот же день и час злоумышленники сняли наличность в 49 городах США со 130 банкоматов. Вся операция длилась не более 30 минут. Деньги были переведены на счета в США, России, Эстонии, Украине. 3. Атака на CitiBank - $2 млн Злоумышленники взломали банкоматы и получили доступ к пин-кодам пользователей. Кражи кодов производились более полугода. Конкретное число украденных кодов до сих пор не известно.

15 СУДЕБНАЯ ПРАКТИКА АЛТАЙСКОГО КРАЯ Ст. 272 УК. Неправомерный доступ к компьютерной информации (в год злоумышленников) Ст. 273 УК. Создание, использование и распространение вредоносных программ для ЭВМ (в год 5-8 злоумышленников) Ст. 146 УК. Нарушение авторских и смежных прав (Microsoft, AutoCAD, 1C)

16 Группы субъектов: Хакеры Кракеры кодировщики пираты Коллекционеры кардеры киберкруки фишеры Спамеры вирусописатели Парнографы киберсквотеры Фрикеры Первоначально под хакером (hacker) понимался высокопрофессиональный программист, способный разрабатывать и модернизировать компьютерные программы, не имея детальных спецификаций и документации к ним. (Стал означать компьютерного взломщика, способного незаконным способом получить доступ в ИС или к защищенным ИР). Однако большинство авторов небезосновательно полагают, что для последней указанной категории субъектов противоправной деятельности более предпочтительным является использование термина кракер (cracker).

17 Субъекты обеих указанных категорий ищут и анализируют уязвимые места (дыры, люки и т.д.) в аппаратно-программном обеспечении ИС и осуществляют взлом компьютерных систем и сетей (КСС). Статистическое соотношение различного рода мотивов при совершении компьютерных преступлений по экспертным оценкам составляет: корыстные мотивы – 60…70%; политические мотивы (терроризм, шпионаж, диссидентство и т.д.) – 15…20%; исследовательский интерес (любопытство) – 5… 7%; хулиганские побуждения и озорство – 8…10%; месть – 4%.

18

19 Защита информации должна быть: непрерывной плановой целенаправленной конкретной активной универсальной комплексной

20 Система защиты информации должна: охватывать весь технологический комплекс информационной деятельности; быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа; быть открытой для изменения и дополнения мер обеспечения безопасности информации; быть нестандартной, разнообразной; быть простой для технического обслуживания и удобной для эксплуатации пользователями; быть надежной; быть комплексной, 20

21 Требования к системе безопасности: четкость определения полномочий и прав пользователей на доступ к определенным видам информации; предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы; сведение к минимуму числа общих для нескольких пользователей средств защиты; учет случаев и попыток несанкционированного доступа к конфиденциальной информации; обеспечение оценки степени конфиденциальной информации; обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. 21

22 Некоторые Государственные стандарты из области информационной безопасности ГОСТ Р Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования"; ГОСТ Р Защита информации. Основные термины и определения. ГОСТ Р Защита информации. Объект информации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р Защита информации. Порядок создания систем в защищенном исполнении. ГОСТ «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения». ГОСТ «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадия создания». ГОСТ «Качество программных средств. Термины и определения». ГОСТ Р Совместимость технических средств электромагнитная. Устойчивость машин электронных вычислительных персональных к электромагнитным помехам. Требования и методы испытаний ГОСТ Р Средства отображения информации индивидуального пользования. Методы измерений и оценки эргономических параметров и параметров безопасности. ГОСТ Радиопомехи индустриальные. Термины и определения. ГОСТ Управление качеством продукции. Основные понятия. Термины и определения. ГОСТ Делопроизводство и архивное дело. Термины и определения. ГОСТ Система государственных испытаний продукции. Испытания и контроль качества продукции. Основные термины и определения. ГОСТ Связь телеграфная. Термины и определения. ГОСТ Сеть связи цифровая интегральная. Термины и определения. ГОСТ Совместимость радиоэлектронных средств электромагнитная. Термины и определения. ГОСТ Радиосвязь. Термины и определения. ГОСТ Внешние воздействующие факторы. Термины и определения.

23 Установленные Российским законодательством аббревиатуры АС - автоматизированная система КСЗ - комплекс средств защиты НСД - несанкционированный доступ ОС - операционная система ППП - пакет прикладных программ ПРД - правила разграничения доступа РД - руководящий документ СВТ - средства вычислительной техники СЗИ - система защиты информации СЗИ НСД - система защиты информации от несанкционированного доступа СЗСИ - система защиты секретной информации СНТП - специальное научно-техническое подразделение СРД - система разграничения доступа СУБД - система управления базами данных ТЗ - техническое задание ЭВМ - электронно-вычислительная машина ЭВТ - электронно-вычислительная техника

24 Федеральный закон «Об информации, информационных технологиях и о защите информации» 149-ФЗ от г. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации. Определяет принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации возникающие при: 1)осуществлении права на поиск, получение, передачу, производство и распространение информации; 2) применении информационных технологий; 3) обеспечении защиты информации. Не распространяется на отношения, возникающие при правовой охране результатов интеллектуальной деятельности.

25 Федеральный закон «Об информации, информационных технологиях и о защите информации» 149-ФЗ от г. Обладатель информации, оператор ИС обязаны обеспечить: 1)предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль за обеспечением уровня защищенности информации.

26 Общая структурная схема системы защиты информации (СЗИ) Лингвистическое обеспечение Информационное обеспечение Программное обеспечение Математическое обеспечение Техническое обеспечение Организационно-правовые нормы Организационно-технические мероприятия Системные программисты Обслуживающий персонал Администраторы банков данных Диспетчеры и операторы АС Администрация АС Пользователи Служба защиты информации СЗИСЗИ Ресурсы АС Организационно- правовое обеспечение Человеческий компонент

27 ГОСТ Р Защита информации. Основные термины и определения. Р Информационные технологии. Основные термины и определения в области технической защиты информации. ГОСТ Р Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство. ГОСТ Р Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Часть 2. Функциональные требования безопасности.

28 Определения информационная безопасность: Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки; безопасность информационно-телекоммуникационных технологий (безопасность ИТТ): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информационно-телекоммуникационных технологий; аутентичность: Свойство, гарантирующее, что субъект или ресурс идентичны заявленным; доступность: Свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта. конфиденциальность: Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса;

29 Определения целостность: Свойство сохранения правильности и полноты активов; неотказуемость: Способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты; достоверность: Свойство соответствия предусмотренному поведению и результатам; угроза: Потенциальная причина инцидента, который может нанести ущерб системе или организации; уязвимость: Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами. активы: Все, что имеет ценность для организации; инцидент информационной безопасности: Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

30 КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

31 Источники конфиденциальной информации 31

32 1) Документы на машинном носителе информации (пластиковые карты и электронные документы); 2) Машинограммы и иные бумажные документы, изготовленные (подделанные) с использованием печатающих устройств компьютерной техники и новых репрографических технологий; 3) Программные и аппаратные средства электронно-вычислительной техники; 4) Средства электросвязи системы и сети ЭВМ; 5) Программно-аппаратные средства защиты информации; 6) Отдельные технологии, процессы и операции, обеспечивающие создание, накопление, хранение и передачу компьютерной информации. Типичные объекты экспертных исследований 32

33 Угрозы конфиденциальной информации - потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. 33 РАЗРУШЕНИЕ (уничтожение) ОЗНАКОМЛЕ- НИЕ (получение)

34

35 Классификация угроз по величине принесенного ущерба: –предельный, после которого фирма может стать банкротом; –значительный, но не приводящий к банкротству; –незначительный, который фирма за какое-то время может компенсировать и др.; по вероятности возникновения: –весьма вероятная угроза; –вероятная угроза; –маловероятная угроза; по причинам появления: –стихийные бедствия; –преднамеренные действия; по характеру нанесенного ущерба: –материальный; –моральный; по характеру воздействия: –активные; –пассивные; по отношению к объекту: –внутренние; –внешние.

36 Классификация причин несанкционированного получения информации отказы сбои ошибки стихийные бедствия злоумышленные действия побочные влияния Основной аппаратуры; программ; людей; носителей информации; систем питания; систем обеспечения нормальных условий работы аппаратуры и персонала; систем передачи данных; вспомогательных материалов Основной аппаратуры; программ; людей; систем передачи данных Основной аппаратуры; программ; людей; носителей информации; систем питания; систем обеспечения нормальных условий работы аппаратуры и персонала; систем передачи данных; вспомогательных материалов Пожар; наводнение; землетрясение; ураган; взрыв; авария Хищения; подмена; подключение; поломка (повреждение); диверсия Электромагнитные излучения устройств АС; паразитные наводки; внешние электромагнит- ные излучения; вибрация; внешние атмосферные явления

37 Модель информационной безопасности

38 конкуренты, преступники, коррупционеры, отдельные лица, административно- управленческие органы, администрация и персонал предприятия Источники угроз

39 Источники угроз Люди Посторонние лица Пользователи Персонал Технические устройства Регистрации Передачи Хранения Переработки Выдачи Модели, алгоритмы, программы Общего назначения Прикладные Вспомогательные Технологические схемы обработки Ручные Интерактивные Внутримашинные Сетевые Внешняя среда Состояние атмосферы Побочные шумы Побочные сигналы

40 «Примитивные» пути хищения информации хищение носителей информации и документальных отходов; инициативное сотрудничество; склонение к сотрудничеству со стороны взломщика; выпытывание; подслушивание; наблюдение и другие пути. Действия, приводящие к неправомерному овладению конфиденциальной информацией: Разглашение – это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Утечка – это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Несанкционированный доступ – это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Способы доступа к конфиденциальной информации

41 Наиболее распространенные пути несанкционированного доступа к информации: 1.чтение остаточной информации в памяти системы после выполнения санкционированных запросов; 2.копирование носителей информации с преодолением мер защиты 3.маскировка под зарегистрированного пользователя; 4.маскировка под запросы системы; 5.использование недостатков языков программирования и операционных систем; 6.незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации; 7.вредоносные программы 8.злоумышленный вывод из строя механизмов защиты; 9.расшифровка специальными программами зашифрованной информации Способы доступа к конфиденциальной информации

42 Основные направления защиты информации

43 Защитные меры Защитные меры могут выполнять одну или несколько из следующих функций: - предотвращение; - сдерживание; - обнаружение; - ограничение; - исправление; - восстановление; - мониторинг; - осведомление. Области, в которых могут использоваться защитные меры, включают в себя: - физическую среду; - техническую среду (аппаратно-программное обеспечение и средства связи); - персонал; - администрирование.

44 Способы и средства защиты информации в сетях

45