1 Основы информационной безопасности Лопухов Виталий Михайлович к.т.н., доцент кафедры «Информационные технологии в юриспруденции и таможенном деле» Алтайской академии экономики и права г.Барнаул, 2012

Тема лекции Угрозы безопасности субъектам электронного документооборота. Концепция информационной безопасности.

3

4 149-ФЗ О сновные понятия: Информация - сведения (сообщения, данные) независимо от формы их представления; Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов; Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств; Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к кото- рой осуществляется с использованием средств вычислительной техники; Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; Доступ к информации - возможность получения информации и ее использования; Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

5 149-ФЗ О сновные понятия: Предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц; Распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц; Электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети; Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволя- ющими определить такую информацию или в установленных законода- тельством Российской Федерации случаях ее материальный носитель; Электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах; (от N 227-ФЗ) Оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее БД.

НПА, регламентирующие электронный документооборот Постановление Правительства РФ от N 477 (ред. от ) "Об утверждении Правил делопроизводства в федеральных органах исполнительной власти" VI. Особенности работы с электронными документами в федеральном органе исполнительной власти Постановление Правительства РФ от N 754 (ред. от ) "Об утверждении Положения о системе межведомственного электронного документооборота" Методические рекомендации по организации работы по ведению информационного ресурса сети доверенных удостоверяющих центров Федеральной налоговой службы другие

Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Информационная безопасность – это состояние защищённости информационной среды общества, обеспечивающее её формирование, использование и развитие в интересах граждан, организаций, государств.

"... международная информационная безопасность - состояние международных отношений, исключающее нарушение мировой стабильности и создание угрозы безопасности государств и мирового сообщества в информационном пространстве..." "...информационная безопасность детей - состояние, при котором отсутствует риск, связанный с причинением информацией вреда физическому и психическому здоровью, нравственному, духовному, психическому, физическому и социальному развитию детей, и созданы условия для доступа детей к информации, способствующей их надлежащему развитию и воспитанию..." Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Л.О. Красавчикова: тайна - информация о действиях (состоянии и иных обстоятельствах) определенного лица (гражданина, организации, государства), не подлежащих разглашению. С.И. Ожегов: тайна - нечто скрываемое от других, известное не всем. И.В. Смолькова: тайна может быть определена как особым образом охраняемый законом блок секретной или конфиденциальной информации (сведений) известной или доверенной узкому кругу субъектов в силу исполнения служебных, профессиональных и иных обязанностей или отдельных поручений, разглашение которых может повлечь юридическую ответственность. Тайна (конфиденциальная информация) Источниками конфиденциальной информации являются люди, документы (в том числе и электронные), публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.

Признаки тайны тайна есть, прежде всего, сведения, информация; сведения должны быть известны или доверены узкому кругу лиц; сведения могут быть известны или доверены определенным субъектам в силу их профессиональной или служебной деятельности, осуществления определенных поручений; сведения не полежат разглашению (огласке); разглашение сведений (информации) может повлечь наступление негативных последствий (материальный и моральный ущерб ее собственнику, пользователю или иному лицу); на лицах, которым доверена информация, не подлежащая оглашению, лежит правовая обязанность ее хранить; за разглашение этих сведений устанавливается законом юридическая ответственность.

Тайна (конфиденциальная информация) - информация о действиях (состоянии и иных обстоятельствах) определенного лица (гражданина, организации, государства), не подлежащих разглашению. тайна тайна частной жизни профессиональная тайна коммерческая тайна служебная тайна Государственная тайна N 98-ФЗ "О коммерческой тайне" ст. 183 УК РФ адвокатская тайна (ст. 8 N 63 ФЗ "Об адвокатской деятельности и адвокатуре в Российской Федерации«) ст. 137 УК РФ, тайна усыновления ребёнка (ст. 139 СК РФ) Закон РФ N "О государственной тайне", ст. 275, 276, 283 и 284 УК РФ Указ Президента РФ от N 188 "Об утверж- дении Перечня сведений конфиденциальн. характера"

Тайна частной жизни личная тайна семейная тайна тайна переписки, почтовых, телеграфных и иных сообщений тайна голосованиятайна усыновления тайна исповеди

Профессиональная тайна сведения, доверенные конкретному лицу или ставшие известные ему в связи с осуществлением своих профессиональных обязанностей врачебная тайна адвокатская тайна банковская тайна иные виды тайн

режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду конфиденциальные сведения, содержащие служебную информацию о деятельности государственных органов, подведомственных им организаций, учреждений, предприятий, ограничения на распространение которых установлены законом Коммерческая тайна Служебная тайна

Федеральный закон от N 152-ФЗ (ред. от ) "О персональных данных" (принят ГД ФС РФ ) Статья 3: … персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;… Статья 7: … Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных … Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных Статья 19. Меры по обеспечению безопасности персональных данных при их обработке Статья 25: Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.

16 N 152-ФЗ Основные понятия: Персональные данные (ПД) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имуществен- ное положение, образование, профессия, доходы, другая информация; Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организу- ющие и (или) осуществляющие обработку ПД, а также определяющие цели и содержание обработки ПД; Обработка ПД - действия (операции) с ПД, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных; Распространение ПД - действия, направленные на передачу ПД определен- ному кругу лиц (передача ПД) или на ознакомление с ПД неогра- ниченного круга лиц, в том числе обнародование ПД в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом;

17 N 152-ФЗ Основные понятия: Использование ПД - действия (операции) с ПД, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПД или других лиц либо иным образом затрагивающих права и свободы субъекта ПД или других лиц; Блокирование ПД - временное прекращение сбора, систематизации, накопле- ния, использования, распространения ПД, в том числе их передачи; Уничтожение ПД - действия, в результате которых невозможно восстановить содержание ПД в информационной системе ПД или в результате которых уничтожаются материальные носители персональных данных; Обезличивание ПД - действия, в результате которых невозможно определить принадлежность ПД конкретному субъекту персональных данных;

18 N 152-ФЗ Основные понятия: ИС ПД - информационная система, представляющая собой совокупность ПД, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПД с использованием средств автоматизации или без использования таких средств; Конфиденциальность ПД - обязательное для соблюдения оператором или иным получившим доступ к ПД лицом требование не допускать их распрос- транения без согласия субъекта ПД или наличия иного законного основания; Трансграничная передача ПД - передача ПД оператором через Государ- ственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства; Общедоступные ПД - ПД, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

19 Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов: Устав (учредительном договоре) Коллективный договор Трудовой договор (контракт) Перечень конфиденциальной информации Правила обработки конфиденциальной информации …….

20 Виды информации Массовая информация - предназначенные для неограниченного круга лиц печатные, аудио-, аудиовизуальные и иные сообщения и материалы. Тайны: Страхования Налоговая Завещания усыновления ребенка Связи Банковская Аудиторская Коммерческая Адвокатская Семейная Личная …

21 Ответственность, предусмотренная законом Уголовная ответственность 1. непосредственный нарушитель 2. должностное лицо (руководитель) Уголовный Кодекс РФ Административная ответственность 1. непосредственный нарушитель 2. должностное лицо (руководитель) 3. юридическое лицо Кодекс РФ об административных правонарушениях Гражданско-правовая ответственность 1. непосредственный нарушитель (суд общей юрисдикции) 2. юридическое лицо (арбитражный суд) Гражданский Кодекс РФ

22 Уголовный кодекс Российской Федерации Глава 28 УК РФ «ПРЕСТУПЛЕНИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ» –Статья 272. Неправомерный доступ к компьютерной информации –Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ –Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

23 Модель отношений субъектов информационных отношений

CSI: Ключевые наблюдения Наиболее распространены вирусные угрозы – почти половина респондентов (49%) имела подобные инцидентыНаиболее распространены вирусные угрозы – почти половина респондентов (49%) имела подобные инциденты 27% респондентов заявили об обнаружении направленных атак вредоносных программ27% респондентов заявили об обнаружении направленных атак вредоносных программ Подавляющее большинство респондентов уже имеют (68%) или разрабатывают (18%) формальную политику безопасностиПодавляющее большинство респондентов уже имеют (68%) или разрабатывают (18%) формальную политику безопасности –Лишь 1% респондентов не имеет политики безопасности Источник: 2008 CSI Computer Crime and Security Survey Наиболее дорогие угрозы – финансовое мошенничество, усреднённая «стоимость» которых $500000Наиболее дорогие угрозы – финансовое мошенничество, усреднённая «стоимость» которых $ –На втором месте угрозы, связанные с появлением в корп. сетях bot-netов, повлёкшие усреднённые потери в размере $ на респондента –Общий усреднённый уровень потерь респондентов от угроз – $300000

САМЫЕ КРУПНЫЕ ЭКОНОМИЧЕСКИЕ ПРЕСТУПЛЕНИЯ 1. Бразильский фишер – более 30 млн. долларов Бразильский фишер Валдир Пауло де Алмейда был руководителем преступной группировки, подозревавшейся в похищении более 37 млн. долларов с банковских счетов. В его команду входило 18 хакеров, которые использовали для кражи денег фишинг-атаки и трояны. Эта преступная группировка ежедневно рассылала пользователям более трех миллионов зараженных электронных писем. 2. Банкоматный флешмоб - $9 млн. Получив доступ к номерам более чем 1,5 млн. зарплатных банковских карт и 1,1 млн. номеров социального страхования, в один и тот же день и час злоумышленники сняли наличность в 49 городах США со 130 банкоматов. Вся операция длилась не более 30 минут. Деньги были переведены на счета в США, России, Эстонии, Украине. 3. Атака на CitiBank - $2 млн Злоумышленники взломали банкоматы и получили доступ к пин-кодам пользователей. Кражи кодов производились более полугода. Конкретное число украденных кодов до сих пор не известно.

СУДЕБНАЯ ПРАКТИКА АЛТАЙСКОГО КРАЯ Ст. 272 УК. Неправомерный доступ к компьютерной информации (в год злоумышленников) Ст. 273 УК. Создание, использование и распространение вредоносных программ для ЭВМ (в год 5-8 злоумышленников) Ст. 146 УК. Нарушение авторских и смежных прав (Microsoft, AutoCAD, 1C)

Группы субъектов: Хакеры Кракеры кодировщики пираты Коллекционеры кардеры киберкруки фишеры Спамеры вирусописатели Парнографы киберсквотеры Фрикеры Первоначально под хакером (hacker) понимался высокопрофессиональный программист, способный разрабатывать и модернизировать компьютерные программы, не имея детальных спецификаций и документации к ним. (Стал означать компьютерного взломщика, способного незаконным способом получить доступ в ИС или к защищенным ИР). Однако большинство авторов небезосновательно полагают, что для последней указанной категории субъектов противоправной деятельности более предпочтительным является использование термина кракер (cracker).

Субъекты обеих указанных категорий ищут и анализируют уязвимые места (дыры, люки и т.д.) в аппаратно-программном обеспечении ИС и осуществляют взлом компьютерных систем и сетей (КСС). Статистическое соотношение различного рода мотивов при совершении компьютерных преступлений по экспертным оценкам составляет: корыстные мотивы – 60…70%; политические мотивы (терроризм, шпионаж, диссидентство и т.д.) – 15…20%; исследовательский интерес (любопытство) – 5… 7%; хулиганские побуждения и озорство – 8…10%; месть – 4%.

Кодировщики (coders) осуществляют взлом программных продуктов, устраняя или обходя в них программные механизмы защиты. Компьютерные пираты (wares dudes) специализируются на незаконном (без согласия правообладателя) копировании лицензионных программных продуктов и их распространении с целью получения материальной выгоды. Своеобразная классификация субъектов на: "Лоточники", "Интернетчики", "Черные внедренцы" ("Предустановщики") и Популяризаторы. Коллекционеры (codes kids) коллекционируют, используют и обмениваются защищенными компьютерными программными продуктами. Кардеры (card) – специализируются на махинациях с пластиковыми карточками,оплачивая свои расходы с чужих кредитных карточек. Киберкруки (cybercrooks) – специализируются на несанкционированном проникновении в КСС финансово-банковских учреждений и закрытые КСС государственных силовых структур и органов. Фишинг (fіshіng – с англ.–рыбная ловля) – относительно новый вид сетевого мошенничества.

Спамеры (spam, spiced ham – досл. с англ.– "ветчина со специями") занимаются массовой рассылкой непрошенных (часто анонимных) объявлений средствами электронных коммуникаций, прежде всего по электронной почте. Вирусописатели (Virus Writers, вирмейкеры) осуществляют противоправное повреждение КСС с целью нарушения ее функционирования с помощью программных (компьютерных или сетевых) вирусов. Порнографы используют возможности WWW для платного распространения материалов порнографического характера, которые ученые называют кокаином для нового поколения. Киберсквоттинг (cybersquatting) – захват доменных имен с целью наживы. Фрикеры (phreak=phone+break) специализируются на использовании телефонных систем, взломе цифровых АТС телефонных компаний,несанкционированном получении кодов доступа к платным услугам. С правовой точки зрения относить хакеров, кракеров, фрикеров, кардеров и других субъектов из вышерассмотренных категорий к компьютерным преступникам может только суд.

31

32 Защита информации должна быть: непрерывной плановой целенаправленной конкретной активной универсальной комплексной

Система защиты информации должна: охватывать весь технологический комплекс информационной деятельности; быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа; быть открытой для изменения и дополнения мер обеспечения безопасности информации; быть нестандартной, разнообразной; быть простой для технического обслуживания и удобной для эксплуатации пользователями; быть надежной; быть комплексной, 33

34 Комплексное использование всего арсенала имеющихся средств защиты

Требования к системе безопасности: четкость определения полномочий и прав пользователей на доступ к определенным видам информации; предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы; сведение к минимуму числа общих для нескольких пользователей средств защиты; учет случаев и попыток несанкционированного доступа к конфиденциальной информации; обеспечение оценки степени конфиденциальной информации; обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. 35

36 Основные направления защиты информации ПРАВОВАЯ ЗАЩИТА ИНЖЕНЕРНО-ТЕХНИЧЕСКАЯ ЗАЩИТА ОРГАНИЗАЦИОННАЯ ЗАЩИТА

37 Нормативная база Руководящие документы Гостехкомиссии: 1. «Концепция защиты средств вычислительной техники от несанкционированного доступа к информации», 1992 г.; 2. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», 1992 г.; 3. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», 1992 г. 4. Критерии оценки безопасности информационных технологий. Введен в действие Приказом Гостехкомиссии от г. 187 (Часть 1, 2, 3). Соответствует ГОСТ Р ИСО/МЭК

38 Некоторые Государственные стандарты из области информационной безопасности ГОСТ Р Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования"; ГОСТ Р Защита информации. Основные термины и определения. ГОСТ Р Защита информации. Объект информации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р Защита информации. Порядок создания систем в защищенном исполнении. ГОСТ «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения». ГОСТ «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадия создания». ГОСТ «Качество программных средств. Термины и определения». ГОСТ Р Совместимость технических средств электромагнитная. Устойчивость машин электронных вычислительных персональных к электромагнитным помехам. Требования и методы испытаний ГОСТ Р Средства отображения информации индивидуального пользования. Методы измерений и оценки эргономических параметров и параметров безопасности. ГОСТ Радиопомехи индустриальные. Термины и определения. ГОСТ Управление качеством продукции. Основные понятия. Термины и определения. ГОСТ Делопроизводство и архивное дело. Термины и определения. ГОСТ Система государственных испытаний продукции. Испытания и контроль качества продукции. Основные термины и определения. ГОСТ Связь телеграфная. Термины и определения. ГОСТ Сеть связи цифровая интегральная. Термины и определения. ГОСТ Совместимость радиоэлектронных средств электромагнитная. Термины и определения. ГОСТ Радиосвязь. Термины и определения. ГОСТ Внешние воздействующие факторы. Термины и определения.

39 Установленные Российским законодательством аббревиатуры АС - автоматизированная система КСЗ - комплекс средств защиты НСД - несанкционированный доступ ОС - операционная система ППП - пакет прикладных программ ПРД - правила разграничения доступа РД - руководящий документ СВТ - средства вычислительной техники СЗИ - система защиты информации СЗИ НСД - система защиты информации от несанкционированного доступа СЗСИ - система защиты секретной информации СНТП - специальное научно-техническое подразделение СРД - система разграничения доступа СУБД - система управления базами данных ТЗ - техническое задание ЭВМ - электронно-вычислительная машина ЭВТ - электронно-вычислительная техника

40 Федеральный закон «Об информации, информационных технологиях и о защите информации» 149-ФЗ от г. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации. Определяет принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации возникающие при: 1)осуществлении права на поиск, получение, передачу, производство и распространение информации; 2) применении информационных технологий; 3) обеспечении защиты информации. Не распространяется на отношения, возникающие при правовой охране результатов интеллектуальной деятельности.

41 Федеральный закон «Об информации, информационных технологиях и о защите информации» 149-ФЗ от г. Обладатель информации, оператор ИС обязаны обеспечить: 1)предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль за обеспечением уровня защищенности информации.

42 Методы определения требований к ЗИ Оценка параметров защищаемой информации Показатели, характери- зующие информацию как обеспечивающий ресурс Показатели, характери- зующие информацию как объект труда способ кодирования объем важность полнота адекватность релевантность толерантность

43 Методы определения требований к ЗИ Факторы, влияющие на требуемый уровень защиты Характер обрабатываемой информации Архитектура АС Условия функ- ционирования АС Технология обработки информации Организация работы АС

44 Конфиденциальность –очень высокая –высокая –средняя –невысокая Объем –очень большой –большой –средний –малый Интенсивность обработки –очень высокая –высокая –средняя –низкая Факторы, влияющие на требуемый уровень защиты Характер обрабатываемой информации Методы определения требований к ЗИ

45 Факторы, влияющие на требуемый уровень защиты Методы определения требований к ЗИ Архитектура АС Геометрические размеры –очень большие –большие –средние –незначительные Территориальная распределенность –очень большая –большая –средняя –незначительная Структурированность компонентов –полная –достаточно высокая –частичная –полностью отсутствует

46 Факторы, влияющие на требуемый уровень защиты Методы определения требований к ЗИ Условия функ- ционирования АС Расположение в населенном пункте –очень неудобное –создает значительные трудности для защиты –создает определенные трудности –хорошее Расположение на территории объекта –хаотично разбросанное –разбросанное –распределенное –компактное Обустроенность –очень плохая –плохая –средняя –хорошая

47 Факторы, влияющие на требуемый уровень защиты Методы определения требований к ЗИ Организация работы АС Общая постановка дела –хорошая –средняя –слабая –очень плохая Укомплектованность кадрами –полная –средняя –слабая –очень слабая Уровень подготовки и воспитания кадров –высокий –средний –низкий –очень низкий Уровень дисциплины –высокий –средний –низкий –очень низкий

48 Факторы, влияющие на требуемый уровень защиты Методы определения требований к ЗИ Технология обработки информации Масштаб обработки –очень большой –большой –средний –незначительный Стабильность информации –регулярная –достаточно упорядоченная –частично стабильная –отсутствует Доступность информации –общедоступная –с незначительными ограничениями –с существенными ограничениями –с регулярным доступом Структурированность информации –полная –достаточно высокая –частичная –полностью отсутствует

49 Общая структурная схема системы защиты информации (СЗИ) Лингвистическое обеспечение Информационное обеспечение Программное обеспечение Математическое обеспечение Техническое обеспечение Организационно-правовые нормы Организационно-технические мероприятия Системные программисты Обслуживающий персонал Администраторы банков данных Диспетчеры и операторы АС Администрация АС Пользователи Служба защиты информации СЗИСЗИ Ресурсы АС Организационно- правовое обеспечение Человеческий компонент

50 Модель построения системы защиты информации

51 ГОСТ Р Защита информации. Основные термины и определения. Р Информационные технологии. Основные термины и определения в области технической защиты информации. ГОСТ Р Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство. ГОСТ Р Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Часть 2. Функциональные требования безопасности.

52 Модель безопасности Модель безопасности отображает: - окружающую среду, содержащую ограничения и угрозы, которые постоянно меняются и известны лишь частично; - активы организации; - уязвимости, присущие данным активам; - меры для защиты активов; - приемлемые для организации остаточные риски.

53 Определения информационная безопасность: Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки; безопасность информационно-телекоммуникационных технологий (безопасность ИТТ): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информационно-телекоммуникационных технологий; аутентичность: Свойство, гарантирующее, что субъект или ресурс идентичны заявленным; доступность: Свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта. конфиденциальность: Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса;

54 Определения целостность: Свойство сохранения правильности и полноты активов; неотказуемость: Способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты; достоверность: Свойство соответствия предусмотренному поведению и результатам; угроза: Потенциальная причина инцидента, который может нанести ущерб системе или организации; уязвимость: Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами. активы: Все, что имеет ценность для организации; инцидент информационной безопасности: Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

55 Защитные меры Защитные меры могут выполнять одну или несколько из следующих функций: - предотвращение; - сдерживание; - обнаружение; - ограничение; - исправление; - восстановление; - мониторинг; - осведомление. Области, в которых могут использоваться защитные меры, включают в себя: - физическую среду; - техническую среду (аппаратно-программное обеспечение и средства связи); - персонал; - администрирование.

56 КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

Источники конфиденциальной информации 57

1) Документы на машинном носителе информации (пластиковые карты и электронные документы); 2) Машинограммы и иные бумажные документы, изготовленные (подделанные) с использованием печатающих устройств компьютерной техники и новых репрографических технологий; 3) Программные и аппаратные средства электронно-вычислительной техники; 4) Средства электросвязи системы и сети ЭВМ; 5) Программно-аппаратные средства защиты информации; 6) Отдельные технологии, процессы и операции, обеспечивающие создание, накопление, хранение и передачу компьютерной информации. Типичные объекты экспертных исследований 58

59

Угрозы конфиденциальной информации - потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. 60 РАЗРУШЕНИЕ (уничтожение) ОЗНАКОМЛЕ- НИЕ (получение)

61

62 Классификация угроз по величине принесенного ущерба: –предельный, после которого фирма может стать банкротом; –значительный, но не приводящий к банкротству; –незначительный, который фирма за какое-то время может компенсировать и др.; по вероятности возникновения: –весьма вероятная угроза; –вероятная угроза; –маловероятная угроза; по причинам появления: –стихийные бедствия; –преднамеренные действия; по характеру нанесенного ущерба: –материальный; –моральный; по характеру воздействия: –активные; –пассивные; по отношению к объекту: –внутренние; –внешние.

63 Системная классификация угроз Виды угроз Нарушение физической целостности Уничтожение (искажение) Нарушение логической структуры Искажение структуры Нарушение содержания Несанкционированная модификация Нарушение конфиденциальности Несанкционированное получение Нарушение права собственности Присвоение чужого права

64 Системная классификация угроз Природа происхождения угроз Случайная Отказы Сбои Ошибки Стихийные бедствия Побочные влияния Преднамеренная Злоумышленные действия людей

65 Системная классификация угроз Предпосылки появления угроз Объективные Количественная недостаточность элементов системы Качественная недостаточность элементов системы Субъективные Разведорганы иностранных государств Промышленный шпионаж Уголовные элементы Недобросовестные сотрудники

66 Примеры угроз Угрозы, обусловленные человеческим фактором Угрозы среды целенаправленныеслучайные Подслушивание / перехват. Ошибки и упущения. Землетрясение. Модификация информации. Удаление.Молния. Атака хакера на систему. Ошибка маршрутизации. Наводнение. Злонамеренный код. Материальные несчастные случаи Пожар Хищение

Специфические виды угроз для компьютерных сетей - несанкционированный обмен информацией между пользователями; - несанкционированный межсетевой доступ к информационным и техническим ресурсам сети; - отказ от информации, т.е. непризнание получателем (отправителем) этой информации факта ее получения (отправления); - отказ в обслуживании, который может сопровождаться тяжелыми последствиями для пользователя, обратившегося с запросом на предоставление сетевых услуг; - распространение сетевых вирусов.

Виды атак в IP-сетях Подслушивание (sniffing) – подключение к линиям связи Парольные атаки Изменение данных «Угаданный ключ» Подмена доверенного субъекта – хакер выдает себя за санкционированного пользователя (подмена IP-адреса) Перехват сеанса – хакер переключает установленное соединение на новый хост Посредничество в обмене незашифрованными ключами «Отказ в обслуживании» Атаки на уровне приложений – использование слабостей системного ПО (HTTP, FTP) Злоупотребление доверием Вирусы и приложения типа «троянский конь» Сетевая разведка – сбор информации о сети

Модель информационной безопасности

Модель информационной безопасности Уязвимость - слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами

71 конкуренты, преступники, коррупционеры, отдельные лица, административно- управленческие органы, администрация и персонал предприятия Источники угроз

72 Источники угроз Люди Посторонние лица Пользователи Персонал Технические устройства Регистрации Передачи Хранения Переработки Выдачи Модели, алгоритмы, программы Общего назначения Прикладные Вспомогательные Технологические схемы обработки Ручные Интерактивные Внутримашинные Сетевые Внешняя среда Состояние атмосферы Побочные шумы Побочные сигналы

73 Источники угроз информационной безопасности РФ Источники угроз информационной безопасности Российской Федерации подразделяются на внешние и внутренние. К внешним источникам относятся: - деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере; - стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков; - обострение международной конкуренции за обладание информационными технологиями и ресурсами; - деятельность международных террористических организаций. К внутренним источникам относятся: * критическое состояние отечественных отраслей промышленности; * недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика; * недостаточная экономическая мощь государства

Каналы утечки информации

75 «Примитивные» пути хищения информации хищение носителей информации и документальных отходов; инициативное сотрудничество; склонение к сотрудничеству со стороны взломщика; выпытывание; подслушивание; наблюдение и другие пути. Действия, приводящие к неправомерному овладению конфиденциальной информацией: Разглашение – это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Утечка – это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Несанкционированный доступ – это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Способы доступа к конфиденциальной информации

76 Наиболее распространенные пути несанкционированного доступа к информации: 1.чтение остаточной информации в памяти системы после выполнения санкционированных запросов; 2.копирование носителей информации с преодолением мер защиты 3.маскировка под зарегистрированного пользователя; 4.маскировка под запросы системы; 5.использование недостатков языков программирования и операционных систем; 6.незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации; 7.вредоносные программы 8.злоумышленный вывод из строя механизмов защиты; 9.расшифровка специальными программами зашифрованной информации Способы доступа к конфиденциальной информации

77 Классификация причин несанкционированного получения информации отказы сбои ошибки стихийные бедствия злоумышленные действия побочные влияния Основной аппаратуры; программ; людей; носителей информации; систем питания; систем обеспечения нормальных условий работы аппаратуры и персонала; систем передачи данных; вспомогательных материалов Основной аппаратуры; программ; людей; систем передачи данных Основной аппаратуры; программ; людей; носителей информации; систем питания; систем обеспечения нормальных условий работы аппаратуры и персонала; систем передачи данных; вспомогательных материалов Пожар; наводнение; землетрясение; ураган; взрыв; авария Хищения; подмена; подключение; поломка (повреждение); диверсия Электромагнитные излучения устройств АС; паразитные наводки; внешние электромагнит- ные излучения; вибрация; внешние атмосферные явления

Угрозы доступности Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. По некоторым данным, до 65% потерь – следствие непреднамеренных ошибок. Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе. Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками – максимальная автоматизация и строгий контроль

Другие угрозы доступности отказ пользователей; внутренний отказ информационной системы; отказ поддерживающей инфраструктуры.

Отказ пользователей Нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками); Невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.); Невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).

Внутренние отказы Отступление (случайное или умышленное) от установленных правил эксплуатации; Выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.); Ошибки при (пере)конфигурировании системы; Отказы программного и аппаратного обеспечения; Разрушение данных; Разрушение или повреждение аппаратуры.

Отказ поддерживающей инфраструктуры Нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования; Разрушение или повреждение помещений; Невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

"обиженные" сотрудники Весьма опасны так называемые "обиженные" сотрудники – нынешние и бывшие. Как правило, они стремятся нанести вред организации-"обидчику", например: –испортить оборудование; –встроить логическую бомбу, которая со временем разрушит программы и/или данные; –удалить данные. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

стихийные бедствия стихийные бедствия и события, воспринимаемые как стихийные бедствия,– грозы, пожары, наводнения, землетрясения, ураганы. По статистике, на долю огня, воды и тому подобных "злоумышленников" (среди которых самый опасный – перебой электропитания) приходится 13% потерь, нанесенных информационным системам

Вредоносное программное обеспечение Вредоносная функция; Способ распространения; Внешнее представление. "бомбы" предназначаются для: –внедрения другого вредоносного ПО; –получения контроля над атакуемой системой; –агрессивного потребления ресурсов; –изменения или разрушения программ и/или данных.

Основные угрозы целостности Статическая целостность –ввести неверные данные; –изменить данные. Динамическая целостность –нарушение атомарности транзакций, – переупорядочение, –кража, –дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

87 Основные направления защиты информации

Способы и средства защиты информации в сетях