Уфимский Юридический Институт МВД России Основы информациионной безопасности

n Зам.нач. кафедры управления в ОВД Николай Дмитриевич Андреев Лекция тема 1 Понятие информациионной безопасности и проблемы ее обеспечения в ОВД

1. Понятие информациионной безопасности 2. Основные составляющие ИБ 3. Важность проблемы 4. Нормативно-правовая основа Инф. безопасности

Литература ФЗ РФ от –ФЗ "Об информациии, ИТ и о защите информациии" ФЗ РФ от I "О право– й охране программ для ЭВМ иБД" ГОСТ Р «Защита информациии. Система стандартов. Осн–е полож.» Приказ МВД РФ от «Создание ЕИТКС ОВД». Приказ МВД РФ от «Об утвержд-и Прог. ЕИТКС ОВД РФ»

Литература Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. -М.: Академический проект; Фонд «Мир», Мельников В.П. Информационная безопасность и защита информациии: Учеб. пособие для студ. высш. учеб. заведений. – 2-е изд. стер.-М.: Издательский центр «Академия», 2007.

первая задача дисциплины, для решения которой привлекается объектно- ориентированный подход - успешное освоение современного, согласованного с другими ветвями ИТ базис.

вторая задача - комплексный подход основанный на описании общей структуры и отдельных уровней

Цель дисциплины - заложить методически правильные основы знаний, необходимые будущим специалистам-практикам в области информациионной безопасности.

1. Понятие информациионной безопасности

Базовые понятия компьютерной безопасности: Угрозы Уязвимости Атаки

Доктрина Информационной Без. РФ Инф. Безопасность – состояние защищенности национальных интересов в информациионной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

Закон РФ "Об участии в междунар. информациионном обмене" ИБ – состояние защищенности информациионной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан,организаций, гос–ва

Информационная Безопасность – защищенность информациии и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информациионных отношений, в том числе владельцам и пользователям информациии и поддерживающей инфраструктуры.

Защита информациии – это комплекс мероприятий, направленных на обеспечение информациионной безопасности

Решение проблем Инф.Без–ти начинается с выявления субъектов информациионных отношений и интересов этих субъектов, связанных с использованием ИС

Угрозы информациионной безопасности – это оборотная сторона использования информациионных технологий

1. Формулировка проблем, связанных с Инф.без–ю, для разных категорий субъектов – различаться. 2. Инф.без–ть не сводится исключительно к защите от несанкционированного доступа к информациии, это принципиально более широкое понятие.

термин "компьютерная безопасность" значительно уже чем Инф. Безопасность

Информационная безопасность -теория и практика использования компьютеров и Инф-х Систем, позволяющая: Предотвратить случайную потерю или повреждение информациии и комп-х систем людьми, использующими их. Разработать (настроить) системы так, чтобы достичь максимального уровня их надежности и безопасности. Предотвратить случайную или пред- намеренную потерю или повреждение данных и оборудования другими людьми.

2. Основные составляющие информациионной безопасности

Интересы субъектов: обеспечение доступности, целостности и конфиденциальности информациионных ресурсов и поддерживающей инфраструктуры

Доступность – возможность за приемлемое время получить требуемую информациионную услугу

Целостность – актуальность и непротиворечивость информациии, ее защищенность от разрушения и несанкционированного изменения

Конфиденциальность – защита от несанкционированного доступа к информациии

Целостность статическая динамическая

Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информациия служит "руководством к действию"

Основные составляющие Инф.Без обеспечение доступности, целостности и конфиденциальности информациионных ресурсов и поддерживающей инфраструктуры

3. Важность и сложность проблемы информациионной безопасности

Информационная безопасность является одним из важнейших аспектов интегральной безопасности

информациионная безопасность есть составная часть информациионных технологий

2002 – обращений в правоохранительные органы -82% 75% - их информациионные системы были взломаны внешними злоумышленниками атакам через Internet подвергались 87%

2007 – обращений в правоохранительные органы -90% 85% - получили финансовые потери (около 170 млн.$)

системы информациионной безопасности должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным

4. Нормативно- правовая основа информациионной безопасности

комплексный подход законодательный административный процедурный программно-технический

Законодательный уровень меры, направленные на создание и поддержание в обществе негативного отношения к нарушениям ИБ меры, способствующие повышению образованности общества в области ИБ

Самое важное на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информациионных технологий

Конституция РФ Гражданский кодекс РФ Уголовный кодекс РФ Закон "О гос-й тайне" Закон «Об информациии, ИТ и о защите информации

Закон "О лицензировании отдельных видов деятельности" «Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом»

статья 1, действие Закона не распространяется на: деятельность, связанная с защитой государственной тайны; деятельность в области связи; образовательная деятельность.

Основными лицензирующими органами в области защиты информациии являются Федеральное агентство правительственной связи и информациии (ФАПСИ) и Гостехкомиссия России

Закон «Об участии в международном информациионном обмене» Закон "Об электронной цифровой подписи"

Электронный документ - информациия представленная в электронно-цифровой форме.

Электронная цифровая подпись - реквизит ЭД, предназначенный для защиты данного ЭД от подделки, полученный в результате криптографического преобразования И с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информациии в электронном документе

Владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом ЭЦП, позволяющим с помощью средств электрон- ной цифровой подписи создавать свою электронную цифровую подпись в электронных документах

Средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций:

создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП, подтверждение с использованием открытого ключа ЭЦП подлинности ЭЦП в электронном документе, создание закрытых и открытых ключей ЭЦП

Сертификат средств ЭЦП - документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств ЭЦП установленным требованиям

Закрытый ключ ЭЦП - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах ЭЦП с использованием средств ЭЦП

Открытый ключ ЭЦП - уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю информациионной системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности ЭЦП в электронном документе

Сертификат ключа подписи - документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ ЭЦП и выдаются удостоверяющим центром участнику информациионной системы для подтверждения подлинности ЭЦП и идентификации владельца сертификата ключа подписи.

Пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности ЭЦП владельцу сертификата ключа подписи

Информационная система общего пользования - ИС, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано

Корпоративная информациионная система - ИС, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информациионной системы.

американский "Закон об информациионной безопасности" (Computer Security Act of 1987, Public Law (H.R. 145), January 8, 1988)

Его цель - реализация минимально достаточных действий по обеспечению безопасности информациии в федеральных компьютерных системах, без ограничений всего спектра возможных действий

в Законе указан исполнитель - Национальный институт стандартов и технологий (НИСТ), отвечающий за выпуск стандартов и руководств, направленных на защиту от уничтожения и несанкционированного доступа к И, а также от краж и подлогов, выполняемых с помощью компьютеров

В 1997 году появилось продолжение этого закона - "О совершенствовании Инф-й Без-и" (Computer Security Enhancement Act of 1997, H.R. 1903), направленный на усиление роли НИСТ и упрощение операций с криптосредствами

В 2001 году новый вариант рассмотренного закона - Computer Security Enhancement Act of 2001 (H.R RFS). Новый стандарт электронной цифровой подписи - FIPS 186-2, январь 2000 г.

В законодательстве ФРГ выделим весьма развернутый (44 раздела) Закон о защите данных (Federal Data Protection Act of December 20, 1990 (BGBl.I 1990 S.2954), amended by law of September 14, 1994 (BGBl. I S. 2325)). Он целиком посвящен защите персональных данных.

"Оранжевая книга" стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем» опубликован в августе 1983 года

"Оранжевая книга" поясняет понятие безопасной системы, которая "управляет, с помощью соответствующих средств, доступом к И, так что только должным образом авторизован- ные лица или процессы, дей- ствующие от их имени, получают право читать, записывать, создавать и удалять И"

абсолютно безопасных систем не существует. Можно оценивать лишь степень доверия, которое следует оказать той или иной системе.

В "Оранжевой книге" система которой можно доверять опреде- ляется как "система, использую- щая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информациии разной степени секретности группой пользователей без нарушения прав доступа"

Степень доверия оценивается по двум основным критериям. 1. Политикой безопасности; 2. Уровнем гарантированности Важным средством обеспечения безопасности является механизм подотчетности/протоколирования

Доверяемая вычислительная база - это совокупность защитных механизмов ИС (включая аппа- ратное и программное обеспече- ние), отвечающих за проведение в жизнь политики безопасности. Качество ВБ определяется иск- лючительно ее реализацией и корректностью исходных данных, которые вводит системный администратор

Основное назначение доверен- ной ВБ - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами (актив- ными сущностями ИС, действую- щими от имени пользователей) определенных операций над объектами (пассивными сущностями)

Монитор обращений должен обладать тремя качествами: 1. Изолированность. 2. Полнота. 3. Верифицируемость.

Границу доверяемой вычислительной базы называют периметром безопасности.

политика безопасности должна включать: -произвольное управление доступом; -безопасность повторного использования объектов; -метки безопасности; -принудительное управление доступом.

политика безопасности узко, как правила разграничения доступа, то механизм подотчетности является дополнением подобной политики. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что делает.

Средства подотчетности идентификация и аутентификация предоставление доверенного пути анализ регистрационной информациии

Средства подотчетности делятся на три категории: идентификация и аутентификация; предоставление доверенного пути; анализ регистрационной информациии.

Гарантированность операционная технологическая

Операционная гарантированность архитектура системы; целостность системы; проверка тайных каналов передачи информациии; доверенное администрирование; доверенное восстановление после сбоев.

Технологическая гарантированность охватывает весь жизненный цикл ИС, то есть периоды проектирования, реализации, тестирования, продажи и сопровождения

Т.О. В деле обеспечения информациионной безопасности успех только в комплексном подходе

Основные меры: законодательные; административные; процедурные; программно- технические

Вопросы к СЗ 1. Понятие информациионной безопасности. 2. Основные составляющие. 3. Важность проблемы 4. Нормативно-правовая основа информациионной безопасности