Информационная безопасность 1 курс. Информационная безопасность профессиональной деятельности

Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем сопровождаются существенным ростом посягательств на информацию как со стороны иностранных государств, так и со стороны преступных элементов и граждан, не имеющих доступа к ней. Несомненно, в создавшейся обстановке одной из первоочередных задач, стоящих перед правовым государством, является разрешение глубокого противоречия между реально существующим и необходимым уровнем защищенности информационных потребностей личности, общества и самого государства, обеспечение их ИБ.Предназначено для преподавателей и студентов вузов по специальности «Информационная безопасность», специалистов по безопасности, менеджеров и руководителей компаний.

А. В. Артемов - Информационная безопасность. Курс лекций читать онлайн

Рецензент:

кандидат экономических наук, доцент кафедры «Предпринимательство и маркетинг» ФГБОУ ВПО «Госуниверситет – УНПК» Н.А. Лебедева

А. В. Артемов, кандидат технических наук, доцент кафедры «Электроника, вычислительная техника и информационная безопасность» ФГБОУ ВПО «Госуниверситет – УНПК»

Информационная безопасность как определяющий компонент национальной безопасности россии

Учебные вопросы:

1. Место информационной безопасности в системе национальной безопасности России: понятие, структура и содержание.

2. Основные руководящие документы, регламентирующие вопросы информационной безопасности.

3. Современные угрозы информационной безопасности в России

Вопрос 1. Место информационной безопасности в системе национальной безопасности России: понятие, структура и содержание

Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем сопровождаются существенным ростом посягательств на информацию как со стороны иностранных государств, так и со стороны преступных элементов и граждан, не имеющих доступа к ней. Несомненно, в создавшейся обстановке одной из первоочередных задач, стоящих перед правовым государством, является разрешение глубокого противоречия между реально существующим и необходимым уровнем защищенности информационных потребностей личности, общества и самого государства, обеспечение их ИБ. При этом под информационной безопасностью (ИБ) личности, общества, государства и современных автоматизированных и телекоммуникационных систем понимается состояние защищенности информационной среды, соответствующей интересам (потребностям) личности, общества и государства в информационной сфере, при котором обеспечиваются их формирование, использование и возможности развития независимо от наличия внутренних и внешних угроз .

Информационная безопасность определяется способностью государства (общества, личности):

– обеспечить с определенной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития;

– противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации;

– вырабатывать личностные и групповые навыки и умения безопасного поведения;

– поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.

Ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры. Национальный информационный ресурс является сегодня одним из главных источников экономической и военной мощи государства. Проникая во все сферы деятельности государства, информация приобретает конкретное политическое, материальное и стоимостное выражение. На этом фоне все более актуальный характер приобретают вопросы обеспечения ИБ Российской Федерации как неотъемлемого элемента национальной безопасности, а защита информации превращается в одну из приоритетных государственных задач.

В любой стране ИБ придается особое значение. В своем развитии эта задача проходит множество этапов в зависимости от потребностей государства, возможностей, методов и средств добывания сведений (в частности, разведки), правового режима государства и реальных его усилий по обеспечению защиты информации.

Важным этапом становления и совершенствования такой системы в нашей стране явился период 70–80-х гг. С началом 70-х гг. в разведывательной деятельности ведущих стран мира началось широкомасштабное применение технических средств разведки. 80-е гг., ознаменовавшись бурным научно-техническим прогрессом, особенно в военной области, дали новые импульсы в дальнейшем наращивании возможностей технических средств иностранных разведок: до 70 % разведывательной информации добывалось в то время с помощью технических средств.

Сложившаяся обстановка потребовала совершенствования системы мер противоборства иностранным разведкам. Задачей государственной важности и одной из составных частей в общей системе мер по сохранению государственной и служебной тайны стало противодействие техническим разведкам.

К началу 90-х гг. произошли качественные изменения в военно-политической и научно-технической сфере, заставившие во многом пересмотреть государственную политику в области защиты информации в целом.

Во-первых, информационные технологии принципиально изменили объем и важность информации, обращающейся в технических средствах ее передачи и обработки. Во-вторых, в России отошла в прошлое фактическая государственная монополия на информационные ресурсы, в частности получило конституционное закрепление право гражданина искать, получать и распространять информацию. В-третьих, прежний административный механизм управления защитой информации стал неэффективен, в то же время необходимость межведомственной координации в этой сфере объективно возросла. В-четвертых, в связи с усиливающимся включением России в международное разделение труда, укреплением экономических, культурных, гуманитарных контактов с другими государствами многие режимно-ограничительные меры, облегчающие защиту информации, например система регионов, закрытых для посещения иностранными гражданами, стали неприемлемы.

В сложившихся условиях с учетом рассмотренных угроз ИБ личности, общества и государства важным является рассмотрение проблем и задач обеспечения ИБ являющейся неотъемлемой составной частью обеспечения национальной безопасности любого государства мирового сообщества на новом этапе своего развития – этапе формирования информационного общества. Известными характерными признаками такого общества является явная обусловленность экономического, социального, научного и всего развития страны широким внедрением новых информационных технологий, обеспечивающих эффективную информатизацию общества, которая, в свою очередь, обеспечивает информационную безопасность общества, в том числе обеспечивает его качественной информацией, информационными продуктами, услугами и знаниями, являющимися сегодня важнейшим стратегическим ресурсом страны. Информатизация личности, общества – это важнейшее, стратегическое направление деятельности государства, определяющее стабильное и безопасное социально-экономическое и политическое развитие и приоритеты во всех сферах, в том числе в информационной и видах деятельности в мировом сообществе. Подтверждением этому являются практические шаги ведущих стран мира и России, что подтверждается принятием ими ряда нормативных правовых актов и иных документов:

– 2000 г. – «Окинавская хартия глобального информационного общества» (от имени России подписана Президентом);

– 2000 г. Концепцией национальной безопасности Российской Федерации (утверждена Указом Президента, в ред. от 10.01.2000);

– 2000 г. – Федеральные целевые программы «Развитие единой образовательной информационной среды (2001–2005 годы)», «Электронная Россия»;

– 25 июля 2007 г. – программа «Стратегия развития информационного общества в России» (принята Советом Безопасности Российской Федерации);

– 2002 г. – Федеральная целевая программа «Электронная Россия на 2002–2010 годы» (утверждена Постановлением Правительства России от 28 января 2002 года № 65);

– 2007 г. «Стратегия развития информационного общества в России» (утверждена 25 июля 2007 года Советом Безопасности Российской Федерации) и другие.

Вопрос 2. Основные руководящие документы, регламентирующие вопросы информационной безопасности

Рассматривая Концепцию национальной безопасности России, утвержденную Указом Президента РФ от 17.12.97 № 1300 (в ред. от 10.01.2000), которая отражает названную «Окинавскую хартию глобального информационного общества», можно утверждать, что в ней система национальных интересов России определяется совокупностью следующих основных интересов:

личности – состоят в реальном обеспечении конституционных прав и свобод, личной безопасности, в повышении качества и уровня жизни, в физическом, духовном и интеллектуальном развитии;

– общества – включают в себя упрочение демократии, достижение и поддержание общественного согласия, повышение созидательной активности населения и духовное возрождение России;

– государства – состоят в защите конституционного строя, суверенитета и территориальной целостности России, в установлении политической, экономической и социальной стабильности, в безусловном исполнении законов и поддержании правопорядка, в развитии международного сотрудничества на основе партнерства.

Концепция определяет национальные интересы России в информационной сфере.

Национальные интересы России обусловливают необходимость сосредоточения усилий общества и государства на решении определенных задач. Такими являются:

– соблюдение конституционных прав и свобод граждан в области получения информации и обмена ею;

– защита национальных духовных ценностей; – пропаганда национального, культурного наследия, норм морали и общественной нравственности;

– обеспечение права граждан на получение достоверной информации;

– развитие современных телекоммуникационных технологий. Планомерная деятельность государства по реализации этих задач позволит Российской Федерации стать одним из центров мирового развития в XXI в. В то же время недопустимо использование информации для манипулирования массовым сознанием. Необходима защита государственного информационного ресурса от утечки важной политической, экономической, научно-технической и военной информации.

В соответствии с данной Концепцией важнейшими задачами обеспечения ИБ являются:

– установление необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения;

– совершенствование информационной структуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;

– разработка соответствующей нормативной правовой базы и координация, при ведущей роли Федерального агентства правительственной связи и информации при Президенте РФ, деятельности федеральных органов государственной власти и других органов, решающих задачи обеспечения ИБ;

– развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;

– защита государственного информационного ресурса, прежде всего в федеральных органах государственной власти и на предприятиях оборонного комплекса.

Доктрина информационной безопасности Российской Федерации от 09.09.2001 № Пр-1895 представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения ИБ Российской Федерации . Она служит основой:

– для формирования государственной политики в области обеспечения ИБ Российской Федерации;

– подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения ИБ;

– разработки целевых программ обеспечения ИБ Российской Федерации.

По структуре Доктрина состоит из 4 разделов и 11 глав. В первом разделе «Информационная безопасность Российской Федерации» дается понятие ИБ, выделяются национальные интересы личности, общества и государства в информационной сфере . В Доктрине они уточнены более подробно, чем в Концепции национальной безопасности.

Стратегические и текущие задачи внутренней и внешней политики государства по обеспечению ИБ формируются на основе нижеперечисленных интересов в информационной:

– личности – заключаются в реализации конституционных прав человека и гражданина на доступ к информации, использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность;

– общества – заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России;

– государства – заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

Определяются виды угроз ИБ и их источники. Они также, в отличие от Концепции национальной безопасности, подробно уточнены.

Во втором разделе «Методы обеспечения информационной безопасности» :

– определяются общие методы обеспечения ИБ Российской Федерации;

– раскрываются особенности обеспечения ИБ Российской Федерации в различных сферах общественной жизни;

– определяется международное сотрудничество в сфере обеспечения ИБ.

В третьем разделе «Основные положения государственной политики обеспечения информационной безопасности Российской Федерации» содержатся:

– принципы обеспечения государственной политики;

– первоочередные мероприятия по реализации государственной политики обеспечения ИБ Российской Федерации.

Четвертый раздел «Организационная основа системы обеспечения информационной безопасности Российской Федерации» закрепляет основные функции системы обеспечения ИБ и ее организационную основу.

Процесс информатизации современного общества приводит к резкому увеличению ценности определенной информации и убытков, которые могут иметь место в случае ее утечки, моди­фикации или уничтожения. В связи с этим особенно актуаль­ной становится проблема обеспечения информационной без­опасности.

Понятие безопасности в информационной сфере является весьма широким. В общем смысле под информационной безопас­ностью понимают защищенность информации от попыток не­санкционированного ее получения, модификации, разрушения и задержек доступа. Информационная безопасность должна обес­печивать достижение следующих целей:

Целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных;

Конфиденциальность информации;

К числу причин, приводящих к потере или нежелательному изменению информации можно отнести следующие:

1) Несанкционированный доступ к данным (случайный или умышленный):

Копирование, искажение, уничтожение или подделка ин­формации;

Ознакомление посторонних лиц с конфиденциальной ин­формацией.

2) Некорректная работа программного обеспечения, приводя­щая к потере или порче данных:

Ошибки в прикладном или сетевом ПО;

Заражение систем компьютерными вирусами.

3) Технические сбои оборудования, вызванные:

Отключением электропитания;

Отказом дисковых систем и систем архивации данных;

Нарушением работы серверов, рабочих станций, сетевых карт, модемов;

Сбоями кабельной системы.

4) Ошибки обслуживающего персонала или пользователей.

5) Неправильное хранение информации.

В вычислительной технике понятие безопасности является весьма широким. Оно подразумевает и надежность работы компьютера, и сохранность ценных данных, и защиту информации от внесения в нее изменений неуполномоченными лицами, и сохранение тайны переписки при электронной связи. Разумеется, во всех цивилизованных странах на страже безопасности граждан стоят законы, но в сфере вычислительной техники правоприменительная практика пока развита недостаточно, а законотворческий процесс не успевает за развитием технологий. Поэтому надежность работы компьютерных систем во многом опирается на меры самозащиты.

Безопасность информационной системы - это система организационных и технических мероприятий, нацеленных на предотвращение угроз, то есть событий или действий, нарушающих нормальное функционирование компьютерной системы или права граждан, предприятий и государства на обладание информацией.

Мероприятия, обеспечивающие безопасность компьютерной системы, должны предусматривать все возможные угрозы и обычно включают в себя физическую защиту сервера, средства восстановления систем и данных после отказов и средства защиты от несанкционированного доступа.

Конечно, универсального решения проблемы информацион­ной безопасности, исключающего все перечисленные причины: физическую защиту данных и системных программ, защиту от несанкционированного доступа к данным, передаваемым по ли­ниям связи и находящимся на накопителях, - нет.

В настоящее время разработаны и успешно применяются различные методы и средства, позволяющие свести к минимуму риск потери или нежелательной модификации данных. Однако единого подхода к их классификации не существует.

Так, например, выделяют юридические, технические и орга­низационные аспекты обеспечения безопасности информации .

К юридическим мерам относятся: разработка нормативных актов, подразумевающих административную и уголовную ответ­ственность за хищение информации, нарушение авторских прав программистов и все те виды компьютерных преступлений, ко­торые были оговорены ранее.

К техническим мерам относятся: защита от несанкциониро­ванного доступа к системе; программные средства борьбы с ви­русами; резервное копирование и архивирование особо важных документов; организация локальных вычислительных сетей с возможностью перераспределения ресурсов, в случае выхода из строя отдельных звеньев; установка систем защиты от сбоев в сети электропитания; а также оснащение помещений системой охранной сигнализации.

Под организационными мерами понимается в первую очередь подбор сотрудников компании, а также обеспечение того, чтобы непроверенные лица не допускались к охраняемой информации. Сюда относится, например, оборудование помещений системой кодовых замков, чтобы в данную комнату мог войти только че­ловек, который знает код, открывающий дверь.

Существуют и другие подходы к классификации средств за­щиты информации:

- средства физической защиты: средства защиты кабельной системы, систем электропитания, средства архивации, дис­ковые массивы и т. д.

Физическая защита, в частности, включает в себя:

а) обеспечение безопасности помещений, где установлены серверы с учетом требований к надежности зданий, температуре и влажности, наличию средств пожаротушения;

б) мероприятия по ограничению физического доступа к компьютерным системам и сетевой инфраструктуре посторонних лиц, которые могут остановить, перезагрузить и даже переустановить сервер, украсть жесткие диски, установить разведывательную аппаратуру и программное обеспечение.

в) средства защиты от сбоев в электропитании – от источников бесперебойного питания до мероприятий по эффективному заземлению и защите от ударов молний.

- программные средства защиты: антивирусные программы, системы разграничения полномочий, программные средст­ва контроля доступа;

Программные средства и методы защиты активнее и шире других применяются для защиты информации в персональных компьютерах и компьютерных сетях, реализуя такие функции за­щиты, как разграничение и контроль доступа к ресурсам; регист­рация и анализ протекающих процессов, событий, пользователей; предотвращение возможных разрушительных воздействий на ре­сурсы; криптографическая защита информации; идентификация и аутентификация пользователей и процессов и др.

В настоящее время наибольший удельный вес в этой группе мер в системах обработки экономической информации составля­ют специальные пакеты программ или отдельные программы , включаемые в состав программного обеспечения с целью реали­зации задач по защите информации.

- технологические средства защиты информации - это комплекс мероприятий, органично встраиваемых в технологические про­цессы преобразования данных. Среди них:

Создание архивных копий носителей;

Ручное или автоматическое сохранение обрабатываемых файлов во внешней памяти компьютера;

Регистрация пользователей компьютерных средств в жур­налах;

Автоматическая регистрация доступа пользователей к тем или иным ресурсам;

Разработка специальных инструкций по выполнению всех технологических процедур и др.

- к правовым и морально-этическим мерам и средствам защиты относятся действующие в стране законы, нормативные акты, рег­ламентирующие правила обращения с информацией и ответствен­ность за их нарушение; нормы поведения, соблюдение которых способствует защите информации.

- административные меры защиты: контроль доступа в поме­щения, разработку стратегии безопасности фирмы, планов действий в чрезвычайных ситуациях и т. д.

Организационно-административные средства защитысводят­ся к регламентации доступа к информационным и вычислитель­ным ресурсам, функциональным процессам систем обработки дан­ных, к регламентации деятельности персонала и др. Их цель - в наибольшей степени затруднить или исключить возможность ре­ализации угроз безопасности. Наиболее типичные организацион­но-административные средства:

Создание контрольно-пропускного режима на территории, где располагаются средства обработки информации;

Изготовление и выдача специальных пропусков;

Мероприятия по подбору персонала, связанного с обработ­кой данных;

Допуск к обработке и передаче конфиденциальной инфор­мации только проверенных должностных лиц;

Хранение магнитных и иных носителей информации, представляющих определенную тайну, а также регистрационных журналов в сейфах, недоступных для посторонних лиц;

Организация защиты от установки прослушивающей аппа­ратуры в помещениях, связанных с обработкой информации;

Организация учета использования и уничтожения докумен­тов (носителей) с конфиденциальной информацией;

Разработка должностных инструкций и правил по работе с компьютерными средствами и информационными массивами;

Разграничение доступа к информационным и вычислитель­ным ресурсам должностных лиц в соответствии с их функциональ­ными обязанностями.

Любая из рассмотренных классификаций достаточно услов­на. Современные технологии развиваются в направлении синте­за различных средств защиты, и достижение требуемого уровня безопасности возможно лишь при оптимальном сочетании орга­низационных, программных, аппаратных, физических и других методов защиты, т. е. в случае реализации системного подхода к решению проблемы информационной безопасности.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРОФЕССИОНАЛЬНОЙ ДЕЯТЕЛЬНОСТИ

Пожиткова Татьяна Александровна

студент 5 курса, кафедра «Товароведение и организация управления торговыми предприятиями» ТГУ, г. Тольятти

Е- mail : Kykyha 1@ yandex . ru

Харламова Валентина Владимировна

ст. преподаватель кафедры «Товароведение и организация управления торговыми предприятиями» ТГУ, г. Тольятти

Информация (от латинского informatio - разъяснение, изложение) - с середины ХХ века общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом, обмен сигналами в животном и растительном мире, передачу признаков от клетки к клетке, от организма к организму; одно из основных понятий кибернетики .

Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Согласно стандартам по обеспечению информационной безопасности главное в любой компании является:

·Определить цель для обеспечения защиты информации компьютерных систем;

·Получить максимально эффективную систему управления информационной безопасностью;

·Произвести вычисления совокупности как количественных, так и качественных показателей, насколько они подходят под поставленные цели;

·Применение всех мер для обеспечения информационной безопасности, постоянное наблюдение за текущим состоянием системы;

·Применять инструкции по управлению безопасностью, которые позволяют правдиво оценить имеющуюся защиту информации.

Для субъектов, использующих информационные системы, важны следующие признаки информационных ресурсов: конфиденциальность, доступность и целостность.

Конфиденциальность - это защита информации от несанкционированного доступа. Иначе говоря, есть полномочия на доступ - есть информация . Примером может служить неразглашение организацией информации о зарплате рабочих.

Доступность - критерий, характеризующийся быстрым нахождением нужной информации.

Целостность - это правдивость и актуальность информации, её защита от недозволенного доступа и разрушения (изменения). Целостность является самым важным аспектом информационной безопасности, когда речь идет о, например, рецептуре лекарств, предписанных медицинских процедур, ходе технологического процесса –– если нарушить целостность информации всех перечисленных примеров, это может привести к непоправимым последствиям.

Проанализировав основные признаки информационных ресурсов, самым важным для пользователей ИС является доступность.

На полшага позади по важности стоит целостность - потому как нет смысла в информации, если она не правдива или искажена .

Помимо трех основных признаков моделей безопасности выделяют также другие, не всегда обязательные:

· апеллируемость - невозможность отказа от авторства;

· подотчётность - распознование субъекта доступа и регистрации его действий;

· аутентичность или подлинность - свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Признак, гарантирующий, что информация идентична заявленной.

Информационной безопасности в разной степени могут наносить ущерб действия, называемые угрозами. Делят их на следующие категории:

2.Действия, осуществляемые хакерами. Имеются в виду, люди, профессионально занимающиеся компьютерными преступлениями. Хакеры используют метод DOS_атаки. Эта угроза несанкционированного проникновения может быть инструментом для уничтожения данных, использования конфиденциальной информации в незаконных целях, а также для кражи со счетов денежных средств и др. Атака типа DOS (сокр. от Denial of Service - «отказ в обслуживании») - атака извне на сетевые узлы организации, которые отвечают за её эффективную работу (почтовые сервера). Хакеры массово посылают пакеты данных на эти узлы, что влечет за собой их перегрузку, тем самым выводит на некоторое время из рабочего состояния. Что, в последствие, ведет за собой нарушения в бизнес-процессах, потере клиентов, репутации и др.

3.Компьютерные вирусы, вредоносные программы. Широко используются для проникновения на электронную почту, узлы корпоративной сети, на сам носитель и хранитель информации, что может повлечь за собой утрату данных, кражу информации. Из-за вирусов приостанавливается рабочий процесс, теряется рабочее время. Важно указать, что вирус может дать возможность злоумышленникам частичный или полный контроль над деятельностью организации.

4.Спам. Еще недавно спам можно было отнести к незначительным раздражающим факторам, но сейчас он превратился в одну из главных угроз для информации: спам вызывает у работников чувство психологического дискомфорта, отнимает массу времени на удаление его с электронных почтовых ящиков, что может повлечь за собой и удаление важной корреспонденции. А это, в свою очередь, потеря информации, потеря клиентов.

5.«Естественные угрозы». Помимо внутренних факторов, на безопасность информации могут влиять и внешние: неправильное хранение информации, кража носителей, форс-мажорные обстоятельства и др.

Можно подвести своеобразный итог: в современном мире наличие хорошо развитой системы по защите информации является одним из главных условий конкурентоспособности и даже жизнеспособности любой компании.

Чтобы обеспечить максимально полную информационную безопасность, различные средства защиты должны работать в системе, т. е. применяться одновременно и под централизованным управлением.

На настоящее время существуют множество методов для обеспечения информационной безопасности:

· средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;

· средства зашифровки важной информации, хранящейся на ПК;

· межсетевые экраны;

· средства контентной фильтрации;

· средства антивирусной защиты;

· системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

Любое из перечисленных средств может применяться как индивидуально, так и в соединении с другими. Это делает спектр защиты информации более обширным, что, несомненно, является положительным фактором.

«Комплекс 3А». Идентификация и авторизация - это ведущие элементы информационной безопасности. При попытке доступа к любой защищенной информации идентификация устанавливает: являетесь ли вы авторизованным пользователем сети. Цель авторизации, выявить к каким информационным ресурсам данный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя отдельными расширенными возможностями, определения объема возможных для него действий в рамках данной сети.

Системы зашифровки информации позволяют снизить к минимуму потери в случае попытки несанкционированного доступа к данным, а также перехвата информации при пересылке или передачи по сетевым протоколам. Главная цель данного метода защиты - это обеспечение сохранение конфиденциальности. К системам шифрования применяются требования, такие как высокий уровень секретности замка (т. е. криптостойкость) и легальность использования.

Межсетевой экран действует как защитный барьер между сетями, контролирует и защищает от несанкционированного попадания в сеть или, наоборот, выведения из неё пакетов данных. Межсетевые экраны подвергают проверке каждый пакет данных на соответствие входящего и исходящего IP_адреса базе адресов, которые разрешены.

Важно контролировать и фильтровать поступающую и исходящую электронную почту, для сохранения и защиты конфиденциальной информации. Проверка вложений и самих почтовых сообщений на основе установленных в организации правил, позволяет защитить работников от спама, а организацию от ответственности по судебным искам.

Администратор, как и другой авторизованный пользователь, может иметь право на слежение за всеми изменениями информации на сервере благодаря технологии проверки целостности содержимого жесткого диска (integrity checking). Это даёт возможность обнаружить несанкционированный доступ, проконтролировать любые действия над информацией (изменение, удаление и др.), а также идентифицировать активность вирусов. Контроль осуществляется на основе анализа контрольных сумм файлов (CRC_сумм).

В настоящее время антивирусные технологии позволяют выявить почти все вирусные и вредоносные программы с помощью метода сравнения кода образца в антивирусной базе с кодом подозрительного файла. Подозрительные файлы могут помещаться в карантин, подвергаться лечению либо удаляться. Антивирусные программы могут быть установлены на файловые и почтовые сервера, межсетевые экраны, на рабочие станции, функционирующие под распространенными операционными системами (Windows, Unix- и Linux_системы, Novell) на процессорах различных типов.

Фильтры спама основательно снижают непроизводительные трудозатраты, связанные с отчисткой файлов от спама, снижают нагрузку серверов, способствуют улучшению психологического фона в коллективе. К тому же фильтры спама снижают риск заражения новыми вирусами, потому как они часто схожи по признакам со спамом и удаляются.

Для защиты от естественных угроз в организации должен быть создан и реализован план по предупреждению и устранению чрезвычайных ситуаций (пожар, потоп). Основным методом защиты данных является резервное копирование.

Существует множество средств технической защиты информации от несанкционированного доступа (НСД): замки разового пользования, пластиковые идентификационные карты, пломбы, оптические и инфракрасные системы, лазерные системы, замки (механические, электромеханические, электронные), видео системы охраны и контроля .

Политика информационной безопасности представляет собой набор правил, законов, рекомендаций и практического опыта, определяющих управленческие и проектные решения в области защиты информации. ПИБ является инструментом, с помощью которого происходит управление, защита, распределение информации в системе. Политика должна определять поведение системы в различных ситуациях.

Программа политики безопасности содержит в себе следующие этапы создания средств защиты информации:

1. Нахождение информационных и технических ресурсов, которые необходимо защитить;

2. Раскрытие полного множества потенциально возможных угроз и каналов утечки информации;

3. Оценивание уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

4. Диагностирование требований к системе защиты;

5. Подборка средств защиты информации и их характеристик;

6. Внедрение и организация использования выбранных мер, способов и средств защиты;

7. Осуществление контроля целостности и управление системой защиты.

Оценка текущей ситуации подразделяется на две системы: это «исследование снизу вверх» и «исследование сверху вниз». Первая построена на том, что служба информационной безопасности, основываясь на всех известных видах атак, применяет их на практике, чтобы проверить, возможна ли данная атака со стороны реального правонарушителя.

Метод «сверху вниз» представляет собой подробное изучение всех существующих схем хранения и обработки информации. Первой ступенью метода является определение, какие информационные потоки следует защитить. Затем анализируется настоящее состояние системы информационной безопасности, для определения реализованных методик защиты, в каком объеме, и на каком уровне они реализованы. На третьей ступени осуществляется классификация всех информационных объектов на группы в соответствии с ее конфиденциальностью.

После этого необходимо выяснить насколько серьезный ущерб может быть нанесен, если информационный объект атакуют. Эта ступень именуется как «вычисление рисков». Рассчитывают возможный ущерб от атаки, вероятность такой атаки и их произведение. Полученный ответ и есть возможный риск.

На самом главном и ответственном этапе происходит сама разработка политики безопасности предприятия, которая обеспечит максимально полную защиту от возможных рисков. Но необходимо учитывать проблемы, которые могут возникнуть на пути инициации политики безопасности. К подобным проблемам можно отнести законы страны и международного сообщества, этические нормы, внутренние требования организации .

После создания как таковой политики информационной безопасности производится расчет её экономической стоимости.

В финале разработки программа утверждается у руководства фирмы и детально документируется. После этого должна следовать активная реализация всех компонентов, указанных в плане. Перерасчет рисков, и впоследствии модификация политики безопасности компании чаще всего проводится раз в два года .

Сама ПИБ оформляется в виде документированных требований на информационную систему. Существует три уровня таких документов (еще это называют детализация):

Документы верхнего уровня политики информационной безопасности показывают позицию организации к деятельности в области защиты информации, её готовность соответствовать государственным и международным требованиям в этой области. Например, они могут быть названы: «Концепция ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Документы верхнего уровня могут выпускаться в двух формах - для внешнего и внутреннего пользования.

Документы среднего уровня касаются отдельных сторон информационной безопасности. Здесь описаны требования на создание и эксплуатацию средств защиты информации по конкретной стороне защиты информации.

Документы нижнего уровня содержат правила и нормы работ, руководства по администрированию, инструкции по эксплуатации частных сервисов информационной безопасности .

Этапы жизненного цикла информационной системы делятся на: стратегическое планирование, анализ, проектирование, реализацию, внедрение (инициацию) и эксплуатацию. Рассмотрим каждый этап детально:

1. Начальная стадия (стратегическое планирование).

На первой стадии определяется область применения системы, и ставят граничные условия. Для этого необходимо опознать все внешние объекты, с которыми будет взаимодействовать разрабатываемая система, определить характер этого взаимодействия. На стадии стратегического планирования определяются все функциональные возможности, а также приводятся описания наиболее важных из них.

2. Стадия уточнения.

На стадии уточнения анализируется прикладная область, происходит разработка архитектурной основы информационной системы. Необходимо описать большую часть функциональных возможностей системы и учесть связь между отдельными составляющими. В конце стадии уточнения анализируются архитектурные решения и способы устранения ведущих рисков в программе.

3. Стадия конструирования.

На данной стадии создаётся законченное изделие, готовое к передаче пользователю. По окончании конструирования определяется работоспособность полученного программного обеспечения.

4. Стадия передачи в эксплуатацию (инициация).

Стадия представляет собой непосредственную передачу программного обеспечения пользователю. При использовании разработанной системы часто выявляются различного плана проблемы, которые требуют дополнительных работ и внесения корректировок в продукт. В конце данной стадии выясняют: достигнуты ли цели, поставленные перед разработчиками или нет.

5. Выведение из эксплуатации и утилизация. В результате этого этапа данные переносятся в новую ИС.

Любая информационная система может оставаться максимально полезной в течение 3-7 лет. Далее требуется её модернизация. Следовательно, можно прийти к выводу, что с проблемой модернизации устаревших информационных систем сталкивается практически каждый создатель .

Для решения проблемы обеспечения информационной безопасности важно применение законодательных, организационных и программно-технических мер. Невнимательность хотя бы к одному из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.

Список литературы:

1.В.А. Игнатьев, Информационная безопасность современного коммерческого предприятия / В.А. Игнатьев - М: Старый Оскол: ТНТ, 2005. - 448 с.

2.Домарев В.В., Безопасность информационных технологий. Методология создания систем защиты (гл. 8) / ТИД Диа Софт / - 2002. [Электронный ресурс]. - Режим доступа. - URL: http://www.kpnemo.ws/ebook/2010/08/10/domarev_vv_bezopasnost_informatsionnyih_tehnologiy_metodologiya_sozdaniya_sistem_zaschityi (дата обращения 15.11.2012)

3.Жук Е.И., Концептуальные основы информационной безопасности [Электронный ресурс] // Электронное научно-техническое издание «Наука и образование», 2010. - № 4. - Режим доступа. - URL:http://techno-new.developer.stack.net/doc/143237.html (дата обращения 20.11.2012)

4.Медведев Н.В., Стандарты и политика информационной безопасности автоматизированных систем // Вестник МГТУ им. Н.Э. Баумана. Сер. Приборостроение. - 2010. - № 1. - С. 103-111.

5.Основы информационной безопасности: Учебное пособие / О.А. Акулов, Д.Н. Баданин, Е.И. Жук и др. - М.: Изд-во МГТУ им. Н.Э. Баумана, 2008. - 161 с.

6.Филин С.А., Информационная безопасность / С.А. Филин. - Альфа-Пресс, 2006. - 412 с.

7.Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. - 3-е изд. - М.: Академический Проект: Трикста, 2005 - 544 с.

КОНСПЕКТ ЛЕКЦИЙ

по курсу

Информационная безопасность

1. Раздел. Основы информационной безопасности 2

Тема 1. Сущность информационной безопасности 2

Тема 2. Классификация конфиденциальной информации 3

Тема 3. Современная концепция ИБ 5

2. Раздел. Уязвимости, угрозы, модель нарушителя 6

Тема 4. Угрозы ИБ 6

Тема 5. Неформальная модель нарушителя 8

Тема 6. Каналы утечки и НСД к информации 10

3. Раздел. Средства, используемые злоумышленником 13

Тема 7. Технические средства добывания информации 13

Тема 8. Программные средства добывания информации 14

Тема 9. Компьютерные вирусы 16

4. Раздел. Методология защиты информации 20

Тема 10. Принципы построения и направления работ по созданию СИБ 20

Тема 11. Методы и средства обеспечения ИБ 22

5. Раздел. Механизмы информационной безопасности 23

Тема 12. Идентификация и аутентификация 23

Тема 13. Управление доступом в ИС 26

Тема 14. Протоколирование и аудит 30

Тема 15. Шифрование 31

Тема 16. Контроль целостности 32

Шифрование:

Контроль целостности;

Экранирование.

Для надежной ЗИ необходима комплексная реализация всех перечисленных механизмов. Некоторые из них могут быть реализованы в более полной мере, другие – нет. Защита ИС в первую очередь зависит от реализации механизма идентификации и аутентификации

Идентификатор – уникальный набор символов, однозначно соответствующий объекту или субъекту в данной системе.

Идентификация – распознавание участника процесса информационного взаимодействия (ИВ) перед тем, как к нему будут применены какие-либо аспекты ИБ.

Пароль – секретный набор символов, позволяющий подтвердить соответствие субъекта предъявленному им идентификатору.

Аутентификация – обеспечение уверенности в том, что участник ИВ идентифицирован верно.

Профиль – набор установок и конфигураций для данного субъекта или объекта и определяющий его работу в ИС.

Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:

нечто, что он знает (пароль, криптографический ключ и т.п.);

нечто, чем он владеет (электронный ключ, смарт-карта и т.п.);

нечто, что есть часть его самого (свои биометрические характеристики).

Аутентификация бывает односторонней (обычно субъект доказывает свою подлинность системе) и двусторонней (взаимной).

Надежная идентификация и аутентификация затруднена по целому ряду причин.

В ИС между сторонами может не существовать доверенного маршрута; это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованными для проверки подлинности.

Почти все аутентификационные сущности можно узнать, украсть или подделать.

Имеется противоречие между надежностью аутентификации, с одной стороны, и удобствами субъекта с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию.

Чем надежнее средство защиты, тем оно дороже.

Парольная аутентификация

Главное достоинство парольной аутентификации – простота. Недостаток – это самое слабое средство проверки подлинности.

Основные нарушения при создании и использовании паролей:

простой пароль,

использование стандартных значений из какой-либо документации, которые никогда не изменяют,

запись пароля на тех предметах, где его можно прочитать, подсмотреть и т.д.

сообщение пароля другому сотруднику.

Меры, позволяющие повысить надежность парольной защиты:

наложение технических ограничений (длина, использование букв, цифр, знаков);

управление сроком действия паролей;

ограничение доступа к файлу паролей;

ограничение числа неудачных попыток входа в систему;

обучение пользователей;

использование программных генераторов паролей, которые основываясь на некоторых правилах, могут порождать сложные, но запоминающиеся пароли,

одноразовые пароли.

Одноразовые пароли

Пусть имеется односторонняя функция f (то есть функция, вычислить обратную которой за приемлемое время не представляется возможным). Эта функция известна и пользователю, и серверу аутентификации.

Пусть имеется секретный ключ K, известный только пользователю.

На этапе начального администрирования пользователя функция f применяется к ключу K n-раз, после чего результат сохраняется на сервере.

После этого процедура проверки подлинности пользователя выглядит следующим образом:

сервер присылает на пользовательскую систему число (n-1);

пользователь применяет функцию f к секретному ключу K (n-1) раз и отправляет результат по сети на сервер аутентификации;

сервер применяет функцию f к полученному от пользователя значению и сравнивает результат с ранее сохраненной величиной. В случае совпадения подлинность пользователя считается установленной, сервер запоминает новое значение (присланное пользователем) и уменьшает на единицу счетчик (n).

Поскольку функция f необратима, перехват пароля и получение доступа к серверу аутентификации, не позволяют узнать секретный ключ K и предсказать следующий одноразовый пароль.

Другой подход к реализации одноразовых паролей состоит в генерации нового пароля через небольшой промежуток времени (например, каждые 60 секунд), для чего могут использоваться программы или smart-карты. Для этого необходимо выполнение условий:

Сервер аутентификации должен знать алгоритм генерации паролей и ассоциированные с ним параметры;

Часы клиента и сервера должны быть синхронизированы.

Аутентификация с использованием токенов

Возможна в следующих вариантах:

На запрос системы токен предъявляет ей секретное значение, служащее для подтверждения подлинности. Один раз перехватив этот ответ, злоумышленник может имитировать ответ токена.

Токен и система имеют общую, синхронизированную систему генерации одноразовых паролей. На запрос системы токен выдает пароль, действительный для данного промежутка времени. Система генерирует в это время свой вариант пароля, который и сравнивает с полученным.

Токен зарегистрирован в системе (она знает его секретный параметр). Для аутентификации она формирует случайную величину, которую токен преобразует с использованием своего параметра. Система выполняет аналогичное преобразование и сравнивает результат с полученным от токена. В этом случае перехват запроса и ответа ничего не дает злоумышленнику. И синхронизация токена и системы не требуется.

Варианты использования токена совместно с паролем:

Пароль служит для доступа к токену, который без пароля не действует.

Пароль вместе с параметром токена служат основой для выработки одноразовых паролей.

Токен генерирует ответ системе на запрос со случайной величиной на основе своего параметра и пароля пользователя.

Аутентификация с помощью биометрических данных

Биометрия представляет собой совокупность автоматизированных методов идентификации и аутентификации людей на основе их физиологических и поведенческих характеристик.

К числу физиологических характеристик принадлежат особенности:

отпечатков пальцев,

сетчатки и роговицы глаз,

геометрия руки и лица.

К поведенческим характеристикам относятся:

динамика подписи,

стиль работы с клавиатурой.

К характеристикам, включающим физиологию и поведение относят анализ особенностей голоса и распознавание речи.

В общем виде работа с биометрическими данными организована следующим образом. Сначала создается и поддерживается база данных характеристик потенциальных пользователей. Для этого биометрические характеристики пользователя снимаются, обрабатываются, и результат обработки (называемый биометрическим шаблоном) заносится в базу данных. При этом исходные данные, такие как результат сканирования пальца или роговицы, обычно не хранятся.

В дальнейшем для идентификации и одновременно аутентификации пользователя процесс снятия и обработки повторяется, после чего производится поиск в базе данных шаблонов.

В случае успешного поиска личность пользователя и ее подлинность считаются установленными. Для аутентификации достаточно произвести сравнение с одним биометрическим шаблоном, выбранным на основе предварительно введенных данных.

Обычно биометрию применяют вместе с другими аутентификаторами, такими как smart-карты. Иногда биометрическая аутентификация служит для активизации smart-карт, в этом случае биометрический шаблон хранится на той же карте.

Биометрия подвержена тем же угрозам, что и другие методы аутентификации.

Биометрический шаблон сравнивается не с результатом первоначальной обработки характеристик пользователя, а с тем, что пришло к месту сравнения.

Биометрические методы не более надежны, чем база данных шаблонов.

Следует учитывать разницу между применением биометрии на контролируемой территории и в "полевых" условиях.

Биометрические данные человека меняются, так что база шаблонов нуждается в сопровождении.

Но главная опасность состоит в том, что если биометрические данные окажутся скомпрометированы, придется как минимум производить существенную модернизацию всей системы.

Тема 13. Управление доступом в ИС

Существует два направления контроля и управления доступом в ИС: физическое и логическое. Физическое управление доступом применяется к техническим и аппаратным средствам ИС, а также к информации, представленной в печатной, визуальной и аудиоформе. Логическое управление доступом – к программным средствам и информации, представленной в электронной форме. Оно реализуется программными средствами.

Логическое управление доступом – это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, в некоторой степени, их доступность (путем запрещения обслуживания неавторизованных пользователей).

В основе управления доступом лежит идентификация и аутентификация.

Если субъект и СИБ территориально разнесены, то с точки зрения безопасности необходимо рассмотреть два аспекта:

что служит аутентификатором;

как организован (и защищен) обмен данными идентификации и аутентификации.

Имеется совокупность субъектов и набор объектов. Задача логического управления доступом состоит в том, чтобы для каждой пары "субъект-объект" определить множество допустимых операций (зависящее, быть может, от некоторых дополнительных условий) и контролировать выполнение установленного порядка.

Отношение "субъекты-объекты" можно представить в виде матрицы доступа, в строках которой перечислены субъекты, в столбцах – объекты, а в клетках, расположенных на пересечении строк и столбцов, записаны дополнительные условия (например, время и место действия) и разрешенные виды доступа. Фрагмент матрицы может выглядеть, например, так:

"O" – обозначает разрешение на передачу прав доступа другим пользователям,

"R" – чтение,

"W" – запись,

"E" – выполнение,

"A" – добавление информации

Тема логического управления доступом – одна из сложнейших в области информационной безопасности. Понятие объекта (а тем более видов доступа) меняется от сервиса к сервису. Для операционной системы к объектам относятся файлы, устройства и процессы.

Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение (для программных файлов), иногда на удаление и добавление. Отдельным правом может быть возможность передачи полномочий доступа другим субъектам (так называемое право владения). Процессы можно создавать и уничтожать. Современные операционные системы могут поддерживать и другие объекты.

Для систем управления реляционными базами данных объект – это база данных, таблица, процедура. К таблицам применимы операции поиска, добавления, модификации и удаления данных, у других объектов иные виды доступа.

Разнообразие объектов и применимых к ним операций приводит к децентрализации логического управления доступом. Каждый сервис должен сам решать, позволить ли конкретному субъекту ту или иную операцию. Хотя это согласуется с современным объектно-ориентированным подходом, но приводит к значительным трудностям.

Ко многим объектам можно получить доступ с помощью разных сервисов. Так, до реляционных таблиц можно добраться не только средствами СУБД, но и путем непосредственного чтения файлов.

При экспорте/импорте данных информация о правах доступа, как правило, теряется (на новом сервисе она не имеет смысла).

Существует три подхода к логическому управлению доступом:

Произвольное управление,

Принудительное управление.

Ролевое управление.

В случае произвольного управления матрица доступа хранится в виде списков, то есть для каждого объекта поддерживается список "допущенных" субъектов вместе с их правами. Большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Основное достоинство произвольного управления – возможность для каждой пары "субъект-объект" независимо задавать права доступа. Но у произвольного управления есть ряд недостатков.

Доверенными должны быть многие пользователи, а не только системные операторы или администраторы.

Права доступа существуют отдельно от данных. Ничто не мешает пользователю, имеющему доступ к секретной информации, записать ее в доступный всем файл или заменить полезную утилиту вредоносной программой.

В случае принудительного управления матрицу не хранят в явном виде, а каждый раз вычисляют содержимое соответствующих клеток. Для этого с каждым субъектом и каждым объектом ассоциируются метки безопасности. Управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Субъект может читать информацию из объекта при одновременном выполнении следующих двух условий:

уровень секретности субъекта не ниже, чем у объекта,

Ролевое управление доступом

При большом количестве пользователей первые два вида управления доступом становятся крайне сложными для администрирования. Число связей в них пропорционально произведению количества пользователей на количество объектов.

Суть ролевого управления доступом в том, что между пользователями и их привилегиями появляются промежуточные сущности – роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права.

Лекции по информационной безопасности.

Лекция 1. Понятие информационной безопасности. Основные составляющие. Важность проблемы 4

Понятие информационной безопасности 4

Основные составляющие информационной безопасности 5

Важность и сложность проблемы информационной безопасности 6

Лекция 2: Распространение объектно-ориентированного подхода на информационную безопасность 8

О необходимости объектно-ориентированного подхода к информационной безопасности 8

Основные понятия объектно-ориентированного подхода 8

Применение объектно-ориентированного подхода к рассмотрению защищаемых систем 10

Недостатки традиционного подхода к информационной безопасности с объектной точки зрения 12

Лекция 3. Наиболее распространенные угрозы 14

Основные определения и критерии классификации угроз 14

Некоторые примеры угроз доступности 16

Вредоносное программное обеспечение 17

Лекция 4: Законодательный уровень информационной безопасности 22

Что такое законодательный уровень информационной безопасности и почему он важен 22

Обзор российского законодательства в области информационной безопасности 22

Правовые акты общего назначения, затрагивающие вопросы информационной безопасности 22

Лекция 5: Стандарты и спецификации в области информационной безопасности 35

Основные понятия 35

Механизмы безопасности 36

Классы безопасности 38

Информационная безопасность распределенных систем. Рекомендации X.800 40

Сетевые сервисы безопасности 40

Сетевые механизмы безопасности 41

Администрирование средств безопасности 42

Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" 43

Основные понятия 43

Функциональные требования 45

Требования доверия безопасности 46

Гармонизированные критерии Европейских стран 47

Интерпретация "Оранжевой книги" для сетевых конфигураций 48

Руководящие документы Гостехкомиссии России 50

Лекция 6. Административный уровень информационной безопасности 53

Основные понятия 53

Политика безопасности 53

Программа безопасности 56

Синхронизация программы безопасности с жизненным циклом систем 56

Лекция 7: Управление рисками 59

Основные понятия 59

Подготовительные этапы управления рисками 60

Подготовительные этапы управления рисками 61

Основные этапы управления рисками 62

Лекция 8: Процедурный уровень информационной безопасности 65

Основные классы мер процедурного уровня 65

Управление персоналом 65

Физическая защита 66

Поддержание работоспособности 68

Реагирование на нарушения режима безопасности 70

Планирование восстановительных работ 70

Лекция 9: Основные программно-технические меры 73

Основные понятия программно-технического уровня информационной безопасности 73

Особенности современных информационных систем, существенные с точки зрения безопасности 74

Архитектурная безопасность 75

Лекция 10: Идентификация и аутентификация, управление доступом 78

Идентификация и аутентификация 78

Основные понятия 78

Парольная аутентификация 79

Одноразовые пароли 80

Сервер аутентификации Kerberos 80

Идентификация/аутентификация с помощью биометрических данных 81

Управление доступом 82

Основные понятия 82

Ролевое управление доступом 84

Управление доступом в Java-среде 87

Возможный подход к управлению доступом в распределенной объектной среде 89

Лекция 11 Моделирование и аудит, шифрование, контроль целостности. Протоколирование и аудит 91

Основные понятия 91

Активный аудит 92

Основные понятия 92

Функциональные компоненты и архитектура 93

Шифрование 94

Контроль целостности 97

Цифровые сертификаты 98

Лекция 12: Экранирование, анализ защищенности. Экранирование 100

Основные понятия 100

Архитектурные аспекты 101

Классификация межсетевых экранов 103

Анализ защищенности 105

Лекция 13: Обеспечение высокой доступности 107

Доступность 107

Основные понятия 107

Основы мер обеспечения высокой доступности 108

Отказоустойчивость и зона риска 109

Обеспечение отказоустойчивости 110

Программное обеспечение промежуточного слоя 111

Обеспечение обслуживаемости 112

Лекция 14: Туннелирование и управлениe 114

Туннелирование 114

Управление 115

Основные понятия 115

Возможности типичных систем 116

Лекция 15: Заключение 119

Что такое информационная безопасность. Основные составляющие информационной безопасности. Важность и сложность проблемы информационной безопасности 119

Законодательный, административный и процедурный уровни 119

Программно-технические меры 122

Лекция 1. Понятие информационной безопасности. Основные составляющие. Важность проблемы

Под информационной безопасностью (ИБ) следует понимать защиту интересов субъектов информационных отношений

Понятие информационной безопасности

Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл.

В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность " используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере.

В Законе РФ "Об участии в международном информационном обмене" информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

В данном курсе наше внимание будет сосредоточено на хранении, обработке и передаче информации вне зависимости от того, на каком языке (русском или каком-либо ином) она закодирована, кто или что является ее источником и какое психологическое воздействие она оказывает на людей. Поэтому термин "информационная безопасность " будет использоваться в узком смысле.

Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования ин- формационных технологий.

Из этого положения можно вывести два важных следствия:

Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты.

ИБ не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.

Возвращаясь к вопросам терминологии, отметим, что термин "компьютерная безопасность" (как эквивалент или заменитель ИБ) представляется нам слишком узким. Компьютеры – только одна из составляющих информационных систем.

Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.

Обратим внимание, что в определении ИБ перед существительным – "ущерб" стоит прилагательное "неприемлемый". Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.

Основные составляющие информационной безопасности

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять.

Поясним понятия доступности, целостности и конфиденциальности:

Доступность – это возможность за приемлемое время получить требуемую информационную услугу.

Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.

Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям. становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем её как важнейший элемент информационной безопасности.

Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в, буквальном смысле, смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации.

Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности; К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?

Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).

Важность и сложность проблемы информационной безопасности

Для иллюстрации этого ограничимся несколькими примерами.

В Доктрине информационной безопасности Российской Федерации (здесь, подчеркнем, термин "информационная безопасность" используется в широком смысле) защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере.

По распоряжению президента США Клинтона (от 15 июля 1996 года, номер 13010) была создана Комиссия по защите критически важной инфраструктуры как от физических нападений, так и от атак, предпринятых с помощью информационного оружия. В начале октября 1997 года при подготовке доклада президенту глава вышеупомянутой комиссии Роберт Марш заявил, что в настоящее время ни правительство, ни частный сектор не располагают средствами защиты от компьютерных атак, способных вывести из строя коммуникационные сети и сети энергоснабжения.

Американский ракетный крейсер "Йорктаун" был вынужден вернуться в порт из-за многочисленных проблем с программным обеспечением, функционировавшим на платформе Windows NT 4.0 (Government Computer News, июль 1998). Таким оказался побочный эффект программы ВМФ США по максимально широкому использованию коммерческого программного обеспечения с целью снижения стоимости военной техники.

Заместитель начальника управления по экономическим преступлениям Министерства внутренних дел России сообщил, что российские хакеры с 1994 по 1996 год предприняли почти 500 попыток проникновения в компьютерную сеть Центрального банка России. В 1995 году ими было похищено 250 миллиардов рублей (ИТАР-ТАСС, AP, 17 сентября 1996 года).

Как сообщил журнал Internet Week от 23 марта 1998 года, потери крупнейших компаний, вызванные компьютерными вторжениями, продолжают увеличиваться, несмотря на рост затрат на средства обеспечения безопасности. Согласно результатам совместного исследования Института информационной безопасности и ФБР, в 1997 году ущерб от компьютерных преступлений достиг 136 миллионов долларов, что на 36% больше, чем в 1996 году. Каждое компьютерное преступление наносит ущерб примерно в 200 тысяч долларов.

В середине июля 1996 года корпорация General Motors отозвала 292860 автомобилей марки Pontiac, Oldsmobile и Buick моделей 1996 и 1997 годов, поскольку ошибка в программном обеспечении двигателя могла привести к пожару.

В феврале 2001 года двое бывших сотрудников компании Commerce One, воспользовавшись паролем администратора, удалили с сервера файлы, составлявшие крупный (на несколько миллионов долларов) проект для иностранного заказчика. К счастью, имелась резервная копия проекта, так что реальные потери ограничились расходами на следствие и средства защиты от подобных инцидентов в будущем. В августе 2002 года преступники предстали перед судом.

Одна студентка потеряла стипендию в 18 тысяч долларов в Мичиганском университете из-за того, что ее соседка по комнате воспользовалась их общим системным входом и отправила от имени своей жертвы электронное письмо с отказом от стипендии.

Понятно, что подобных примеров множество, можно вспомнить и другие случаи - недостатка в нарушениях ИБ нет и не предвидится. Чего стоит одна только "Проблема 2000" - стыд и позор программистского сообщества!

При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасности есть составная часть информационных технологий - области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.

К сожалению, современная технология программирования не позволяет создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения ИБ. Следует исходить из того, что необходимо конструировать надежные системы (информационной безопасности) с привлечением ненадежных компонентов (программ). В принципе, это возможно, но требует соблюдения определенных архитектурных принципов и контроля состояния защищенности на всем протяжении жизненного цикла ИС.

Приведем еще несколько цифр. В марте 1999 года был опубликован очередной, четвертый по счету, годовой отчет "Компьютерная преступность и безопасность-1999: проблемы и тенденции" (Issues and Trends: 1999 CSI/FBI Computer Crime and Security Survey). В отчете отмечается резкий рост числа обращений в правоохранительные органы по поводу компьютерных преступлений (32% из числа опрошенных); 30% респондентов сообщили о том, что их информационные системы были взломаны внешними злоумышленниками; атакам через Internet подвергались 57% опрошенных; в 55% случаях отмечались нарушения со стороны собственных сотрудников. Примечательно, что 33% респондентов на вопрос "были ли взломаны ваши Web-серверы и системы электронной коммерции за последние 12 месяцев?" ответили "не знаю".

В аналогичном отчете, опубликованном в апреле 2002 года, цифры изменились, но тенденция осталась прежней: 90% респондентов (преимущественно из крупных компаний и правительственных структур) сообщили, что за последние 12 месяцев в их организациях имели место нарушения информационной безопасности; 80% констатировали финансовые потери от этих нарушений; 44% (223 респондента) смогли и/или захотели оценить потери количественно, общая сумма составила более 455 млн. долларов. Наибольший ущерб нанесли кражи и подлоги (более 170 и 115 млн. долларов соответственно).

Столь же тревожные результаты содержатся в обзоре InformationWeek, опубликованном 12 июля 1999 года. Лишь 22% респондентов заявили об отсутствии нарушений информационной безопасности. Наряду с распространением вирусов отмечается резкий рост числа внешних атак.

Увеличение числа атак - еще не самая большая неприятность. Хуже то, что постоянно обнаруживаются новые уязвимые места в программном обеспечении (выше мы указывали на ограниченность современной технологии программирования) и, как следствие, появляются новые виды атак.

Так, в информационном письме Национального центра защиты инфраструктуры США (National Infrastructure Protection Center, NIPC) от 21 июля 1999 года сообщается, что за период с 3 по 16 июля 1999 года выявлено девять проблем с ПО, риск использования которых оценивается как средний или высокий (общее число обнаруженных уязвимых мест равно 17). Среди "пострадавших" операционных платформ - почти все разновидности ОС Unix, Windows, MacOS, так что никто не может чувствовать себя спокойно, поскольку новые ошибки тут же начинают активно использоваться злоумышленниками.

В таких условиях системы информационной безопасности должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным. Иногда нападение длится доли секунды; порой прощупывание уязвимых мест ведется медленно и растягивается на часы, так что подозрительная активность практически незаметна. Целью злоумышленников может быть нарушение всех составляющих ИБ - доступности, целостности или конфиденциальности

Лекция 2: Распространение объектно-ориентированного подхода на информационную безопасность 1

В этой лекции закладываются методические основы курса. Кратко формулируются необходимые понятия объектно-ориентированного подхода, в соответствии с ним выделяются уровни мер в области ИБ с небольшим числом сущностей на каждом из них.

О необходимости объектно-ориентированного подхода к информационной безопасности

Попытки создания больших систем еще в 60-х годах вскрыли многочисленные проблемы программирования, главной из которых является сложность создаваемых и сопровождаемых систем . Результатами исследований в области технологии программирования стали сначала структурированное программирование , затем объектно-ориентированный подход.

Объектно-ориентированный подход является основой современной технологии программирования, испытанным методом борьбы со сложностью систем. Представляется естественным и, более того, необходимым, стремление распространить этот подход и на системы информационной безопасности, для которых, как и для программирования в целом, имеет место упомянутая проблема сложности.

Сложность эта имеет двоякую природу. Во-первых, сложны не только аппаратно-программные системы, которые необходимо защищать, но и сами средства безопасности. Во-вторых, быстро нарастает сложность семейства нормативных документов, таких, например, как профили защиты на основе "Общих критериев", речь о которых впереди. Эта сложность менее очевидна, но ею также нельзя пренебрегать; необходимо изначально строить семейства документов по объектному принципу.

Любой разумный метод борьбы со сложностью опирается на принцип "devide et impera" - "разделяй и властвуй". В данном контексте этот принцип означает, что сложная система (информационной безопасности) на верхнем уровне должна состоять из небольшого числа относительно независимых компонентов. Относительная независимость здесь и далее понимается как минимизация числа связей между компонентами. Затем декомпозиции подвергаются выделенные на первом этапе компоненты, и так далее до заданного уровня детализации. В результате система оказывается представленной в виде иерархии с несколькими уровнями абстракции.

Важнейший вопрос, возникающий при реализации принципа "разделяй и властвуй", - как, собственно говоря, разделять. Упоминавшийся выше структурный подход опирается на алгоритмическую декомпозицию , когда выделяются функциональные элементы системы. Основная проблема структурного подхода состоит в том, что он неприменим на ранних этапах анализа и моделирования предметной области, когда до алгоритмов и функций дело еще не дошло.