- •Основы и методы защиты информации
- •Общие понятия информационной безопасности
- •Основные понятия информационной безопасности
- •Анализ угроз информационной безопасности
- •Юридические основы информационной безопасности
- •Критерии защищенности средств компьютерных систем
- •Политика безопасности в компьютерных системах
- •Меры по поддержанию работоспособности компьютерных систем
- •Способы и средства нарушения конфиденциальности информации
- •Основные методы реализации угроз информационной безопасности
- •Типичные приёмы атак на локальные и удалённые компьютерные системы
- •Основы противодействия нарушению конфиденциальности информации
- •Методы разграничения доступа
- •Идентификация и аутентификация и пользователей
- •Методы ограничения доступа к информации
- •Методы мониторинга несанкционированных действий
- •Криптографические методы защиты данных Основные принципы криптографии
- •Шифрование заменой (подстановка)
- •Шифрование методом перестановки
- •Методы шифрования, использующие ключи
- •Защита информации от компьютерных вирусов
- •Определение и классификация вирусов
- •Способы защиты от вирусов
- •Классификация антивирусных средств
- •Популярные антивирусные средства
-
Анализ угроз информационной безопасности
Для успешного противодействия угрозам и атакам КС, а также выбора способов и средств защиты, политики безопасности и анализа рисков от возможного НСД, необходимо классифицировать существующие угрозы информационной безопасности. Каждый признак классификации должен отражать одно из обобщённых требований к системе защиты, а сами угрозы позволяют детализировать эти требования. Современные КС и сети являются сложными системами, подверженными, кроме того, влиянию чрезвычайно большого числа факторов и поэтому формализовать задачу описания полного множества угроз не представляется возможным. Как следствие, для защищённой КС определяется не полный перечень угроз, а перечень классов угроз, которым должен противодействовать комплекс средств защиты.
Классификация угроз может быть проведена по ряду базовых признаков.
1. По природе возникновения: объективные природные явления, не зависящих от человека; субъективные действия, вызванные деятельностью человека.
2. По степени преднамеренности: ошибки конечного пользователя или персонала; преднамеренного действия, для получения НСД к информации.
3. По степени зависимости от активности КС: проявляющиеся независимо от активности КС (вскрытие шифров, хищение носителей информации); проявляющиеся в процессе обработки данных (внедрение вирусов, сбор "мусора" в памяти, сохранение и анализ работы клавиатуры и устройств отображения).
4. По степени воздействия на КС: пассивные угрозы (сбор данных путём выведывания или подсматривания за работой пользователей); активные угрозы (внедрение программных или аппаратных закладок и вирусов для модификации информации или дезорганизации работы КС).
5. По способу доступа к ресурсам КС: получение паролей и прав доступа, используя халатность владельцев и персонала, несанкционированное использование терминалов пользователей, физического сетевого адреса, аппаратного блока кодирования и др.; обход средств защиты, путём загрузки посторонней операционной защиты со сменного носителя; использование недокументированных возможностей операционной системы.
6. По текущему месту расположения информации в КС: внешние запоминающие устройства; оперативная память; сети связи; монитор или иное отображающее устройство (возможность скрытой съёмки работы принтеров, графопостроителей, световых панелей и т.д.).
Необходимо отметить, что абсолютно надёжных систем защиты не существует. Кроме того, любая система защиты увеличивает время доступа к информации, поэтому построение защищённых КС не ставит целью надёжно защититься от всех классов угроз. Уровень системы защиты – это компромисс между понесёнными убытками от потери конфиденциальности информации, с одной стороны, и убытками от усложнения, удорожания КС и увеличения времени доступа к ресурсам от введения систем защиты, с другой стороны.
-
Юридические основы информационной безопасности
Широкое распространение КС и сетей, внедрение их в государственных учреждениях и важность задачи сохранения конфиденциальности государственной и частной информации заставила многие страны принять соответствующие законы, регламентирующие защиту КС и сетей.
Наиболее общим законом Российской Федерации является Конституция. Главы 23, 29, 41 и 42 в той или иной мере затрагивают вопросы информационной безопасности. Статья 23 Конституции, например, гарантирует право на личную и семейную тайну, на тайну переписки, телефонных разговоров, почтовых, телеграфных и иных сообщений; статья 29 – право свободно искать, получать передавать, производить и распространять информацию любым законным способом. Главы 41 и 42 гарантируют право на знание фактов и обстоятельств, создающих угрозу жизни и здоровью людей, право на знание достоверной информации о состоянии окружающей среды.
Действующий Уголовный кодекс Российской Федерации предусматривает наказания за преступления, связанные с нарушением конфиденциальности информации. Глава 28 – «Преступления в сфере компьютерной информации» - содержит статьи 272-274, посвящённые преступлениям, связанным, соответственно, с неправомерным доступом к компьютерной информации, созданием, использованием и распространением вредоносных программ, нарушением правил эксплуатации ЭВМ, систем и сетей на их основе.
Интересы государства в плане обеспечения конфиденциальности информации наиболее полно представлены в Законе «О государственной тайне». В нём гостайна определена как защищаемые государством сведения в области военной внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Здесь же даётся описание средств защиты информации, к которым, согласно данному Закону, относятся технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну. Наряду с общими законами, во многих странах приняты законы о защите информации в компьютерных системах и сетях. Описание основных положений этих законов принятых в США и РФ приведены в следующем параграфе.