- •Актуальность проблемы защиты информации в компьютерных системах.
- •Основные понятия, термины и определения в области компьютерной безопасности.
- •Модель и принципы информационного взаимодействия кибернетических систем.
- •Системная классификация угроз безопасности информации.
- •Две модели информационного противодействия систем в конфликтной среде
- •Системная классификация направлений реализации угроз безопасности информации.
- •Модель нарушителя безопасности информации в компьютерной системе.
- •Системная классификация несанкционированных информационных каналов.
- •Особенности реализации несанкционированных информационных каналов в компьютерных системах.
- •1. По природе возникновения
- •2. По степени преднамеренности проявления
- •3. По непосредственному источнику
- •Понятие и сущность политики информационной безопасности.
- •10.Механизмы реализации политики безопасности.
Понятие и сущность политики информационной безопасности.
Политика безопасности информации - совокупность принципов, правил, и рекомендаций, определяющих порядок организации ЗИ, циркулирующей в конкретной АС, зафиксированная документально
Информационная политика включает политику формирования и использования информационных ресурсов, политику информационной безопасности и техническую политику.
Политика формирования и использования информационных ресурсов определяет принципы, порядок и правила санкционированного включения и изъятия информационных ресурсов из единого информационного пространства, а также осуществления доступа к ним субъектов информационных отношений. Эта политика в большей мере находится в сфере правового и административного регулирования.
Политика информационной безопасности создается с целью организационно-технической поддержки политики формирования и использования информационных ресурсов при осуществлении доступа к информации. Политика информационной безопасности системы должна учитывать политики безопасности субъектов информационных отношений, требования нормативно-руководящих документов по защите информации и возможные каналы реализации угроз безопасности информации.
Техническая политика вырабатывается с целью обеспечения технологической поддержки политики формирования и использования информационных ресурсов с учетом ограничений, накладываемых политикой информационной безопасности и технологическими особенностями интегрируемых информационных и коммуникационных ресурсов.
ПОЛИТИКА БЕЗОПАСНОСТИ ВЕРХНИХ УРОВНЕЙ - ПРАВОВОГО И АДМИНИСТРАТИВНОГО
К политике безопасности верхнего уровня можно отнести решения, затрагивающие организацию в целом. Они носят общий характер и, как правило, исходят от командования организации. Список подобных решений включает в себя следующие элементы:
формирование или пересмотр комплексной программы обеспечения БИ, определение ответственных за продвижение программы;
формулировка целей, которые преследует организация в области БИ, определение общих направлений в достижении этих целей;
обеспечение базы для соблюдения законов и правил;
формулировка решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом
Политика безопасности верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины:
организация должна соблюдать существующие законы;
следует контролировать действия лиц, ответственных за выработку программы безопасности;
необходимо обеспечить определенную степень послушания персонала, а для этого нужно выработать систему поощрений и наказаний
На верхний уровень политики безопасности выносится минимум вопросов. Подобное вынесение целесообразно, если оно сулит значительную экономию средств или когда иначе поступить просто невозможно. Условно верхний уровень подразделяется на 2 подуровня: правовой и административный .
На верхний уровень политики безопасности выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального личного состава для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим секретности.
Политика безопасности правового уровня
Правовое обеспечение БИ в РФ регулируется следующими законами:
Конституция Российской Федерации от 12.12.93 г;
Закон РФ «Об информации, информационных технологиях и защите информации» от 26.07.06;
Закон РФ «О государственной тайне» от 21.07.93.
Концепция информационной безопасности РФ от 9.9.2000 г.
Политика безопасности административного уровня
Административный уровень предусматривает поддержание правовой базы БИ и разработку (введение в действие) следующих документов:
Положение о сохранности информации ограниченного распространения.
Перечень сведений, составляющих служебную, коммерческую, банковскую или другую тайну.
Приказы и распоряжения по установлению режима БИ:
- о создании комиссии по формированию Перечня сведений, составляющих служебную, коммерческую, банковскую или другую тайну;
- о назначении постоянно действующей комиссии по категорированию и аттестации объектов информатизации;
- о вводе в эксплуатацию объектов информатизации;
- о назначении выделенных помещений;
- о допуске сотрудников к работе с информацией ограниченного распространения;
- о назначении лиц ответственных за обеспечение сохранности информации ограниченного распространения в АС.
Инструкции и функциональные обязанности личному составу:
- по организации охранно-пропускного режима;
- по организации делопроизводства;
- по организации работы с информацией на магнитных носителях;
- о защите информации ограниченного распространения в АС;
- по организации модификаций аппаратно-программных конфигураций ЭВМ.
Административные мероприятия по ЗИ в процессе создания системы включают:
разработку должностных инструкций по обеспечению режима секретности в соответствии с действующими в стране инструкциями и положениями;
при необходимости выделение
отдельных помещений с охранной сигнализацией и пропускной системой;
разграничение задач по исполнителям и выпуску документации;
присвоение грифа секретности материалам, документации, аппаратуре и хранение их под охраной в отдельных помещениях с учётом и контролем доступа исполнителей;
постоянный контроль за соблюдением исполнителями режима и соответствующих инструкций;
установление и распределение ответственных лиц за утечку информации.
ПОЛИТИКА БЕЗОПАСНОСТИ СРЕДНЕГО УРОВНЯ – ПРОЦЕДУРНОГО
К среднему уровню относятся вопросы, касающиеся отдельных аспектов БИ, но важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов - отношение к передовым, но еще недостаточно проверенным технологиям, как сочетание свободы получения информации с защитой от внешних угроз, применение пользователями неофициального программного обеспечения и т.д.
Политика среднего уровня должна для каждого аспекта освещать следующие темы:
а) описание аспекта.
б) область применения.
в) позиция организации по данному аспекту.
г) роли и обязанности.
д) законопослушность.
е) точки контакта.
ФУНКЦИОНИРОВАНИЕ АС
К основным особенностям функционирования АС, относятся:
большая территориальная распределённость системы;
объединение в единую систему большого количества разнообразных технических средств обработки и передачи информации;
большое разнообразие решаемых задач и типов обрабатываемых сведений (данных), сложные режимы автоматизированной обработки информации с широким совмещением выполнения информационных запросов различных пользователей;
объединение в единых БД информации различного назначения, принадлежности и грифов секретности;
непосредственный доступ к вычислительным и информационным ресурсам большого числа различных категорий пользователей (источников и потребителей информации) и обслуживающего личного состава;
наличие большого числа источников и потребителей информации;
непрерывность функционирования АС;
высокая интенсивность информационных потоков в АС;
наличие в АС ярко выраженных функциональных подсистем с различными требованиями по уровням защищённости (физически объединенных в единую сеть);
разнообразие категорий пользователей и обслуживающего личного состава системы.
Общая структурная и функциональная организация АС определяется организационно-штатной структурой организации и задачами, решаемыми его структурными подразделениями с применением средств автоматизации.
Объекты информатизации АС включают:
технологическое оборудование (СВТ, сетевое и кабельное оборудование);
информационные ресурсы, содержащие сведения ограниченного доступа и представленные в виде документов или записей в носителях на магнитной, оптической и другой основе, информационных физических полях, массивах и базах данных;
программные средства;
АС связи и передачи данных (средства телекоммуникации);
каналы связи по которым передается информация;
служебные помещения, в которых циркулирует информация ограниченного распространения;
технические средства, используемые для обработки информации;
технические средства и системы, не обрабатывающие информацию (вспомогательные технические средства и системы - ВТСС), размещенные в помещениях, где обрабатывается информация, содержащая сведения ограниченного распространения.
КАТЕГОРИИ ЗАЩИЩАЕМЫХ РЕСУРСОВ
В каждой АС необходимо отрабатывать общий Перечень защищаемых ресурсов и Перечни защищаемых ресурсов подразделений или отдельных объектов ВТ, входящих в состав АС в качестве относительно независимых функциональных компонентов.
Перечни разрабатываются в процессе анализа решаемых в интересах подразделений функциональных задач, состава автоматизированных рабочих мест, организуемых БД, возможностей и режимов использования программных средств, а также средств, обеспечивающих обмен информацией между объектами АС. В Перечнях защищаемых ресурсов указываются сведения о допуске к этим ресурсам соответствующих подразделений или должностных лиц организации. Составление Перечней защищаемых ресурсов осуществляется совместно представителями подразделений, органов автоматизации, связи и защиты информации АС.
УСЛОВНО ЗАЩИЩАЕМЫЕ РЕСУРСЫ МОЖНО РАЗДЕЛИТЬ НА ЧЕТЫРЕ КАТЕГОРИИ:
а) помещения.
П1 – помещения, в которых находятся серверы, магнитные накопители с секретной
информации, секретные документы;
П2 – помещения, в которых обрабатывается секретная информация;
П3 – помещения, в которых обрабатывается несекретная информация;
П4 – помещения, смежные с помещениями П1;
П5 – помещения, предназначенные для приёма посетителей и ведения несекретных
совещаний.
б) технические средства.
ТС1 – технические средства, хранящие и обрабатывающие секретную информацию;
ТС2 – технические средства для ввода-вывода секретной информации;
ТС3 – технические средства, хранящие и обрабатывающие несекретную информацию;
ТС4 – технические средства удалённого доступа;
ТС5 – технические средства передачи информации.
в) программные средства.
ПС1 – ПО серверов централизованной обработки секретной и несекретной информации;
ПС2 – ПО БИ и управления сетью;
ПС3 – ПО, предназначенное для ввода-вывода секретной информации на АРМ;
ПС4 – ПО, предназначенное для ввода-вывода несекретной информации на АРМ;
ПС5 – ПО, предназначенное для передачи несекретной информации с АРМ.
г) информационные массивы.
N1 – наиболее важная информация, хранящаяся на серверах;
N2 – важная информация, хранящаяся на АРМ;
N3 – важная информация, которую разрешено передавать по каналам связи;
N4 – информация для служебного пользования;
N5 – информация, к которой не предъявляются по защите.
ПОЛИТИКА БЕЗОПАСНОСТИ НИЖНЕГО УРОВНЯ - ПРОГРАММНО-АППАРАТНОГО
Политика безопасности нижнего уровня относится к конкретным элементам АС. Она включает себя два аспекта - цели и правила их достижения, поэтому её порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней политики безопасности, рассматриваемая политика конкретнее, так как рассматриваются настройки системы ЗИ. Приводятся вопросы, на которые следует дать ответ при следовании политике безопасности нижнего уровня:
кто имеет право доступа к объектам, поддерживаемым сервисом?
при каких условиях можно читать и модифицировать данные?
как организован удаленный доступ к сервису
Ключевыми механизмами политики безопасности нижнего уровня являются:
а) идентификация и аутентификация.
Идентификация – присвоение какому-либо объекту или субъекту уникального образа, имени или числа.
Аутентификация – установление подлинности, заключающаяся в проверке, является ли проверяемый объект или субъект тем, за кого себя выдаёт.
Объектами идентификации и аутентификации в АС являются:
человек (оператор, пользователь, должностное лицо);
техническое средство (дисплей, ЭВМ);
документы (распечатки, листинги);
носители информации (магнитные ленты, диски).
б) управление доступом.
Управление доступом может быть достигнуто при использовании следующих моделей:
дискреционное управление доступом;
мандатное управление доступом.
Способы, обеспечивающие управление доступом, предлагаются ниже:
использование прав доступа (определение прав владельца, группы пользователей);
использование списков управления доступом, профилей пользователей и списков возможностей;
использование механизмов мандатного управления доступом.
в) конфиденциальность данных и сообщений.
г) целостность данных и сообщений.
д) контроль участников взаимодействия.
г) регистрация и наблюдение.
Задачами регистрации и наблюдения являются:
обнаружение возникновения угрозы;
обеспечение администраторов статистикой.
Способы, обеспечивающие регистрацию и наблюдение, предлагаются ниже:
регистрация информации о сеансах пользователей;
регистрация изменений прав пользователей для управления доступом;
регистрация использования секретных файлов;
регистрация модификаций, сделанных в ПО;
использование средств аудита.