- •Информационная безопасность (реферат – Основные механизмы внедрения компьютерных вирусов в систему)
- •Понятие информационной безопасности (иб)
- •Вредоносное программное обеспечение
- •Обзор российского законодательства в области иб
- •Идентификация/аутенцикация
- •Сервис безопасности управление доступом.
- •С Юзер 1 Юзер 2 ервис безопасности ролевое управление доступом
- •Протоколирование и аудит в целях безопасности
Вредоносное программное обеспечение
Выделают основные грани вредоносных ПО
Вредоносная функция
Способ распространения
внешнее представление
Вирусы – вредоносный код обладающий способностью к распространению, возможно с изменениями системы путем внедрения в другие программы
Черви – код, способный без внедрения в другие программы, вызывает распространение своих копий по информационной системе и их выполнения
Черви распространяются по сети, а вирусы локально в пределах узла сети.
Вредоносный код который выглядит как функционально полезная программа называется троянским.
Основные угрозы целостности
С целью нарушения статической целостности, как правило штатный сотрудник может ввести неверные данные или изменить данные.
С целью нарушения динамической целостности сотрудники могут осуществить переупорядочение, кражу, дублирование данных.
Основные угрозы конфиденциальности
Конфиденциальную информацию можно разделить на
служебная – содержит данные не относящиеся к определенной области (пароли и логины). Информация играет чисто техническую роль, но ей раскрытие ведет к раскрытию предметной информации и несанкционированному доступу к данным
предметная – информация о деятельности организации
Обзор российского законодательства в области иб
Группы мер
Направляющие и координирующие, способствующие повышению образованности общества в области информационной безопасности и помогающий разрабатывать локальные документы по внутреннему распорядку.
Меры, направленные на создание и поддержание в обществе негативного отношения к нарушителям и нарушениям информационной безопасности.
Правовые акты общего назначения затрагивающих вопросы информационной безопасности
Основным законом РФ является конституция 1993г. В соответствии со статьей 24 – органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами непосредственно затрагивающие права и свободы личности если иное не предусмотрено законом.
Статья 41 обеспечивает и гарантирует право на знание фактов и обстоятельств создающих угрозу для жизни и здоровья людей.
Статья 42 гарантирует получение права на знание достоверной информации о состоянии окружающей среды.
Статья 23 гарантирует право на личную и семейную тайну, тайну почтовых и иных сообщений
Статья 29 гарантирует право свободно искать, получать, передавать и распространять любым законным способом.
Закон *Об Информации, информатизации и защите информации* - принят в 1995 году №24 ФЗ. Основной закон в российском законодательстве посвященный информационной безопасности. В этом законе зафиксированы основные понятия и определения
Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы представления
Документированная информация – зафиксированная на материальном носителе информация с реквизитами, позволяющие её идентифицировать.
Информационные процессы – процессы сбора, обработки, накопления, хранения, поиска и распространение информации
Информационная система – организационно-упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы
Информационные процессы – отдельные документы, документы в информационных системах,
Информация о гражданах – (персональные данные) сведения о фактах и событиях, обстоятельствах жизни гражданина, позволяющие идентифицировать его личность
Конфиденциальная информация – документированная информация, доступ к которой ограничивается соответствием с законодательством российской федерации
Пользователь – субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации
Цели защиты информации в законодательстве
Предотвращение утечки, хищения, утраты, искажения, подделки информации
Предотвращение угроз безопасности личности, общества, государства
Предотвращение несанкционированного доступа и действия по уничтожению, модификации, искажению, копированию, блокированию информации
Предотвращение других форм незаконного вмешательства в информационные системы, обеспечение правового режима документированной информации как объектов собственности
Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных имеющихся в информационной системе
Сохранение государственной тайны, конфиденциальности информации в соответствии с законодательством
Обеспечение прав субъектов в информационном производстве и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения
Оценочные стандарты и технологические спецификации. *Оранжевая книга*
Существуют оценочные стандарты и технические спецификации. Оценочные стандарты направлены на классификацию информационных систем и требования по безопасности к средствам защиты.
Оценочные стандарты выделяют важнейшие аспекты в ИБ, играя роль архитектурных спецификаций. Технические спецификации определяет как строить информационную систему.
Исторически первым оценочным стандартом стал стандарт разработанный министерством обороны США *Критерии оценки доверенных компьютерных систем*. Выпущен в 1983 году иначе называют *Оранжевая книга*. В книге понятие безопасной системы поясняется как: система, которая управляет с помощью соответствующих средств доступом к информации так, что только должным образом авторизованные лица или процессы действующие от его имени могут создавать, читать, записывать и удалять информацию.
В *Оранжевой книге* доверенная система определяется как система использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разного уровня секретности группой пользователей без нарушения прав доступа.
Степень доверия оцениваются по критериям:
Политика безопасности – свод законов, правил и норм поведения, которая обрабатывает, защищает и распространяет информацию. Это активные аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействий
Уровень гарантированности – мера доверия, которая может быть оказана архитектуре и реализации информационной системы. Пассивный аспект защиты, показывающий насколько корректны механизмы отличающие за реализацию политики безопасности
Важным средством подотчетности в обеспечении безопасности являются серверы безопасности. Доверенная система должна фиксировать все события происходящие в системе (протоколирование). Ведение протоколов должно выполняться аудитом. Основной функцией доверенной вычислительной системы, является выполнение монитора обращений т.е контролирование допустимости выполнения субъектами операций над объектами
Свойства монитора обращения
Изолированность – монитор обращений нельзя обойти. Их невозможно извне отследить работу монитора
Полнота – монитор должен вызываться при каждом обращении
Верифицируемость – монитор должен быть компактным, чтобы его можно было протестировать и проанализировать будучи уверенным в полноте результата
Реализация монитора обращений называется ядром безопасности.
Ядро безопасности – основа на которой строятся все механизмы защиты.
Ядро безопасности должно гарантировать свою неизменность
Периметр безопасности – доверенная степень ядра
Аспекты политики безопасности
Произвольное управление доступом. Этот метод предполагает разграничение доступа к объектам основанное на учете личности субъекта или группы в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (владелец информации) может по своему усмотрению предоставлять другим субъектам и отбирать у них права доступа к объекту
для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает благонадежность. Метка объекта описывает степень конфиденциальности содержащейся в ней информации. Принудительное управление доступом основано на сопоставлении меток субъекта и объекта.
Безопасность повторного использования. Предохраняет от случайного или преднамеренного извлечения конфиденциальной информации из *мусора*
Стандарт *оранжевая книга* открыл путь к ранжированию опасностей информационных систем по степени доверия
Выделяется 4 уровня доверия и 6 классов
Уровень D
Уровень С – произвольное управление доступом
С1 – доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам.
A) Пользователи должны идентифицировать себя прежде чем выполнять какие-то действия.
Б) Доверенная вычислительная база должна поддерживать область для собственного выполнения защищенную от внешних воздействий и от попыток слежения за ходом работы
В) Должны быть достаточные аппаратные и программные средства, позволяющие периодически проверять корректность выполнения (функционирования) аппаратных и микропрограммных компонентам доверенной вычислительной базы
Г) Защитные механизмы должны быть протестированы на предмет соответствия их поведения системной документации. Тестирование должно подтвердить, что у неавторизованного пользователя нет очевидных способов обойти или разрушить средства защиты доверенной вычислительной базы.
Д) Должны быть описаны подход к безопасности используемой производителем и применение этого подхода пользователем
С2 – дополнение к С1
А) Права доступа должны гранулироваться с точностью до пользователя. Все объекты должны подвергаться контролю доступа
Б) При выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо сделать так, чтобы следы использования были ликвидированы
В) Доверенная вычислительная база должна создавать, поддерживать, защищать журнал регистрационной информации относящейся к доступу к объектам
Г) Тестирование должно подтвердить отсутствие очевидных недостатков механизмов изоляции и защиты регистрационной информации
Уровень B – принудительное управление доступом
B1 – дополнение к С2
А) доверенная вычислительная база (ДВБ) должна управлять метками безопасности ассоциируемыми с каждым субъектом и хранимым объектом.
Б) Доверенная вычислительная база должна обеспечивать реализацию принудительного управления доступа всех субъектов ко всем хранимым объектам
В) ДВБ должна обеспечить взаимную изоляцию процессов путем разделения адресных пространств
Г) Группа специалистов, понимающих реализацию ДВБ должна подвергнуть описание структуры, архитектуры, исходные и объектные коды тщательному анализу и тестированию.
Д) Должна существовать неформальная или формальная модель политики безопасности
B2 – дополнение к В1
А) Метками безопасности должны снабжаться все ресурсы системы доступные субъектам
Б) должна быть предусмотрена возможность регистрации событий связанных с организацией передачи информации по тайным каналам
В) ДВБ должна быть структурирована на независимые модули
Г) Системный архитектор должен проанализировать способы обмена информацией по тайным каналам и памятью, а также должен оценить пропускную способность каждого канала
Д) Модель политики безопасности должна быть формальной.
Е) Спецификация должна быть четко описана и представлена в определенном интерфейсе
Ж) В процессе разработки и сопровождения ДВБ должна использоваться система конфигурационного управления обеспечивающее контроль изменений обязательной спецификации верхнего уровня и иных архитектурных данных
З) Тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации
B3 – дополнение к В2
А) Для произвольного управления доступом обязательно должны использоваться списки управления доступом с указанием разрешенных режимов
Б) Должна быть предусмотрена возможность регистрации, появления или накопления событий несущих угрозу политике безопасности. Администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система в случае продолжения попыток должна пресекать их наименее болезненным способом
В) ДВБ должна быть спроектирована и структурирована таким способом, чтобы использовать полный и концептуально простой защитный механизм
Г) Процедура анализа должна быть выполнена для временных тайных каналов
Д) Должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности можно только после выполнения явных протоколируемых действий
Е) Должны существовать процедуры и механизмы позволяющие произвести восстановление после сбоя или иного нарушения без ослабления защиты
Ж) Должна быть продемонстрирована устойчивость ДВБ к попыткам проникновения
Уровень A – верифицируемая безопасность
А) Тестирование должно продемонстрировать, что реализация ДВБ соответствует формальным спецификациям верхнего уровня
Б) Механизм конфигурационного управления должен распространяться на весь жизненный цикл и все компоненты системы имеющие отношение к обеспечению безопасности.
В) Должно быть описано соответствие между формальными спецификациями верхнего уровня и исходными текстами
Чтобы в результате процедуры сертификации систему можно было бы отнести к некоторому классу её политика безопасности и уровень гарантированности должны удовлетворять заданным требованиям