Лекция 1 Информационная безопасность. Сущность проблемы.
Предпосылки.
Сети растут, мощности растут, квалификация падает.
Утечки информации более 80% из-за человеческого фактора.
До сих пор не отработана стыковка стандартов безопасности.
Почти все системы безопасности строятся путем латания дыр.
Базовые принципы защиты
Обеспечение конфиденциальности, целостности и доступности информации.
Совокупность вопросов защиты информационной системы от внешних воздействий включает вопросы обеспечения безопасности функционирования и непосредственно вопросы защиты информации.
Под безопасностью функционирования понимается: физическая безопасность, пожарная безопасность, электрическая безопасность.
Под защитой информации понимается:
Предотвращение утечки информации и возможных последствий от несанкционированных воздействий на систему
Обнаружение воздействий, направленных на разрушение системы
Локализация мест воздействия нарушителя
Ликвидация последствий и восстановление функционирования системы
Таким образом, задача защиты системы должна решаться сочетанием априорных, то есть предотвращения воздействий и апостериорных, то есть ликвидация последствий воздействий.
Все современные системы защиты информации должны учитывать любые возможные целенаправленные действия, которые могут быть произведены со стороны.
Концептуальная модель безопасности информации
Базовые понятия защиты информации:
Угроза – потенциально возможное происшествие целенаправленное или случайное, которое может оказать нежелательное воздействие на систему или хранящуюся информацию.
Уязвимость – некоторая неудачная характеристика системы, которая делает возможной возникновения угрозы.
Атака – преднамеренное действие, которое заключается в поиске и использовании уязвимостей, которое используется для реализации атаки.
Традиционно выделяют 3 вида угроз
Угроза нарушения конфиденциальности заключается в том, что информация становится известна тем, кому ее знать не положена. Угроза раскрытия имеет место всякий раз, когда получен доступ к информации, хранящейся в вычислительной системе или передаваемой по каналам связи
Угроза целостности включает любое умышленное изменение (модификацию или удаление) данных, хранящихся в системе или передаваемых по каналу.
Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к ресурсам системы.
По характеру воздействия угрозы
Случайные. Сбои аппаратуры, угрозы среды.
Целенаправленные.
Противодействие случайным угрозам относятся к обеспечению надежности систем.
Взаимосвязь основных понятий, связанных с угрозами в соответствии со стандартом, российский ГОСТ, соответствующий международному стандарту ГОСТ Р ИСО/МЭК 15408
Угрозы реализуются чрез конкретные сценарии, которые связывают угрозы, источник уязвимости и определенный информационный ресурс. Чаще всего угрозе можно сопоставить вероятность некоторого риска для конкретного сценария.
Для оценки риска, связанным с конкретным сценарием необходимо: Определить вероятность сценария, вероятность угрозы, определить уровень уязвимости, через которую может быть реализована угроза.
Характеристики информации:
Статичность определяет может ли защищаемая информация изменяться в процессе нормального использования
Размер единицы защищаемой информации накладывает ограничение на средства защиты
Время жизни информации – параметр, определяющий как долго информация должна быть закрытой
Стоимость создания информации – численное выражение совокупности финансовых, человеческих и временных ресурсов, затраченных на создание информации
Стоимость потери конфиденциальности – выражает потенциальные убытки, которые понесет владелец информации если к ней получит доступ посторонний.
Стоимость скрытого нарушения целостности выражают убытки, которые могут возникнуть вследствие внесения изменений в информацию если факт модификации не был обнаружен.
Стоимость утраты – описывает ущерб от полного или частичного разрушения информации.
Задачи информационной безопасности.
Секретность сводится к тому чтобы сделать хранение и передачу данных в таком виде чтобы противник даже получив доступ к носителям или среде передачи не смог защитить сами защищенные данные
Целостность. Обеспечение целостности позволяет утверждать о том что файлы не были модифицированы либо однозначно определить факт их искажения.
Идентификация отождествляет пользователя с некоторым уникальным идентификатором, после чего все действия с этим идентификатором и все действия подписываются этим идентификатором.
Аутентификация предназначена для подтверждения пользователя и привязке его к определенным правам доступа.
Контроль доступа- совокупность методов и средств предназначенных для ограничения доступа к ресурсам. Все попытки доступа должны протоколироваться системой.
Электронная подпись (сигнатура) – позволяет получателю документа доказать что он был подписан именно отправителем. При этом подпись не может быть перенесена на другой документ, отправитель не может отказаться от авторства, любое изменение документа приводит к нарушению подписи.
Неотказуемость. Свойство системы информационного обмена, при котором существует математическое доказательство того что никто кроме автора не способен создать такое сообщение, причем это доказательство может быть подтверждено третьей независимой стороной.
Сертификация – процесс подтверждения некоторого факта, стороной которой пользователь доверяет. Организации занимающиеся выдачей сертификатов называются удостоверяющими центрами.
Валидация и верификация.
Валидация ( гост Р ИСО 2001) – подтверждение на основе представления объективных свидетельств того что требования, предназначенные для конкретного использования или применения выполнены, декларируемые свойства и характеристики подтверждаются, а поставленная цель достигнута.
Валидация – сверка выставленных требований с необходимыми для достижения необходимой цели.
Верификация ( гост Р ИСО 2001) – подтверждение на основе представления объективных свидетельств того что установленные требования были выполнены.
Верификация- подтверждение соответствия конечного продукта некоторым эталонным требованиям.