Учебники 80111
.pdfд) понятие виртуальных сетей (VLAN), цели и технологию их построения;
е) понятие частной виртуальной сети и способы создания криптографических туннелей.
Практическое занятие проводится в форме семинара. При обсуждении первого вопроса семинара основное
внимание уделяется, во-первых, основным понятиям в области защиты информации, таким как «защита информации» в соответствии с федеральным законом №149-ФЗ, «техническая защита информации», «криптографическая защита информации», «мера защиты информации», «средство защиты информации» в соответствии с ГОСТ Р 50922 «Защита информации. Основные термины и определения», во-вторых, системе классификационных признаков, применяемых при классификации мер и средств защиты. В ходе занятия студенты разбиваются на команды по два человека и в течение пятнадцати минут готовят схему классификации мер и средств защиты по указанному команде классификационному признаку, в том числе по таким признакам, как: степень привязки к аппаратной платформе, реализуемые функции безопасности, место (уровень установки в сети), автономность и др. с указанием характерных мер и средств защиты, соответствующих значению каждого признака.
При обсуждении второго вопроса семинара студенты, которые целенаправленно готовились по соответствующему аспекту рассмотрения темы, должны доложить перед аудиторией характеристику изученных ими мер и средств защиты.
В части мер и средств защиты, реализуемых операционной системой, должна быть дана краткая характеристика таких мер и средств, как:
идентификация и аутентификация пользователей, файлов, процессов, команд;
9
регистрация, протоколирование и аудит;
администрирование пользователей
разграничение доступа к каталогам и файлам на уровне реестра операционной системы
разграничение и контроль доступа к реестру;
контроль целостности операционной среды;
утилиты резервирования, восстановления и удаления остаточной информации и др.
Вчасти межсетевых экранов должна быть дана классификация межсетевых экранов, раскрыты функции фильтрации и посредничества, дано понятие трансляции сетевых адресов, раскрыты критерии фильтрации пакетов, показаны способы применения межсетевых экранов (простая схема экранирования, экранирование при наличии демилитаризованной зоны, раздельное экранирование закрытой и открытой подсети на основе одного и двух межсетевых экранов).
Вчасти систем обнаружения сетевых атак должна быть дана краткая характеристика методов обнаружения атак
сразделением их на сигнатурные методы, методы выявления аномалий и смешанные методы. Должны быть отмечены достоинства и недостатки каждого метода, дана краткая характеристика требований, предъявляемых к системам обнаружения вторжений в соответствии с нормативно-правовым актом «Требования к системам обнаружения вторжений», утвержденным Приказом ФСТЭК России от 6 декабря 2011 года № 638, указаны классы защиты, введенные для дифференциации требований к этим системам.
Вчасти антивирусной защиты должны быть рассмотрены методы обнаружения вредоносных программ, в том числе сигнатурный метод, основанный на обнаружении известных вредоносных программ по их сигнатурам, и эвристические методы, направленные на обнаружение неизвестных
10
вредоносных программ (сигнатуры которых не известны). Должны быть отмечены достоинства и недостатки каждого метода, дана краткая характеристика требований предъявляемых к системам антивирусной защиты в соответствии с нор- мативно-правовым актом «Требования в области технического регулирования к продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (требования к средствам антивирусной защиты)», утвержденным Приказом ФСТЭК России от 20 марта 2012 г. №28., указаны классы защиты, введенные для дифференциации требований к этим системам.
В части виртуальных сетей (VLAN) должны быть кратко рассмотрены цели создания (обеспечения изолирования сетей) и технологию их построения:
на базе портов коммутатора;
с опознаванием принадлежности устройства к VLAN по его MAC-адресу;
с опознаванием по протоколу;
с опознаванием на основе аутентификации пользователей устройств.
При характеристике VLAN должны быть раскрыты достоинства, недостатки и перспективы их развития.
В части характеристик частных виртуальных сетей должно быть дано понятие частной виртуальной сети (VPN) и раскрыты способы создания криптографических туннелей, приведена классификация VPN и возможные схемы их построения. Кроме того, должна быть дана краткая характеристика протоколов, используемых для создания VPN, таких как IPSec, SSL/TSL и SOCKS.
11
Контрольные вопросы
1.Какие классификационные признаки положены в основу классификации мер и средств защиты?
2.Какие меры и средства защиты могут быть реализованы операционной системой?
3.Чем отличаются понятия аутентификация, идентификация и авторизация?
4.Какие группы функций межсетевого экранирования Вы знаете?
5.Какие классы межсетевых экранов должны применяться в ИТКС класса 1В, 1Г и 1В?
6.Какие группы методов обнаружения сетевых атак (вторжений) сегодня применяются на практике?
7.Какие классы систем обн7аружения вторжений Вы
знаете?
8.Что такое вредоносная программы, каковы признаки, по которым определяется, что программа относится к вредоносной?
9.Зачем нужны виртуальные сети (VLAN) и какие способы построения виртуальных сетей Вы знаете?
10.Что такое частная виртуальная сеть, и какие протоколы применяются при ее организации?
12
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ № 4 Формирование систем защиты информации для типовых
информационно-телекоммуникационных систем
Цель практического занятия: получить навык фор-
мирования систем защиты информации (СЗИ) с использованием известных мер и сертифицированных средств защиты
Задачи практического занятия:
1.Изучить состав и структуру систем защиты информации в ИТКС.
2.Приобрести навык построения СЗИ применительно к различным типам ИТКС.
3.Уяснить особенности формирования СЗИ в государственных информационных системах и системах персональных данных.
Для успешного проведения занятия за две недели до его проведения студентам даются следующие задания:
1.Изучить всем студентам группы обобщенную структуру систем защиты информации в ИТКС, назначение каждой из подсистем, возможные стратегии защиты, реализуемые в системах защиты, а также централизованный, децентрализованный и смешанный принципы их построения.
2.Уяснить порядок определения классов защищенности ИТКС и средств вычислительной техники (СВТ) в соответствии с действующими нормативными документами и порядок задания требований по защите информации применительно к СВТ, ИТКС.
3.Составить представление о мерах и средствах защиты информации, которые могут применяться в различных классах СВТ, систем персональных данных и государственных ИТКС в соответствии с действующими нормативными правовыми актами ФСТЭК России.
13
Кроме того, указывается состав документов, которые необходимо иметь на занятии.
Занятие проводится в два этапа. Первый этап посвящен обсуждению первого вопроса занятия и проводится в форме семинара. При этом рассматривается состав и структура систем защиты информации, назначение каждой подсистемы, названия документов, определяющих классы защищенности СВТ и ИТКС и требования к СВТ, к ИТКС, к государственным информационным системам, обрабатывающих информацию, не содержащую сведения, составляющие государственную тайну, и к информационным системам персональных данных. Обсуждается алгоритм задания требований в случаях, когда ИТКС одновременно является и государственной информационной системой, и информационной системой персональных данных, а также в случае, когда ИТКС не относится ни к государственной системе, ни к информационной системе персональных данных.
По второму и третьему вопросу занятие проводится в форме деловой игры. Для этого группа разбивается на команды по 2 – 3 человека и каждой команде назначается объект защиты из заранее подготовленного списка, в который могут входить:
принадлежащих к категории СВТ - офисный пакет Microsoft Office, графический редактор, браузер;
принадлежащие к категории офисных ИТКС, не относящихся к государственным системам, где обрабатывается информация, не являющаяся государственной тайной, и к системам персональных данных – компьютерная сеть кафедры СИБ, информационная система отделения банка, информационная система коммерческой организации;
принадлежащие к категории офисных ИТКС, относящихся к государственным системам, где обраба-
14
тывается информация, не являющаяся государственной тайной, или к системам персональных данных – локальная сеть администрации предприятия, локальная сеть отдела кадров института, локальная сеть поликлиники и др.
Каждая команда самостоятельно определяет состав объекта, наличие подключений к сетям общего пользования, состав системного и прикладного программного обеспечения с детальностью, достаточной для формирования требований по защите информации. При этом применительно к каждому объекту разрабатывается частная модель угроз, определяется класс защищенности в соответствии с требованиями нормативных документов, формируются сами требования и определяется состав мер и средств защиты, которые необходимо установить на объекте для выполнения сформированных требований.
По истечении установленного времени каждая группа докладывает перед аудиторией свои предложения по обоснованию состава, структуры и характеристик предлагаемой СЗИ на объекте. Остальные студенты критически анализируют высказываемые предложения, прежде всего, на предмет соответствия требованиям документов. В ходе обсуждения акцентируется внимание на особенностях организации защиты в государственных информационных системах, в которых обрабатывается информация, не содержащая сведений, составляющих государственную тайну, в информационных системах персональных данных. Преподаватель направляет ход обсуждения, отмечает неправильные суждения и указывает правильные подходы к решению возникших вопросов.
15
Контрольные воп росы
1.Что такое система защиты информации?
2.Каков порядок построения систем защиты информации в ИТКС?
3.Какие классы защищенности СВТ Вы знаете, и в соответствии с каким документом предъявляются сегодня требования к СВТ?
4.Какие классы защищенности автоматизированных систем Вы знаете, и в соответствии с каким документом предъявляются сегодня требования к любым автоматизированным системам?
5.Какие классы защищенности государственных информационных систем, обрабатывающих информацию, не содержащую сведения, составляющие государственную тайну, Вы знаете, и в соответствии с каким документом предъявляются сегодня требования к таки системам?
6.Какие классы защищенности информационных систем персональных данных Вы знаете и в соответствии с каким документом предъявляются сегодня требования к таки системам?
7.Какие подсистемы защиты информации могут иметь место в системе защиты информации ИТКС?
8.Как выбираются меры и средства защиты для государственных информационных систем, обрабатывающих информацию, не содержащую сведения, составляющие государственную тайну?
9.Как определять необходимые меры и средства защиты, если ИТКС одновременно является государственной системой и системой персональных данных?
10.Как обосновывать требования к муниципальным информационным системам, обрабатывающим информацию, не содержащую сведения, составляющие государственную тайну?
16
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1.Олифер, В. Г., Компьютерные сети. Принципы, технологии, протоколы [Текст]: учебник для вузов / В. Г. Олифер, Н. А. Олифер. – 3-е изд. – СПб.: Питер, 2006. – 958 с.
2.Кульгин, М. Технологии корпоративных сетей. Энциклопедия [Текст] / М. Кульгин. – СПб.: Питер, 2000. – 704 с.
3.Ли, Т. Wicrosoft Windiws 2000. TCP/ IP. Прото-
колы и службы [Текст]: пер. с англ. / Т. Ли, Дж. Элвис. – М.:
СП ЭКОМ, 2003. – 624 с.
4.ГОСТ 50922 - 2006. Защита информации. Основные термины и определения. – М.: Стандартинформ, 2006.
–20 с.
5.ГОСТ 51583-2014. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. – М.: Стандартинформ, 2014. – 27 с.
6.ГОСТ 34.601 – 1990. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания. – М.: Стандартинформ, 2009. – 6 с.
7.ГОСТ 34.602 – 1989. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы. – М.: Стандартинформ, 2009. – 12 с.
8.ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. – М.: Госстандарт России, 1999. – 36 с.
9.Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах пер-
17
сональных данных. Утверждены приказом ФСТЭК России от 18 февраля 2013 г. №21. [Электронный ресурс]. – Режим доступа: http://fstec.ru/component/attachments/download/561
10.Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Утверждены приказом ФСТЭК России от 11 февраля 2013 г. №17. [Электронный ресурс]. – Режим доступа: http://fstec.ru/component/ attachments/download/566
11.Медведовский, И. Д. Атака на Internet [Текст] / И. Д. Медведовский, В. Д. Семьянов, В. В. Платонов; под научной редакцией проф. П. Д. Зегжды. – СПб.: НПО «Мир и семья-95», 1997.
12.Требования к защите персональных данных при их обработке в информационных системах персональных данных. Постановление Правительства Россий Федерации от 1 ноября 2012 г. №1119. [Электронный ресурс]. – Режим доступа: http://www.rg.ru/ 2012/11/07/pers-dannye-dok.html
13.Вирусная Энциклопедия, Антивирус Касперского OFF-LINE [Электронный ресурс]. – Режим доступа: http://www.mediacenter.ru/shop/delo/vir_enc-avkas-1cd/.
14.Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. 2008. [Электронный ресурс]. – Режим доступа: http://fstec.ru/ component/attachments/download/289.
15.Руководящий документ. Гостехкомиссия России. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации – М.: Военное издательство, 1992. – 29 с.
16.Руководящий документ. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информа-
18