
- •33. Виды информации. Основные понятия защиты информации. (объекты, субъекты, каналы, утечки, пэмин, пссив, нсд, категории свт, уровни доступа, си, слп.)
- •35. Модель Белла-Лападулы как основа построения систем мандатного разграничения доступа. Основные положения модели. Основная теорема безопасности.
- •36. Понятие политики безопасности. Виды и источники угроз иб.
32. Понятие информационной безопасности и её место в системе национальной безопасности. Виды и источники угроз ИБ. Система нормативно-правовых актов, регламентирующих обеспечение ИБ.Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий. Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности. Важнейшим документом в сфере информационной политики, который был принят в России и реализуется в настоящее время, является Доктрина информационной безопасности.
Доктрина информационной безопасности Российской Федерации является базовым концептуальным документом, который определяет основные направления обеспечения одного из ключевых направлений безопасности российского государства. Она была одобрена Советом Безопасности РФ 23 июня и утверждена президентом России В.В. Путиным 9 сентября 2000 г. В доктрине отмечается, что современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Доктрина информационной безопасности служит основой: для формирования государственной политики в области обеспечения информационной безопасности Российской Федерации; Виды и источники угроз ИБ. Классификация всех возможных угроз информационной безопасности АС может быть проведена по ряду базовых признаков. 1. По природе возникновения. 1.1. Естественные угрозы – угрозы, вызванные воздействиями на АС и ее компоненты объективных физических процессов или стихийных природных явлений, независящих от человека. 1.2. Искусственные угрозы – угрозы информационной безопасности АС, вызванные деятельностью человека.
2. По степени преднамеренности проявления. 2.1. Угрозы случайного действия и/или угрозы, вызванные ошибками или халатностью персонала. 2.2. Угрозы преднамеренного действия (например, угрозы действий злоумышленника для хищения информации).
3. По непосредственному источнику угроз. 3.1. Угрозы, непосредственным источником которых является природная среда (стихийные бедствия, магнитные бури, радиоактивное излучение и т.п.). 3.2. Угрозы, источником которых является человек: внедрение агентов в число персонала системы; вербовка персонала или отдельных пользователей, имеющих определенные полномочия; несанкционированное копирование секретных данных пользователем АС; разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.). 3.3. Угрозы, непосредственным источником которых являются санкционированные программно-аппаратные средства: запуск технологических программ, способных при некомпетентном пользовании вызывать потерю работоспособности системы или необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т. п.); возникновение отказа в работе операционной системы. 3.4. Угрозы, непосредственным источником которых являются несанкционированные программно-аппаратные средства: нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др.); заражение компьютера вирусами с деструктивными функциями.
4. По положению источника угроз. 4.1. Угрозы, источник которых расположен вне контролируемой зоны территории (помещения), на которой находится АС: перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений; перехват данных, передаваемых по каналам связи; дистанционная фото- и видеосъемка. 4.2. Угрозы, источник которых расположен в пределах контролируемой зоны территории (помещения), на которой находится АС: хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.); отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.д.); применение подслушивающих устройств. 4.3. Угрозы, источник которых имеет доступ к периферийным устройства АС (терминалам). 4.4. Угрозы, источник которых расположен в АС: проектирование архитектуры системы и технологии обработки данных, разработка прикладных программ, которые представляют опасность для работоспособности системы и безопасности информации; некорректное использование ресурсов АС.
5. По степени зависимости от активности АС. 5.1. Угрозы, которые могут проявляться независимо от активности АС: вскрытие шифров криптозащиты информации; хищение носителей информации. 5.2. Угрозы, которые могут проявляться только в процессе автоматизированной обработки данных (например, угрозы выполнения и распространения программных вирусов).
6. По степени воздействия на АС. 6.1. Пассивные угрозы (угроза копирования секретных данных); 6.2. Активные угрозы: внедрение аппаратных спецвложений, программных "закладок" и "вирусов"; действия по дезорганизации функционирования системы; угроза умышленной модификации информации.
7. По этапам доступа пользователей или программ к ресурсам АС. 7.1. Угрозы, которые могут проявляться на этапе доступа к ресурсам АС (например, угрозы несанкционированного доступа в АС). 7.2. Угрозы, которые могут проявляться после разрешения доступа к ресурсам АС (например, угрозы несанкционированного или некорректного использования ресурсов АС).
Система нормативно-правовых актов, регламентирующих обеспечение ИБ.
Правовые основы защиты информации - это законодательный орган защиты информации, в котором можно выделить до 4 уровней правового обеспечения информационной безопасности информации и информационной безопасности предприятия. Первый уровень правовой основы защиты информации. Первый уровень правовой охраны и защиты информации состоит из международных договоров о защите информации и государственной тайны, к которым присоединилась и Российская Федерация с целью обеспечения надежной информационной безопасности РФ. Кроме того, существует доктрина информационной безопасности РФ, поддерживающая правовое обеспечение информационной безопасности нашей страны. Правовое обеспечение информационной безопасности РФ:
Международные конвенции об охране информационной собственности, промышленной собственности и авторском праве защиты информации в Интернете; Конституция РФ , Гражданский кодекс РФ, Уголовный кодекс РФ Федеральный закон "Об информации, информатизации и защите информации" от 20.02.95 № 24-ФЗ, Федеральный закон "О государственной тайне" от 21.07.93 № 5485-1, Федеральные законы "О лицензировании отдельных видов деятельности" от 08.08.2001 № 128-ФЗ, "О связи" от 16.02.95 № 15-ФЗ, "Об электронной цифровой подписи" от 10.01.02 № 1-ФЗ, "Об авторском праве и смежных правах" от 09.07.93 № 5351-1, "О правовой охране программ для электронных вычислительных машин и баз данных" от 23.09.92 № 3523-1. Таким образом, правовое обеспечение информационной безопасности весьма на высоком уровне, и многие компании могут рассчитывать на полную экономическую информационную безопасность и правовую охрану информации, и защиту, благодаря ФЗ о защите информации. Второй уровень правовой защиты информации. На втором уровне правовой охраны информации и защиты (ФЗ о защите информации) - это подзаконные акты: указы Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ. Напр. Доктрина информационной безопасности за № Пр1895 от 9 сентября 2000 г. Третий уровень правового обеспечения системы защиты экономической информацииК данному уровню обеспечения правовой защиты информации относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем. Также на третьем уровне безопасности информационных технологий присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами.Четвертый уровень стандарта информационной безопасности Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации.
33. Виды информации. Основные понятия защиты информации. (объекты, субъекты, каналы, утечки, пэмин, пссив, нсд, категории свт, уровни доступа, си, слп.)
Субъект доступа к информации - субъект доступа: участник правоотношений в информационных процессах.
Объект защиты - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Доступ к информации - получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств.
Побочные электромагнитные излучения и наводки (ПЭМИН)
Электрические токи различных частот, протекающие по элементам функционирующего средства обработки информации создают побочные магнитные и электрические поля, являющиеся причиной возникновения электромагнитных и параметрических каналов утечки, а также наводок информационных сигналов в посторонних токоведущих линиях и конструкциях.
Ослабление побочных электромагнитных излучения ТСПИ и их наводок осуществляется экранированием и заземлением средств и их соединительных линий, просачивание в цепи электропитания предотвращается фильтрацией информационных сигналов, а для маскирования ПЭМИН используются системы зашумления.
СВТ – средства вычислительной техники.
ПССИВ (программные средства скрытого информационного воздействия) - это программные средства, предназначенные для скрытого осуществления НСД, уничтожения или искажения обрабатываемой на СВТ информации, а также системного или прикладного ПО СВТ.(вирусы)
СЛП (специальная лабораторная проверка) - это поиск (в лабораторных условиях) аппаратных и программно-аппаратных средств технической разведки, возможно установленных в СВТ. Осуществляется специальными предприятиями, имеющими лицензию.
СИ ( специальное исследование) - измерение на месте эксплуатации или в лабораторных условиях ПЭМИН всех составных частей СВТ.
Утечка информации возможна за счет
Несанкционированный доступ к обрабатываемой СВТ информации
несанкционированный доступ к информации, в том числе на носителях, похищенных, потерянных, находящихся в ремонте или переданных на уничтожение.
внедрение ПССИВ на СВТ
внедрение аппаратных и программных закладок
ПЭМИН выходящие за КЗ
непосредственный просмотр посторонними устройств ввода/вывода
дешифровка акустических сигналов возникающих при работе печатающих устройств
Алгоритм защиты
определение необходимости защиты информации и степень необходимости
определение условий расположения СВТ
приобретение СВТ, определение надежности и безопасности
категорирование (какая информация будет обрабатывать СВТ, в зависимости от этого определение категории СВТ)
обследование места эксплотации и разработка мер их защиты
контроль и проверка разработчика мер защиты СВТ
аттестация соответствующим требованиям по защите информации
контроль по состоянию
Организация системы защиты КИ на предприятие и в организации
Создание службы безопасности
подбор сотрудником
организация и обеспечение режима конфиденциальности на объекте
организация конфиденциального делопроизводства
организация поддержания режима конфиденциальности
организация внутреобъектового режима
охрана объекта
Категорирование защищаемой информации - установление градаций важности защиты защищаемой информации.
Категорируется:
информация
средства обработки информации
помещение
Противоправная деятельность в информационной сфере.
Понятие преступлений в сфере компьютерной информации: Компьютерные преступления впервые попали в сферу социального контроля в начале 70-х годов, когда в США было выявлено значительное количество подобных деяний. Этот факт привлёк к сфере компьютерной информации пристальное внимание органов юстиции и учёных-криминологов. Различаются криминологические группы компьютерных преступлений: экономические, компьютерные преступления против личных прав и неприкосновенности частной сферы, компьютерные преступления простив общественных и государственных интересов.
Наиболее опасные и распространённые – экономические компьютерные преступления – включают компьютерное мошенничество, компьютерный экономический шпионаж и кражу программ, компьютерный саботаж, кражу “компьютерного времени”, самовольное проникновение в автоматизированную систему, традиционные экономические преступления, совершаемые с помощью компьютера.
Компьютерные преступления против личных прав и свобод и неприкосновенности частной сферы чаще всего заключаются во введении в компьютерную систему неправильных и некорректных данных о лице, незаконном собирании правильных данных (незаконными способами либо с целью, например, неправомерного контроля профсоюзных активистов), иных незаконных злоупотреблениях информации на компьютерных носителях и неправомерном разглашении информации (разглашение, например, банковской или врачебной тайны, торговля банками информации и базами данных).
Компьютерные преступления против интересов государства и общества включают преступления против государственной и общественной безопасности, нарушение правил передачи информации за границу, дезорганизацию работы оборонных систем, злоупотребления с автоматизированными системами подсчёта голосов на выборах и так далее.
Уголовно-правовая характеристика компьютерных преступлений
С принятием нового Уголовного кодекса в Российской Федерации стали преследоваться неправомерный доступ к компьютерной информации (ст. 272 УК
РФ), создание программ для ЭВМ, могущих повлечь уничтожение, блокирование или копирование информации (так называемых компьютерных вирусов и программ-
"взломов"), а также использование и распространение таких программ и машинных носителей с ними (ст. 273 УК РФ), нарушение правил эксплуатации
ЭВМ или компьютерных сетей с причинением существенного вреда (ст. 274 УК
РФ).
Форма вины для основного состава компьютерных преступлений - прямой либо косвенный умысел. В данном случае при форме вины, установленной для основного состава преступления в виде умысла, для его квалифицированного состава Кодексом предусмотрена форма вины исключительно (!) в виде неосторожности: неосторожное причинение тяжких последствий при создании или использовании вирусных программ и неосторожное причинение тяжких последствий в результате нарушения правил эксплуатации влекут за собой лишение свободы соответственно на срок до 7 и до 4 лет. Умышленное причинение тяжких последствий при этом наказывается в рамках основного состава, за который санкции предусмотрены гораздо более легкие по сравнению с квалифицированным.
Объектами данных преступлений (тем, на что направлено преступное посягательство и что признано нуждающимся в защите) является не любая компьютерная информация, а только охраняемая законом (статьи 272, 274 УК РФ) и не любые уничтожение, блокирование, модификация, копирование информации при использовании вирусных программ, а только несанкционированные (ст. 273 УК РФ).
Предметом преступления, указанного в ст.272 УК, является не любая информация, находящаяся в компьютерной форме, а только охраняемая законом.
В соответствии со ст.2 Федерального закона от 20 февраля 1995 г. "Об информации, информатизации и защите информации" (далее - Закон об информации) информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Охраняемой законом, по смыслу УК, будет являться такая компьютерная информация, доступ к которой ограничен в соответствии с законом. Доступ - возможность совершения одного или ряда следующих действий: знакомиться с содержанием информации, копировать, уничтожать или изменять информацию.
Структура, задачи службы информационной безопасности.
Служба информационной безопасности – это самостоятельное подразделение предприятия, которое занимается решением проблем информационной безопасности данной организации. Служба информационной безопасности должна быть самостоятельным подразделением и подчиняться напрямую первому лицу в организации.
В стандартах по управлению информационной безопасностью нет критериев создания Службы информационной безопасности, определения ее состава и компетенции.
В основополагающих стандартах по обеспечению информационной безопасности говорится, что "при необходимости следует предусмотреть наличие специалиста информационной безопасности внутри организации". В ГOCT 45.127-99 дается следующее определение: Служба информационной безопасности (англ. Service of infosecurity) - организационно-техническая структура системы обеспечения информационной безопасности, реализующая решение определенной задачи, направленной на противодействие той или иной угрозе информационной безопасности.
Общероссийский классификатор профессий предусматривает следующие названия подразделений информационной безопасности (защиты информации):
самостоятельный научно-исследовательский отдел (лаборатория, бюро, группа) по комплексной защите информации;
самостоятельный научно-технический отдел (лаборатория, бюро, группа) по комплексной защите информации.
Функции Службы информационной безопасности предприятия
Организация и координация работ, связанных с защитой информации на предприятии;
Исследование технологии обработки информации с целью выявления возможных каналов утечки и других угроз безопасности информации, формирование модели угроз, разработка политики безопасности информации, определение мероприятий, направленных на ее реализацию;Разработка проектов нормативных и распорядительных документов, действующих в границах организации, предприятия, в соответствии с которыми должна обеспечиваться защита информации на Предприятии;
Выявление и обезвреживание угроз;
Регистрация, сбор, хранение, обработка данных о всех событиях в системе, которые имеют отношение к безопасности информации;
Формирование у персонала и пользователей Предприятия понимания необходимости выполнения требований нормативно-правовых актов, нормативных и распорядительных документов, касающихся сферы защиты информации;
Состав Службы информационной безопасности предприятия
Структура и численности Службы безопасности предприятия зависит от размера организации, сферы деятельности, уровня конфиденциальности информации. Численность и состав Службы информационной безопасности должны быть достаточными для выполнения всех задач безопасности и защиты информации.
Информационная безопасность: понятие.
информационная безопасность — состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.
Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:
Законодательная, нормативно-правовая и научная база.
Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
Организационно-технические и режимные меры и методы (Политика информационной безопасности).
Программно-технические способы и средства обеспечения информационной безопасности.
Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:
выявить требования защиты информации, специфические для данного объекта защиты;
учесть требования национального и международного Законодательства;
использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
определить подразделения, ответственные за реализацию и поддержку СОИБ;
распределить между подразделениями области ответственности в осуществлении требований СОИБ;
на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.
Нормативные документы в области информационной безопасности
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
Акты федерального законодательства:
Международные договоры РФ;
Конституция РФ;
Законы федерального уровня (включая федеральные конституционные законы, кодексы);
Указы Президента РФ;
Постановления правительства РФ;
Нормативные правовые акты федеральных министерств и ведомств;
Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
К нормативно-методическим документам можно отнести
Методические документы государственных органов России:
Доктрина информационной безопасности РФ;
Руководящие документы ФСТЭК (Гостехкомиссии России);
Приказы ФСБ;
Стандарты информационной безопасности, из которых выделяют:
Международные стандарты;
Государственные (национальные) стандарты РФ;
Рекомендации по стандартизации;
Методические указания.
Органы (подразделения), обеспечивающие информационную безопасность
В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.
Государственные органы РФ, контролирующие деятельность в области защиты информации:
Комитет Государственной думы по безопасности;
Совет безопасности России;
Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
Федеральная служба безопасности Российской Федерации (ФСБ России);
Служба внешней разведки Российской Федерации (СВР России);
Министерство обороны Российской Федерации (Минобороны России);
Министерство внутренних дел Российской Федерации (МВД России);
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Службы, организующие защиту информации на уровне предприятия
Служба экономической безопасности;
Служба безопасности персонала (Режимный отдел);
Отдел кадров;
Служба информационной безопасности.
Организационно-технические и режимные меры и методы
Понятие политики обеспечения ИБ
Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.
Политика безопасности (информации в организации) (англ. Organizational security policy) — совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:
Защита объектов информационной системы;
Защита процессов, процедур и программ обработки информации;
Защита каналов связи;
Подавление побочных электромагнитных излучений;
Управление системой защиты.
При этом, по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
Определение информационных и технических ресурсов, подлежащих защите;
Выявление полного множества потенциально возможных угроз и каналов утечки информации;
Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
Определение требований к системе защиты;
Осуществление выбора средств защиты информации и их характеристик;
Внедрение и организация использования выбранных мер, способов и средств защиты;
Осуществление контроля целостности и управление системой защиты.
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.
Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.
Согласно ГОСТ Р ИСО/МЭК 17799—2005[2], на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».
К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.
В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.