Добавил:

Novilit Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Национальный исследовательский ядерный университет (МИФИ)

Предмет:

Комплексное обеспечение информационной безопасности автоматизированных систем

Файл:

Материалы курса В. И. Королёва / королев 3.1

.docx

Скачиваний:

182

Добавлен:

03.02.2018

Размер:

230.22 Кб

Скачать

☆

Лекция 5 (4.10.17)

Системная организация защиты информации от НСД

Рассмотрение отношений доступа на функциональном уровне позволяет сделать важные выводы по характеру ограничений, которые необходимо ввести в операционную среду, чтобы выполнить требования по разграничению доступа и обеспечить отношения доступа, нормативно определённые на макроуровне.

Фактически эти ограничения определяют системные базовые функции защиты информации от НСД, которые необходимо уметь выполнять в АС при определённом развитии процесса обработки и передачи информации.

Базовые функции:

Изоляция - умение изолировать пользователей и других субъектов /лиц/, взаимодействующих с системой, от ресурсов системы, технических и информационных, а также, при необходимости, изолировать субъекты и объекты доступа операционной среды друг от друга

Аутентификация - подтверждение подлинности конкретного субъекта при его обращении к системе, а также при запросе доступа к защищаемому объекту системы;

Контроль доступа - обеспечение доступа субъектов доступа к защищаемым объектам доступа только в рамках наделённых прав;

Контроль действий при доступе - обеспечение выполнения действий и операций в отношении информации только в рамках предоставленных полномочий при разрешении доступа субъекта к объекту.

1) Изоляция, как правило, обеспечивается на этапе проектирования АС в виде технических проектных реализаций, которые рассчитаны на время жизненного цикла системы или до принятия отдельного решения по их изменению.

2) Аутентификация выполняется, как правило, в отношении субъектов-лиц, взаимодействующих с системой, а далее её результаты наследуются другими активными элементами операционной среды, которые наделяются правами и полномочиями этих субъектов. 3) Контроль доступа и контроль действий интегрируются в функцию контроля и разграничения доступа к информационным и техническим ресурсам АС, а все объекты доступа, в данном случае, отождествляются с понятием объекты разграничения доступа (ОРД).

Фактически, контролируя доступ и действия, соответствующие средства защиты обеспечивают авторизацию субъекта, позволяя ему работать в рамках наделённых прав доступа и полномочий на действия.

В конечном счёте, только ответственное выделенное лицо или служба обеспечивает гарантированное предотвращение нарушений путём организационного (административного) управления.

С этой целью в системе защиты от НСД выделяется группа функций обратной связи, реализация которых формирует данные (информацию) о состоянии информационной безопасности, на основании которых собственно и обеспечивается предотвращение нарушений НСД.

Функции обратной связи:

Надзор - осуществление мониторинга состояния принятых технических реализаций по изоляции – аудит состояния.

Регистрация - регистрация показателей функционирования средств аутентификации, контроля доступа и контроля действий, фиксирование нарушений (инцидентов) или неразрешимых этими средствами ситуаций – аудит процессов.

Административное управление - собственно подготовка и настройка штатных режимов прав и полномочий доступа, фиксирование через аудит отклонений, принятие решений по ситуациям информационной безопасности, формирование реакции на отклонения и реализация соответствующих действий.

Названные базовые функции и функции обратной связи (иначе, функции назначения по защите АС от НСД к информации) составляют функциональную часть систем защиты информации от НСД.

Средства реализации функций назначения (программные, аппаратные, программно-технические) реализуют алгоритмы или механизмы аутентификации или разграничения доступа, аудита, управления и требуют:

во-первых, настройки на определённый организационно-нормативный или технологический регламент работы;

во-вторых, создания в АС и на объекте информатизации условий штатного функционирования;

в-третьих, поддержки их в работоспособном состоянии, то есть организации эксплуатации.

Всё это осуществляется за счёт реализации обеспечивающих функций по организационно-нормативной поддержке функционирования средств защиты и их эксплуатации.

Организационно-нормативная поддержка:

Нормативное обеспечение - создание и поддержание в актуальном состоянии нормативной базы по разграничению доступа к ресурсам системы и функционально-ролевому распределению прав и обязанностей в части защиты информации от НСД пользователей и обслуживающего персонала

Обеспечение режима - создание условий режима секретности/конфиденциальности при выполнении работ в АС и на объекте информатизации за счёт организационно-административных мер, организационно-технических мероприятий и систем инженерно-технической защиты.

Эксплуатация средств защиты:

Ведение служебной базы данных – поддержание целостности и актуального состояния интегрированной или распределённой базы данных защиты информации от НСД, в которую могут входить профили доступа, пароли, ключи, результаты аудита, возможно, модели инцидентов и реакции на нарушения доступа.

Поддержка программно-технических средств защиты информации – выполнение стандартных или специальных работ по поддержанию в актуальном и работоспособном состоянии программных компонентов, программно-аппаратных комплексов, технических устройств и модулей средств защиты информации от НСД.

Технологическое обеспечение - реализация технологических процессов выполнения своих функций средствами защиты информации от НСД в программно-технической и телекоммуникационной среде АС, обеспечение их совместимости с процессами обработки и передачи данных и контроль соблюдения штатного регламента их выполнения.

Основными базовыми функциями назначения по защите АС от НСД к информации СЗИ являются аутентификация и разграничение доступа.

Структурно-функциональная схема системы защиты от НСД в АС

Системный подход при комплексной ЗИ

Объект информатизации как объект защиты:

Системность и комплексность защиты информации

КСЗИ – автоматизированная организационно-техническая система управления информационной безопасностью на объекте информатизации.

Базовый фактор – структурные, технические, технологические и организационные решения по защите информации неразрывно связаны с проектными решениями по обеспечивающей информационной инфраструктуре объекта информатизации, функционалу и инфраструктуре самих АС.

Цель создания КСЗИ – нейтрализация актуальных для ОИ и эксплуатируемых на объекте АС угроз информационного характера, которые могут иметь различные источники и быть различной природы. При этом понимается, что система является специализированной (имеет свою специальную нормативную базу) и разрабатывается для защиты информации ограниченного доступа.

КСЗИ по охвату действия – обеспечивает защиту информации каждой функционирующей на объекте информатизации автоматизированной системы и всех информационных технологий, связанных с АС или с отдельными ИТ автоматизации/информатизации объекта.

КСЗИ конструктивно – интегрированная обеспечивающая система для всех эксплуатируемых на объекте информатизации АС. Её компоненты могут быть подсистемами защиты информации АС (ПСЗИ АС), тем самым, осуществляя системную увязку средств КСЗИ, согласование политик безопасности различных эксплуатируемых АС и единство управления информационной безопасностью на объекте в рамках КСЗИ.

Принцип системности – при декомпозиции целей и синтезе структурных элементов КСЗИ между ними, компонентами АС и процессами реализации информационных технологий, в интересах которых осуществляется защита информации, должны быть установлены такие связи, которые обеспечивают цельность КСЗИ и её взаимодействие с другими системами объекта информатизации и подсистемами АС.

Принцип комплексности – оптимальное использование различных методов, мер и средств защиты информации (административно-правовых, организационных, организационно-технических, технических, программных) для нейтрализации угроз информации и поддержания заданного уровня защищённости информации, интеграции этих средств в единую технологически связанную и управляемую систему.

Структурная схема построения КСЗИ

Основным инструментарием построения КСЗИ является системный анализ.

В соответствии с введённым понятием ОИ, который рассматривается как объект защиты информации, объект информатизации может быть представлен в информационном отношении в двух аспектах:

как система информационно-аналитического обеспечения основной деятельности ОИ или автоматизированного управления определёнными видами деятельности;
как функциональный объект, информационно проявляющий себя в окружающей среде (внешнее информационное проявление объекта).

Системный анализ предполагает: 1) анализ самого объекта для формирования задач защиты, 2) поиск средств реализации этих задач; 3) синтез структуры системы, технологической целостности и управления (так как КСЗИ по природе своей является системой управления).

Тем самым решаются дескриптивная и конструктивная задачи системного анализа.

Решение дескриптивной задачи системного анализа включает в себя выполнение следующих основных процедур:

анализ информационных ресурсов и всей информационно-технологической инфраструктуры объекта (прежде всего, в отношении используемых АС) на предмет выявления защищаемых ресурсов и объективно имеющихся уязвимых мест;

выявление и анализ угроз информации, их источников, порождаемых ими информационных рисков, оценка возможного ущерба и, на основании этой оценки, ранжирование угроз информации для выделения актуальных угроз;

разработка модели нарушителя и модели угроз информационной безопасности для объекта защиты, при необходимости, для отдельных компонентов информационной сферы (деятельности) организации;

формирование политики информационной безопасности, в рамках которой определяются направления постановки функциональных задач защиты (ФЗ), защищаемые информационные технологии и критические ситуации, а также направления деятельности подразделений ОИ в интересах обеспечения информационной безопасности и функциональные роли в подразделениях;

определение необходимого набора функций назначения по защите информации, интеграция их в функциональные подсистемы и постановка функциональных задач защиты, обеспечивающих нейтрализацию актуальных угроз информации.

Результаты решения дескриптивной задачи системного анализа позволяют сформировать функциональную часть КСЗИ.

Далее решается конструктивная задача системного анализа, которая обеспечивает синтез и интеграцию системы.

Функциональные задачи защиты должны быть реализованы с помощью методов и средств, которые в защищаемых информационных технологиях, при критических ситуациях или в определённых условиях должны обеспечить выполнение требований политики безопасности. Упорядоченные по типам и видам совокупности этих методов и средств составляют набор обеспечивающих подсистем (обеспечивающая часть КСЗИ).

КСЗИ обязан поддерживать определённый уровень информационной безопасности (защищённости информации) в АС и на ОИ в своей области ответственности.

Макроструктурные компоненты КСЗИ:

функциональные подсистемы;
обеспечивающие подсистемы;
подсистема технологического обеспечения;
подсистема управления информационной безопасностью.

Соседние файлы в папке Материалы курса В. И. Королёва

#
03.02.2018898.05 Кб193Tema_3_Sistemny_podkhod_obespechenia_informatsionnoy_bezopasnosti.doc
#
03.02.201853.76 Кб186VPN.doc
#
03.02.201867.38 Кб179Вопросы для промежуточного контроля.odt
#
03.02.201812.28 Mб326Всё вместн.odt
#
03.02.201817.65 Кб181королев 11.docx
#
03.02.2018230.22 Кб182королев 3.1.docx
#
03.02.2018752.08 Кб244Королев Все Лекции.docx
#
03.02.201814.43 Кб183Королев лекция 1.docx
#
03.02.201814.43 Кб183Королёв лекция 10.docx
#
03.02.201816.85 Кб183Королёв лекция 14.docx
#
03.02.201826.12 Кб180Королёв лекция 6.docx