Презентация Основные понятия информационной безопасности

Смотреть слайды в полном размере
Презентация Основные понятия информационной безопасности


Вашему вниманию предлагается презентация «Основные понятия информационной безопасности», с которой можно предварительно ознакомиться, просмотреть текст и слайды к ней, а так же, в случае, если она вам подходит - скачать файл для редактирования или печати.

Презентация содержит 61 слайд и доступна для скачивания в формате ppt. Размер скачиваемого файла: 1.56 MB

Просмотреть и скачать

Pic.1
Информационная безопасность Лебедева Т. Ф.
Информационная безопасность Лебедева Т. Ф.
Pic.2
Основные понятия информационной безопасности 1 Литература Основная: Коноплева, И. А. Управление безо
Основные понятия информационной безопасности 1 Литература Основная: Коноплева, И. А. Управление безопасностью и безопасность бизнеса: Учебное пособие / И. А. Коноплева, И. А. Богданов. Под ред. И. А. Коноплевой- М. : ИНФРА-М, 2008. Степанов, Е. А. Информационная безопасность и защита информации [Текст] : учеб. пособие для вузов / Е. А. Степанов, И. К. Корнеев. - М. : ИНФРА-М, 2001. Лебедева Т. Ф. Информационная безопасность [Текст]: Методические указания по выполнению лабораторных работ и контрольной работы для студентов специальности 080801«Прикладная информатика в (экономике)» направлений 230700 «Прикладная информатика» профиля «Прикладная информатика в экономике», 080500 «Бизнес-информатика» всех форм обучения /Т. Ф. Лебедева. – Кемерово: Кемеровский институт (филиал) РГТЭУ, 2010.
Pic.3
Основные понятия информационной безопасности 1 Литература Дополнительная: Голенищев, Э. П. Информаци
Основные понятия информационной безопасности 1 Литература Дополнительная: Голенищев, Э. П. Информационное обеспечение систем управления [Текст] / Э. П. Голенищев, И. В. Клименко. - Ростов н/Д : Феникс, 2010 Гафнер, В. В. Информационная безопасность [Текст] : учеб. пособие для вузов / В. В. Гафнер. - Ростов н/Д : Феникс, 2010. Анин, Б. Ю. Защита компьютерной информации [Текст] / Б. Ю. Анин. - Спб. : БХВ-Петербург, 2000 Киреева Г. И. Антивирусное обслуживание компьютера: учебное пособие [текст] /Г. И. Киреева - М: МГУК,1999 Домарёв В. В. Защита информации и безопасность компьютерных систем [текст] / В. В. Домарев - Киев: Диасофт, 1999 Зима В. М. Безопасность глобальных сетевых технологий [текст] / В. М. Зима - Спб. :БХВ-Петербург, 2003 Девьянин П. Н. Теоретические основы компьютерной безопасности: учебное пособие для вузов [текст] / П. Н. Девьянин, О. О. Михальский, Д. И. Правиков, А. Ю. Шербаков. -М. : Радио и связь, 2000 Голдовский И. А. Безопасность платежей в Интернете [текст] /И. Б. Голдовский - Спб. :Питер
Pic.4
Основные понятия информационной безопасности 1 Аспекты информации: Информация - сведения (сообщения,
Основные понятия информационной безопасности 1 Аспекты информации: Информация - сведения (сообщения, данные) независимо от формы их представления; . (Закон РФ "Об информации, информационных технологиях и защите информации" (ФЗ РФ 27. 07. 2006 г. ) Информация - это фундаментальная философская категория. Информация - это важнейший ресурс, на добывание которого тратятся огромные силы и средства. Информация – это ценный товар, производством и сбытом которого занято огромное количество людей. Информация – это сила, приводящая в движение производственные силы мощности, армии, общественные структуры, ранящая и поднимающая людей. Компьютерная информация – это информация, представленная в доступной для восприятия компьютерной форме, зафиксированная в памяти компьютера, на машинном носителе или передаваемая по телекоммуникационным каналам. Информация – продукт человеческой деятельности, который в готовом виде всегда и всем кажется дешевым. Ее принято считать ценной лишь тогда, когда ее можно использовать, причем ее полезность сильно зависит от полноты, точности, достоверности и актуальности. Информационный ресурс – это отдельные документы, массивы документов в библиотеках, архивах, фондах, банков данных и др. информационных системах.
Pic.5
Основные понятия информационной безопасности При этом под термином «информационная безопасность» на
Основные понятия информационной безопасности При этом под термином «информационная безопасность» на уровне государства понимается «состояние защищенности информационной среды общества, обеспечивающее ее формирование и развитие в интересах граждан, организаций и государства». Под информационной безопасностью (ИБ) или безопасностью информационных технологий подразумевают защищенность информации, передаваемой, накапливаемой, обрабатываемой и хранимой в информационно- вычислительных системах от случайных или преднамеренных воздействий внутреннего или внешнего характера, чреватых нанесением ущерба владельцам информационно ресурса или пользователям информации. Пользователи информации в компьютерных системах – это субъекты, обращающиеся к информационно – вычислительным системам за необходимой информацией. Информационная безопасность - это многомерная и многогранная область действия, в которой успех может принести только систематический комплексный подход. Проблему обеспечения информационную безопасность можно классифицировать по 3-м группам признаков: Задачи Уровни обеспечения Субъекты, заинтересованные в информационной безопасности.
Pic.6
Основные понятия информационной безопасности 3
Основные понятия информационной безопасности 3
Pic.7
Основные понятия информационной безопасности 4 Доступность – возможность за приемлемое время получит
Основные понятия информационной безопасности 4 Доступность – возможность за приемлемое время получить информационные услуги, а также предотвращение несанкционированного отказа в получении информации. Целостность – предотвращение несанкционированной модификации или нарушения информации. Конфиденциальность – предотвращение несанкционированного ознакомления с информацией. На концептуально – политическом уровне принимаются документы, которые определяют основные направления государственной политики информационной безопасности, задачи и средства достижения поставленных целей. Примером такого документа является Доктрина информационной безопасности РФ. На законодательном уровне создается и поддерживается комплекс мер, направленных на правовое регулирование обеспечения информационной безопасности, которая отражается в законах, указах президента, постановлениях правительства. На нормативно – техническом уровне разрабатываются стандарты, руководящие материалы, методические документы, регламентирующие процессы разработки, внедрения и эксплуатации средств обеспечения информационной безопасности (Руководящие документы Гостехкомиссии при президенте РФ 1992г. ). Важной задачей этого уровня в настоящее время является, в частности, приведение в соответствие российских стандартов с международным уровнем информационных технологий вообще и ИБ в частности.
Pic.8
Основные понятия информационной безопасности 5 На уровне предприятия осуществляются конкретные меры
Основные понятия информационной безопасности 5 На уровне предприятия осуществляются конкретные меры по обеспечению информационной безопасности деловой деятельности. Для предприятия можно выделить два характерных уровня обеспечения ИБ – административный и программно-технический. Основной мерой административного уровня является разработка политики и программы безопасности. Политика безопасности – совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов. Политика безопасности определяет стратегию организации в области ИБ, а также количество ресурсов, которое руководство считает целесообразным выделить. Она строится на анализе рисков, которые признаются реальными для информационной системы организации. В составе конкретных мер административного уровня можно выделить: I. Управленческие меры обеспечения информационной безопасности Политика безопасности Программа безопасности Управление рисками Безопасность в жизненном цикле системы II. Операционные регуляторы Управление персоналом; Физическая защита; Поддержание работоспособности; Реагирование на нарушение безопасности; Планирование восстановительных работ.
Pic.9
Основные понятия информационной безопасности 6 III. На программно-техническом уровне доступны следую
Основные понятия информационной безопасности 6 III. На программно-техническом уровне доступны следующие механизмы безопасности: Идентификация и аутентификация; Управление доступом; Протоколирование и аудит; Криптографические средства защиты; Межсетевое экранирование (брандмауэр, firewall). На уровне отдельных граждан: граждане являются самым незащищенным в правовом отношении субъектом правовых отношений (нет законов о защите индивидуальной информации, номеров телефонов, почтовых рассылок (данные паспорта)).
Pic.10
Основные понятия информационной безопасности 7 Актуальность обеспечения информационной безопасности
Основные понятия информационной безопасности 7 Актуальность обеспечения информационной безопасности По мнению экспертов, при полном рассекречивании информации коммерческой фирмы она просуществует: 52% экспертов считают, что несколько часов, 48% - несколько дней. Если речь идет о банках, то 33% - несколько часов, 67% - несколько дней. Причины убытков компании, пренебрегающей защитой информации: - ошибки персонал 65% - вирусы 63% - неработоспособность 51% - злоумышленные действия работников 32% злоумышленные действия внешних работников 18% - промышленный шпионаж 6% - неизвестные причины 15%
Pic.11
Основные понятия информационной безопасности 8 Основные причины обострения проблемы обеспечения безо
Основные понятия информационной безопасности 8 Основные причины обострения проблемы обеспечения безопасности информационных технологий Бурное развитие средств вычислительной техники привело к созданию большого числа разного рода автоматизированных информационных и управляющих систем, к возникновению принципиально новых информационных технологий. Неправомерное искажение или фальсификация, уничтожение или разглашение определенной части информации, равно как и дезорганизация процессов ее обработки и передачи в информационно-управляюших системах наносят серьезный материальный и моральный урон многим субъектам (государству, юридическим и физическим лицам), участвующим в процессах автоматизированного информационного взаимодействия. Жизненно важные интересы этих субъектов заключаются в том, чтобы определенная часть информации, касающаяся их экономических, политических и других сторон деятельности, конфиденциальная коммерческая и персональная информация, была бы постоянно легко доступна и в то же время надежно защищена от неправомерного ее использования: нежелательного разглашения, фальсификации, незаконного тиражирования, блокирования или уничтожения.
Pic.12
Основные понятия информационной безопасности 9 Актуальность проблемы защиты информационных технологи
Основные понятия информационной безопасности 9 Актуальность проблемы защиты информационных технологий в современных условиях определяется следующими основными факторами: обострением противоречий между объективно существующими потребностями общества в расширении свободного обмена информацией и чрезмерными или наоборот недостаточными ограничениями на ее распространение и использование расширением сферы использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, высокими темпами увеличения парка средств вычислительной техники и связи повышением уровня доверия к автоматизированным системам управления и обработки информации, использованием их в критических областях деятельности вовлечением в процесс информационного взаимодействия все большего числа людей и организаций количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам отношением к информации, как к товару, многообразием видов угроз и возникновением новых возможных каналов НСД ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими нежелательных программно-математических воздействий на системы обработки информации увеличением потерь (ущерба) от уничтожения, фальсификации, разглашения или незаконного тиражирования информации (возрастанием уязвимости различных затрагиваемых субъектов)
Pic.13
Обеспечение информационной безопасности на государственном уровне 10 Концептуально – политический ур
Обеспечение информационной безопасности на государственном уровне 10 Концептуально – политический уровень Доктрина в области информационной безопасности РФ Государственная политика Российской федерации в области защиты информации (ЗИ) сформировалась в начале 90-х годов и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере. Доктрина в области информационной безопасности РФ была утверждена 9 сентября 2000 г. президентом. Она развивает концепцию национальной безопасности применительно к информационной сфере. Доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. Настоящая Доктрина служит основой для: Формирования государственной политики в области обеспечения информационной безопасности Российской Федерации; Подготовки предложений по совершенствованию правового, методического, научно - технического и организационного обеспечения информационной безопасности Российской Федерации; Разработки целевых программ обеспечения информационной безопасности Российской Федерации.
Pic.14
Обеспечение информационной безопасности на государственном уровне 11 I. Информационная безопасность
Обеспечение информационной безопасности на государственном уровне 11 I. Информационная безопасность Российской Федерации 1. Национальные интересы РФ в информационной сфере и их обеспечение 2. Виды угроз информационной безопасности РФ 3. Источники угроз информационной безопасности РФ 4. Состояние информационной безопасности РФ и основные задачи по ее обеспечению II. Методы обеспечения информационной безопасности РФ III. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по ее реализации. IV. Организационная основа системы обеспечения информационной безопасности Российской Федерации Доктрина определяет следующие основные принципы государственной политики: Соблюдение конституции РФ, законодательства, общепризнанных принципов и норм международного права. Ст. 29 Конституции РФ гласит, что каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Открытость в реализации функций федеральных органов власти и общественных объединений, предусматривающая информированность общества об их деятельности с учетом ограничений, установленных законодательством РФ. Правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса. Приоритетное развитие отечественных современных информационных и телекоммуникационных технологий.
Pic.15
Обеспечение информационной безопасности на государственном уровне 12 Доктриной определены следующие
Обеспечение информационной безопасности на государственном уровне 12 Доктриной определены следующие функции государства в области ИБ: Осуществлять контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области безопасности. Проводить необходимую протекционистскую политику в отношении производителей средств информации и защиты информации на территории РФ и защищать внутренний рынок от проникновения на него некачественных информационных продуктов и средств информатизации. Способствовать предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам и глобальным информационным сетям.
Pic.16
Обеспечение информационной безопасности на государственном уровне 13 Мероприятия по реализации госуд
Обеспечение информационной безопасности на государственном уровне 13 Мероприятия по реализации государственной политики обеспечения информационной безопасности РФ, определяемые Доктриной: Разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере. Принятие и реализация федеральных программ в области повышения правовой культуры и компьютерной грамотности граждан, создание безопасных ИТ, обеспечение технологической независимости страны в области создания и эксплуатации информационно – технологических систем оборонного значения. Гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизирующих систем управления, информационных и телекоммуникационных систем общего и специального значения. К первоочередным задачам в области обеспечения информационной безопасности, согласно выводам отнесены: Разработка и внедрение механизмов реализации действующего законодательства, регулирующего отношения в информационной сфере; Пресечение компьютерной преступности (включая методическое и технологическое обеспечение следственной, оперативно-розыскной деятельности правоохранительных органов, специальных служб, судебных разбирательств, в том числе подготовку кадров в этой сфере); Повышение правовой и информационной культуры, а также компьютерной грамотности граждан.
Pic.17
Обеспечение информационной безопасности на государственном уровне 14 Доктриной определены следующие
Обеспечение информационной безопасности на государственном уровне 14 Доктриной определены следующие функции государства в области ИБ: Осуществлять контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области безопасности. Проводить необходимую протекционистскую политику в отношении производителей средств информации и защиты информации на территории РФ и защищать внутренний рынок от проникновения на него некачественных информационных продуктов и средств информатизации. Способствовать предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам и глобальным информационным сетям.
Pic.18
Обеспечение информационной безопасности на государственном уровне 15 К объектам государственной защи
Обеспечение информационной безопасности на государственном уровне 15 К объектам государственной защиты в области информационной безопасности РФ относятся: Все виды информационных ресурсов (ИР) Права граждан, юридических лиц, государства на получение, распространение, использование информации, защиту конфиденциальной информации и интеллектуальной собственности. Система формирования, распространения, использования ИР, включающая ИС разного класса и назначения, библиотеки, архивы, БД и БнД, ИТ, регламенты и процедуры сбора, обработки и передачи, хранения информации, научно-технический персонал. Информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена, системы и средства защиты информации. Система формирования общественного сознания (мировоззрение, общественные ценности, социально допустимые стереотипы поведения)
Pic.19
Обеспечение информационной безопасности на государственном уровне 16 В соответствии с концепцией ИБ
Обеспечение информационной безопасности на государственном уровне 16 В соответствии с концепцией ИБ основные положения государственной политики в области защиты информации заключается в следующем: Ограничение доступа к информации есть исключение из общего принципа открытости информации и осуществляется только на основе законодательства. Ответственность за сохранность информации, ее засекречивание и рассекречивание персонифицируется. Доступ к какой-либо информации, а также вводимые ограничения доступа осуществляется с учетом определенного законом права собственности на эту информацию. Государство формирует нормативно – правовую базу, регламентирующую права, обязанности и ответственность всех субъектов, действующих в информационной сфере. Государство осуществляет контроль за созданием и использованием средств защиты информации посредством их обязательной сертификации и лицензирования деятельности в области защиты информации. Государство проводит протекционистскую политику, поддерживающую деятельность отечественных производителей средств информации и защиты информации. Государство способствует предоставлению гражданам доступа к МИР, глобальным информационным сетям. Государство стремится к отказу от зарубежных информационных технологий для информатизации органов государственной власти и управления по мере создания конкурентоспособных отечественных информационных технологий и средств информатизации. Государство формирует федеральную программу информационной безопасности, объединяющую усилия государственных организаций и коммерческих структур.
Pic.20
Обеспечение информационной безопасности на государственном уровне 17 Правовая база защиты информации
Обеспечение информационной безопасности на государственном уровне 17 Правовая база защиты информации в РФ 1. Закон РФ "О Государственной тайне" (в ред. - Федерального закона от 06. 10. 97 N 131-ФЗ) 2. Закон РФ "О коммерческой тайне" (от 29 июля 2004г. ) 3. Закон РФ "О техническом регулировании" (от 27 декабря 2002 г. N 184-ФЗ) 4. Закон РФ "Об информации, информационных технологиях и защите информации" (ФЗ РФ №24-ФЗ от 2006г. 5. Закон РФ "Об электронной цифровой подписи" (ФЗ РФ №1-ФЗ от 10. 01. 02. Принят Гос. Думой 13. 12. 01) 6. Закон РФ "О правовой охране программ для электронных вычислительных машин и баз данных" (Закон РФ N 3523-1. Дата введения 23. 09. 92) 7. Закон РФ "Об участии в международном информационном обмене" (Федеральный Закон РФ N 85-ФЗ. Принят Гос. Думой 04. 07. 96) 8. Закон РФ "О сертификации продукции и услуг" (Закон РФ N 5151-1. Дата введения 10. 06. 93. В ред. Федерального Закона N 211-ФЗ от 27. 12. 95) 9. Закон РФ "О банках и банковской деятельности" (Закон РФ N 395-1. Дата введения 02. 12. 90. В ред. Федерального закона от 03. 02. 96 № 17-ФЗ 10. Закон РФ «О персональных данных» 2006 г. 11. Закон РФ от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи» Ответственность за компьютерные преступления предусматривает уголовный кодекс. Статья 272: неправомерный доступ к компьютерной информации. Статья 273: создание, использование и распространение вредоносных программ для ЭВМ. Статья 274: нарушение правил эксплуатации ЭВМ, средств связи ЭВМ или их сети.
Pic.21
Обеспечение информационной безопасности на государственном уровне 18 Категории информации Информация
Обеспечение информационной безопасности на государственном уровне 18 Категории информации Информация с ограниченным доступом. Информация без права ограничения: доступ не может быть ограничен (законы, положения, конституция). Иная общедоступная информация. Вредная информация, то есть не подлежащая распространению как ложная. Информацию с ограниченным доступом можно разделить на два вида Государственная, военная, экономическая, разведывательная тайны. Их распространение наносит ущерб безопасности страны. Конфиденциальная информация. Правовое регулирование института тайн в РФ. В перечне сведений конфиденциального характера, утвержденного президентом РФ 6 марта 1996 №188, приведены следующие виды конфиденциальной информации: Служебная тайна Персональные данные Тайна следствия Коммерческая тайна Тайна сущности изобретения до момента опубликования Профессиональная тайна. Банковская тайна . Декларировано в других законах 30 видов тайн, а с учетом подзаконных актов – 40.
Pic.22
Обеспечение информационной безопасности на государственном уровне: институт тайн 19
Обеспечение информационной безопасности на государственном уровне: институт тайн 19
Pic.23
Обеспечение информационной безопасности на государственном уровне 20
Обеспечение информационной безопасности на государственном уровне 20
Pic.24
Обеспечение информационной безопасности на государственном уровне 21
Обеспечение информационной безопасности на государственном уровне 21
Pic.25
Обеспечение информационной безопасности на государственном уровне 22
Обеспечение информационной безопасности на государственном уровне 22
Pic.26
Обеспечение информационной безопасности на государственном уровне 23 Категории информации Приведенны
Обеспечение информационной безопасности на государственном уровне 23 Категории информации Приведенный перечень тайн может потребоваться для того, чтобы поставить перед администрацией предприятия вопрос об обеспечении соответствующей защиты информации. Конфиденциальной считается такая коммерческая информация, разглашение которой может нанести ущерб интересам фирмы. Делится на два подвида: Информация с ограниченным доступом: сведения, разглашения которых причиняет ущерб тактическим интересам, таким как срыв конкретного контакта, снижение % прибыли от сделки. Секретная информация: ее разглашение наносит серьезный ущерб стратегическим интересам фирмы и может поставить под угрозу ее существование. Ее составляют сведения, ознакомление с которыми позволяет конкурентам, неразборчивым в средствах, подорвать репутацию фирмы в глазах партнеров, причинить ей значительный финансовый ущерб, привести к конфликту с государственными органами, поставить в зависимость от криминальных структур.
Pic.27
Обеспечение информационной безопасности на государственном уровне 24
Обеспечение информационной безопасности на государственном уровне 24
Pic.28
Обеспечение информационной безопасности на государственном уровне Нормативно техническая база защиты
Обеспечение информационной безопасности на государственном уровне Нормативно техническая база защиты информации в России 25 К нормативно-методическим документам можно отнести: Руководящие и нормативные документы Гостехкомиссии России, ФСТЭК, Приказы ФСБ; Стандарты информационной безопасности, из которых выделяют: Международные стандарты; Государственные (национальные) стандарты РФ Рекомендации по стандартизации; Методические документы государственных органов России Методические указания.
Pic.29
Обеспечение информационной безопасности на государственном уровне Нормативно техническая база защиты
Обеспечение информационной безопасности на государственном уровне Нормативно техническая база защиты информации в России 26
Pic.30
Обеспечение информационной безопасности на государственном уровне. Нормативно техническая база защит
Обеспечение информационной безопасности на государственном уровне. Нормативно техническая база защиты информации в России 27
Pic.31
Обеспечение информационной безопасности на государственном уровне. Нормативно техническая база защит
Обеспечение информационной безопасности на государственном уровне. Нормативно техническая база защиты информации в России 28
Pic.32
Обеспечение информационной безопасности на государственном уровне. Нормативно техническая база защит
Обеспечение информационной безопасности на государственном уровне. Нормативно техническая база защиты информации в России 29 В 1990 г. Международной организацией по стандартизации (ISO) была начата разработка международного стандарта критериев оценки для общего использования. Версия 1. 0 ОК была завершена в январе 1996 г. и одобрена ISO в апреле 1996 г. Бета-версия 2. 0 ОК появилась в октябре 1997 г. В результате этих работ появился Международный стандарт ISO/IEC 15408-99 "Критерии оценки безопасности информационных технологий" или так называемые "Общие критерии". В России аналогичный стандарт подготовлен в 2001 г. Это ГОСТ Р ИСО/МЭК 15408-1-2001 «Критерии оценки безопасности информационных технологий». Данный стандарт содержит общие критерии (ОК) оценки безопасности информационных технологий. Стандарт предназначен в качестве руководства при разработке и приобретении коммерческих продуктов или систем с функциями безопасности ИТ. ОК применимы к мерам безопасности ИТ, реализуемым аппаратными, программно-аппаратными и программными средствами. Критерии для оценки специфических качеств криптографических алгоритмов не входят в ОК ОК безопасности продуктов и систем ИТ предназначены в основном для потребителей, разработчиков и оценщиков. ОК предоставляют потребителям, независимую от реализации структуру, называемую профилем защиты (ПЗ), для выражения их специфических требований к мерам безопасности ИТ в объекте оценки. Гармонизация российских стандартов с международными стандартами: ГОСТ Р ИСО/МЭК 15408 – «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ». Состоит из 3 частей: сокращения, определения и т. п. ; 11 групп базовых задач обеспечения безопасности цели, методы, уровни обеспечения, гарантии качества
Pic.33
Обеспечение информационной безопасности на государственном уровне. Нормативно техническая база защит
Обеспечение информационной безопасности на государственном уровне. Нормативно техническая база защиты информации в России 30
Pic.34
Обеспечение информационной безопасности на государственном уровне. Нормативно техническая база защит
Обеспечение информационной безопасности на государственном уровне. Нормативно техническая база защиты информации в России 31
Pic.35
Обеспечение информационной безопасности на государственном уровне. Нормативно техническая база защит
Обеспечение информационной безопасности на государственном уровне. Нормативно техническая база защиты информации в России 32
Pic.36
Обеспечение информационной безопасности на государственном уровне. Нормативно техническая база защит
Обеспечение информационной безопасности на государственном уровне. Нормативно техническая база защиты информации в России 33
Pic.37
Обеспечение информационной безопасности на государственном уровне. Нормативно техническая база защит
Обеспечение информационной безопасности на государственном уровне. Нормативно техническая база защиты информации в России 34
Pic.38
Правовая основа системы лицензирования и сертификации в РФ 35 Для обеспечения защиты государственной
Правовая основа системы лицензирования и сертификации в РФ 35 Для обеспечения защиты государственной тайны и конфиденциальной информации в РФ действует Государственная система защиты информации (ГСЗИ), которая включает: Совокупность органов (ФСБ, ФСТЭК, СБ), сил и средств, осуществляющих деятельность в области защиты информации (ЗИ); Систему лицензирования деятельности в области ЗИ; Систему сертификации средств ЗИ; Систему подготовки и переподготовки специалистов в области ЗИ. Необходимость введения государством механизма лицензирования и сертификации в области защиты информации определяется следующими причинами: Выполнение работ, в процессе реализации которых могут использоваться сведения, составляющие государственную тайну, может осуществляться, наряду с государственными учреждениями и организациями, - предприятиями и учреждениями негосударственного сектора, как это принято в большинстве цивилизованных стран; Органы государственной власти, Вооруженные Силы и спецслужбы перестали быть исключительными потребителями средств ЗИ.
Pic.39
Правовая основа системы лицензирования и сертификации в РФ 36 Наиболее приемлемым, а может быть и ед
Правовая основа системы лицензирования и сертификации в РФ 36 Наиболее приемлемым, а может быть и единственно приемлемым способом воздействия государства на данную сферу, установления разумного контроля в этой области является формирование системы лицензирования. Лицензирование - это процесс передачи или получения в отношении физических или юридических лиц прав на проведение определенных работ. Получить право или разрешение на определенную деятельность может не каждый субъект, а только отвечающий определенным критериям в соответствии с правилами лицензирования. Лицензия - документ, дающий право на осуществление указанного вида деятельности в течении определенного времени. Перечень видов деятельности в области ЗИ, на которые выдаются лицензии, определен Законом РФ - "О лицензировании отдельных видов деятельности", принятом в августе 2001 года. К ним, в частности, относится: Разработка, производство, распространение, техническое обслуживание и предоставление услуг в области шифрования информации; шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
Pic.40
Правовая основа системы лицензирования и сертификации в РФ 37 Деятельность по выдаче сертификатов кл
Правовая основа системы лицензирования и сертификации в РФ 37 Деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей; Деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя); Деятельность по разработке и (или) производству средств защиты конфиденциальной информации; Деятельность по технической защите конфиденциальной информации; Разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.
Pic.41
Правовая основа системы лицензирования и сертификации в РФ 38 Для получения лицензии предприятие обя
Правовая основа системы лицензирования и сертификации в РФ 38 Для получения лицензии предприятие обязано предъявить определенный перечень документов. К заявлению на получение лицензии необходимо приложить следующие документы: Копия свидетельства о государственной регистрации предприятия; Копии учредительных документов, заверенных нотариусом; Копии документов на право собственности или аренды имущества, необходимого для ведения заявленной деятельности; Справка налогового органа о постановке на учет; Представление органов государственной власти РФ с ходатайством о выдаче лицензии; Документ, подтверждающий оплату рассмотрения заявления.
Pic.42
Правовая основа системы лицензирования и сертификации в РФ 39 Например, к коммерческому банку, прете
Правовая основа системы лицензирования и сертификации в РФ 39 Например, к коммерческому банку, претендующему на получение лицензии на эксплуатацию шифровальных средств для защиты конфиденциальной информации, предъявляются требования по: Наличию и составу необходимых аппаратно-программных средств и помещений; размещению, охране и специальному оборудованию помещений, в которых находятся средства криптографической ЗИ; Обеспечению режима и порядка доступа к средствам криптографической ЗИ; обеспечению необходимой технической и эксплуатационной документацией; Уровню квалификации и подготовленности специалистов в области защиты и эксплуатации автоматизированных систем (АС); Режиму эксплуатации и хранения средств криптографической ЗИ.
Pic.43
Правовая основа системы лицензирования и сертификации в РФ 40 Система лицензирования обеспечивает в
Правовая основа системы лицензирования и сертификации в РФ 40 Система лицензирования обеспечивает в отношении АС выполнение 3 основных требований к защищаемой информации: Доступность; Целостность; Конфиденциальность. Лицензирование в области производства средств ЗИ и на предмет предоставления услуг в области ЗИ производится по тем же принципам, за исключением того, что не во всех случаях здесь речь идет о работе со сведениями, составляющими государственную тайну. Поэтому при производстве средств ЗИ прежде всего проверяется научный и технологический потенциал, имеющийся у предприятия-производителя, другие производственные факторы, а также наличие и действенность системы безопасности. По организациям, оказывающим услуги в области ЗИ, может идти речь о мероприятиях по проверке компьютерной и оргтехники в отношении опасных в информационном плане излучений и наличия несанкционированных устройств, проверке помещений на предмет наличия в них устройств скрытого съема информации и т. д. Сертификация – подтверждение соответствия продукции или услуг установленным требованиям или стандартам. Сертификат на средство защиты информации – документ, подтверждающий соответствие средства защиты информации требованиям по безопасности информации.
Pic.44
Направления защиты информации в информационных системах. Характеристика направлений защиты информаци
Направления защиты информации в информационных системах. Характеристика направлений защиты информации 41
Pic.45
Направления защиты информации в информационных системах. Характеристика направлений защиты информаци
Направления защиты информации в информационных системах. Характеристика направлений защиты информации 42 1. Защита объектов информационной системы (ИС) Объекты информационной безопасности могут быть следующих видов: Информационные объекты – любая информация (сообщения, сведения, файлы, БД) в любых форматах ее представления (аналоговая, цифровая, виртуальная, мысленная). Ресурсные объекты - все компоненты ИС, ее аппаратное и программное обеспечение, процедуры, протоколы и т. д. (начиная с ОС и заканчивая выключателем сети). . Физические объекты – территория, здания, помещения, средства связи, компьютерная техника. Пользовательские объекты – это люди, которые используют ресурсы ИС, имея доступ через терминалы и рабочие станции. Логические объекты – логические операции или процедуры, результатом которых является определенный вывод или признак. 2. Защита процессов и процедур обработки информации Под процессом обработки данных будем понимать установленную последовательность процедур, операций преобразования информации, реализуемых при функционировании системы. Это направление включает защиту: процессов обработки данных; программ; исполняемых файлов; от загрузки программного обеспечения; от программных закладок и вирусов.
Pic.46
Направления защиты информации в информационных системах. Характеристика направлений защиты информаци
Направления защиты информации в информационных системах. Характеристика направлений защиты информации 43 3. Защита каналов связи Информация должна быть конфиденциальной как в процессе ее перемещения в пределах внутренней локальной сети, так и при передаче в другие ИС по каналам связи. Защита каналов связи предусматривает криптографические методы и средства защиты. Криптографические средства защиты - специальные методы и средства защиты информации, в результате которого маскируется ее содержание. 5. Управление защитой Управление защитой - это контроль за распределением информации в ИС, за функционированием ИС и событиями, связанными с нарушением защиты информации. Цель управления защитой – поддержание целостности системы защиты информации и повышение эффективности мероприятий по защите информации, выявление и устранение каналов утечки информации.
Pic.47
Направления защиты информации в информационных системах. Характеристика направлений защиты информаци
Направления защиты информации в информационных системах. Характеристика направлений защиты информации 44 4. Подавление ПЭМИН Наибольшую опасность с точки зрения утечки информации предоставляют побочные (паразитные) непреднамеренные излучения технических средств, участвующих в процессе передачи, обработки и хранения секретной информации. Под утечкой информации по каналам ПЭМИН понимается возможность доступа к информации в ИС путем перехвата и соответствующей обработки побочных излучений технических средств. Канал утечки включает технические средства передачи, обработки, или хранения секретной информации, среду распространения паразитных излучений и средства перехвата паразитных излучений. Среда распространения - например, грунт в районе контура заземления. Носителями информации являются электрические и электромагнитные поля и сигналы, образующиеся в результате работы средств обработки информации или воздействия опасного сигнала на средства обработки информации на системы жизнеобеспечения. Источниками таких излучений могут быть мониторы, средства связи (телефон, телеграф, громко говорящая директорская связь); средства и системы звукоусиления, звуковоспроизведения; средства охранной сигнализации.
Pic.48
Направления защиты информации в информационных системах. Защита информационных объектов (БД) 45 Инфо
Направления защиты информации в информационных системах. Защита информационных объектов (БД) 45 Информация, хранимая в БД, должна быть надежно защищена. Так как к БД обращаются многие пользователи, то особенно важно, чтобы элементы данных и связи между ними не разрушались. Защита БД означает защиту собственно данных и их контролируемое использование на рабочих местах, а так же защиту любой сопутствующей информации, извлекаемой из этих данных. Для СУБД и БД важны 3 аспекта информационной безопасности: Доступность Целостность Конфиденциальность.
Pic.49
Направления защиты информации в информационных системах. Защита информационных объектов (БД) 46
Направления защиты информации в информационных системах. Защита информационных объектов (БД) 46
Pic.50
Направления защиты информации в информационных системах. Защита информационных объектов (БД) 47 1 Ид
Направления защиты информации в информационных системах. Защита информационных объектов (БД) 47 1 Идентификация и аутентификация Обычно для идентификации и проверки подлинности в СУБД применяются 2 механизма: идентификация и аутентификация выполняется ОС; идентификация и аутентификация выполняется СУБД. Например, в СУБД Oracle применяется оператор SQL CONNECT: CONNECT пользователь [/пароль] [@база_данных]; Если пароль опущен, то выводится окно для его ввода и на время отключается эхоотображение вводимых символов. Таким образом, в момент начала работы с сервером БД пользователь идентифицируется своим именем, а средством аутентификации служит пароль. Аутентификация на основе пароля затрудняет повторные проверки во время сеанса работы с сервером БД и практически исключает такие проверки перед каждой транзакцией, то есть, если терминал оставлен без присмотра, то на нем можно от имени пользователя выполнить любые доступные ему команды. Использование средств аутентификации на основе личных карточек дало бы большую свободу в реализации контроля за подлинностью пользователей.
Pic.51
Направления защиты информации в информационных системах. Защита информационных объектов (БД) 48 2. У
Направления защиты информации в информационных системах. Защита информационных объектов (БД) 48 2. Управление доступом В современных СУБД поддерживается один из двух широко распространенных подходов к управлению доступом: избирательный (дискреционный) и обязательный (мандатный, полномочный). В случае обязательного управления каждому объекту данных присваивается некоторый классификационный уровень, а каждому пользователю некоторый уровень допуска. При таком подходе допуском к определенному объекту обладают только пользователи с соответствующим уровнем допуска. Такие схемы статичны и жестки. В случае избирательного управления некий пользователь обладает различными правами с различными объектами. Независимо от того, какие схемы используются, все решения относительно доступа пользователей принимаются на стратегическом уровне, а не на техническом уровне.
Pic.52
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : управ
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : управление доступом 49
Pic.53
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : управ
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : управление доступом 50
Pic.54
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : управ
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : управление доступом 51 Пример: Пусть в организации работает служащий Битов. По характеру работы он часто обращается к таблице Заработная_плата и является членом группы «Учет». Для пользователей этой группы разрешено выполнение операции SELECT над таблицей Заработная_плата Для выборки данных из этой таблицы он должен в начале сеанса ввести свой пароль. Никто из группы «Учет» не имеет права на выполнение операции UPDATE. Для обновления таблицы Заработная_плата необходимо запустить прикладную программу «Контроль заработной платы», которая имеет привилегии обновления таблицы Заработная_плата и выполняет специальные проверки корректности этой операции. Чтобы программа могла обновлять, администратор БД создает и помещает в БД роль Обновить_заработную_плату. GREATE ROLE Обновить_заработную_плату WITH PASSWORD= «ДТЗ110»; Оператор GRANT SELECT, UPDATE ON Заработная_плата TO ROLE Обновить_заработную_плату ; предоставляет этой роли привилегии на выполнение операций выбора и обновления таблицы Заработная_плата. Если пользователь Битов запускает программу «Контроль заработной платы», то программа имеет привилегии роли Обновить_заработную_плату.
Pic.55
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : управ
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : управление доступом 52 Обязательный или принудительный (мандатный) метод доступа основан на отказе от понятия владельца данных и опирается на метки безопасности, которые присваиваются данным при их создании. Метки служат для классификации данных по уровням:
Pic.56
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : управ
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : управление доступом 53 Данные расклассифицированы по уровням безопасности, метками. Конкретный пользователь может оперировать с данными, расположенными на том уровне секретности, который соответствует его статусу. Правила доступа: Пользователь i имеет доступ к объекту j, если его уровень допуска больше либо равен уровню классификации объекта j. Пользователь i может модифицировать объект j только, если его уровень равен уровню классификации объекта j. (любая информация, записанная пользователем i, автоматически приобретает его уровень классификации). В СУБД INGRES/Enhanced Security к каждой реляционной таблице неявно добавляется столбец, содержащий метки безопасности строк таблицы. Метка безопасности состоит из трех компонентов: Уровень секретности. Смысл этого компонента зависит от приложения. В частности, возможен традиционный спектр уровней от "совершенно секретно" до "несекретно". Категории. Понятие категории позволяет разделить данные на "отсеки" и тем самым повысить надежность системы безопасности. В коммерческих приложениях категориями могут служить "финансы", "кадры", "материальные ценности" и т. п. Области. На практике компонент "область" может действительно иметь географический смысл, обозначая, например, страну, к которой относятся данные.
Pic.57
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : управ
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : управление доступом 54 Каждый пользователь СУБД INGRES/Enhanced Security характеризуется степенью благонадежности, которая также определяется меткой безопасности, присвоенной данному пользователю. Пользователь может получить доступ к данным, если степень его благонадежности удовлетворяет требованиям соответствующей метки безопасности. Более точно: Уровень секретности пользователя должен быть не ниже уровня секретности данных; Набор категорий, заданных в метке безопасности данных, должен целиком содержаться в метке безопасности пользователя; Набор областей, заданных в метке безопасности пользователя, должен целиком содержаться в метке безопасности данных. Рассмотрим пример. Пусть данные имеют уровень секретности "конфиденциально", принадлежат категории "финансы" и относятся к областям "Россия" и "СНГ". Далее, пусть степень благонадежности пользователя характеризуется меткой безопасности с уровнем секретности "совершенно секретно", категориями "финансы" и "кадры", а также областью "Россия". Такой пользователь получит доступ к данным. Если бы, однако, в метке пользователя была указана только категории "кадры", в доступе к данным ему было бы отказано, несмотря на его "совершенно секретный" уровень.
Pic.58
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : управ
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : управление доступом 55 Когда пользователь производит выборку данных из таблицы, он получает только те строки, меткам безопасности которых удовлетворяет степень его благонадежности. Для совместимости с обычными версиями СУБД, столбец с метками безопасности не включается в результирующую информацию. Отметим, что механизм меток безопасности не отменяет, а дополняет произвольное управление доступом. Пользователи по-прежнему могут оперировать с таблицами только в рамках своих привилегий, но даже при наличии привилегии SELECT им доступна, вообще говоря, только часть данных. Строки таблицы, отмеченные как строки уровня максимальной безопасности, может увидеть только пользователь, у которого наивысший уровень. . Методы обязательного управления доступом получили распространение в любой военной системе. Некоторые коммерческие СУБД обеспечивают обязательную защиту на уровне класса В1, а ниже используется избирательный метод для доступа к данным. СУБД, в которых поддерживаются методы обязательной защиты, называются системами с многоуровневой защитой, а также – надежными системами. По оценкам экспертов концепция многоуровневой безопасности в ближайшие годы будет использована в большинстве коммерческих СУБД.
Pic.59
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : Угроз
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : Угрозы, специфичные для СУБД 56 Главный источник угроз, специфичных для СУБД, лежит в самой природе SQL. Механизм процедур и правил дает возможность выстраивать цепочки действий, позволяя неявным образом попутно передавать право на выполнение процедур, даже не имея полномочий на это. Рассмотрим несколько угроз, возникающих при использовании злоумышленниками средств языка SQL: 1) Получение информации путем логических выводов. Можно извлечь из БД информацию, на получение которой стандартными средствами у пользователя не хватит привилегий. Пример: БД состоит из 2-х таблиц. В первой хранится информация о пациентах (анкетные данные, диагноз, назначения и т. п. ), а во второй - сведения о врачах (расписание мероприятий, перечень пациентов и т. п. ). Если пользователь имеет право доступа только к таблице врачей, он может получить косвенную информацию о диагнозах пациентов, так как врачи специализируются на лечении определенных болезней. Основным средством борьбы с подобными угрозами помимо тщательного проектирования модели данных является механизм размножения строк - в состав первичного ключа явно или неявно включается метка безопасности. За счет чего появляется возможность хранить в таблице несколько экземпляров строк с одинаковыми значениями «содержательных» ключевых полей. Наиболее естественно размножение строк реализуется в СУБД, поддерживающих метки безопасности (например, в СУБД INGRES/Enhanced Security), однако и стандартными SQL-средствами можно получить удовлетворительное решение.
Pic.60
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : Угроз
Направления защиты информации в информационных системах. Защита информационных объектов (БД) : Угрозы, специфичные для СУБД 57 2) Агрегирование данных – это метод получения новой информации путем комбинирования данных, добытых легальных образом из разных таблиц. Агрегированная информация может оказаться более секретной, чем каждый из компонентов ее составивший. Повышение уровня секретности данных при агрегировании вполне известно. Это следствие закона перехода количества в качество. Бороться с агрегированием можно за счет тщательного проектирования модели данных и максимального ограничения доступа пользователей к информации. 3) Покушение на высокую доступность. Если пользователю доступны все возможности SQL, он может затруднить работу других пользователей, инициировав длительную транзакцию, захватывающую большое число таблиц. Современные многопотоковые серверы СУБД отражают лишь самые прямолинейные атаки, например, запуски в «часы пик» операции массовой загрузки данных. Рекомендуется не предоставлять пользователям непосредственного SQL-доступа к БД, используя в качестве фильтров серверы приложений. Клиент -> Сервер приложений-> сервер БД
Pic.61
Вопросы?
Вопросы?


Скачать презентацию

Если вам понравился сайт и размещенные на нем материалы, пожалуйста, не забывайте поделиться этой страничкой в социальных сетях и с друзьями! Спасибо!