Конспекты
по Основам управления информационной безопасности
Изучение методов построения комплексной системы организационных и технических мер по защите информации
Цель работы
Изучить действующую нормативную документацию объекта информатизации.
Теоретическая часть
Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.
Для построения системы надежной защиты информации необходимо выявить все возможные угрозы безопасности, оценить их последствия, определить необходимые меры и средства защиты, оценить их эффективность. Оценка рисков производится квалифицированными специалистами с помощью различных инструментальных средств, а также методов моделирования процессов защиты информации. На основании результатов анализа выявляются наиболее высокие риски, переводящих потенциальную угрозу в разряд реально опасных и, следовательно, требующих принятия дополнительных мер обеспечения безопасности.
Все возможные способы защиты информации сводятся к нескольким основным методикам:
- воспрепятствование непосредственному проникновению к источнику информации с помощью инженерных конструкций технических средств охраны;
- скрытие достоверной информации;
- предоставление ложной информации.
Упрощенно принято выделять две формы восприятия информации – акустическую и зрительную (сигнальную). Акустическая информация в потоках сообщений носит преобладающий характер. Понятие зрительной информации весьма обширно, поэтому ее следует подразделять на объемно- видовую и аналогово-цифровую.
Самыми распространенными способами несанкционированного получения конфиденциальной информации являются:
- прослушивание помещений с помощью технических средств;
- наблюдение (в т. ч. фотографирование и видеосъемка);
- перехват информации с использованием средств радиомониторинга информативных побочных излучений технических средств;
- хищение носителей информации и производственных отходов;
- чтение остаточной информации в запоминающих устройствах системы после выполнения санкционированного запроса, копирование носителей информации;
- несанкционированное использование терминалов зарегистрированных пользователей с помощью хищения паролей;
- внесение изменений, дезинформация, физические и программные методы разрушения (уничтожения) информации.
Современная концепция защиты информации, циркулирующей в помещениях или технических системах коммерческого объекта, требует не периодического, а постоянного контроля в зоне расположения объекта. Защита информации включает в себя целый комплекс организационных и технических мер по обеспечению информационной безопасности техническими средствами. Она должна решать такие задачи, как:
- предотвращение доступа злоумышленника к источникам информации с целью ее уничтожения, хищения или изменения;
- защита носителей информации от уничтожения в результате различных воздействий;
- предотвращение утечки информации по различным техническим каналам
Мероприятия по обеспечению защиты информации.
Защита от утечки конфиденциальной информации сводится к выявлению, учету и контролю возможных каналов утечки в конкретных условиях и к проведению организационных, организационно-технических и технических мероприятий по их ликвидации.
При разработке СЗИ так же следует принимать во внимание то, что вся система состоит из более мелких систем. К ним относится подсистема управления доступом, подсистема регистрации и учета, криптографическая защита информации и подсистема обеспечения целостности. Общие принципы организации защиты конфиденциальной информации, применяемые при разработке СЗИ:
Система безопасности - это организованная совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз, в задачи которой входит разработка и осуществление мер по защите информации, формирование, обеспечение и продвижение средств обеспечения безопасности и восстановление объектов защиты, пострадавших в результате каких-либо противоправных действий.
Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся основном, к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер.
Организационно-технические мероприятия обеспечивают блокирование разглашения и утечки конфиденциальных сведений через технические средства обеспечения производственной и трудовой деятельности, а также противодействие техническим средствам промышленного шпионажа с помощью специальных технических средств, устанавливаемых на элементы конструкций зданий, помещений и технических средств, потенциально образующих каналы утечки информации.
Технические мероприятия - это мероприятия, обеспечивающие приобретение, установку и использование в процессе производственной деятельности специальных, защищенных от побочных излучений (безопасных) технических средств или средств, ПЭМИН которых не превышают границу охраняемой территории.
Технические мероприятия по защите конфиденциальной информации можно подразделить на скрытие, подавление и дезинформацию.
- Скрытие выражается в использовании радиомолчания и создании пассивных помех приемным средствам злоумышленников.
- Подавление - это создание активных помех средствам злоумышленников.
- Дезинформация - это организация ложной работы технических средств связи и обработки информации; изменение режимов использования частот и регламентов связи; показ ложных демаскирующих признаков деятельности и опознавания.
Защитные меры технического характера могут быть направлены на конкретное техническое устройство или конкретную аппаратуру и выражаются в таких мерах, как отключение аппаратуры на время ведения конфиденциальных переговоров или использование тех или иных защитных устройств типа ограничителей, буферных средств, фильтров и устройств зашумлени.
Можно так классифицировать потенциальные угрозы, против которых направлены технические меры защиты информации:
- Потери информации из-за сбоев оборудования;
- Cбои дисковых систем;
- Перебои электропитания;
- Cбои работы серверов, рабочих станций, сетевых карт и т.д.;
- Потери информации из-за некорректной работы программ:
- Потеря или изменение данных при ошибках ПО;
- Потери при заражении системы компьютерными вирусами;
- Потери, связанные с несанкционированным доступом:
- несанкционированное копирование, уничтожение или подделка информации;
- ознакомление с конфиденциальной информацией.
- Ошибки обслуживающего персонала и пользователей:
- случайное уничтожение или изменение данных;
- некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных.
Сами технические меры защиты можно разделить на:
- средства аппаратной защиты, включающие средства защиты кабельной системы, систем электропитания, и т.д.
- программные средства защиты, в том числе:
- криптография,
- антивирусные программы,
- системы разграничения полномочий,
- средства контролядоступа
- и т.д.
- административные меры защиты, включающие подготовку иобучение персонала, организацию тестирования и приема в эксплуатацию программ, контроль доступа в помещения и т.д.
Следует отметить, что подобное деление достаточно условно, поскольку современные технологии развиваются в направлении сочетания программных и аппаратных средств защиты. Наибольшее распространение такие программно-аппаратные средства получили, в частности, в области контроля доступа, защиты от вирусов и т.д.
Контрольные вопросы
Что понимается под информационной безопасностью?
Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.
Назовите основные способы защиты информации.
- Воспрепятствование непосредственному проникновению к источнику информации с помощью инженерных конструкций технических средств охраны;
- Сокрытие достоверной информации;
- Предоставление ложной информации.
Назовите способы несанкционированного получения конфиденциальной информации
- прослушивание помещений с помощью технических средств;
- наблюдение (в т. ч. фотографирование и видеосъемка); перехват информации с использованием средств радиомониторинга информативных побочных излучений технических средств;
- хищение носителей информации и производственных отходов; чтение остаточной информации в запоминающих устройствах системы после выполнения санкционированного запроса, копирование носителей информации;
- несанкционированное использование терминалов зарегистрированных пользователей с помощью хищения паролей;
- внесение изменений, дезинформация, физические и программные методы разрушения (уничтожения) информации
Какие задачи решаются в ходе разработки и внедрения КСЗИ?
- разрабатываются методическое руководство и конкретные требования по защите информации;
- разрабатывается аналитическое обоснование необходимости создания системы защиты информации (СЗИ);
- согласовывается выбор основных и вспомогательных технических средств и систем (ОТСС и ВТСС), технических и программных средств защиты информации (ЗИ);
- организуются работы по выявлению возможных каналов утечки информации и нарушения целостности защищаемой информации, производится аттестация объекта информатизации.
Назовите этапы создания системы защиты.
- Пред-проектный этап, включающий предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание
- Проектирование (разработки проектов)
- Ввод в действие СЗИ.