Файл: Исследование проблем защиты информации (Классификация угроз безопасности информации).pdf
Добавлен: 30.06.2023
Просмотров: 68
Скачиваний: 3
СОДЕРЖАНИЕ
Глава 1. Основные положения теории защиты информации
1.1 Классификация угроз безопасности информации
1.2 Основные направления защиты информации
Глава 2. Основные методы и средства защиты информации в сетях
2.1 Организационно – правовые методы и средства защиты
2.2 Технические средства защиты информации в КС
Например, страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов15. Объектами страхования могут быть не противоречащие законодательству Российской Федерации имущественные интересы связанные с возмещением страхователем причиненного им вреда личности или имуществу физического лица, а также вреда, причиненного юридическому лицу.
Обобщая изложенное, можно утверждать, что угрозами безопасности информации являются:
хищение (копирование) информации;
уничтожение информации;
модификация (искажение) информации;
нарушение доступности (блокирование) информации;
отрицание подлинности информации;
навязывание ложной информации[2].
Носителями угроз безоп асности информ ации являются источники угроз. В к ачестве источников угроз могут выступ ать к ак субъекты (личность) так и объективные проявления. Причем, источники угроз могут н аходиться как внутри з ащищаемой организ ации - внутренние источники, т ак и вне ее - внешние источники. Деление источников н а субъективные и объективные опр авд ано исходя из предыдущих р ассуждений по поводу вины или риск а ущерб а информ ации. А деление н а внутренние и внешние источники опр авдано потому, что для одной и той же угрозы методы п ариров ания для внешних и внутренних источников могу быть р азными.
Все источники угроз безопасности информации можно разделить на три основные группы:
Обусловленные действиями субъекта (антропогенные источники угроз).
Обусловленные техническими средствами (техногенные источники угрозы).
Обусловленные стихийными источниками.
1.2 Основные направления защиты информации
Среди направлений по защите информации выделяют обеспечение защиты информации от НСД (хищения, утраты, искажения, подделки, блокирования и специальных воздействий) и от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
Прежде всего защите подлежит та информация, в отношении которой угрозы реализуются без применения сложных технических средств перехвата информации. Так же защите подлежит речевая информация, циркулирующая в ЗП, информация обрабатываемая СВТ, выводимая на экраны видеомониторов, хранящаяся на физических носителях (в том числе носители АС), информация передающаяся по каналам связи (за пределы контролируемой зоны).
Защита информации представляет собой комплекс мероприятий по защите информации. Исходя из этого, для защиты информации применяют технические средства защиты информации (при необходимости) от утечки по техническим каналам, от НСД к защищаемой информации. Не менее значимым является своевременное предупреждение возможных угроз информационной безопасности.
В организации, обрабатывающей защищаемую информацию, необходимым является наличие структурного подразделения, в задачи которого входит обеспечение безопасности информации. Регламент данного подразделения, его функции, права и обязанности определены следующими нормативными документами:
«Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации)». (Одобрено решением Гостехкомиссии России от 14 марта 1995 г. № 32)
«Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам». (Утверждено постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 г. № 912–51)
«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)». (Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282)
Квалификационный справочник должностей руководителей, специалистов и других служащих (Утвержден постановлением Минтруда России от 21 августа 1998 г. № 37 с изменениями от 21 января, 4 августа 2000 г., 20 апреля 2001 г.)
В зависимости от объема работ по защите информации руководителем предприятия создается структурное подразделение по защите информации, либо назначаются штатные специалисты по этим вопросам. Подразделение по защите информации является самостоятельным структурным подразделением. Штатная численность подразделения по защите информации и его структура определяются руководителем предприятия. Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю предприятия или его заместителю[3].
Данное структурное подразделение занимается планированием работ и согласовании мероприятий по защите информации непосредственно на объектах информатизации, на которых проводятся работы с использованием конфиденциальной информации, организует данные работы и выполняет. Определяет возможности несанкционированного доступа к информации, её уничтожения или искажения, определяет возможные технические каналы утечки конфиденциальной информации, разрабатывает соответствующие меры по защите информации. Так же участие в разработке модели «нарушителя». Разрабатывает (самостоятельно или совместно с режимными органами и др.) проекты распорядительных документов по вопросам организации защиты информации на предприятии, организует специальные проверки ТС и ЗП (при необходимости), разрабатывает предложения по совершенствованию системы защиты информации на предприятии. К функциям подразделения по защите информации можно отнести еще и разработку руководства по защите информации на предприятии, участие в разработке требований по защите информации, участие при создании системы защиты конфиденциальной информации на предприятии, участие в согласовании ТЗ (ТТЗ) на проведение работ связанных с конфиденциальной информацией, проведение периодического контроля, учет и анализ результатов контроля, участие в расследовании нарушений, разработка предложений по устранению недостатков системы защиты информации, подготовка отчетов о состоянии работ по защите информации, проведение занятий с руководством и специалистами по вопросам защиты информации[4].
Права предоставляемые подразделению по защите информации:
Допуска к работам основных структурных подразделений предприятия, использующих в работе КИ
Готовить предложения о привлечении к проведению работ по ЗИ предприятий (учреждений, организаций), имеющих лицензии на соответствующие виды деятельности
Контролировать деятельность любого структурного подразделения предприятия по выполнению требований по ЗИ
Участвовать в работе технических комиссий предприятий при рассмотрении вопросов ЗИ
Вносить предложения руководителю предприятия о приостановке работ в случае обнаружения факта утечки (или предпосылки к утечке) конфиденциальной информации
Получать установленным порядком лицензии на выполнение работ по защите информации и при её получении оказывать услуги в этой области другим предприятиям
Рекомендуется закреплять за специалистами по защите информации конкретные направления деятельности в данной области.
Глава 2. Основные методы и средства защиты информации в сетях
2.1 Организационно – правовые методы и средства защиты
К методам и средствам организационной защиты информации относятся организационно–технические и организационно–правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.
Основные свойств а методов и средств орг аниз ационной з ащиты: обеспечение полного или ч астичного перекрытия зн ачительной ч асти к ан алов утечки информ ации (н апример, хищения или копиров ания носителей информации); объединение всех используемых в КС средств в целостный мех анизм з ащиты информ ации.
Методы и средств а орг аниз ационной з ащиты информ ации включ ают в себя:
огр аничение физического доступ а к объект ам КС и ре ализ ация режимных мер;
огр аничение возможности перехв ат а ПЭМИН;
р азгр аничение доступ а к информ ационным ресурс ам и процесс ам КС (уст ановк а пр авил р азгр аничения доступ а, шифров ание информ ации при ее хр анении и перед аче, обн аружение и уничтожение апп ар атных и прогр аммных з акл адок);
резервное копирование наиболее важных с точки зрения утраты массивов документов;
профилактику заражения компьютерными вирусами.
Основой проведения организационных мероприятий является использование и подготовка законодательных и нормативных документов в области информационной безопасности, которые на правовом уровне должны регулировать доступ к информации со стороны потребителей.
В российском законодательстве позже, чем в законодательстве других развитых стран, появились необходимые правовые акты, при этом далеко не все. Можно выделить четыре уровня правового обеспечения информационной безопасности.
Международные договоры, к которым присоединилась Российская Федерация, и федеральные законы России.
Подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ.
Государственные стандарты (ГОСТы) в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами.
Локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации в КС конкретной организации[5].
2.2 Технические средства защиты информации в КС
Под инженерно-техническими средств ами з ащиты информ ации понимают физические объекты, мех анические, электрические и электронные устройств а, элементы конструкции зд аний, средств а пож аротушения и другие средств а, которые обеспечив ают:
з ащиту территории и помещений КС от проникновения н арушителей;
з ащиту апп ар атных средств КС и носителей информ ации от хищения;
предотвр ащение возможности уд аленного (из–з а пределов охр аняемой территории) видеонаблюдения (подслушивания) за работой персонала и функциониров анием технических средств КС;
предотвращение возможности перехв ат а ПЭМИН, вызв анных р аботающими техническими средств ами КС и линиями перед ачи д анных;
орг аниз ацию доступ а в помещения КС сотрудников;
контроль н ад режимом р аботы персон ал а КС;
контроль н ад перемещением сотрудников КС в р азличных производственных зон ах;
противопож арную з ащиту помещений КС;
минимиз ацию м атери ального ущерб а от потерь информ ации, возникших в результ ате стихийных бедствий и техногенных ав арий.
В ажнейшей сост авной ч астью инженерно-технических средств з ащиты информ ации являются технические средств а охр аны, которые обр азуют первый рубеж з ащиты КС и являются необходимым, но недост аточным условием сохр анения конфиденци альности и целостности информ ации в КС.
К апп ар атным средств ам з ащиты информ ации относятся электронные и электронно-механические устройств а, включаемые в сост ав технических средств КС и выполняющие (самостоятельно или в едином комплексе с прогр аммными средств ами) некоторые функции обеспечения информ ационной безоп асности.
Критерием отнесения устройств а к апп ар атным, а не к инженерно-техническим средств ам защиты является обяз ательное включение в сост ав технических средств КС.
К основным апп ар атным средств ам з ащиты информ ации относятся: устройств а для ввод а идентифицирующей пользов ателя информ ации (м агнитных и пл астиковых к арт, отпеч атков п альцев и т.п.); устройств а для шифрования информ ации; устройств а для воспрепятствов ания нес анкционированному включению р абочих ст анций и серверов (электронные з амки и блокир аторы).
Примеры вспомог ательных апп ар атных средств з ащиты информ ации: устройств а уничтожения информ ации н а м агнитных носителях; устройств а сигн ализ ации о попытк ах нес анкциониров анных действий пользов ателей КС и др. Под прогр аммными средств ами з ащиты информ ации поним ают специальные прогр аммы, включ аемые в сост ав прогр аммного обеспечения КС исключительно для выполнения з ащитных функций. К основным прогр аммным средств ам з ащиты информ ации относятся: прогр аммы идентифик ации и аутентифик ации пользов ателей КС; прогр аммы р азгр аничения доступ а пользователей к ресурс ам КС; прогр аммы шифров ания информ ации; прогр аммы защиты информ ационных ресурсов (системного и прикл адного прогр аммного обеспечения, баз д анных, компьютерных средств обучения и т п.) от несанкциониров анного изменения, использов ания и копиров ания.
З аметим, что под идентифик ацией, применительно к обеспечению информ ационной безоп асности КС, поним ают однозн ачное р аспозн ав ание уникального имени субъект а КС. Аутентифик ация озн ач ает подтверждение того, что предъявленное имя соответствует данному субъекту (подтверждение подлинности субъект а).