Добавлен: 23.11.2023
Просмотров: 192
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
1.1 Безопасность в организации
1.2 Человеческий фактор в обеспечении ИБ
Определение перечня внутренних угроз
определение перечня внешних угроз
1.3 Современные методы решения задач мониторинга
1.4 Постановка задачи. Общие принципы настройки механизмов защиты
ГЛАВА 2 Хранения и обработка данных автоматизированными системами и описание функций систем
2.1 Мониторинг привилегированных пользователей
2.3 Программное обеспечение Защита +
ГЛАВА 3. Экономическая эффективность информационной системы
3.2 Расчёт оборудования для совершенствования системы защиты информации
3.3 Анализ экономической целесообразности внедрения подсистемы «Защита +»
Принцип "надо знать".
Этот принцип во многом схож с предыдущим. Согласно ему, полномочия пользователей назначаются согласно их обязанностям. Доступ разрешен только к той информации, которая необходима им для работы. Согласно принципу, пользователь должен знать обо всех доступных ему ресурсах. В том случае, если пользователь не знает о них, такие ресурсы должны быть отключены.
Объединение критичной информации.
Во многих системах сбор, хранение и обработка информации одного уровня производится в одном месте (узле сети, устройстве, каталоге). Это связано с тем, что проще защитить одним и тем же способом большой массив информации, чем организовать индивидуальную защиту для каждого набора данных. Для реализации этого принципа могут быть разработаны специальные программы, управляющие обработкой таких наборов данных. Это будет простейший способ построения защищенных областей.
Иерархия привилегий.
Контроль объектов системы может иметь иерархическую организацию. Такая организация принята в большинстве коммерческих систем. При этом схема контроля имеет вид дерева, в котором узлы - субъекты системы, ребра - право
контроля привилегий согласно иерархии, корень - администратор системы, имеющий право изменять привилегии любого пользователя. Узлами нижележащих уровней являются администраторы подсистем, имеющие права изменять привилегии пользователей этих подсистем (в их роли могут выступать руководители организаций, отделов). Листьями дерева являются все пользователи системы.
Вообще говоря, субъект, стоящий в корне любого поддерева, имеет право изменять защиту любого субъекта, принадлежащего этому поддереву. Достоинство такой структуры - точное копирование схемы организации, которую обслуживает АБС. Поэтому легко составить множество субъектов, имеющих право контролировать данный объект. Недостаток иерархии привилегий - сложность управления доступом при большом количестве субъектов и объектов, а также возможность получения доступа администратора системы (как высшего по иерархии) к любому набору данных.
Привилегии владельца.
При таком контроле каждому объекту соответствует единственный субъект с исключительным правом контроля объекта - владелец. Как правило, это его создатель. Владелец обладает всеми разрешенными для этого типа данных правами на объект, может разрешать доступ любому другому субъекту, но не имеет права никому передать привилегию на корректировку защиты.
Однако такое ограничение не касается администраторов системы - они имеют право изменять защиту любых объектов. Главным недостатком принципа привилегий владельца является то, что при обращении к объекту, пользователь должен предварительно получить разрешение у владельца (или администратора). Это может приводить к сложностям в работе (например; при отсутствии владельца или просто нежелании его разрешить доступ). Поэтому такой принцип обычно используется при защите личных объектов пользователей.
Свободная передача привилегий.
При такой схеме субъект, создавший объект, может передать любые права
на него любому другому субъекту. Тот, в свою очередь, может передать все эти права другому субъекту. Естественно, при этом возникают большие трудности в определении круга субъектов, имеющих в данный момент доступ к объекту (права на объект могут распространяться очень быстро и так же быстро исчезать), и поэтому такой объект легко подвергнуть несанкционированной обработке.
В силу этих обстоятельств подобная схема применяется достаточно редко - в основном в исследовательских группах, работающих над одним проектом (когда все имеющие доступ к объекту заинтересованы в его содержимом).
В чистом виде рассмотренные принципы реализации политики безопасности применяются редко. Обычно используются их различные комбинации. Ограничение доступа к объектам в ОС включает в себя ограничение доступа к некоторым системным возможностям, например, ряду команд, программам и т.д., если при использовании их нарушается политика безопасности.
Вообще набор полномочий каждого пользователя должен быть тщательно продуман, исключены возможные противоречия и дублирования, поскольку большое количество нарушений происходит именно из-за этого. Может произойти утечка информации без нарушения защиты, если плохо была спроектирована или реализована политика безопасности.
Недостатки стандартных способов обеспечения безопасности БД:
Использование стандартных способов обеспечения безопасности неэффективно по следующим причинам:используемые механизмы шифрования требуют серьезных изменений в базах данных и бизнес-приложениях, кроме того, они не защищают информацию от несанкционированных действий привилегированных пользователей, работающих с базами данных через бизнес-приложенияштатные средства журналирования СУБД не способны охватить все операции с данными (например, операцию чтения) штатные средства СУБД не идентифицируют конечных пользователей бизнес-приложений при работе с базой данных через пул соединений («connectionpool»)используемые SIEM-решения (Security Informationand Event Management) основаны на штатных средствах журналирования СУБД, к тому же такие системы ориентированны только на анализ данных о СУБД.
Рассмотрим наиболее важные моменты в организации мониторинга обращений к БД.
Инженерно-техническая защита информации - одна из основных составляющих комплекса мер по защите информации, составляющей государственную, коммерческую и личную тайну. Этот комплекс включает нормативно-правовые документы, организационные и технические меры, направленные на обеспечение безопасности секретной и конфиденциальной информации.
Инженерно-техническая защита информации представляет собой достаточно быстро развивающуюся область науки и техники на стыке теории систем, физики, оптики, акустики, радиоэлектроники, радиотехники, электро- и радиоизмерений и других дисциплин. Круг вопросов, которыми вынуждена заниматься инженерно-техническая защита, широк, и обусловлен многообразием источников и носителей информации, способов и средств её добывания, а, следовательно, и защиты.
Основным направлением инженерно-техническая защита информацииявляется противодействие средствам технической разведки и формирования рубежей охраны территории, зданий, помещений, оборудования, с помощью комплексов технических средств. По функциональному назначению средства инженерно-технической защиты делятся на следующие группы:
Физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий.
К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа-выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий.
Эти средства (техническая защита информации) применяются для решения следующих задач:
-
охрана территории предприятия и наблюдение за ней; -
охрана зданий, внутренних помещений и контроль за ними; -
охрана оборудования, продукции, финансов и информации; -
осуществление контролируемого доступа в здания и помещения. -
Аппаратные средства защиты информации — это различные технические устройства, системы и сооружения (техническая защита информации), предназначенные для защиты информации от разглашения, утечки и несанкционированного доступа.
Использование аппаратных средств защиты информации позволяет решать следующие задачи:
-
проведение специальных исследований технических средств на наличие возможных каналов утечки информации; -
выявление каналов утечки информации на разных объектах и в помещениях; -
локализация каналов утечки информации; -
поиск и обнаружение средств промышленного шпионажа; -
противодействие НСД (несанкционированному доступу) к источникам конфиденциальной информации и другим действиям. -
Программные средства. Программная защита информации — это система специальных программ, реализующих функции защиты информации.
Выделяют следующие направления использования программ для обеспечения безопасности конфиденциальной информации:
-
защита информации от несанкционированного доступа; -
защита информации от копирования; -
защита информации от вирусов; -
программная защита каналов связи
Криптографические средства — это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.
Основные направления использования криптографических методов — передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.
ГЛАВА 2 Хранения и обработка данных автоматизированными системами и описание функций систем
2.1 Мониторинг привилегированных пользователей
Из факторов, влияющих на эффективность инженерно-технической защиты информации, ее методы должны обеспечить реализацию следующих направлений инженерно-технической защиты информации:
предотвращение и нейтрализацию преднамеренных и случайных воздействий на источник информации;
скрытие информации и ее носителей от органа разведки (злоумышленника) на всех этапах добывания информации.
Кроме того, учитывая, что для добывания информации злоумышленник может использовать различные специальные средства (закладные устройства, диктофоны и др.), третье направление включает методы обнаружения, локализации и уничтожения и этих средств, а также подавления их сигналов.
Первое направление объединяют методы, при реализации которых:
-
затрудняется движение злоумышленника или распространение стихийных сил к источнику информации; -
обнаруживается вторжение злоумышленника или стихийных сил в контролируемую зону и их нейтрализация.
Затруднение движения источников угроз воздействия к источникам информации обеспечивается в рамках направления, называемого физической защитой. Физическая защита обеспечивается методами инженерной защиты и технической охраны. Инженерная защита создается за счет использования естественных и искусственных преград на маршрутах возможного распространения источников угроз воздействия.
Искусственные преграды создаются с помощью различных инженерных конструкций, основными из которых являются заборы, ворота, двери, стены, межэтажные перекрытия, окна, шкафы, ящики столов, сейфы, хранилища. Так как любые естественные и искусственные преграды могут быть преодолены, то для
обеспечения надежной защиты информации, как и иных материальных ценностей, необходимы методы обнаружения вторжений в контролируемые зоны и их нейтрализации.