Добавлен: 05.07.2023
Просмотров: 93
Скачиваний: 2
СОДЕРЖАНИЕ
1.Необходимость и цели защиты информации
1.1Основные составляющие информационной безопасности
1.2 Общие требования к системе защиты информации
1.3 Требования к техническому обеспечению систем
1.4 Требования к программному обеспечению информационных систем и сетей
1.5 Требования к системам документирования данных по защите информации
2. Методы и модели защиты информации
2.2 Модель доверительных отношений
2.3 Криптографические методы защиты информации
2.4 Оперативные методы повышения безопасности функционирования программных средств
2.5 Система защиты программных средств от копирования и исследования
2.6 Принципы обеспечения информационной безопасности для компьютерных систем
Введение
Проблема защиты информации является многоплановой и комплексной. Современное развитие электроники, технических средств обработки, хранения и защиты информации происходит динамично и интенсивно. Одновременно совершенствуются и средства несанкционированного доступа и использования, как на программном, так и на программно-аппаратном уровне.
Сегодня защита информации является одной из актуальных проблем национальной безопасности России. Все организации, предприятия и бизнес-структуры работают в вычислительных сетях, информационных системах, которые применяют интернет-технологии, основанные на протоколах TCP/IP, а это требует соблюдения определенных правил, требований, стандартов по сохранности конфиденциальной информации.
Какие проблемы при этом возникают, какие способы и методы защиты существуют, что, сегодня актуально в этой важной сфере деятельности–это является предметом исследований в курсовой работе [1].
С этой целью в работе предполагается рассмотреть и проанализировать следующие задачи:
- Общие, организационные, программные и технические методы обеспечения сохранности информации.
- Методы и модели защиты.
- Модели управления доступом.
- Основные цели аудита.
- Основные задачи администрирования по защите информации.
1.Необходимость и цели защиты информации
Стремительное развитие информационных технологий, совершенствование информационных систем выявили тенденции развития компьютерной преступности, а именно, несанкционированные доступы к конфиденциальной информации и экономический шпионаж. Это определило ряд мер по созданию в России правовой базы информационной безопасности.
Приняты в России ряд законов:
- "О государственной тайне".
- "Об информации, информатизации и защите информации".
- "О правовой охране программ для электронных вычислительных машин и баз данных.
Основные цели защиты информации:
- Предотвращение ущерба в результате информационных атак злоумышленников.
- Разработка адекватных мер противодействия угрозам безопасности.
Поэтому любая организация должна обеспечить в информационных системах эффективную защиту информации на основе организационных, правовых, программных и технических средств контроля. Эти мероприятия не приносят доходов, но уменьшают возможный ущерб от информационных атак, отсюда следует правило соразмерности защиты и стоимости информации[7].
С этой целью проводится категорирование информации. Сегодня существует три категории информационной безопасности:
- доступность;
- конфиденциальность;
- целостность.
Возможный ущерб целесообразно оценить для каждой категории и затем свести у интегральной оценке. Применяется 3-х уровневая шкала, представленная на рис.1
Рис.1. Шкала оценки ущерба при нарушении информационной безопасности
Потенциальный ущерб для организации оценивается как низкий, если организация продолжает выполнять основную функцию, при незначительных финансовых потерях и минимальном снижении эффективности работы персонала. Организация должна осуществлять:
- периодическое и своевременное обслуживание ИС;
- защиту носителей данных;
- защиту систем и коммуникаций;
- поддержку целостности систем и данных.
Выбор систем безопасности осуществляется по результатам категорирования данных и информационной системы.
Наличие категорий и минимальных требований безопасности, а также предопределенного каталога регуляторов безопасности являются основой определения политики безопасности.
1.1Основные составляющие информационной безопасности
Основу информационной безопасности, как многогранной сферы деятельности, определяют категории доступности, целостности и конфиденциальности ресурсов современных информационных систем. Основные свойства информационных систем предполагают наличие именно этих категории, как основополагающих принципов их целевого применения.
Информационные системы предназначены для предоставления информации потребителю, если он обладает определенными полномочиями доступа к этой услуге, которая, в свою очередь, должна гарантировать целостность и ее достоверность.
Для информационных систем управления понятие доступности является критичным, ибо нарушение его может привести к катастрофическим последствиям. Поэтому, сложно определить приоритетность категорий информационной безопасности и их необходимо рассматривать в неразрывной связи, что и определяет комплексный, системный подход в оценках информационной безопасности сетей и вычислительных систем[8].
Непрерывность контроля за выполнением в системах комплексного контроля выполняется через аудит, который позволяет планировать необходимые ресурсы и обеспечивать защиту информации. Этапность организации аудита информационной безопасности представлена на рис.
Основные цели аудита:
- оценка состояния защиты системы;
- обнаружение уязвимых мест
- контроль соответствия систем безопасности целям и задачам системы;
- оценка достаточности затрат на защиту;
- оценка соответствия международным стандартам ИБ;
- оценка соответствия ИС существующим стандартам в области ИБ
Основные характеристики этапов аудита информационной системы представлены ниже[9] (рис.2)
1-ый этап. Планирование работ:
- определение перечня объектов аудита;
- создание рабочей группы;
- разработка нормативных документов;
- определение сроков аудита.
Рис.2.Основные этапы аудита ИБ
2-ой этап. Обследование информационной системы:
- получение необходимой информации;
- проведение мониторинга;
- сканирование средств.
3-ий этап. Анализ и оценка уровня защищенности ИС:
- оценка состояния защиты;
- определение основных информационных потоков;
- разработка механизма защиты;
- анализ угроз безопасности и разработка адекватной модели защиты.
4-ый этап. Модернизация и оптимизация системы информационной безопасности:
- выработка рациональных методов по информационной безопасности и методам защиты информации в системе;
- внедрение системы непрерывного мониторинга программно-технологической безопасности
Возможный вариант комплексного аудита представлен на на рис.3
- Рис.3 Комплексный аудит информационной безопасности
1.2 Общие требования к системе защиты информации
В общем виде защита информации, конструируемая на стадии проектирования сетей и систем, включает в себя следующие группы:
- общие требования;
- требования к техническому обеспечению;
- требования к программному обеспечению;
- требования к администрированию
Общие требования.
Тогда, систему общих требований можно представить в следующем виде[10]:
- структурирование информации по критериям конфиденциальности;
- разработка требований и ограничений на ее использование;
- разработка иерархии доступа;
- внедрение процедур идентификации, аутентификации пользователя;
- разработка привилегий пользователям;
- возможность модификации, наращивание информации;
- непрерывный мониторинг за движением информации.
Организационные требования [2,3].
Организационные требования можно представить как совокупность следующих мероприятий:
- подбор и расстановка персонала;
- сопровождаемый контроль лиц при доступе к вычислительны системам;
- контроль за привилегиями сотрудников, допущенных к эксплуатации информационных ресурсов;
- поддержание компетентности персонала;
- контроль за целостностью программного обеспечения;
- ведение протоколов доступа;
- система обучения и повышения квалификации персонала.
Требования к администрированию информационных систем и сетей
Администрирование – процедуры управления, регламентирующие некоторые процессы или их часть. Как правило, оно фиксирует и руководит процессами и ситуациями, нуждающимися в ограничениях или целевом управлении [5].
Построение компьютерных сетей вызвало необходимость управления (администрирования) ими и созданными на их основе компьютерными вычислительными и информационными системами. В результате появилось системное администрирование.
Основной целью системного администрирования является приведение сети в соответствие с целями и задачами, для которых она предназначена. Достигается эта цель путём управления сетью, позволяющего минимизировать затраты времени и ресурсов, направляемых на управление системой, и в тоже время максимизировать доступность, производительность и продуктивность системы.
Основные задачи администрирования по защите информации можно определить следующим образом:
- разработать и внедрить политику безопасности;
- обеспечить контроль за порядком применения программного обеспечения;
- обеспечить контроль за использованием магнитных носителей;
- обеспечить контроль за результатной информацией;
- разработать и внедрить систему протоколирования и мониторинга доступа сотрудников;
- поддержание архивов в работоспособном состоянии;
- резервное копирование информации;
- управление доступом.
Очевидно, что эффективно выполнять все эти функции и задачи, особенно в сложных крупных компьютерных сетях, человеку весьма затруднительно, а порой и невозможно. Успешное администрирование, особенно сложными компьютерными сетями, реализуется путём применения новейших средств и систем автоматизации этих процессов защиты.
1.3 Требования к техническому обеспечению систем
Совокупность требований к техническому обеспечению систем и сетей можно представить в следующем виде [6]:
- организация доступа и контроля персонала к техническим средствам обработки информации;
- внедрение программно-технологической избыточности в технические комплексы и терминалы;
- контроль за эксплуатацией и техническим обслуживанием технических средств;
- обеспечение контроля за терминальными системами и качеством передаваемой информации;
- обеспечение безопасности технической зоны контроля;
- поддержание систем противопожарной безопасности;
- обеспечение автономности систем связи и энергоснабжения;
- выполнение специальных требований при работе в Интернет.
1.4 Требования к программному обеспечению информационных систем и сетей
Программные средства являются основным средством организации защиты и контроля за безопасностью информации и они должны соответствовать следующим требованиям:
- идентификация и аутентификация объектов защиты должна выполняться с использованием паролей, ключей, систем шифрования и криптографии;
- адаптируемость и модифицируемость систем контроля в условиях действующих и меняющихся средств, систем и методов защиты информации;
- система программного мониторинга за входом и выходом пользователя в информационную систему;
- все доступы пользователя отслеживаются и фиксируются в специальных электронных журналах;
- выполняются требования на контроль копирования, изменения и модификацию файлов;
- контроль за разграничениями владельцев и правообладателей файлов
- защита от несанкционированных попыток доступа с идентификацией злоумышленника и последующей блокировкой доступа;
- система анализа атак с выработкой методов их идентификации и блокировки.