Файл: Объектов информатизации.pdf

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
САНКТ-ПЕТЕРБУРГСКИЙ НАЦИОНАЛЬНЫЙ
ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И ОПТИКИ
Ю.А. Гатчин, Е.В. Климова
ВВЕДЕНИЕ В КОМПЛЕКСНУЮ ЗАЩИТУ
ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ
Учебное пособие
Санкт-Петербург
2011

Гатчин Ю.А., Климова Е.В. Введение в комплексную защиту объектов информа- тизации: учебное пособие. – СПб: НИУ ИТМО, 2011. – 112 с.
Целью данного учебного пособия является ознакомление студентов с основами организации комплексной защиты объектов информатизации.
Рассматриваются принципы создания, этапы разработки и весь процесс проек- тирования комплексных систем защиты информации на предприятии.
Пособие предназначено для бакалавров и магистров, обучающихся по направ- лению Информационная безопасность, курс Основы информационной безопас- ности, а также слушателей факультета повышения квалификации.
Рекомендовано к печати Ученым советом факультета Компьютерных техноло- гий и управления, 18.10.11, протокол № 8.
В 2009 году Университет стал победителем многоэтапного конкурса, в резуль- тате которого были определены 12 ведущих университетов России, которым присвоена категория «Национальный исследовательский университет». Мини- стерством образования и науки Российской Федерации была утверждена про- грамма его развития на 2009–2018 годы. В 2011 году Университет получил наименование «Санкт-Петербургский национальный исследовательский уни- верситет информационных технологий, механики и оптики»

Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, 2011

Гатчин Ю.А., Климова Е.В., 2011

Содержание
Сокращения и условные обозначения ....................................................................... 5
Введение ....................................................................................................................... 6 1. Основные понятия, термины и определения ........................................................ 8 2. Виды и свойства защищаемой информации ....................................................... 11 3. Факторы, воздействующие на защищаемую информацию .............................. 13 4. Сущность и задачи комплексной системы защиты информации .................... 15 5. Принципы организации КСЗИ ............................................................................. 17 6. Роль системного подхода в создании КСЗИ ....................................................... 19 7. Требования к КСЗИ ............................................................................................... 21 8. Обобщенная модель защищенной системы ........................................................ 22 9. Концепция информационной безопасности ...................................................... 24 10. Этапы разработки и жизненный цикл КСЗИ .................................................... 26 11. Определение и нормативное закрепление состава защищаемой информации ........................................................................................ 30 12. Определение объектов защиты .......................................................................... 33 13. Анализ и оценка угроз безопасности информации .......................................... 34 13.1. Основные непреднамеренные искусственные угрозы .............................. 35 13.2. Основные преднамеренные искусственные угрозы .................................. 36 13.3. Классификация угроз безопасности ............................................................ 38 13.4. Источники, виды и способы дестабилизирующего воздействия на информацию ...................................................................................................... 40 13.5. Описание модели гипотетического нарушителя ...................................... 43 14. Определение потенциальных каналов, методов и возможностей .................. 46
НСД к информации ................................................................................................... 46 15. Классификация мер обеспечения безопасности компьютерных систем ....... 50 15.1. Нормативно-правовые меры ........................................................................ 50 15.2. Морально-этические меры ........................................................................... 53 15.3. Административные меры ............................................................................. 54 15.4. Физические меры .......................................................................................... 56 15.5. Технические (программно-аппаратные) меры ........................................... 56 16. Определение компонентов КСЗИ ...................................................................... 58 16.1. Требования к подсистемам ЗИ .................................................................... 58 16.2. Подсистема управления доступом
3

(идентификации и аутентификации пользователей) .......................................... 61 16.3. Подсистема регистрации и учета ................................................................ 61 16.4. Подсистема обеспечения целостности ....................................................... 63 16.5. Криптографическая подсистема .................................................................. 63 16.6. Подсистема антивирусной защиты ............................................................. 65 16.7. Подсистема межсетевого экранирования ................................................... 67 16.8. Подсистема резервного копирования и архивирования ........................... 68 16.9. Подсистема обнаружения атак .................................................................... 69 16.10. Подсистема обеспечения отказоустойчивости ........................................ 70 16.11. Подсистема централизованного управления ИБ ..................................... 70 17. Определение условий функционирования КСЗИ ............................................ 71 18. Разработка модели КСЗИ ................................................................................... 73 19. Технологическое и организационное построение КСЗИ ................................ 76 20. Кадровое обеспечение функционирования КСЗИ ........................................... 78 21. Материально-техническое и нормативно-методическое ................................ 82 обеспечение функционирования КСЗИ .................................................................. 82 22. Назначение, структура и содержание управления КСЗИ ............................... 84 23. Принципы и методы планирования функционирования КСЗИ ..................... 86 24. Сущность и содержание контроля функционирования КСЗИ ....................... 89 25. Управление КСЗИ в условиях чрезвычайных ситуаций ................................. 91 26. Состав методов и моделей оценки эффективности КСЗИ .............................. 93
Заключение ................................................................................................................. 97
Тестовые вопросы ..................................................................................................... 98
Литература ............................................................................................................... 103
Приложение. Основные компьютерные преступления ....................................... 105 4

Сокращения и условные обозначения
АС – автоматизированная система
АСОД – автоматизированная система обработки данных
ГОСТ – государственный стандарт
ГТК – гостехкомиссия
ЗИ – защита информации
ИБ – информационная безопасность
ИТ – информационные технологии
КСЗИ – комплексная система защиты информации
ЛВС – локальная вычислительная сеть
МЭ – межсетевой экран
НСД – несанкционированный доступ
ОИ – объект информатизации
ОС – операционная система
ПК – персональный компьютер
ПО – программное обеспечение
ПС – программные средства
РД – руководящие документы
СЗИ – система защиты информации
СУБД – система управления базами данных
ТЗИ – техническая защита информации
ТС – техническое средство
ФАПСИ – Федеральное Агентство Правительственной Связи и Информации
ФСТЭК – Федеральная служба по техническому и экспортному контролю
5

Введение
Важнейшим ресурсом современного общества является информация, проблема защиты которой весьма актуальна как для различных стран, сооб- ществ и организаций, так и для каждого человека в отдельности. Острота и важность защиты информации определяется следующими факторами:
– повышением важности и общественной значимости информации, уси- лением ее влияния на все без исключения стороны общественной жизни;
– увеличением объемов информации, накапливаемой, хранимой и обраба- тываемой с помощью средств вычислительной техники (ВТ);
– усложнением режимов функционирования технических средств обра- ботки информации (внедрением мультипрограммного режима и режима разде- ления времени);
– сосредоточением в единых банках данных информации различного назначения и принадлежности;
– резким увеличением числа пользователей, имеющих непосредственный доступ к информационным ресурсам и массивам данных;
– совершенствованием способов доступа к информации и интенсифика- цией информационного обмена между пользователями;
– многообразием и расширением круга угроз и каналов несанкциониро- ванного доступа (НСД) к информации.
Финансовые потери в результате каждого электронного преступления оцениваются специалистами oт 100 - 400 тыс. до 1,5 млн. дол. Аналитиками были выделены следующие общие тенденции развития рынка компьютерных преступлений в 2010 году:
– увеличение степени профессионализации его участников;
– расширение рынка за счет появления новых участников и, как след- ствие, снижение цен на востребованные услуги;
– рост внутреннего рынка киберпреступно- сти, охватывающего так называемые услуги
Cybercrime to Cybercrime (С2C), когда хакеры оказывают услуги своим же коллегам;
– направленность на сверхмонетизацию, т.е. получение сверхприбыли.
Приведенный рисунок иллюстрирует тенденции роста доходов хакеров в
России.
6

По мнению экспертов компании Group-IB, за 2010 год основными угро- зами со стороны хакеров стали:
– галопирующий рост количества и сложности DDoS-атак (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслужи- вании»);
– направленные атаки на финансовый сектор;
– резкий всплеск случаев смс-мошенничества на территории стран СНГ;
– использование приемов социальной инженерии в целях хищения персо- нальной информации и интернет-мошенничества;
– целевые атаки на объекты критической инфраструктуры.
Компьютерные преступления совершают, как правило, люди с незапят- нанной репутацией и хорошо владеющие тонкостями информационных техно- логий (ИТ), что затрудняет их раскрытие. Сотрудник компании Прайм компью- тер инкорпорейтед Дик Гилмет сформулировал правило 10-10-80, в соответ- ствии с которым:
–
10% людей - никогда не совершают преступлений (краж);
– 10% - людей - совершают их при каждом удобном случае;
– 80% - не совершают краж, кроме случаев, когда есть такая возможность и гарантия безнаказанности.
В Приложении к учебному пособию приведены уголовные наказания за совершение преступлений в сфере компьютерной информации, предусмотрен- ные главой 28-ой УК РФ, а также подробная классификация компьютерных преступлений по кодификатору Интерпола.
Преступления в сфере компьютерной информации – это своеобразная плата за прогресс в информационной и технической сферах. С ростом совер- шенства компьютерной техники возрастает изощренный характер компьютер- ной преступности. Опасность несанкционировaнныx, злoумышлeнныx дей- ствий в вычислительных средствах и системах является весьма реальной.
Соответственно должны совершенствоваться способы борьбы с этим ви- дом преступлений, которые должны носить системный характер, а также учи- тывать причины и условия совершения преступлений данного вида.
Bcё это обуславливает необходимость углубленного изучения принципов орга- низации комплексных систем защиты информации (КСЗИ); способов анализа и оценки угроз безопасности информации; критериев и условийотнесения ин- формации к защищаемой по видам тайн и степеням конфиденциальности и др.
7

1.
Основные понятия, термины и определения
Основные понятия в области обеспечения безопасности информации определены в ГОСТ Р 50922-2006 – Защита информации. Основные термины и определения (взамен ГОСТ Р 50922-96).
Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от их формы и представления.
Данные – факты, понятия или команды, представленные в формализо- ванном виде и позволяющие осуществлять их передачу или обработку как вручную, так и с помощью средств автоматизации.
Защита информации (ЗИ) – деятельность, направленная на предотвра- щение утечки защищаемой информации, несанкционированных и непреднаме- ренных воздействий на защищаемую информацию.
Формы защиты информации:
правовая – ЗИправовыми методами, включающая в себя разработку за- конодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по ЗИ, применение этих документов (актов), а также надзор и контроль за их исполнением.
техническая (ТЗИ) – ЗИ, заключающаяся в обеспечении некриптографи- ческими методами безопасности информации (данных), подлежащей (подле- жащих) защите в соответствии с действующим законодательством, с примене- нием технических, программных и программно-технических средств.
криптографическая – ЗИс помощью ее криптографического преобразо- вания.
физическая – ЗИ путем применения организационных мероприятий и со- вокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.
Организационные мероприятия по обеспечению физической ЗИ преду- сматривают установление режимных, временных, территориальных, простран- ственных ограничений на условия использования и распорядок работы объекта защиты.
К объектам ЗИ могут быть отнесены: охраняемая территория, здание
(сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.
Способ ЗИ – порядок и правила применения определенных принципов и средств защиты информации.
8

Различают защиту информации от:
утечки – ЗИ, направленная на предотвращение неконтролируемого рас- пространения защищаемой информации в результате ее разглашения и несанк- ционированного доступа к ней, а также на исключение (затруднение) получе- ния защищаемой информации [иностранными] разведками и другими заинтере- сованными субъектами.
несанкционированного воздействия – ЗИ, направленная на предотвраще- ние несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незакон- ному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
непреднамеренного воздействия – ЗИ, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя техни- ческих и программных средств ИС, природных явлений или иных нецелена- правленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
разглашения– ЗИ, направленная на предотвращение несанкционирован- ного доведения защищаемой информации до заинтересованных субъектов (по- требителей), не имеющих права доступа к этой информации.
несанкционированного доступа (НСД)– ЗИ, направленная на предотвра- щение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к за- щищаемой информации.
преднамеренного воздействия– ЗИ, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздей- ствия другой физической природы, осуществляемого в террористических или криминальных целях.
[иностранной] разведки– ЗИ, направленная на предотвращение получе- ния защищаемой информации [иностранной] разведкой.
Замысел ЗИ – основная идея, раскрывающая состав, содержание, взаи- мосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации.
9

Цель ЗИ – выявление, предотвращение, нейтрализация, пресечение, ло- кализация, отражение и уничтожение угроз.
Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и/или несанкци- онированного и непреднамеренного воздействия на информацию.
Система защиты информации – совокупность органов и/или исполни- телей, используемой ими техники ЗИ, а также объектов ЗИ, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области ЗИ.
Безопасность информации [данных] – состояние защищенности ин- формации [данных], при котором обеспечены ее [их] конфиденциальность, до- ступность и целостность.
Политика безопасности (информации в организации) – совокупность документированных правил, процедур, практических приемов или руководя- щих принципов в области безопасности информации, которыми руководствует- ся организация в своей деятельности.
Угроза (безопасности информации) – совокупность условий и факто- ров, создающих потенциальную или реально существующую опасность нару- шения безопасности информации. Угрозы проявляются в нарушении:
– конфиденциальности (разглашение, утечка, НСД),
– достоверности (фальсификация, подделка, мошенничество),
– целостности (искажения, ошибки, потери),
– доступности (нарушение связи, воспрещение получения) информации.