Интеллектуальные компьютерные технологии защиты информации
Учебное пособие
Часть 1 Общие положения защиты информации
В 3-х частях
Содержание
Введение
1. Организационно-административное обеспечение информационной безопасности
1.1 Политика информационной безопасности
1.1.1 Документ с изложением политики информационной безопасности
1.2 Выработка официальной политики предприятия в области информационной безопасности
Краткий обзор
Оценка рисков
Распределение прав пользователей
Что делать, когда политику безопасности нарушают
Пресекать или следить?
Толкование политики безопасности
Гласность политики безопасности
1.3 Организация системы безопасности
Инфраструктура информационной безопасности
Совещание руководящих лиц по информационной безопасности
Координация информационной безопасности
Распределение ответственности за информационную безопасность
Процедура санкционирования в отношении средств информационной технологии
Консультация специалиста по информационной безопасности
Сотрудничество между организациями
Независимая ревизия состояния информационной безопасности17
Ответственность методы оценивания
Неформальные методы поиска оптимальных решений
Угрозы безопасности автоматизированной системы обработки информации
Причины, виды и каналы утечки информации
Модели разграничения доступа к информации
Модели безопасности
Модель пятимерного пространства безопасности Хардстона
Модель Белла-Лападула
Средства разграничения доступа
3.Управление защитой информации
3.1 Введение
3.2 Аудит
Определение и задачи аудита
ISACA
CoBiT
Практика проведения аудита КИС
Результаты проведения аудита КИС
3.3 Управление паролями
Потенциальные угрозы
Пути снижения рисков
Обязательные правила
3.4.Управление идентификаторами привилегированных пользователей
Потенциальные угрозы
Пути снижения рисков
Обязательные правила
3.5 Планирование мероприятий по обеспечению логической безопасности
Потенциальные угрозы
Пути снижения рисков
Обязательные правила
3.6.Планирование мероприятий по обеспечению физической безопасности
Потенциальные угрозы
Пути снижения рисков
3.7 Слежение за состоянием безопасности
Потенциальные угрозы
Пути снижения рисков
3.8 Планирование мероприятий на случай выхода системы из строя
Потенциальные угрозы
Пути снижения рисков
3.9 Использование средств удаленной диагностики
Потенциальные угрозы
Пути снижения рисков
Обязательные правила
Перечень стандартов Республики Беларусь, касающихся информационной безопасности
Перечень правовых актов Республики Беларусь, касающихся информационной безопасности
Глоссарий
Литература (с краткой аннотацией)
Введение
В настоящее время компьютерные технологии высокими темпами внедряются во все сферы человеческой деятельности. Не вызывает сомнения тот факт, что на современном этапе развития общества многие традиционные ресурсы, определяющие развитие человечества, постепенно утрачивают свое первоначальное значение, вместе с этим все большее значение приобретает информация. Бесспорно, информация становится сегодня главным ресурсом научно-технического прогресса и социально-экономического развития мирового сообщества.
Вследствие все большего расширения влияния СМИ, лавинообразного распространения компьютерных систем и их взаимодействия посредством сетей наблюдается все большая зависимость как организаций, так и отдельных людей от информации.
Именно поэтому в последние годы среди ученых и специалистов различного профиля, представителей бизнеса, общественных и политических деятелей усиливается интерес к содержанию и методологии решения информационных проблем, возникающих в различных сферах человеческой деятельности.
Вместе с тем переход информации в разряд важнейших ресурсов человечества вызывает к жизни проблему борьбы за обладание этим ресурсом, и как следствие - появление средств нападения, а соответственно и средств защиты.
В пособии использовались материалы лекций, прочитанных студентам БГУИР на кафедре интеллектуальных информационных технологий, в рамках учебных курсов: «Теоретические основы защиты информации», «Средства и методы обеспечения информационной безопасности», «Проектирование защищенных систем», «Управление защитой информации». Также в пособии использовались материалы из источников, представленных в разделе «Литература».
1. Организационно-административное обеспечение информационной безопасности
Организационно-административное обеспечение безопасности информационных ресурсов организации включает организационно-штатную структуру и официально действующие правила безопасной работы и взаимоотношений пользователей в корпоративной информационной системе (КИС).
Вся совокупность таких правил имеет целью обеспечить поддержку и управление информационной безопасностью и составляет политику информационной безопасности организации.
1.1 Политика информационной безопасности
Политика безопасности (security policy) - множество условий, при которых пользователи могут получить доступ к информации и ресурсам системы. Политика безопасности определяет множество требований (правил), которые должны быть выполнены в конкретной реализации системы.
Высшее руководство организации, предприятия должно выработать четкое руководство и демонстрировать свою поддержку и участие в обеспечении информационной безопасности посредством проведения политики информационной безопасности во всей организации.
1.1.1 Документ с изложением политики информационной безопасности
Высшее руководство должно издать в письменной форме положение об информационной политике для всех подразделений организации. Оно должно содержать, как минимум, следующие принципы:
определение информационной безопасности, ее целей и сферы применения, а также ее значимости как механизма, обеспечивающего совместное использование информации;
заверение руководства о его намерении поддерживать цели и задачи информационной безопасности;
разъяснение специфических направлений политики безопасности, принципов, стандартов и соответствия требованиям, включая:
соответствие нормативно-правовым и договорным, контрактным требованиям;
требования по обучению в области обеспечения безопасности;
предотвращение воздействия деструктивных программ и мероприятия по их обнаружению;
политику планирования бесперебойной работы.
определение общей и особой ответственности для всех аспектов информационной безопасности;
разъяснение процедуры сообщения о подозрительных инцидентах, затрагивающих проблемыбезопасности.
1.2 Выработка официальной политики предприятия в области информационной безопасности
1.2.1 Краткий обзор
1.2.1.1 Организационные вопросы
Целью разработки официальной политики предприятия в области информационной безопасности является определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности. Чтобы достичь данной цели, следует учесть специфику конкретной организации.
Во-первых, необходимо принять во внимание цели и основные направления деятельности организации. Например, в Генеральном штабе Министерства обороны и в университете существенно разные требования к конфиденциальности.
Во-вторых, разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации. Значит, эти законы и правила необходимо выявить и принять во внимание при разработке политики.
В-третьих, если локальная сеть организации не является изолированной, вопросы безопасности следует рассматривать в более широком контексте. Политика должна освещать проблемы, возникающие на локальном компьютере из-за действий удаленной стороны, а также удаленные проблемы, причиной которых является локальный хост или пользователь.
1.2.1.2 Кто делает политику?
Политика безопасности должна стать результатом совместной деятельности технического персонала, способного понять все аспекты политики и ее реализации, а также руководителей, способных влиять на проведение политики в жизнь. Нереализуемая или неподдерживаемая политика бесполезна.
Поскольку политика безопасности так или иначе затрагивает всех сотрудников организации, следует позаботиться о том, чтобы у вас было достаточно полномочий для принятия политических решений. Хотя некоторой группе (например отделу технического обслуживания) может быть поручено проведение политики (или некоторой ее части) в жизнь, возможно, нужна группа более высокого ранга для поддержки и одобрения политики.
1.2.1.3 Кого затрагивает политика?
Политика безопасности потенциально затрагивает всех пользователей компьютеров в организации, причем по нескольким аспектам. Пользователи могут отвечать за администрирование собственных паролей. Системные администраторы или администраторы безопасности обязаны ликвидировать слабые места в защите и следить за работой всех систем.
Важно с самого начала работы над политикой безопасности правильно подобрать состав коллектива разработчиков. Возможно, на предприятии уже есть подразделение информационной безопасности; естественно, люди из этой группы считают безопасность своей вотчиной. Однако к разработке политики безопасности следует привлечь также специалистов по аудиту и управлению, физической безопасности, информационным системам и т.п. Тем самым будет подготовлена почва для понимания и одобрения политики.
1.2.1.4 Распределение ответственности
Ключевым элементом политики является доведение до каждого его обязанностей по поддержанию режима безопасности. Политика не может предусмотреть всего, однако она обязана гарантировать, что для решения каждого вида проблем существует ответственное лицо.
В связи с информационной безопасностью можно выделить несколько уровней ответственности. На первом уровне каждый пользователь компьютерного ресурса обязан заботиться о защите своего ресурса. Пользователь, допустивший компрометацию своего ресурса, увеличивает вероятность компрометации ресурсов, которыми владеют другие пользователи.
Системные администраторы образуют другой уровень ответственности. Они должны обеспечивать защиту компьютерных систем. Сетевых администраторов можно отнести к еще более высокому уровню. Администраторы безопасности - еще более высокий уровень обеспечения информационной безопасности.
1.2.2 Оценка рисков
1.2.2.1 Общие положения
Один из главных побудительных мотивов выработки политики безопасности состоит в получении уверенности, что деятельность по защите информации построена экономически оправданным образом.
Данное положение кажется очевидным, но, вообще говоря, возможны ситуации, когда усилия прикладываются не там, где нужно. Например, много говорят и пишут о хакерах; в то же время в большинстве обзоров по информационной безопасности утверждается, что в типичной организации ущерб от внутренних, «штатных» злоумышленников значительно больше.
Процесс анализа рисков включает в себя определение того, что следует защищать, от чего защищать и как это делать. Необходимо рассмотреть все возможные риски и ранжировать их в зависимости от потенциального размера ущерба. Этот процесс состоит из множества экономических решений. Давно замечено, что затраты на защиту не должны превышать стоимости защищаемого объекта.
Полное рассмотрение проблемы анализа рисков будет дано ниже. Тем не менее в следующих пунктах будут затронуты два этапа процесса анализа рисков:
идентификация активов,
идентификация угроз.
Главной целью деятельности в области информационной безопасности является обеспечение доступности, целостности и конфиденциальности каждого информационного актива. При анализе угроз следует принимать во внимание их воздействие на активы по трем названным направлениям.
1.2.2.2 Идентификация активов
Один из этапов анализа рисков состоит в идентификации всех объектов, нуждающихся в защите. Некоторые активы (например аппаратура) идентифицируются очевидным образом. Про другие (например, про людей, использующих информационные системы) нередко забывают. Необходимо принять во внимание все, что может пострадать от нарушений режима безопасности.
Может быть использована следующая классификация активов:
Аппаратура: процессоры, модули, клавиатуры, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы, мосты, маршрутизаторы.
Программное обеспечение: исходные тексты, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные программы.
Данные: обрабатываемые, непосредственно доступные, архивированные, сохраненные в видерезервной копии, регистрационные журналы, базы данных, данные, передаваемые по коммуникационным линиям.
Люди: пользователи, обслуживающий персонал.
Документация: по программам, по аппаратуре, системная, по административным процедурам, побезопасности.
Расходные материалы: бумага, формы, бланки, красящая лента, магнитные носители.
1.2.2.3 Идентификация угроз
После того как выявлены активы, нуждающиеся в защите, необходимо идентифицировать угрозы этим активам и размеры возможного ущерба. Эта работа должна быть направлена на то, чтобы понять, каких угроз следует опасаться больше всего. В следующих пунктах перечисляются некоторые из возможных видов угроз.
Несанкционированный доступ
Несанкционированный доступ к компьютерным ресурсам - угроза, типичная для большинства организаций. Несанкционированный доступ может принимать различные формы. Иногда это нелегальное использование счета другого пользователя для получения доступа к системе. В других случаях ресурсами пользуются без предварительно полученного разрешения.
Степень важности проблемы несанкционированного доступа для разных организаций разная. Порой передача прав доступа неавторизованному пользователю может привести к разрушению магнитных носителей. Чаще несанкционированный доступ облегчает исполнение других угроз. Разнится и реальность нападения: некоторые организации (известные университеты, правительственные и военные учреждения) как бы притягивают к себе злоумышленников. Следовательно, риск несанкционированного доступа меняется от предприятия к предприятию.
Нелегальное ознакомление с информацией
Нелегальное ознакомление с информацией - другая распространенная угроза. Определите степень конфиденциальности информации, хранящейся в ваших компьютерах. Расшифровка файла паролей откроет дорогу несанкционированному доступу. Мимолетный взгляд на ваше коммерческое предложение может дать конкуренту решающее преимущество. Техническая статья способна вместить в себя годы напряженных исследований.
Отказ в обслуживании
Компьютеры и сети предоставляют своим пользователям множество ценных услуг, от которых зависит эффективная работа многих людей. Когда услуги вдруг становятся недоступными, возникают потери -прямые и косвенные.
Отказ в обслуживании возникает по разным причинам и проявляется по-разному. Сеть может прийти в неработоспособное состояние от поддельного пакета, перегрузки или по причине отказа компонента. Вирус способен замедлить или парализовать работу компьютерной системы. Каждая организация должна определить для себя набор необходимых сервисов и для каждого из них проанализировать последствия его недоступности.
1.2.3 Распределение прав пользователей
При разработке политики безопасности необходимо дать ответы на ряд вопросов, а именно:
Кто имеет право использовать ресурсы?
Как правильно использовать ресурсы?
Кто наделен правом давать привилегии и разрешать использование?
Кто может иметь административные привилегии?
Каковы права и обязанности пользователей?
Каковы права и обязанности администраторов безопасности (системных и сетевых администраторов) по отношению к другим пользователям?
Как работать с конфиденциальной информацией?
Кроме того, представляется целесообразным отразить в политике этические аспекты использования вычислительных ресурсов.
|