Logo GenDocs.ru

Поиск по сайту:  


Загрузка...

Ответы по методам и средствам ЗИ - файл 1.doc


Ответы по методам и средствам ЗИ
скачать (135 kb.)

Доступные файлы (1):

1.doc135kb.15.12.2011 15:45скачать

содержание
Загрузка...

1.doc

Реклама MarketGid:
Загрузка...
1. Методы защиты информации в компьютерных системах.
Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом — методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации. Управление доступом включает следующие функции защиты:

• идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

• разрешение и создание условий работы в пределах установленного регламента;

• регистрацию (протоколирование) обращений к защищаемым ресурсам;

• реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.

Криптография необходима для реализации, по крайней мере, трех сервисов безопасности:

  • шифрование;

  • контроль целостности;

  • аутентификация.

Механизмы шифрования — криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

Различают два основных метода шифрования: симметричный и асимметричный. В первом из них один и тот же ключ (хранящийся в секрете) используется и для зашифрования, и для расшифрования данных. Разработаны весьма эффективные (быстрые и надежные) методы симметричного шифрования.

В основе криптографического контроля целостности лежат два понятия:

  • хэш-функция;

  • электронная цифровая подпись (ЭЦП).

Хэш-функция – это труднообратимое преобразование данных (односторонняя функция), реализуемое, как правило, средствами симметричного шифрования со связыванием блоков. Результат шифрования последнего блока (зависящий от всех предыдущих) и служит результатом хэш-функции.

^ Электро́нная цифрова́я по́дпись— реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе, а также обеспечивает неотказуемость подписавшегося.

Аутентификация (англ. Authentication) — процедура проверки соответствия некоего лица и его учетной записи в компьютерной системе. В простейшем случае проверка происходит с помощью пароля.

Текстовый ввод логина и пароля вовсе не является единственным методом аутентификации. Всё большую популярность набирает аутентификация с помощью электронных сертификатов, пластиковых карт и биометрических устройств, например, сканеров радужной оболочки глаза или отпечатков пальцев или ладони.

В последнее время всё чаще применяется, так называемая, расширенная или многофакторная аутентификация. Она построена на использовании нескольких компонент, таких как: информация, которую пользователь знает (пароль), использовании физических компонентов (например, идентификационные брелоки или смарт-карты), и технологии идентификации личности (биометрические данные).

Процедура аутентификации используется при обмене информацией между компьютерами, при этом используются весьма сложные криптографические протоколы, обеспечивающие защиту линии связи от прослушивания или подмены одного из участников взаимодействия. А поскольку, как правило, аутентификация необходима обоим объектам, устанавливающим сетевое взаимодействие, то аутентификация должна быть взаимной.

^ Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ.

100 % защиты от всех вредоносных программ не существует. Чтобы снизить риск потерь от воздействия вредоносных программ рекомендуется:

  • использовать современные операционные системы, имеющие серьезный уровень защиты от вредоносных программ;

  • использовать программное обеспечение с установленным режимом автоматического обновления, что позволяет поддерживать серьезный уровень противодействия вредоносным программам;

  • постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере;

  • использовать специализированные программные продукты, которые для противодействия вредоносным программам используют, так называемые, эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы;

  • использовать анти-вирусные программные продукты известных производителей, с автоматическим обновлением сигнатурных баз;

  • использовать персональный Firewall, контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь;

  • указывать в своих межсетевых экранах узлы, которым нельзя доверять;

  • ограничить физический доступ к компьютеру посторонних лиц;

  • использовать внешние носители информации только от проверенных источников;

  • не открывать компьютерные файлы, полученные от ненадежных источников

Вся совокупность технических средств подразделяется на аппаратные и физические.

^ Аппаратные средства — устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

^ Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.

^ Программные средства — это специальные программы и программные комплексы, предназначенные для защиты информации в ИС.

Из средств ПО системы защиты необходимо выделить еще программные средства, реализующие механизмы шифрования (криптографии), Криптография — это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

^ Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий.

^ Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

^ Морально-этические средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения.

Литература.

  1. Щербаков А. Ю., Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.:Книжный мир, 2009. — 352 с

  2. Шаньгин В. Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. — 544 с

  3. http://mirknig.com/index.php?do=register


2. Проектирование и построение систем защиты информации
Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:

  • выявить требования защиты информации, специфические для данного объекта защиты;

  • учесть требования национального и международного Законодательства;

  • использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;

  • определить подразделения, ответственные за реализацию и поддержку СОИБ;

  • распределить между подразделениями области ответственности в осуществлении требований СОИБ;

  • на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;

  • реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;

  • реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);

  • используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

Существуют определенные правила, которых целесообразно придерживаться при организации защиты информации:

  • создание и эксплуатация систем защиты информации является сложным и ответственным процессом. Не доверять вопросы защиты информации дилетантам, поручите их профессионалам;

  • не стараться организовать абсолютно надежную защиту - такой просто не существует. Система защиты должна быть достаточной, надежной, эффективной и управляемой. Эффективность защиты информации достигается не количеством денег, потраченных на ее организацию, а способностью ее адекватно реагировать на все попытки несанкционированного доступа к информации;

  • мероприятия по защите информации от несанкционированного доступа должны носить комплексный характер, т.е. объединять разнородные меры противодействия угрозам (правовые, организационные, программно-технические);

  • основная угроза информационной безопасности компьютерных систем исходит непосредственно от сотрудников. С учетом этого необходимо максимально ограничивать как круг сотрудников, допускаемых к конфиденциальной информации, так и круг информации, к которой они допускаются (в том числе и к информации по системе защиты). При этом каждый сотрудник должен иметь минимум полномочий по доступу к конфиденциальной информации.

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая ^ Политика информационной безопасности или Политика безопасности (англ. organizational security policies) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

  • Защита объектов информационной системы;

  • Защита процессов, процедур и программ обработки информации;

  • Защита каналов связи;

  • Подавление побочных электромагнитных излучений;

  • Управление системой защиты.

Для создания комплексной системы защиты информации на предприятии необходимо провести ряд мероприятий.



Рис 1. Полный цикл работ по обеспечению информационной безопасности

Этапы работ по проектированию системы информационной безопасности

1. Разработка Концепции обеспечения информационной безопасности. Определяются основные цели, задачи и требования, а также общая стратегия построения системы ИБ. Идентифицируются критичные информационные ресурсы. Вырабатываются требования к системе ИБ и определяются базовые подходы к их реализации.

2. Создание / развитие политики ИБ.

3. Построение модели системы управления ИБ (на основе процессно-ролевой модели).

4. Подготовка технического задания на создание системы информационной безопасности.

5. Создание модели системы ИБ.

6. Разработка техническо-рабочего проекта (ТРП) создания системы ИБ и архитектуры системы ИБ. ТРП по созданию системы ИБ включает следующие документы.

  • Пояснительную записку, содержащую описание основных технических решений по созданию системы ИБ и организационных мероприятий по подготовке системы ИБ к эксплуатации.

  • Обоснование выбранных компонентов системы ИБ и определение мест их размещения. Описание разработанных профилей защиты.

  • Спецификацию на комплекс технических средств системы ИБ.

  • Спецификацию на комплекс программных средств системы ИБ.

  • Определение настроек и режима функционирования компонентов системы ИБ.

7. Тестирование на стенде спроектированной системы ИБ.

8. Разработка организационно-распорядительных документов системы управления ИБ (политик по обеспечению информационной безопасности, процедур, регламентов и др.).

9. Разработка рабочего проекта (включая документацию на используемые средства защиты и порядок администрирования, план ввода системы ИБ в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы.
Литература.

  1. http://www.marketer.ru/node/1503

  2. Национальный стандарт РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006).

  3. Национальный стандарт РФ «Информационная технология. Практические правила управления информационной безопасностью» (ГОСТ Р ИСО/МЭК 17799—2005).

  4. Петренко С. А., Курбатов В. А. Политики информационной безопасности. — М.:Компания АйТи, 2006.

  5. http://mirknig.com/index.php?do=register

  6. http://www.topsbi.ru/?artID=998


^ 3. Основные нормативные акты в сфере информационной безопасности
За последние пять-семь лет сформирован большой массив российского законодательства и принято множество (несколько сотен) подзаконных актов, регулирующих разные направления деятельности в информационной сфере.

Перечень актов, отнесенных к категории источников, свидетельствует о том, что, во-первых, законодательство в самом широком смысле уделяет большое внимание информационной проблематике и, во-вторых, тема информации и других компонентов информатики рассредоточена по всем отраслям законодательства, а также по всем уровням нормативно-правовой системы.

По уровню принятия нормативных правовых актов информационного законодательства и их действию и пространстве можно выделить федеральные акты, акты субъектов Российской Федерации и акты органов местного самоуправления.

Федеральный уровень источников информационного права представляется информационно-правовыми нормами Конституции РФ, федеральными конституционными законами, федеральными законами, указами и нормативными распоряжениями Президента РФ, постановлениями и нормативными распоряжениями Правительства РФ, нормативными правовыми актами федеральных министерств и ведомств:

  • на уровне субъектов РФ - это законы и иные нормативные правовые акты высших органов государственной власти субъектов Российской Федерации и нормативные правовые акты органов исполнительной власти субъектов Российской Федерации.

  • на уровне органов местного самоуправления представляются нормативными правовыми актами этих органов, принимаемыми в порядке применения норм федерального уровня и уровня субъектов Российской Федерации.

Структура информационного законодательства может быть представлена следующей совокупностью информационных правовых норм и актов информационного законодательства:

  • информационно-правовые нормы международных актов;

  • информационно-правовые нормы Конституции РФ;

  • нормативные правовые акты отрасли информационного законодательства;

  • информационно-правовые нормы в составе других отраслей законодательства.

Законодательство о создании и применении информационных систем, их сетей, иных информационных технологий и средств их обеспечения представлено блоком федеральных законов информационного законодательства и отдельных норм других актов. Сюда входят нормы Федерального закона «Об информации, информатизации и защите информации», нормы из Гражданского кодекса РФ, Федеральный закон от 16 февраля 1995 г. № 15-ФЗ «О связи», Закон РФ от 10 июня 1993г. № 5151-1 «О сертификации продукции и услуг», отдельные нормы других актов.

Федеральный закон "Об информации, информатизации и защите информации", определяя нормы, согласно которых сведения относятся к категории конфиденциальных, устанавливает и цели защиты информации:

  • предотвращение утечки, хищения, искажения, подделки информации;

  • предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации;

  • сохранение государственной тайны, конфиденциальности документированной информации.

Законодательство об информационной безопасности включает в свой состав Закон РФ от 5 марта 1992 г. № 2446-1 «О безопасности», нормы Федерального закона «Об информации, информатизации и защите информации», Закон РФ от 19 февраля 1993 г. № 4524-1 «О федеральных органах правительственной связи и информации», отдельные нормы других актов.

Закон «Об авторском праве и смежных правах» устанавливает такие формы использования программ (и программного обеспечения - их совокупности), как адаптация; модификация; компилирование; воспроизведение; распространение (доступ любым, в том числе и сетевым, способом, путем продажи, проката, сдачи в наем, предоставления в займы, включая импорт для любой из этих целей); выпуск в свет, включение в хозяйственный оборот. Законодательство об авторском праве и смежных правах представлено Законом РФ от 9 июля 1993 г. «Об авторском праве и смежных правах», законами РФ от 23 сентября 1992 г. №3526-1 «О правовой охране программ для электронно-вычислительных машин и баз данных», «О правовой охране топологий интегральных микросхем» и отдельными нормами других актов. Основные нормы патентного законодательства представлены Патентным законом Российской Федерации. Законодательство о ноу-хау только лишь формируется. В настоящее время разработан проект федерального закона «О коммерческой тайне», обсуждаются вопросы создания проекта федерального закона «О служебной тайне».

Концепция нормативно-правового обеспечения информационной безопасности базируется на Доктрине информационной безопасности, которая ориентирует на выделение четырех основных составляющих национальных интересов России в информационной сфере:

  • соблюдение прав и свобод и гражданина в области получения информации и пользования ею при соблюдении гарантий в области персональных данных и личных тайн;

  • информационное обеспечение государственной политики Российской Федерации, формирование достоверной информации о политике государства при обеспечении баланса интересов общества, государства, личности;

  • развитие современных информационных технологий, отечественной индустрии информации, индустрии средств информатизации, коммуникаций и связи, формирование рынка на эти виды продукции;

  • защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем на территории России.

В 2002 году был принят Закон РФ «Об электронно-цифровой подписи», который стал законодательной основой электронного документооборота в России. По этому закону электронная цифровая подпись в электронном документе признаётся юридически равнозначной подписи в документе на бумажном носителе.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся

  • Акты федерального законодательства:

    • Международные договоры РФ;

    • Конституция РФ;

    • Законы федерального уровня (включая федеральные конституционные законы, кодексы);

    • Указы Президента РФ;

    • Постановления правительства РФ;

    • Нормативные правовые акты федеральных министерств и ведомств;

    • Нормативные правовые акты субъектов РФ, органов местного самоуправления и т.д.

  • Методические документы государственных органов России:

    • Доктрина информационной безопасности РФ;

    • Руководящие документы Гостехкомиссии;

    • Руководящие документы ФСТЭК;

    • Приказы ФСБ;

  • Стандарты информационной безопасности, из которых выделяют:

    • Международные стандарты;

    • Государственные (национальные) стандарты РФ;

    • Рекомендации по стандартизации;

    • Методические указания.


Литература:
  1. http://dvabop.narod.ru/public/knigi/ibr/glava4/glava4_1.htm

  2. ^

    Родичев Ю. Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008. — 272 с


  3. http://mirknig.com/index.php?do=register




Скачать файл (135 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации
Рейтинг@Mail.ru