Logo GenDocs.ru

Поиск по сайту:  

Загрузка...

Шпаргалка - основы информационной безопасности - файл 1.docx


Шпаргалка - основы информационной безопасности
скачать (118.8 kb.)

Доступные файлы (1):

1.docx119kb.20.12.2011 11:21скачать

1.docx

1   2   3
^

Модель систем дискреционного разграничения доступа


Данная модель характеризуется разграничением доступа между поименованными субъектами и объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Для каждой пары (субъект--объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту). Возможны, по меньшей мере, два подхода к построению дискреционного управления доступом:

  • каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту;

  • система имеет одного выделенного субъекта – суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.

Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и/или изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем (UNIX или Windows семейства NT).

Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений согласно требованиям к системе защиты информации.
^

Мандатное управление доступом


Для реализации этого принципа каждому субъекту и объекту должны сопоставляться классификационные метки, отражающие место данного субъекта (объекта) в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа. 

  • субъект может читать объект, только если иерархическая классификация субъекта не меньше, чем иерархическая классификация объекта, и неиерархические категории субъекта включают в себя все иерархические категории объекта;

  • субъект осуществляет запись в объект, только если классификационный уровень субъекта не больше, чем классификационный уровень объекта, и все иерархические категории субъекта включаются в неиерархические категории объекта.

Реализация мандатных правил разграничения доступа должна предусматривать возможности сопровождения изменения классификационных уровней субъектов и объектов специально выделенными субъектами. Должен быть реализован диспетчер доступа, то есть средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном его разрешении и дискреционными, и мандатными правилами разграничения доступа. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.
^

Ролевое разграничение


Основной идеей управления доступом на основе ролей является идея о связывании разрешений доступа с ролями, назначаемым каждому пользователю. Эта идея возникла одновременно с появлением многопользовательских систем. Однако до недавнего времени исследователи мало обращали внимание на этот принцип.

Ролевое разграничение доступа представляет собой развитие политики дискреционного разграничения доступа, при этом права доступа субъектов системы на объекты группируются с учетом их специфики их применения, образуя роли.

Такое разграничение доступа является составляющей многих современных компьютерных систем. Как правило, данный подход применяется в системах защиты СУБД, а отдельные элементы реализуются в сетевых операционных системах.

Задание ролей позволяет определить более четкие и понятные для пользователей компьютерной системы правила разграничения доступа. При этом такой подход часто используется в системах, для пользователей которых четко определен круг их должностных полномочий и обязанностей.



Роль является совокупностью прав доступа на объекты компьютерной системы, однако ролевое разграничение отнюдь не является частным случаем дискреционного разграничения, так как ее правила определяют порядок предоставления прав доступа субъектам компьютерной системы в зависимости от сессии его работы и от имеющихся (или отсутствующих) у него ролей в каждый момент времени, что является характерным для систем мандатного разграничения доступа. С другой стороны, правила ролевого разграничения доступа являются более гибкими, чем при мандатном подходе к разграничению.

Если подвести итог, то у каждой из перечисленных нами систем есть свои преимущества, однако ключевым является то, что ни одна из описанных моделей не стоит на месте, а динамично развивается. Приверженцы есть у каждой из них, однако, объективно посмотрев на вещи, трудно отдать предпочтение какой-то одной системе. Они просто разные и служат для разных целей.

Билет №29 Стандарты информационной безопасности.

В Глобальной сети уже давно существует целый ряд комитетов, которые занимаются стандартизацией всех интернет-технологий. Эти организации, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF), уже стандартизировали нескольких важных протоколов, тем самым ускорив их внедрение в сети. Семейство протоколов для передачи данных TCP/IP, SMTP и POP для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью - результаты деятельности IETF.

По мере развития рынков, связанных с Интернетом, предприниматели начали объединяться в специальные группы или консорциумы для продвижения своих собственных стандартов. В качестве примеров можно упомянуть OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum и Java Development Connection.

В качестве средств обеспечения безопасности в сети Интернет популярны протоколы защищенной передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились сравнительно недавно, и сразу стали стандартами де-факто.
^

SSL (TLS)


Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной передачи по сети представляет собой набор криптографических алгоритмов, методов и правил их применения. Позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи.

SET


SET (Security Electronics Transaction) - перспективный протокол, обеспечивающий безопасные электронные транзакции в Интернете. Он основан на использовании цифровых сертификатов по стандарту Х.509 и предназначен для организации электронной торговли через сеть.

Данный протокол является стандартом, разработанным компаниями "MasterCard" и "Visa" при участии "IBM", "GlobeSet" и других партнеров. С его помощью покупатели могут приобретать товары через Интернет, используя самый защищенный на сегодняшний день механизм выполнения платежей. SET - это открытый стандартный многосторонний протокол для проведения платежей в Интернете с использованием пластиковых карточек. Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. SET можно считать стандартной технологией или системой протоколов выполнения безопасных платежей на основе пластиковых карт через Интернет.

IPSec


Спецификация IPSec входит в стандарт IP v. 6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разрабатывается Рабочей группой IP Security IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты.

Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо от работающего приложения, шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети. IPSec работает поверх обычных протоколов связи, поддерживая DES, MD5 и ряд других криптографических алгоритмов.
^

Государственные стандарты


ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации



ГОСТ Р ИСО/МЭК 9594-8-98 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации.

ГОСТ Р ИСО/МЭК 9594-9-95 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование

ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования"

ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования

ГОСТ Р 34.10-94 Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма.

ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита информации. Функция хэширования

Билет №30 Правовое обеспечение защиты информации. Нормативные документы.

Примером действующих законодательных актов в Российской Федерации, которыми регламентированы цивилизованные юридические и моральные отношения в сфере информационного рынка, являются законы РФ «Об информации, информатизации и защите информации» от 20.02.1995 г. № 24-ФЗ; «О правовой охране программ для ЭВМ и баз данных» № 5351 -4 от 9.07.1993 г. в редакции Федерального закона от 19.07.95 № 110-ФЗ и др.; примером предписаний морально-этического характера – "Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США".

Закон РФ "Об информации, информатизации и защите информации" от 20.02.1995 г. создает условия для включения России в международный информационный обмен, предотвращает бесхозяйственное отношение к информационным ресурсам и информатизации, обеспечивает информационную безопасность и права юридических и физических лиц на информацию. Заложив юридические основы гарантий прав граждан на информацию, закон направлен на обеспечение защиты собственности в сфере информационных систем и технологий, формирование рынка информационных ресурсов, услуг, систем, технологий, средств их обеспечения. Закон состоит из 25 статей, сгруппированных по пяти главам:

Общие положения.

Информационные ресурсы.

Пользование информационными ресурсами.

Информатизация, информационные системы, технологии и средства их обеспечения.

Защита информации и прав субъектов в области информационных процессов и информатизации.

В законе определено комплексное решение проблемы организации информационных ресурсов, правовые положения по их использованию и предлагается рассматривать информационные ресурсы в двух аспектах:

как материальный продукт, который можно продавать и покупать;

как интеллектуальный продукт, на который распространяется право интеллектуальной собственности, авторское право.

Следует заметить, что в действующем ныне Уголовном кодексе РФ имеется глава "Преступления в сфере компьютерной информации". В ней содержатся три статьи: "Неправомерный доступ к компьютерной информации» (ст. 272), "Создание, использование и распространение вредоносных программ для ЭВМ" (ст. 273) и "Нарушение прав эксплуатации ЭВМ, систем ЭВМ или их сетей" (ст. 274).

В зависимости от серьезности последствий компьютерного злоупотребления к лицам, его совершившим, могут применяться различные меры наказания, вплоть до лишения свободы сроком до 5 лет.

  • Федеральный Закон «Об информации, информатизации и защите информации».

  • Федеральный Закон «Об участии в международном информационном обмене».

  • Федеральный Закон «О связи».

  • Закон Российской Федерации «О защите прав потребителей».

  • Закон Российской Федерации «О сертификации продукции и услуг».

  • Закон Российской Федерации «О федеральных органах правительственной связи и информации».

  • Указ Президента Российской Федерации 1999 г. № 212 «Вопросы Государственной технической комиссии при Президенте Российской Федерации».

  • Постановление Правительства Российской Федерации 2000 г № 326 «О лицензировании отдельных видов деятельности».

  • Постановление Правительства Российской Федерации 1995 г. № 333 «О лицензировании деятельности предприятий и организаций по проведению работ, связанных с использованием сведений составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны».

  • Решение Гостехкомиссии России и ФАПСИ 1994 г. № 10 «Положение о государственном лицензировании деятельности в области защиты информации».

Система аттестации объектов информатизации по требованиям безопасности является составной частью единой системы сертификации и подлежит государственной регистрации в установленном Госстандартом России порядке.



Сертификация средств защиты информации. Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Гостехкомиссией России.
Объекты информатизации. Под объектами информатизации понимаются автоматизированные системы (АС) различного уровня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены.
Аттестация объектов информатизации по требованиям ИБ. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

Билет №31 ^ Разрушающие программные воздействия: вирусы и закладки. Антивирусные средства.

Компью́терный ви́рус — разновидность компьютерных программ, отличительной особенностью которых являетсяспособность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. По этой причине вирусы относят к вредоносным программам.

Компьютерный вирус — распространяется в пределах одного компьютера. На другой компьютер вирус может «перепрыгнуть» только при непреднамеренном распространении заражённых файлов — например, через внешние носители.

Огромное множество вирусов можно разбить на несколько обобщенных групп. Это - вирусы, поражающие загрузочные секторы (загрузочные вирусы); вирусы, поражающие исполняемые файлы, в том числе СОМ-, ЕХЕ-, SYS-, ВАТ- файлы и некоторые другие (файловые вирусы). И наконец, комбинированные вирусы.

Закладка – такая программа, которая ассоциируется с утилитой по принципу обыкновенного файлового вируса. Программа никак не проявляет себя внешне, однако сохраняет весь ввод с клавиатуры в скрытом файле. При рассмотрении воздействия закладки и программ защиты информации уместны аналогии с взаимодействием вируса и прикладной программы. Вирус может присоединиться к исполняемому файлу, соответствующим образом изменив его, может уничтожить некоторые файлы или встроиться в цепочку драйверов. Закладка отличается более направленным и тонким воздействием. Однако ясно, что и вирус, и закладка должны скрывать свое присутствие в операционной среде компьютерной системы. Особенностью закладок может быть и то, что они фактически становятся неотделимы от прикладных или системных программ, если внедрены в них на стадии разработки или путем обратного проектирования.

Существует довольно много классов антивирусных программ. Это резидентные программы-сторожа, программы-фаги, ревизоры и др.

Сторожа, находясь непрерывно в памяти, постоянно контролируют вирусоподобные операции, производимые программами с диском и памятью. Они могут предотвратить заражение диска, однако сторожа обладают рядом недостатков, которые, к сожалению, не позволяют рекомендовать их для повседневного использования. К этим недостаткам можно отнести назойливость (сторож, например, выдает предупреждение о любой попытке копирования исполняемого файла), возможность конфликтов с другим программным обеспечением, возможность обхода сторожей некоторыми вирусами. Все же рекомендуется иметь какой-нибудь резидентный сторож, который надо загружать в тех случаях, когда возникает необходимость первый раз запустить программу, полученную из непроверенного источника.

В одном ряду с резидентными сторожами стоят аппаратно-программные антивирусные средства, обеспечивающие более надежную защиту от проникновения вируса в систему. Однако возможность применения этих средств требует дополнительного рассмотрения с точки зрения конфигурации используемого на компьютере дополнительного оборудования, например модемов или сетевых плат.

Программы-полифаги умеют обнаруживать фиксированный набор известных вирусов и немедленно удалять их из зараженных файлов. К недостаткам этих программ можно отнести то, что они охватывают далеко не все известные вирусы и часто отстают от появления новых.

Программы-ревизоры умеют своевременно обнаруживать заражение компьютера практически любым из существующих сейчас вирусов, не допуская развития эпидемии, а современные версии ревизора умеют немедленно удалять большинство даже ранее незнакомых им вирусов. К недостаткам ревизоров можно отнести то, что для обеспечения безопасности они должны использоваться регулярно, например, ежедневно вызываясь из файла AUTOEXEC.ВАТ. Но несомненными их преимуществами являются высокая скорость проверок и то, что они не требуют частого обновления версий. Версии ревизора даже полугодовой или годовой давности надежно обнаруживают и удаляют современные вирусы.

^ Билет №32 Психологические аспекты информационной безопасности организации.



 На всех стадиях информационного процесса ведущая роль принадлежит человеку - носителю, пользователю информации и знания. От того, как будут учтены в информационных процессах интересы, психологические установки, свойства личности, зависит эффективность использования информации.

 По мнению исследователей, для создания атмосферы информационной безопасности наиболее эффективны меры, связанные с повышением информационной культуры на предприятии.

      Необходимо формировать четкую целевую установку на повышение надежности и ответственности в вопросах защиты информации. Так, во многих американских фирмах действует двухуровневая система защиты информации. Первый уровень.— обеспечение информационной безопасности силами спецслужб, второй -культивирование атмосферы бдительности и ответственности с помощью так называемых координаторов, назначаемых из служащих среднего звена.

      Целесообразно разбить технологический процесс на ряд самостоятельных этапов, чтобы служащие знали только часть секретов, а цельным знанием владело лишь руководство или узкий круг лиц. Необходим постоянный мониторинг отношений между людьми, владеющими информацией, учет их морального и психологического состояния. Основаниями для беспокойства являются: проявления эмоциональной неуравновешенности, недовольства, хитрости, разочарования служащих, идеи которых отвергнуты. Предлагается создать систему внутрифирменной коммуникации, не допускающей полной автономности отдельных работников. В целом, психологическое обеспечение коммерческой тайны в процессе отбора, подготовки, выдвижения и увольнения кадров эффективнее и дешевле, чем при обычном засекречивании информации. Весьма эффективны организационно-психологические меры защиты информации:
• дробление, распределение информации между сотрудниками;
• ведение учета ознакомления сотрудников с особо важной информацией;
• распространение информации только через контролируемые каналы;
• назначение лиц, ответственных за контроль документации;
• обязательное уничтожение неиспользованных копий документов и записей;
• четкое определение коммерческой тайны для персонала;
• составление, регулярная оценка и обновление перечня информации, представляющей коммерческую тайну;
• включение пункта о неразглашении коммерческой тайны в трудовой договор, правила внутреннего распорядка и должностные инструкции;
• включение положений о неразглашении тайны в соглашения и договоры с партнерами.

      Особо остановимся на мерах по обеспечению информационной безопасности при увольнении сотрудника. О намерениях сотрудника уволиться косвенно свидетельствует посещение соответствующих сайтов в Интернете, рассылка резюме. С этого момента вся переписка с рабочего адреса и некоторые операции на ПК должны быть взяты под негласный контроль. Как можно скорее в отсутствие данного пользователя необходимо сделать резервную копию всех его файлов. Принимая во внимание, что сотрудник может изменить свои намерения и остаться, а также допуская, что просмотр вакансий мог осуществляться по просьбе знакомых, ищущих работу, нет необходимости принимать сразу явные меры безопасности.

      Если сотрудник объявил о своем увольнении, можно принять следующие меры:
• проинформировать всех сотрудников о предстоящем увольнении и запретить передавать ему любую или какую-то конкретную информацию, имеющую отношение к работе;
• сделать резервную копию файлов пользователя;
• организовать передачу дел;
• постепенно, по мере передачи дел, сокращать права доступа к информации;
• по необходимости организовать сопровождение увольнения специалистом по информационной безопасности.

      Если сотрудник уличен в промышленном шпионаже необходимо:
• немедленно лишить его всех прав доступа к ИТ;
• немедленно скорректировать права доступа к общим информационным ресурсам (базам данных, принтерам, факсам), перекрыть входы во внешние сети или изменить правила доступа к ним;
• все сотрудники должны сменить личные пароли, при этом до их сведения доводится следующая информация: «Сотрудник N с (дата) не работает. При любых попытках контакта с его стороны немедленно сообщать в службу безопасности»;
• некоторое время контроль ИС осуществляется в усиленном режиме.
      Если сотрудник увольняется не по причине уличения в промышленном шпионаже, то перечисленные меры не должны быть чрезмерно настойчивы, дабы не оказывать негативного воздействия на психологическое состояние человека. Необходимо внушить сотруднику, что таков общий порядок и он лично ни в чем не подозревается.

      Если сотрудники увидят, что увольнение каждого пользователя ПК неразрывно связано с моральным ущербом, то пострадает общий социально-психологический климат: организация будет ассоциироваться с тюрьмой или сектой. Кроме того, нецелесообразно портить отношения со всеми увольняющимися сотрудниками: кто-то может вернуться, а кто-то - оказать помощь.

      Если сотрудника увольняют, уличив в промышленном шпионаже, то процедура сопровождения остается на усмотрение службы безопасности. Задача службы управления персоналом: происходящее не должно нанести ущерб социально-психологическому климату в коллективе, а по возможности, напротив, консолидировать остальных сотрудников.



      Меры по обеспечению информационной безопасности с позиций «человеческого фактора» можно рассматривать в качестве щита от воровства информации как специфического ресурса, имеющего значительную ценность.
1   2   3



Скачать файл (118.8 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации