Аэрокосмического приборостроения

Аэрокосмического приборостроения

Кафедра безопасности информационных систем

 

 

К.т.н. Воронов А.В.

 

 

«Основы защиты информации»

 

Учебное пособие.

 

 

Санкт-Петербург

 

2009 г.

 

Автор: к.т.н. Воронов А.В.

 

 

Основы защиты информации. Учебное пособие. Санкт-Петербургский государственный университет аэрокосмического приборостроения. Кафедра безопасности информационных систем. Санкт-Петербург, 57 стр.

 

 

Краткая аннотация на учебное пособие.

 

Учебное пособие «Основы защиты информации» содержит базовый курс, по основам организации защиты информации для противодействия промышленному шпионажу, а так же обеспечения защищенности информационного ресурса организации, используемого в ее повседневной деятельности. Пособие предназначено для изучения методики создания системы защиты информации в организации на основе системного анализа, и комплексного подхода к оценке параметров, связанных с информационной безопасностью. Рекомендуется для студентов технических и гуманитарных направлений.

 

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ 4

1. Основы методики построения системы защиты информации. 5

2. Определение защищаемого объекта. 8

3. Определение множества угроз. 11

4. Построение модели источников угроз. 17

5. Построение модели системы защиты информации. 27

5.1. Политика безопасности информации. 27

5.2. Модель системы защиты информации.. 32

6. Реализация системы защиты информации. 36

7. Эксплуатация системы защиты информации. 39

7.1. Общие вопросы. 39

7.2. Специальный эксперимент. 39

7.3. Методика проведения специального эксперимента. 40

ПРИЛОЖЕНИЕ 44

ЛИТЕРАТУРА. 56

 

 

ВВЕДЕНИЕ

 

В условиях повсеместной информатизации основных процессов жизнедеятельности страны, информационная сфера становится не только неотъемлемой частью общественной жизни, но и во многом определяет направления социально-политического и экономического развития государства. С развитием технологий обработки информации, возрастает актуальность обеспечения безопасности информационных ресурсов. Поскольку состояние защищенности информационной среды в ключевых областях экономической деятельности в целом, является в значительной степени определяющим фактором безопасности как государства, так и отдельных организаций, то в этом случае информационная безопасность выходит на передний план и становится важной и неотъемлемой составной частью общей стратегии национальной безопасности Российской Федерации, и соответственно – вопросов безопасности в конкретных организациях.

С развитием информационных технологий, и усилением их воздействия на экономику, возрастает актуальность по противодействию промышленному шпионажу со стороны конкурирующих организаций и отдельных лиц. Кроме того, электронная информация с каждым годом определяет действия все большего числа людей, и все большего числа технических систем, созданных человеком. Отсюда становится понятно, что нарушение безопасности хранения, обработки и передачи информации приводит к ущербу, степень и масштабы которого определяются целевым назначением этой информации и в иных случаях могут быть соизмеримы с трагическими последствиями. Кроме того, сегодня информация считается таким же товаром, как и материальные ресурсы. Ее можно продать, купить, украсть, и получить при этом выгоду или убыток.

Несмотря на возрастающие усилия в области информационной безопасности, уязвимость современных информационных систем не уменьшается. Основными причинами этого являются:

- отсутствие или недостаточная эффективность функций защиты в используемых технологиях обработки данных и протоколах информационного обмена;

- наличие ошибок в программном обеспечении;

- сложность управления современными информационными системами;

- отсутствие требуемого количества квалифицированных специалистов в области защиты информации;

- слабая осведомленность и халатное отношение некоторых сотрудников и руководителей к данному вопросу

- высокая стоимость некоторых проектов ИБ.

Таким образом, в сложившихся условиях невозможно достигнуть требуемого уровня развития систем информационной безопасности без знания и применения современных технологий, стандартов, протоколов и средств защиты информации, используемых в информационных системах.

 

 

 

Определение риска в зависимости от двух факторов

Таблица 1.

	Минимальный	Небольшой	Средний	Серьезный	Критический
A	Низкий риск	Низкий риск	Низкий риск	Средний риск	Средний риск
Б	Низкий риск	Низкий риск	Средний риск	Средний риск	Высокий риск
В	Низкий риск	Средний риск	Средний риск	Средний риск	Высокий риск
Г	Средний риск	Средний риск	Средний риск	Средний риск	Высокий риск
Д	Средний риск	Высокий риск	Высокий риск	Высокий риск	Высокий риск

 

Шкалы факторов риска и сама таблица могут быть определены иначе, иметь другое число градаций. Подобный подход к оценке рисков достаточно распространен.

При разработке (использовании) методик оценки рисков необходимо учитывать следующие особенности:

– Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки.

– Требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков.

 

Оценка рисков по трем факторам.

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами [22, 23]: угроза, уязвимость, цена потери.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от вероятностей угроз и уязвимостей:

 

Р происшествия = Р угрозы * Р уязвимости

 

Соответственно, риск определяется следующим образом:

 

РИСК = P угрозы * Р уязвимости * ЦЕНА ПОТЕРИ

 

Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал – качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов.

Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:

– 1 – риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик.

– 2 – риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.

 

–......

 

– 8 – риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.

 

 

Вероятности уязвимостей и угроз представим шкалами:

 

Вероятность реализации угрозы	Вероятность появления уязвимости
– Низкая	– Низкая (Н)
– Средняя	– Средняя (С)
– Высокая	– Высокая (В)

 

По аналогии с ранее рассмотренным методом двухфакторного определения риска, таблица определения уровня риска по трем факторам может быть представлена следующим образом (см. Таблицу 2.).

Подобные таблицы используются как в «бумажных» вариантах методик оценки рисков, так и в различного рода инструментальных средствах – ПО анализа рисков. В последнем случае матрица задается разработчиками ПО и, как правило, не подлежит корректировке. Это один из факторов, ограничивающих точность подобного рода инструментария.

Построение модели системы защиты информации.

 

Специальный эксперимент.

 

Одним из методов, используемых для текущего анализа эффективности системы защиты информации, является специальный эксперимент [14].

Ни одна из существующих методик обеспечения безопасности защищаемого объекта (в нашем случае – информации), не в состоянии учесть все тонкости и нюансы построения и эксплуатации конкретной системы защиты. Например – влияние человеческого фактора на эффективность обеспечения безопасности объекта (как часто, и насколько внимательно администратор таможенной информационной системы просматривает журналы учета событий (лог–файлы) в системе защиты).

Свободным от этого недостатка является метод специального эксперимента. Кроме того, эксперимент полезен при прогнозировании появления новых угроз для объекта защиты и новых источников этих угроз. То есть, эксперимент является одной из возможностей получения информации для коррекции модели источников угроз. Эксперимент носит название специального, так как он направлен исключительно на исследование безопасности ресурсов информационной системы, что является его отличительной особенностью.

В основу метода специального эксперимента положено то обстоятельство, что любое явление действительности связано с условиями своего существования, а значит и реакция объекта изучения зависит от воздействия на него окружающей обстановки. Следовательно, изменяя условия, в которых находится объект изучения, можно получить данные о его свойствах. В соответствии со своими техническими возможностями (для технических систем) или намерениями (для физического лица) изучаемый реагирует на эти, вновь созданные условия, принимая их за подлинные При этом необходимо отметить, что непосредственным объектом конкретного эксперимента является не вся система защиты, а лишь отдельные ее элементы или отдельные стороны. Это обстоятельство связано с невозможностью одновременного изучения всех составляющих информационной безопасности из-за многообразия угроз, которое, в свою очередь, влечет за собой проявление этих угроз в различных формах.

Эксперимент – это научно поставленный опыт. В научности эксперимента заложено его главное отличие от такого процесса как испытание, хотя, иногда, эти границы бывают достаточно условны. Тем не менее, изначально испытания проводятся с целью подтверждения (опровержения) соответствия какой-либо системы требованиям, техническим условиям, ГОСТ-ам, инструкциям и. т. п. Следовательно, и исход испытаний может быть либо положительным, либо отрицательным. В принципе, испытания – это проверка. А под экспериментальными исследованиями понимается совокупность действий исследователя с целью получения новой информации об изучаемом объекте (процессе, явлении) путем постановки опытов с физическими и (или) математическими моделями объектов или с самим объектом.

Таким образом, в отличие от испытания, эксперимент относится к исследовательской категории и его конечной целью является получение нового результата, который, как правило, заранее не известен. Следовательно, эксперимент и испытания отличаются друг от друга целями.

Следует особо подчеркнуть, что при оценке состояния системы защиты методом специального эксперимента, действует известный в других областях науки «принцип поглощения». Суть принципа заключается в том, что если эффективность защиты в «благоприятных» для источника угроз условиях будет высокой, то в «неблагоприятных» условиях эта эффективность будет еще выше (по крайней мере – не ниже). Например, если вероятность «вирусного заражения» информационной системы близка к нулю в результате организационных мер, то при использовании антивирусного программного обеспечения эта вероятность тем более будет стремиться к нулю.

 

ПРИЛОЖЕНИЕ

 

При создании системы защиты информации в организации, необходимо учитывать, в части касающейся, требования следующих руководящих документов:

 

– Закон РФ N 2446-I «О безопасности» (с изменениями) от 5 марта 1992 г.

– Федеральный закон «О государственной тайне» от 21 июля 1993 г.

– Федеральный закон «Об информации, информатизации и защите информации» от 25 января 1995 г.

– Федеральный закон N 85-ФЗ «Об участии в международном информационном обмене» (с изменениями) от 4 июля 1996 г.

– Доктрина информационной безопасности РФ от 09.09.2000 г.

– Федеральный закон N 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями) от 8 августа 2001 г.

– Федеральный закон N 1-ФЗ «Об электронной цифровой подписи» от 10 января 2002.

– Федеральный закон N 184-ФЗ «О техническом регулировании» (с изменениями) от 27 декабря 2002 г.

– Федеральный закон N 126-ФЗ «О связи» (с изменениями) от 7 июля 2003 г.

– ГОСТ Р ИСО/МЭК 15408-2002 – Руководящий документ Гостехкомиссии России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий», и ряд нормативных документов на его основе. (Введен в действие с 1 января 2004 года).

– Уголовный кодекс РФ.

– Кодекс РФ Об административных правонарушениях.

– Указы и постановления Президента и правительства РФ.

– Руководящие документы ФСТЭК РФ.

 

Федеральный закон от 7 июля 2003 г. N 126-ФЗ " О связи"

(с изм. и доп.)

Глава 11. Ответственность за нарушение законодательства Российской Федерации в области связи

 

ЛИТЕРАТУРА.

 

1. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. – М., Гостехкомиссия России, 1997.

2. Александров А. Комплексное управление информационными рисками // BYTE Россия. – 2004.– 10 июня.

3. Астахов А.М. Аудит безопасности ИС // Конфидент.– 2003. № 1 (49). С. 63 – 67.

4. Баранов А.П., Борисенко Н.П., Зегжда П.Д., Корт С.С., Ростовцев А.Г. Математические основы информационной безопасности: Пособие. – Орел: ВИПС, 1997. – 354 с.

5. Воронов А.В. Вопросы построения системы защиты информации: методологические аспекты. // Жизнь и безопасность. – 2002. № 3. – С. 354 – 358.

6. Воронов А.В. Теоретические проблемы построения системы защиты информации. Модель «злоумышленника». // Жизнь и безопасность. – 2003. № 3, 4. – С. 33 – 36.

7. Воронов А.В. Проблемы создания системы защиты информации: вопросы практической реализации. // Жизнь и безопасность. – 2004. № 2, 3. – С. 400 – 403.

8. Воронов А.В. Компенсация воздействий пользователя при работе с защищаемым информационным ресурсом. // Защита информации. INSIDE. – 2005. № 3. – С. 78 – 81.

9. Галатенко В.А. Основы информационной безопасности. Интернет–университет информационных технологий – ИНТУИТ.ру. 2004. – 280с.

10. Гамидуллаев С.Н., Фетисов В.А. Криминалистическое прогнозирование как концептуальная основа построения систем обеспечения информационной безопасности. / Труды НПК «Методы и технические средства обеспечения безопасности информации». – СПб, СПбГТУ, 1998. С. 26 – 29.

11. ГОСТ Р ИСО/МЭК 15408 – 1 – 2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. – М.: ИПК Издательство стандартов, 2002.

12. ГОСТ Р ИСО/МЭК 15408 – 2 – 2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. – М.: ИПК Издательство стандартов, 2002.

13. ГОСТ Р ИСО/МЭК 15408 – 3 – 2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. – М.: ИПК Издательство стандартов, 2002.

14. Гусев B.C., Ковалев В.М. Специальный эксперимент как метод выявления угроз безопасности хозяйствующих субъектов экономики // Жизнь и безопасность. – 2002. №1 – 2. – С.12 – 20.

15. Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему. Ч. 1. – СПб.: Мир и семья, 1997.

16. Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему. Технология создания безопасных систем. Ч.2. – СПб.: Мир и семья, 1998.

17. Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий. – СПб.: БХВ – Петербург, 2000. – 320 с.

18. Зима В.М., Молдовян А.А., Молдовян Н.А. Защита компьютерных ресурсов от несанкционированных действий пользователей: Учеб. пособие. – СПб.: типография Военной Академии Связи, 1997.

19. Кодекс Российской Федерации об административных правонарушениях по состоянию на 15 ноября 2004 года. Серия: Кодексы и законы России. – Сибирское университетское издательство, 2004. – 324 с.

20. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через INTERNET. – М.: НПО «Мир и семья– 95», 1997.

21. Петренко С.А., Попов Ю.И. Оценка затрат на информационную безопасность. // Конфидент. – 2003. № 1 (49). – С. 68 – 73.

22. Петренко С.А., Симонов С.В. Новые инициативы российских компаний в области защиты конфиденциальной информации. // Конфидент. – 2003. № 1 (49). С. 56 – 62.

23. Петренко С.А., Симонов С.В. Экономически оправданная безопасность. // IT Manager. – 2004. № 15 (3).

24. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность. – М: ДМК Пресс, 2004. – 384с.

25. Рабочая книга таможенника. Выпуск 6. Информационная безопасность таможенных технологий: Учебно–практическое пособие. / Под ред. Фетисова В.А., Федорова А.В. – СПб.: ИПК «Синтез–Полиграф», 1999. – 560 с.

26. Симонов С.В. Современные концепции управления информационными рисками. (http: //www.compulink.ru/security).

27. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР–К). – М.: Гостехкомиссия России, 2001.

28. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. – М.: Гостехкомиссия России, 1992.

29. Теплов Э.П. Безопасность коммерческой организации: нормативные основы и технологии сторожевой деятельности частной охраны. – СПб. ВИФ Балт–Норд, 2005. – 186 с.

30. Теплов Э.П., Янин Ю.П. Безопасность граждан и организаций: Пособие для слушателей – сотрудников криминальной милиции и охранных подразделений – приложение к журналу «Жизнь и безопасность». – СПб, 1997.

31. Трифаленков И., Зайцева Н. Функциональная безопасность корпоративных систем. // Открытые системы. – 2002. № 7 – 8.

32. Уголовный кодекс Российской Федерации. Серия: Проверено. ГАРАНТ. – М. Эксмо, 2006. – 256 с.

33. Фетисов В.А. Основы информационных таможенных технологий: Учебное пособие. – СПб.: СПб филиал РТА, 1999. – 282 с.

34. Филиппова И. Выбор по расчету. (http: //www.ibusiness.ru/project/decisions/30880/).

 

 

аэрокосмического приборостроения

12345678910Следующая ⇒

Поделиться: