litceyvib.ru 1 2 ... 20 21

СОДЕРЖАНИЕ

  1. Введение


  2. Главные цели и задачи безопасности информационных систем

  1. Цели безопасности информационных систем

  2. Взаимосвязь основных целей информационной безопасности

  3. Задачи информационной безопасности

  4. Базовая техническая модель информационной безопасности

3. Комплексный подход к построению системы информационной безопасности

3.1. Объекты информационной системы, нуждающиеся в защите. Методика их выявления. Анализ рисков

  1. Аудит на основе анализа информационных рисков

  2. Разграничение (иерархия) угроз безопасности информационных систем

  3. Общая модель нарушителя информационной безопасности

4. Аудит информационной безопасности

4.1. Этический кодекс аудитора информационных систем (вместо эпиграфа)

  1. Понятие аудита безопасности и цели его проведения

  2. Этапность работ по проведению аудита безопасности информационных систем

  3. Сбор информации для аудита

  4. Анализ данных аудита

  5. Использование методов анализа рисков

  6. Оценка соответствия требованиям стандарта

  7. Выработка рекомендаций

  8. Подготовка отчетных документов

  9. Обзор программных продуктов, предназначенных для анализа и управления рисками

  10. Стандарты, используемые при проведении аудита безопасности ИС

  11. Выводы

5. Социальный инжиниринг: методики атак, манипулирование людьми, способы защиты

  1. Примеры применения социального инжиниринга

  2. Как корпоративная система электронной почты была использована для распространения троянского коня (еще один пример социального инжиниринга)

  1. Основные причины реализации угроз социального инжиниринга
  2. Методика защиты от социального инжиниринга


6. Выработка официальной политики предприятия в области информационной безопасности

  1. Организационные вопросы

  2. Оценка рисков

  1. Политические вопросы

  2. Что делать, когда политику безопасности нарушают?

  3. Спецификация контактов с внешними организациями и определение ответственных

  1. Процедурные вопросы реагирования на нарушения

  2. Толкование политики безопасности

  3. Гласность политики безопасности

7. Технические вопросы информационной безопасности: обеспечение парольного доступа, антивирусная защита, шифрование, межсетевые экраны

7.1. Защита от НСД. Парольный доступ к системе и информации

  1. Защита от вредоносных программ. Антивирусное ПО

  2. Безопасность удаленного доступа и подключения к Интернет

7.4. Защита электронных документов при передаче по каналам связи. Шифрование

7.5. Резервное копирование информации. ПО для резервного копирования

8. Законодательно-правовое обеспечение информационной безопасности. Нормативные документы по обеспечению информационной безопасности и их применение в практической деятельности

9. Лицензирование и сертификация в области технической защиты информации в Украине

  1. Вопросы расследования компьютерных преступлений. Типичные ошибки при проведении следственных действий и рекомендации по их избежанию

  2. Организационные мероприятия по защите информации: упреждающие, контролирующие, пресекающие

11.1.Организационные мероприятия и процедуры по обеспечению защиты информации в автоматизированных системах

11.2.Меры защиты. Четыре уровня защиты

11.3.Защита серверной комнаты (Дик Льюис)

1. ВВЕДЕНИЕ

Использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем в процессе управления предприятием. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. С каждым годом все увеличивается число компьютерных преступлений, что может привести в конечном счете к подрыву экономической деятельности любого предприятия. И поэтому должно быть ясно, что информация – это ресурс, который надо защищать!


Так как автоматизация привела к тому, что теперь операции с вычислительной техникой выполняются простыми служащими организации, а не специально подготовленным техническим персоналом, нужно, чтобы конечные пользователи знали о своей ответственности за защиту информации.

Шансов быть пойманным у компьютерного преступника гораздо меньше, чем у грабителя банка - и даже при поимке у него меньше шансов попасть в тюрьму. Обнаруживается в среднем 1 процент компьютерных преступлений. И вероятность того, что за компьютерное мошенничество преступник попадет в тюрьму, меньше 10 процентов.

Основной причиной наличия потерь, связанных с компьютерами, является недостаточная образованность в области безопасности. Только наличие некоторых знаний в области безопасности может прекратить инциденты и ошибки, обеспечить эффективное применение мер защиты, предотвратить преступление или своевременно обнаружить подозреваемого. Осведомленность конечного пользователя о мерах безопасности обеспечивает четыре уровня защиты компьютерных и информационных ресурсов:

Предотвращение – только авторизованный персонал имеет доступ к информации и технологии.

Обнаружение – обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмы защиты были обойдены.

Ограничение – уменьшается размер потерь, если преступление все-таки произошло несмотря на меры по его предотвращению и обнаружению.

Восстановление – обеспечивается эффективное восстановление информации при наличии документированных и проверенных планов по восстановлению.

Подробнее эти меры рассматриваются в Разделе 11 данного сборника.

Что может создавать опасность для бизнесменов или коммерсантов, заинтересованных, разумеется, в соблюдении коммерческой тайны?

Как правило, это:


  • разведывательная деятельность конкурентов;
  • несанкционированные действия сотрудников собственной фирмы;


  • неправильная политика фирмы в области безопасности.


2. ГЛАВНЫЕ ЦЕЛИ И ЗАДАЧИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

2.1. ЦЕЛИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ.

При разработке эффективной защиты информационных систем должны быть поставлены следующие цели:

  • обеспечить конфиденциальность данных в ходе их хранения, обработки или при передаче по каналам связи (конфиденциальность – свойство информации, состоящее в том, что информация не может быть получена неавторизованным пользователем во время ее хранения, обработки и передачи);

  • обеспечить целостность данных в ходе их хранения, обработки или при передаче по каналам связи. Целостность рассматривается в двух аспектах. Во-первых, это целостность данных, заключающаяся в невозможности модификации данных неавторизованным пользователем или процессом во время их хранения, обработки и передачи. Во-вторых, это целостность системы, заключающаяся в том, что ни один компонент системы не может быть удален, модифицирован или добавлен в обход или нарушение политики безопасности;

  • обеспечить доступность данных, хранимых в локальных вычислительных сетях, а также возможность их своевременной обработки и передачи. Обеспечение доступности предполагает, что обладающий соответствующими правами пользователь, субъект или процесс может использовать ресурс в соответствии с правилами, установленными политикой безопасности, не ожидая дольше заданного промежутка времени. Доступность направлена на поддержание системы в работоспособном состоянии, обеспечивая своевременное и точное ее функционирование.
  • обеспечить наблюдаемость. Наблюдаемость направлена на обеспечение возможности ИТ-системы фиксировать любую деятельность пользователей и процессов, использование пассивных объектов, а также однозначно устанавливать идентификаторы причастных к определенным событиям пользователей и процессов с целью предотвращения нарушения политики безопасности и обеспечения ответственности пользователей за выполненные действия.


  • обеспечить гарантии. Гарантии – это совокупность требований, составляющих некую шкалу оценки, для определения степени уверенности в том, что:

    • функциональные требования действительно сформулированы и корректно реализованы;

    • принятые меры защиты, как технические, так и организационные, обеспечивают адекватную защиту системы, информационных процессов и ресурсов;

    • обеспечена достаточная защита от преднамеренных ошибок пользователей или ошибок программного обеспечения;

    • обеспечена достаточная стойкость от преднамеренного проникновения и использования обходных путей.

Обеспечение гарантий – общая задача, без решения которой решение остальных четырех не имеет смысла.

Адекватная защита информации требует соответствующей комбинации политики безопасности, организационных мер защиты, технических средств защиты, обучения и инструктажей пользователей и плана обеспечения непрерывной работы.


2.2. ВЗАИМОСВЯЗЬ ОСНОВНЫХ ЦЕЛЕЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

см. рис. ниже.


2.3. ЗАДАЧИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Задачи информационной безопасности (да и безопасности любого другого рода) сводятся, как правило, к минимизации ущерба при возможных воздействиях, а также к предсказанию и предотвращению таких воздействий.

Соответственно, составляющими информационной безопасности являются:

  • определение объектов, на которые могут быть направлены угрозы;

  • выявление существующих и возможных угроз;

  • определение возможных источников угрозы;

  • оценка рисков;

  • методы и средства обнаружения враждебного воздействия;

  • методы и средства защиты от известных угроз;

  • методы и средства реагирования при инцидентах.

Вкратце все это можно сформулировать в трех предложениях. Основными задачами информационной безопасности являются:


    1. Выявление и недопущение нарушений, а также условий для их реализации.

    2. Создание механизма оперативного мониторинга и реагирования на нарушения.

    3. Создание условий для максимально возможного возмещения ущерба от нарушений.

Все эти три задачи реализуются за счет неких организационных мероприятий и программных продуктов.


2.4. БАЗОВАЯ ТЕХНИЧЕСКАЯ МОДЕЛЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Решение задач защиты возлагается на услуги безопасности. Услуги, в зависимости от того на решение каких задач они направлены, можно отнести к одному из трех классов:

  1. Опорные услуги безопасности (4 услуги). К данному классу относятся услуги, которые являются общими и лежат в основе реализации большинства остальных услуг безопасности. Другими словами, они выступают в роли базиса для надстройки, в которую входят услуги двух других классов.

  2. Услуги предотвращения (5 услуг) – Это услуги безопасности в основном ориентированные на предотвращение различного рода нарушений безопасности.

  3. Услуги обнаружения нарушений и восстановления безопасности (4 услуги) направлены, прежде всего, на решение задач выявления нарушений безопасности (до или после их осуществления) и восстановления системы в безопасное состояние.

Системное объединение услуг позволило построить базовую техническую модель ИТ-безопасности, которая представлена на рисунке ниже. Данная модель иллюстрирует использование основных услуг безопасности при обеспечении ИТ-безопасности и взаимодействие данных услуг.

Опорные услуги безопасности, как уже было сказано, выступают в роли базиса, связующей среды для построения всех остальных услуг безопасности. К данному классу относятся следующие услуги безопасности.


Идентификация (присвоение имен). Однозначная идентифицируемость объектов и субъектов информационных взаимоотношений является необходимыми условием для реализации большинства услуг безопасности. Идентификация обеспечивает возможность присвоения уникального идентификатора пользователям, процессам, информационным и иным ресурсам.

Управление криптографическими ключами. Данная услуга обязательна в случае применения криптографических функций в каких-либо услугах безопасности. Под управлением ключами понимают совокупность методов и процедур, осуществляющих безопасное установление и управление ключевыми взаимоотношениями между авторизованными объектами.

Управление безопасностью и администрирование. Под управлением безопасностью понимают распространение и управление информацией, необходимой для работы услуг и механизмов безопасности. Под администрированием понимают процессы настройки параметров инсталляции и эксплуатации программного и аппаратного обеспечения услуг безопасности, а также учет вносимых изменений в эксплуатируемое оборудование.

Защищенность системы представляет собой совокупность свойств системы, которые позволяют доверять технической реализации системы. Рассматривается не только качество реализованных средств защиты, но и процедуры их разработки, способы достижения и решения технических задач. Примерами средств защищенности системы являются защита остаточной информации (или защита от повторного использования), минимизация полномочий, разделение процессов, модульность и уровневость разработки, минимизация круга осведомленных лиц и т.д.

Услуги предотвращения нарушений безопасности.

К данному классу можно отнести следующие услуги:

Защищенные телекоммуникации (каналы связи). В распределенных системах обеспечение надежной защиты в большой степени зависит от защищенности каналов связи. Услуга защиты каналов связи обеспечивает целостность, конфиденциальность и доступность информации при её передаче по каналам связи. Различные механизмы безопасности обеспечивают скрытие смыслового содержания передаваемых сообщений, защиту от уничтожения, подстановки, модификации и повторной передачи данных и других видов злоумышленных действий.


Аутентификация является наиболее важной услугой безопасности, особенно в открытых системах. Аутентификация представляет собой услугу проверки подлинности, которая позволяет достоверно убедиться в подлинности субъекта или сообщений.

Авторизация представляет собой услугу, направленную на предоставление (наделение) субъектам определенных полномочий относительно выполнения ими действий в данной ИТ-системе.

Управление доступом. Данная услуга определена как «предотвращение неавторизованного использования ресурсов, включая предотвращение использования ресурсов недопустимым способом». Услуга применяется к различным типам доступа к ресурсам, например использование коммуникационных ресурсов, чтение, запись или удаление информационных ресурсов, использование ресурсов вычислительных систем по обработке данных и т.д. Политика управления доступом является основой политики безопасности ИТ-системы.

Причастность (доказательство принадлежности). Причастность определяется как «предотвращение возможности отказа одним из реальных участников коммуникаций от факта его полного или частичного участия в передаче данных». Определены две формы причастности: причастность к посылке сообщения (доказательство источника) и подтверждение (доказательство) получения сообщений. Причастность выполняет функции как предотвращения, так и обнаружения нарушений безопасности. В класс услуг предотвращения она помещена потому, что механизмы причастности предотвращают возможность отказа от выполненных действий.

Приватность (секретность) транзакций. И в государственных, и в частных (корпоративных) ИТ-системах в последнее время усиливаются требования по обеспечению приватности личности, использующей услуги и ресурсы ИТ-системы. Под приватностью (privacy) понимают использование ИТ-системы без угрозы разглашения информации (данных) о личности пользователя. Услуга приватности транзакций обеспечивает защиту от потери приватности путем анализа действия, операций и т.п. выполняемых пользователем в ИТ-системе.


Услуги предупреждения и восстановления безопасности. Поскольку не существует достаточного множества предотвращающих мер безопасности, в ИТ-систему встраиваются услуги обнаружения нарушений безопасности, направленные на усиление услуг предотвращения. К данному классу услуг относятся:

Аудит безопасности, направленный на обнаружение событий, оказывающих влияние на безопасность системы и обеспечение реагирования системы на выявленные вторжения, а также на обеспечение формирования необходимых данных для последующего восстановления ИТ-системы в безопасное состояние. По сути, аудит безопасности выполняет функцию контроля безопасности системы, под которым понимают сбор, накопление информации о событиях, происходящих в информационной системе и анализ записей безопасности с целью проверки эффективности управления системой, обеспечения гарантий соответствия функционирования системы политике безопасности и выработке рекомендаций о необходимых изменениях в управлении, политике и процессах безопасности. Механизмы аудита служат для решения следующих задач:


  • обеспечение подотчетности пользователей и администраторов, что является средством сдерживания;

  • обеспечение возможности восстановления последовательности событий, что позволяет обнаружить слабости в защите информации, выявить виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе;

  • предоставление информации для выявления и анализа проблем, через подготовку соответствующих отчетов.

Особенностью аудита является его сильная зависимость от других услуг и механизмов безопасности. Так идентификация и аутентификация служат отправной точкой подотчетности пользователей. Для обеспечения конфиденциальности и целостности регистрационной информации применяют механизмы управления доступом.

Обнаружение происшествий и политика сдерживания. Услуга обнаружения происшествий направлена на обнаружение как попыток нарушений безопасности, так и на регистрацию легитимной активности пользователей. Обнаружение может быть локальным и/или дистанционным и реализуется через тревожную сигнализацию о происшествиях (event reporting (alarm)), регистрацию событий (event logging) и восстановительные действия (recovery actions). Реализация механизмов обнаружения попыток нарушений безопасности – довольно сложная задача требующая привлечения методов искусственного интеллекта. Здесь проблема заключается в определении того минимума информации, который бы позволил с заданной вероятностью выявить (или не пропустить) возможные события по вмешательству в работу компьютерной системы.


Контроль целостности программной, аппаратной и информационной частей ИТ-системы и ресурсов направлен на своевременное обнаружение нарушений целостности.

Восстановление безопасности выполняет функцию реакции системы на нарушение безопасности. Услуга реализуется через выполнение таких действий как немедленное разъединение или прекращение работы, отказ субъекту в доступе, временное лишение субъекта прав, занесение субъекта в "черный список" и т.п.

На основе базовой модели можно построить модели обеспечения каждой из выше рассмотренных задач обеспечения безопасности. Для каждой задачи будут важны те или иные услуги безопасности. На рисунках в приложении к материалам представлены модели решения каждой из основных задач безопасности. Однако следует учитывать, что адекватную защиту ИТ-систем можно обеспечит только путем комплексного решения всех задач.



следующая страница >>