Принципы построения систем защиты информации

Принципы построения систем защиты информации (информационной безопасности)

Стр 1 из 9

Виды информации ограниченного доступа

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ (ИБ)– это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемыйущерб владельцам, и пользователям информации.

ЗАЩИТА ИНФОРМАЦИИ – это комплекс мероприятий, направленный на предотвращение утечки защищаемой информации, а также несанкционированных и непреднамеренных воздействий на эту информацию.

НСД — НеСанкционированный Доступ

1. unauthorized access, illegal access Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств вычислительной техники.

2. unauthorized access Одно из наиболее распространенных и разнообразных по форме нарушений безопасности компьютерной системы. Заключается в получении нарушителем доступа к ресурсу (объекту) в нарушение установленных в соответствии с политикой безопасности правил разграничения доступа. Для НСД используется любая ошибка в системе безопасности, и он может быть осуществлен как с помощью штатного ПО и средств ВТ, так и специально разработанными аппаратными и/или программными средствами.

ИБ должна обеспечивать:

  1. целостность данных – под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

2. конфиденциальность информации — это защита от несанкционированного доступа к информации ограниченного доступа, в том числе, защита от нелегального хищения, изменения или уничтожения. (ПРИМЕР с коммерческой и личной информацией, служебной, гос. тайной)

3. доступность для санкционированного доступа – это возможность за приемлемое время получить требуемую информацию.

Основные направления деятельности по защите информации

Принципы построения систем защиты информации (информационной безопасности)

n Системность


n Комплексность

n Непрерывность защиты

n Разумная достаточность

n Гибкость управления и применения

n Открытость алгоритмов и механизмов защиты

n Простота применения защитных методов и средств

Кроме того, любые используемые средства и механизмы информационной безопасности не должны нарушать нормальную работу пользователя с автоматизированной информационной системой — резко снижать производительность, повышать сложность работы и т.п. СЗИ должна быть ориентирована на тактическое опережение возможных угроз, а также обладать механизмами восстановления нормальной работы КС в случае реализации угроз.

ПРИНЦИПЫ ЗАЩИТЫ ИНФОРМАЦИИ от НСД (несанкционированного доступа)

Закрытие каналов несанкционированного получения информации должно начинаться с контроля доступа пользователей к ресурсам ИС. Эта задача решается на основе ряда принципов:

  1. ПРИЦИП ОБОСНОВАННОСТИ ДОСТУПА заключается в обязательном выполнении следующего условия: пользователь должен иметь достаточную форму допуска для получения информации требуемого им уровня конфиденциальности с тем, чтобы выполнить заданные производственные функции. В качестве пользователей могут выступать активные программы и процессы, а также носители информации.
  2. ПРИНЦИП РАЗГРАНИЧЕНИЯ — для предупреждения нарушения безопасности информации, которое, например, может произойти при записи секретной информации на несекретные носители и в несекретные файлы, при передаче ее программам и процессам, не предназначенным для обработки секретной информации, а также при передаче секретной информации по незащищенным каналам и линиям связи, необходимо осуществлять соответствующее разграничение потоков информации и прав доступа к этой информации
  3. ПРИНЦИП ЧИСТОТЫ РЕСУРСОВ заключается в очистке ресурсов, содержащих конфиденциальную информацию, при их удалении или освобождении пользователем до перераспределения этих ресурсов другим пользователям.
  4. ПРИНЦИП ПЕРСОНАЛЬНОЙ ОТВЕТСТВЕННОСТИ — каждый пользователь ИС должен нести персональную ответственность за свою деятельность в системе, включая любые операции с секретной информацией и возможные нарушения ее защиты – случайные или умышленные действия, которые приводят или могут привести к НСД или, наоборот делают такую информацию недоступной для законных пользователей
  5. ПРИНЦИП ЦЕЛОСТНОСТИ СРЕДСТВ ЗАЩИТЫ подразумевает, что средства защиты информации в ИС должны точно выполнять свои функции в соответствии с перечисленными принципами и быть изолированными от пользователей. С целью своего сопровождения средства защиты должны включать специальный защищенный интерфейс для средств контроля, сигнализации и фиксирования

  1. Методы и средства защиты информации

МЕТОДЫ защиты информации

· препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации

· управление доступом – метод определения и распределения ресурсов системы санкционированным пользователям

· шифрование — метод защиты информации в коммуникационных каналах путем ее криптографического закрытия. Этот метод защиты широко применяется как для обработки, так и для хранения информации. При передаче информации по коммуникационным каналам большой протяженности этот метод является единственно надежным.

· регламентация – метод защиты информации, создающий специальные условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

· принуждение — такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

· побуждение — метод защиты информации, который стимулирует пользователя и персонал системы не нарушать установленных норм (высокая зарплата)

СРЕДСТВА

· технические реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические.

Под аппаратными принято понимать встроенные электронные устройства. Из наиболее известных аппаратных средств можно назвать схемы контроля информации по четности, схемы защиты полей памяти по ключу и т. д.

Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях помещений с аппаратурой, решетки на окнах, охранная сигнализация, камеры видеонаблюдения. Физические средства защиты:

— обеспечивают безопасность помещений, где размещены серверы сети;

— ограничение посторонним лицам физического доступа к серверам, концентраторам, коммутаторам, сетевым кабелям и другому оборудованию;

— обеспечивают защиту от сбоев электросети.

· программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.

Среди стандартных защитных программных средств наибольшее распространение получили:

  • Средства защиты, использующие парольную идентификацию и ограничивающие доступ пользователей согласно назначенным правам — управление доступом и разграничение полномочий (идентификация+аутентификация+авторизация)

o Регистрация и анализсобытий, происходящих в системе — обеспечивает получение и анализ информации о состоянии ресурсов системы с помощью специальных средств контроля, а также регистрацию действий, признанных потенциально опасными для безопасности системы. Анализ собранной информации позволяет выявить средства и априорную информацию, использованные нарушителем при воздействии на систему и определить, как далеко зашло нарушение, подсказать метод его расследования и способы исправления ситуации;

o Контроль целостности ресурсов системы предназначен для своевременного обнаружения их модификации. Это позволяет обеспечить правильность функционирования системы и целостность обрабатываемой информации.

  • Криптографическоезакрытие информации
  • Защита от внешних вторжений — брандмауэры
  • Защита от компьютерных вирусов — антивирусные пакеты, антиспамовыефильтры
  • Средства резервного копирования и восстановления данных

· аппаратно-программные средства защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав системы защиты информации и выполняющих такие (самостоятельно или в комплексе с другими средствами) функции защиты, как: идентификация и аутентификация пользователей, разграничение доступа к ресурсам, регистрация событий, криптографическое закрытие информации, обеспечение отказоустойчивости компонент и системы в целом и т.д.

· Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации специального ПО и аппаратных устройств для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы на всех этапах жизненного цикла защищаемой системы (создание охраняемого периметра, строительство помещений, проектирование системы в целом, монтаж и наладка оборудования, испытания и эксплуатация), а также кадровую политику и подбор персонала.

· морально-этические средства защиты реализуются в виде норм, которые сложились традиционно или складываются по мере распространения ВТ и средств связи в данной стране или обществе. Эти нормы, как правило, не являются обязательными, как законодательные меры, однако несоблюдение их ведет к потере авторитета и престижа организации. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.

· законодательные –средства защиты определяются законодательными актами страны. В них регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

По сво­ему функ­ци­о­наль­но­му на­зна­че­нию ме­то­ды и сред­ст­ва ин­фор­ма­ци­он­ной бе­з­о­па­с­но­сти мо­ж­но раз­де­лить на следующие разновидности:

— методы и средства пре­ду­п­ре­ж­де­ния — пред­на­зна­че­ны для со­з­да­ния та­ких ус­ло­вий, при ко­то­рых воз­мо­ж­ность по­я­в­ле­ния и ре­а­ли­за­ции де­с­та­би­ли­зи­ру­ю­щих фа­к­то­ров (уг­роз) ис­к­лю­ча­ет­ся или сво­дит­ся к ми­ни­му­му;

— методы и средства об­на­ру­же­ния — пред­на­зна­че­ны для об­на­ру­же­ния по­я­вив­ших­ся уг­роз или воз­мо­ж­но­сти их по­я­в­ле­ния и сбо­ра до­по­л­ни­тель­ной ин­фор­ма­ции;

— методы и средства ней­т­ра­ли­за­ции — пред­на­зна­че­ны для ус­т­ра­не­ния по­я­вив­ших­ся уг­роз;

— методы и средства вос­ста­но­в­ле­ния — пред­на­зна­че­ны для вос­ста­но­в­ле­ния нор­маль­ной ра­бо­ты защищаемой системы (иногда и самой системы защиты).

Основные принципы построения систем защиты информации

Защита информации в АС должна основываться на следующих основных принципах:

системности;

комплексности;

непрерывности защиты;

разумной достаточности;

гибкости управления и применения;

открытости алгоритмов и механизмов защиты;

простоты применения защитных мер и средств.

Принцип системности

Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности АС.

При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Принцип комплексности

В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонированно. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одной из наиболее укрепленных линий обороны призваны быть средства защиты, реализованные на уровне операционных систем (ОС) в силу того, что ОС — это как раз та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж обороны.

Определение и общеметодологические принципы построения систем защиты информации

Система защиты информации— организованная совокупность всех средств, методов и мероприятий, предусматриваемых в АСОД (автоматизированной системе обработки данных) для решения в ней выбранных задач защиты информации.

name=’more’> Общеметодологические принципы построения СЗИ:

  • Концептуальное единство. Архитектура, технология, организация и обеспечение функционирования как СЗИ в целом, так и составных ее компонентов должны рассматриваться и реализовываться в строгом соответствии с основными положениями единой концепции защиты информации.
  • Адекватность требованиям. СЗИ должна строиться в строгом соответствии с требованиями к защите, которые в свою очередь определяются категорией соответствующего объекта и значениями параметров, влияющих на защиту информации.
  • Гибкость (адаптируемость). Такое построение и организация функционирования системы защиты информации, при котором функции защиты осуществлялись бы достаточно эффективно при изменении в некотором диапазоне структуры АСОД, технических схем или условий функционирования каких-либо ее элементов.
  • Функциональная самостоятельность. СЗИ должна быть самостоятельно обеспечивающей подсистемой АСОД и при осуществлении функций защиты не зависеть от других систем.
  • Удобство использования. СЗИ не должна создавать дополнительных неудобств для пользователей и персонала АСОД.
  • Минимизация предоставляемых прав. Каждому пользователю и каждому лицу из персонала АСОД должны предоставляться лишь те полномочия на доступ к ресурсам АСОД и находящейся в ней информации, которые ему действительно необходимы для выполнения своих функций в процессе автоматизированной обработки информации. При этом предоставляемые права должны быть определены и заблаговременно утверждены в установленном порядке.
  • Полнота контроля.Все процедуры автоматизированной обработки защищаемых данных должны контролироваться системой защиты в полном объеме, причем основные результаты контроля должны фиксироваться в специальных регистрационных журналах.
  • Активность реагирования. СЗИ должна реагировать на любые попытки несанкционированных действий. Характер реагирования может быть различным — просьба повторить действие, задержку в выполнении запросов, отключение структурного элемента, с которого осуществляется несанкционированное действие, исключение нарушителя из числа зарегестрированных пользователей; подача специального сигнала и т. п.
  • Экономичность.При условии соблюдения всех остальных принципов, расходы на СЗИ должны быть минимальными.

Согласно учебнику Герасименко «Основы защиты информации в автоматизированных системах обработки данных»

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *