Политика безопасности информационной системы

Проблема защиты информации от постороннего доступа и нежелательных воздействий на неё возникла давно, с той поры, когда человеку по каким либо причинам не хотелось делиться ею ни с кем, или не с каждым человеком. С развитием человечества, появлением частной собственности, государственного строя, борьбы за власть и дальнейшим расширением масштабов человеческой деятельности информация приобретает цену. Ценной становится та информация, обладание которой позволит её существующему и потенциальному владельцам получить какой-либо выигрыш: материальный, политический и т.д.

В период существования примитивных носителей информации её защита осуществлялась в основном организационными методами, которые включали ограничение и разграничение доступа, определённые меры наказания за разглашение тайны. По свидетельству Геродота, уже в 5 веке до н.э. использовалось преобразование информации методом кодирования. Спартанцы имели специальный механический прибор, с помощью которого важные сообщения можно было писать особым способом обеспечивающим сохранение тайны.

С переходом на использование технических средств связи информация подвергается воздействию случайных процессов (сбой оборудования, ошибки операторов) которые могут привести к её разрушению. С дальнейшим усложнением технических средств связи возросли возможности для преднамеренного доступа к информации.

С появлением сложных автоматизированных систем управления, связанных с автоматизированным вводом, хранением, обработкой и выводом информации, проблема её защиты приобрела ещё большее значение.

В настоящее время и в самом человеческом обществе, и в технологии обработки информации произошли большие изменения, которые повлияли на саму суть проблемы защиты информации, безопасности и управления доступом.

Информационная безопасность государства — состояние сохранности информационных ресурсов государства и защищенности, законных прав личности и общества в информационной сфере, процесс обеспечения конфиденциальности, целостности и доступности информации. Информационная безопасность — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.

В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.

Безопасность информации (данных) — состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность. Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Безопасность автоматизированной системы информации— состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.

Актуальность данной работы обусловлена тем что обычные пользователи научатся различным методам и средствам защиты информационных систем и рассмотрят различные критерии защищенности информационной системы.

Объект: критерии защищенности информационных систем.

Предмет: методы и средства обеспечения безопасности информационных систем.

Цель работы: выявить наиболее эффективные средства и методы обеспечения безопасности ИС, соответствующие критериям защищенности.

1. Изучить научную и техническую литературу по теме работы.

2. Изучить критерии защищённости информационных систем.

3. Рассмотреть средства и методы обеспечения информационной безопасности в соответствии с критериями защищенности ИС.

Глава 1. Критерии оценки защищённости информационных систем

Такова классификация, введенная в «Оранжевой книге». Коротко её можно сформулировать так:

1.уровень C — произвольное управление доступом;

2.уровень B — принудительное управление доступом;

Конечно, в адрес «Критериев …» можно высказать целый ряд серьёзных замечаний (таких, например, как полное игнорирование проблем, возникающих в распределенных системах).

«Критерии безопасности компьютерных систем» («Оранжевая книга») были разработаны Министерством обороны США в 1983 г. с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответствующей методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах военного назначения.

Согласно «Оранжевой книге», безопасная компьютерная система — это система, поддерживающая управление доступом к обрабатываемой в ней информации. Базовые требования безопасности. В «Оранжевой книге» предложены три категории требований безопасности — политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности.

Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности.

Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов контроля доступа.

Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы.

Требование 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе.

Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты.

Требование 6. Непрерывность защиты. Все средства защиты (в том числе и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения.

Приведенные выше базовые требования к безопасности служат основой для критериев, образующих единую шкалу оценки безопасности компьютерных систем, определяющую семь классов безопасности.

В 1995 г. Национальным центром компьютерной безопасности США был опубликован документ под названием «Интерпретация критериев безопасности компьютерных систем», объединяющий все дополнения и разъяснения.

Изучив техническую и научно-техническую литературу, нами были определены следующие критерии обеспечения безопасности ИС:

1. Критерии уровня А- критерии верифицируемой безопасности.

2. Критерии уровня В- критерии принудительного управления доступом.

3. Критерии уровня С- критерии произвольного управления доступом.

Глава 2 Методы и средства обеспечения информационной безопасности

Информация играет особую роль в процессе развития цивилизации. Владение информационными ресурсами и рациональное их использование создают условия оптимального управления обществом.

Одним из главных факторов, обеспечивающих эффективность в управлении различными сферами общественной жизни, является правильное использование информации различного характера.

Совершают компьютерные преступления, как правило, высококвалифицированные системные и банковские программисты, специалисты в области телекоммуникационных систем. Нешуточную угрозу информационным ресурсам представляют хакеры и крекеры,проникающие в компьютерные системы и сети путем взлома программного обеспечения защиты. Крекеры, кроме того, могут стереть или изменить данные в информационном банке в соответствии со своими интересами.

Особо ценной является информация по банковским сделкам и кредитам, проводимая по электронной почте, а также сделки на бирже. Большой интерес представляют для хакеров программные продукты, оценивающиеся на современном рынке в тысячи, а то и в миллионы долларов.

Крекеры – «компьютерные террористы» – занимаются порчей программ или информации с помощью вирусов – специальных программ, обеспечивающих уничтожение информации или сбои в работе системы.

Для многих фирм получение информации с помощью внедрения к конкурентам хакера-программиста – дело наиболее простое и прибыльное. Внедрять соперникам спецтехнику, постоянно контролировать их офис на излучение с помощью специальной аппаратуры – дело дорогостоящее и опасное.

Люком называется не описанная в документации на программный продукт возможность работы с этим программным продуктом. Сущность использования люков состоит в том, что при выполнении пользователем некоторых не описанных в документации действий он получает доступ к возможностям и данным, которые в обычных условиях для него закрыты. Люки чаще всего являются результатом забывчивости разработчиков. В качестве люка может быть использован временный механизм прямого доступа к частям продукта, созданный для облегчения процесса отладки и не удаленный по ее окончании. Люки могут образовываться также в результате часто практикуемой технологии разработки программных продуктов «сверху вниз». Наконец, еще одним распространенным источником люков является так называемый «неопределенный ввод» – ввод «бессмысленной» информации, абракадабры в ответ на запросы системы. Реакция недостаточно хорошо написанной программы на неопределенный ввод может быть, в лучшем случае, непредсказуемой (когда при повторном вводе той же неверной команды программа реагирует каждый раз по-разному);

Существуют программы, реализующие, помимо функций, описанных в документации, и некоторые другие функции, в документации не описанные. Такие программы называются «троянскими конями». Вероятность обнаружения «троянского коня» тем выше, чем очевиднее результаты его действий (например, удаление файлов или изменение их защиты). Более сложные «троянские кони» могут маскировать следы своей деятельности (например, возвращать защиту файлов в исходное состояние).

«Логической бомбой» обычно называют программу или даже участок кода в программе, реализующий некоторую функцию при выполнении определенного условия. Этим условием может быть, например, наступление определенной даты или обнаружение файла с определенным именем. «Взрываясь», «логическая бомба» реализует функцию, неожиданную и, как правило, нежелательную для пользователя (например, удаляет некоторые данные или разрушает некоторые системные структуры). «Логическая бомба» является одним из излюбленных способов мести программистов компаниям, которые их уволили или чем-либо обидели.

Атака «салями» превратилась в настоящий бич банковских компьютерных систем. В банковских системах ежедневно производятся тысячи операций, связанных с безналичными расчетами, переводами сумм, отчислениями и т. д. При обработке счетов используются целые единицы (рубли, центы), а при исчислении процентов нередко получаются дробные суммы. Обычно величины, превышающие половину рубля (цента), округляются до целого рубля (цента), а величины менее половины рубля (цента) просто отбрасываются. При атаке «салями» эти несущественные величины не удаляются, а постепенно накапливаются на некоем специальном счете.

Под скрытыми каналами подразумеваются программы, передающие информацию лицам, которые в обычных условиях эту информацию получать не должны. В тех системах, где ведется обработка критичной информации, программист не должен иметь доступа к обрабатываемым программой данным после начала эксплуатации этой программы. Для скрытой передачи информации можно с успехом использовать различные элементы формата «безобидных» отчетов, например разную длину строк, пропуски между строками, наличие или отсутствие служебных заголовков, управляемый вывод незначащих цифр в выводимых величинах, количество пробелов или других символов в определенных местах отчета и т. д.

Большинство методов нарушения безопасности направлено на то, чтобы получить доступ к данным, не допускаемый системой в нормальных условиях. Однако не менее интересным для захватчиков является доступ к управлению самой компьютерной системой или изменение ее качественных характеристик, например, получить некоторый ресурс (процессор, устройство ввода-вывода) в монопольное использование или спровоцировать ситуацию клинча для нескольких процессов.

Компьютерные вирусы являются квинтэссенцией всевозможных методов нарушения безопасности. Одним из самых частых и излюбленных способов распространения вирусов является метод «троянского коня». Вирусы отличаются только возможностью размножаться и обеспечивать свой запуск.

Выбор способов защиты информации в информационной системе - сложная оптимизационная задача, при решении которой требуется учитывать вероятности различных угроз информации, стоимость реализации различных способов защиты и наличие различных заинтересованных сторон. В общем случае для нахождения оптимального варианта решения такой задачи необходимо применение теории игр, в частности теории биматричных игр с ненулевой суммой, позволяющими выбрать такую совокупность средств защиты, которая обеспечит максимизацию степени безопасности информации при данных затратах или минимизацию затрат при заданном уровне безопасности.

В данной работе мы рассмотрели различные критерии обеспечения информационной безопасности и методы и средства обеспечения информационной безопасности более подходящие по этим критериям. В данной работе мы рассмотрели самые эффективные на мой взгляд методы и средства обеспечения информационной безопасности как организации так и ПК обычных пользователей.

После выбора методов и механизмов необходимо осуществить разработку программного обеспечения для системы защиты. Программные средства, реализующие выбранные механизмы защиты, должны быть подвергнуты комплексному тестированию. Следует отметить, что без соответствующей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией механизмов и процедур нельзя решить проблему обеспечения безопасности информации, хранимой в информационной системе.

1. Алешенков М. Основы национальной безопасности/М.Алешенков /Основы безопасности жизни.-2005.-№11.-С.5-10.

2. Андреев Э. М., Миронов А.В. Социальные проблемы интеллектуальной уязвимости и информационной безопасности //Социальногуманитарные знания.-2000.-№4.-С.169-180.

3. Брандман Э. М. Глобализация и информационная безопасность общества/Э.М.Брандман //Философия и общество.-2006.-№1.-С.31-41.

4. Брандман Э. М. Цивилизационные императивы и приоритеты информационной безопасности общества/Э.М.Брандман //Философия и общество.-2006.-№3.-С.60-77..-Предпринимательство, с.131-144.

5. Доктрина информационной безопасности //Средства массовой информации постсоветской России: Учеб. пособие /Я.Н. Засурский, Е. Л. Вартанова, И.И. Засурский.-М., 2002.-С.262-301.

6. Егозина В. Смотреть нельзя запретить(агрессивная информационная среда как угроза для безопасности)/В. Егозина, Н. Овчинников //ОБЖ.-2003.-№4.-С.15-18.

7. Еляков А.Д. Информационная свобода человека/А.Д.Еляков // Социально-гуманитарные знания.-2005.-№3.-С.125-141.

8. Журин А. А. Информационная безопасность как педагогическая проблема //Педагогика.-2001.-№4.-С.48-55.

9. Иванов В. Смешно до горьких слез (компьютерные игры - опасное развлечение)/В. Иванов //ОБЖ.-2003.-№4.-С.19-22.

10. Кузнецов А. Двоичная тайнопись (по материалам открытой печати)/ А. Кузнецов //Компьютер пресс.-2004.-№4/апрель/.-С.38. (тема номера).

11. Лукацкий А. Технологии информационной безопасности вчера и сегодня (тема номера)/А. Лукацкий //Компьютер пресс.-2004.-№4/апрель/.-С.8.

12. Морозов И. Л. Информационная безопасность политической системы / И.Л.Морозов //ПОЛИС.-2002.-№5.-С.134-146.

13. Поляков В. П. Практическое занятие по изучению вопросов информационной безопасности/В.П.Поляков //Информатика и образование.-2006.-№11.-С.75-80.

14. Поляков В.П. Информационная безопасность в курсе информатики /В.П.Поляков //Информатика и образование.-2006.-№10.-С.116-119.

15. Попов В.Б. Основы информационной безопасности. Информационные технологии и право //Попов В.Б. Основы компьютерных технологий /В.Б.Попов.-М.,2002.-С.175-187.

16. Семенова З. В. Углубленное изучение темы "Защита данных в информационных системах" //Информатика и образование.-2004.-№1.- С.32-39.

17. Шкурлатов Р. Государство будет ввергнуто в хаос если его "нервные центры" подвергнутся кибератакам/Р.Шкурлатов //Основы безопасности жизнедеятельности.-2005.-№9.-С.22-27.

18. Шубин А. Достоверно, но без опасности: информационное общество //Российская газета.-2000.-1 декабря.-С.10-11.

Объект: критерии защищенности информационных систем.

Предмет: методы и средства обеспечения безопасности информационных систем.

1. Изучить научную и техническую литературу по теме работы.

2. Изучить критерии защищённости информационных систем.

Глава 1. Критерии оценки защищённости информационных систем

Политика безопасности информационной системы

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации)— совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных данных — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

2.Защита процессов, процедур и программ обработки информации;

3.Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.);

4.Подавление побочных электромагнитных излучений;

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

1.Определение информационных и технических ресурсов, подлежащих защите;

2.Выявление полного множества потенциально возможных угроз и каналов утечки информации;

3.Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

5.Осуществление выбора средств защиты информации и их характеристик;

6.Внедрение и организация использования выбранных мер, способов и средств защиты;

7.Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области.

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

1. организацию охраны, режима, работу с кадрами, с документами;

2. использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

3. организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

1.3. Критерии определения безопасности компьютерных систем

Критерии определения безопасности компьютерных систем —содержащихся в компьютерной системе. Критерии используются для определения, классификации и выбора компьютерных систем, предназначенных для обработки, хранения и поиска важной или секретной информации.

Критерии, часто упоминающиеся как Оранжевая книга (название своё получила из-за цвета обложки), занимают центральное место среди публикаций «Радужной серии» Министерства обороны США. Изначально выпущенные Центром национальной компьютерной безопасности — подразделением Агентства национальной безопасности в 1983 году и потом обновлённые в 1985.

Аналогом Оранжевой книги является международный стандарт ISO/IEC 15408, опубликованный в 2005 году. Это более универсальный и совершенный стандарт, но вопреки распространенному заблуждению, он не заменял собой Оранжевую книгу в силу разной юрисдикции документов - Оранжевая книга используется исключительно Министерством Обороны США, в то время как ISO/IEC 15408 ратифицировали множество стран, включая Россию.

Данный стандарт получил международное признание и оказал исключительно сильное влияние на последующие разработки в области информационной безопасности (ИБ). Данный стандарт относится к оценочным стандартам и речь в нём идет не о безопасных, а о доверенных системах.

В стандарте заложен понятийный базис ИБ (безопасная система, доверенная система, политика безопасности, уровень гарантированности, подотчетность, доверенная вычислительная база, монитор обращений, ядро безопасности, периметр безопасности).

Безопасность и доверие оцениваются в данном стандарте с точки зрения управления доступом к информации, что и является средством обеспечения конфиденциальности и целостности.

Вслед за «Оранжевой книгой» появилась целая «Радужная серия». Наиболее значимой в ней явилась интерпретация «Оранжевой книги» для сетевых конфигураций, где в первой части интерпретируется «Оранжевая книга», а во второй части описываются сервисы безопасности, специфичные для сетевых конфигураций.

Политики безопасности должны быть подробными, четко определёнными и обязательными для компьютерной системы. Есть две основных политики безопасности:

1.Мандатная политика безопасности — обязательные правила управления доступом напрямую, основанные на индивидуальном разрешении, разрешении на доступ к информации и уровне конфиденциальности запрашиваемой информации. Маркирование — системы, предназначенные для обязательной мандатной политики безопасности должны предоставлять и сохранять целостность меток управления доступом и хранить метки, если объект перемещён.

2.Дискреционная политика безопасности — предоставляет непротиворечивый набор правил для управления и ограничения доступа, основанный на идентификации тех пользователей, которые намерены получить только необходимую им информацию.

В группе «Подотчетность» должны быть следующие требования:

1)Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа.

2) Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе.

Конфликты в семейной жизни. Как это изменить? Редкий брак и взаимоотношения существуют без конфликтов и напряженности. Через это проходят все...

ЧТО ПРОИСХОДИТ, КОГДА МЫ ССОРИМСЯ Не понимая различий, существующих между мужчинами и женщинами, очень легко довести дело до ссоры...

Система охраняемых территорий в США Изучение особо охраняемых природных территорий(ООПТ) США представляет особый интерес по многим причинам...

Что будет с Землей, если ось ее сместится на 6666 км? Что будет с Землей? - задался я вопросом...

Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте: