Дети в семье, как цветы, за ними нужен уход, но когда они вырастут - вы в убытке не останетесь! © Александр Дьяков 930 - | 759 - или читать все...
Обратная связь Пожаловаться на материал

Общая характеристика и классификация мер и средств защиты информации от НСД


⇐ ПредыдущаяСтр 11 из 23Следующая ⇒

Меры по защите информации от НСД можно разделить на группы:

l идентификация и аутентификация субъектов доступа и объектов доступа

l управление доступом субъектов доступа к объектам доступа

l ограничение программной среды

l защита машинных носителей информации

l регистрация событий безопасности

l антивирусная защита

l обнаружение (предотвращение) вторжений

l контроль (анализ) защищенности информации

l обеспечение целостности ИС и информации

l обеспечение доступности информации

l защита среды виртуализации

l защита технических средств

l защита ИС, ее средств, систем связи и передачи данных

Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать:

· присвоение субъектам и объектам доступа уникального признака (идентификатора)

· сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов

· проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности или аутентификация).

Идентификация и аутентификация (подтверждение подлинности) являются первым эшелоном защиты от несанкционированного доступа и необходимо понимать разницу между этими понятиями.

Идентификатор присваивается пользователю, процессу, действующему от имени какого-либо пользователя, или программно-аппаратному компоненту (субъекту) и позволяет назвать себя, т. е. сообщить свое "имя". Аутентификация позволяет убедиться, что субъект именно тот, за кого себя выдает. Пример идентификации и аутентификации - вход в домен Windows. В данном случае логин - это идентификатор, пароль - средство аутентификации. Знание пароля является залогом того, что субъект действительно тот, за кого себя выдает.

Субъект может аутентифицироваться (подтвердить свою подлинность), предъявив одну из следующих сущностей:

· нечто, что он знает (например, пароль);

· нечто, чем он владеет (например, eToken);

· нечто, что есть часть его самого (например, отпечаток пальца).

Меры по управлению доступом должны обеспечивать:

· управление правами и привилегиями субъектов доступа;

· разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в ИС ПРД;

· контроль за соблюдением этих правил.

Меры по ограничению программной среды должны обеспечивать:

· установку и (или) запуск только разрешенного к использованию в информационной системе ПО;

· или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе ПО.

Защита машинных носителей информации должна исключать:

· возможность НСД к машинным носителям и хранящейся на них информации;

· несанкционированное использование машинных носителей.

Меры по регистрации событий безопасности должны обеспечивать

· сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе;

· возможность просмотра и анализа информации о таких событиях и реагирование на них.

Меры по антивирусной защите должны обеспечивать:

· обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации;

· реагирование на обнаружение этих программ и информации.

Меры по обнаружению (предотвращению) вторжений должны обеспечивать:

· обнаружение действий в информационной системе, направленных на преднамеренный несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) информацию в целях ее добывания, уничтожения, искажения и блокирования доступа к информации

· реагирование на эти действия.

Меры по контролю (анализу) защищенности информации должны обеспечивать контроль уровня защищенности информации, содержащейся в информационной системе, путем проведения мероприятий по анализу защищенности информационной системы и тестированию ее системы защиты информации.

Меры по обеспечению целостности информационной системы и информации должны обеспечивать:

· обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащейся в ней информации;

· возможность восстановления информационной системы и содержащейся в ней информации.

Меры по обеспечению доступности информации должны обеспечивать авторизованный доступ пользователей, имеющих права по такому доступу, к информации, содержащейся в информационной системе, в штатном режиме функционирования информационной системы.

Меры по защите среды виртуализации должны исключать несанкционированный доступ к информации, обрабатываемой в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры, а также воздействие на информацию и компоненты, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим информацию, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту информации, представленной в виде информативных электрических сигналов и физических полей.

Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту информации при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы, проектных решений по ее системе защиты информации, направленных на обеспечение защиты информации.

Стоит отметить, что набор мер в рассмотренных ранее руководящих документах Гостехкомиссии России, существенно уже. В частности, в РД "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования позащите информации" выделены следующие группы мер:

1. подсистема управления доступом

2. подсистема регистрации и учета

3. криптографическая подсистема

4. подсистема обеспечения целостности.

Так как первое разбиение мер защиты на группы взято из Приказа ФСТЭК России №17, можно отследить тенденцию увеличения количества мер, необходимых для реализации информационной безопасности. Соответственно, расширились требования к функционалу, который должны реализовывать современные средства защиты информации для выполнения требований нормативных документов.

Средства защиты от НСД можно разделить на следующие группы:

· Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки.

· Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др.

· Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности.

· К организационным средствам (мероприятиям) можно отнести разработку документов, определяющих правила и процедуры, реализуемые для обеспечения защиты информации в ИС, ограничение доступа в помещения, назначение полномочий по доступу и т.п.

· Криптографические средства - средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования, средства изготовления ключевых документов, ключевые документы, аппаратные шифровальные (криптографические) средства, программно-аппаратные шифровальные (криптографические) средства.

Прежде, чем выбирать средства защиты от НСД, необходимо определить перечень мер, которые они должны реализовывать. Перечень мер определяется на основе требований нормативных документов (базовый набор мер) и исходя из модели угроз конкретной ИС.

После определения перечня мер, нужно выбрать средства защиты информации, которые эти меры реализуют. Необходимо учесть, требуется ли наличие сертификата у средства защиты информации. В приказе ФСТЭК России №21, например, нет однозначных требований по использованию сертифицированных СЗИ, - "применение СЗИ прошедших установленным порядком процедуру оценки соответствия". Это значит, что для защиты персональных данных в негосударственных ИС могут использоваться СЗИ, прошедшие сертификацию в добровольной системе сертификации или имеющие декларацию соответствия. А вот в ГИС все СЗИ должны быть сертифицированы. Соответственно, нужно выбирать СЗИ из Реестра сертифицированных СЗИ (Реестр), опубликованного на официальном сайте ФСТЭК:

http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/591-gosudarstvennyj-reestr-sertifitsirovannykh-sredstv-zashchity-informatsii-n-ross-ru-0001-01bi00

При этом, несмотря на наличие в Реестре около 1000 сертифицированных СЗИ, большая часть из них была сертифицирована в единичном экземпляре или в составе маленькой партии, и недоступна для приобретения в настоящий момент. Поэтому реальный перечень сертифицированных СЗИ, которые можно использовать на практике, значительно меньше.

Сегодня сертификация СЗИ от НСД по линии ФСТЭК России проводится на соответствие одного или одновременно нескольких документов, основными из которых являются:

· РД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (РД СВТ);

· Требования к средствам антивирусной защиты (24 профиля защиты);

· Требования к средствам контроля съемных машинных носителей (10 профилей защиты);

· Требования к межсетевым экранам (5 типов межсетевых экранов);

· Требования к средствам доверенной загрузки (10 профилей защиты);

· Требования к системам обнаружения вторжений (12 профилей защиты).

· РД "Защита от НСД к информации. Часть 1. ПО СЗИ. Классификация по уровню контроля отсутствия НДВ".

В документах СЗИ проранжированы по классам. В каждом документе введена своя шкала защищенности, где первый класс присваивается наиболее защищенным СЗИ, точнее тем, которые проходили испытания по самым жестким условиям, и соответственно, с увеличением порядкового номера класса требования к испытаниям СЗИ смягчаются.

То есть недостаточно выбрать сертифицированное СЗИ, необходимо также правильно определить требуемый класс защищенности. Например, в Приказе ФСТЭК России №21:

"для обеспечения 1 и 2 уровней защищенности персональных данных применяются:

  • средства вычислительной техники не ниже 5 класса;
  • системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;
  • межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена."

Определившись с формальными признаками СЗИ: доступность на рынке; актуальность сертификата; наличие контроля НДВ (при необходимости); классзащищенности, теперь можно сосредоточиться на его функциональных характеристиках. Чтобы установить соответствие требуемых мер защиты и средства защиты необходимо внимательно изучить документацию на СЗИ, функциональные характеристики, область применения и ограничения.

Следует отметить, что современные сертифицированные операционные системы обладают встроенными средствами защиты, которые позволяют закрывать многие требования регуляторов. В таблице 16.1 приведены требования к ИСПДн 3 уровня защищенности и средства операционной системы Windows 7, которые позволяют их удовлетворить.

Таблица 16.1.
Требования к ИСПДн 3 уровня защищенности Средства (механизмы), обеспечивающие выполнение требования
1. Идентификация и аутентификация субъектов и объектов доступа.

Реализуется с помощью установки соответствующих параметров безопасности механизмов "Идентификации и аутентификации" при настройке операционной системы на сертифицированную конфигурацию для пользователей домена (для сетей ЭВМ) и локальных пользователей (на уровне автономных рабочих мест)..В случае использования других элементов общего программного обеспечения (SQL Server, ExchangeServer и др.) дополнительно используются их встроенные механизмы "Идентификация и аутентификация" и "Защита данных пользователя", а также организационные меры.
2. Управление правами и привилегиями субъектов и объектов доступа.
3. Запуск только разрешенного к использованию в ИС ПО.

Настройка системы регистрации и разграничения прав Windows (функция AppLocker Windows 7/2008R2)
4. Исключение несанкционированного доступа к машинным носителям и хранящимся на них ПДн.
5. Сбор, запись, хранение и защита информации о событиях безопасности Использование механизмов "Аудит безопасности" и "Защита данных пользователя" Windows. Контролируется с использованием журнала событий ОС и другого ПО Microsoft.
6. Антивирусная защита Использование антивируса Microsoft Forefront или антивирусов других производителей
7. Обнаружение (предотвращение) вторжений Настройка "Защитника Windows" и (или) использование сторонник СОВ
8. Контроль (анализ) защищенности информации Применение программ Check из состава пакета сертифицированного ПО
9. Обеспечение целостности ИС и информации Выполняется встроенными средствами ОС, дополнительно контролируется программой "Check".
10. Обеспечение доступности информации Использование механизмы архивации и воcстановления Windows
11. Защита среды виртуализации Использование виртуализации Hyper-V из состава сертифицированных версий Windows server 2008/2008R2
12. Защита ИС, ее средств, систем связи и передачи данных Реализуется использованием МЭ Microsoft ISA Server 2006 Standard Edition, сертифицированного по 4-му классу согласно РД МЭ.
13. Выявление инцидентов и реагирование на них Настройка "Политик расширенный аудит" Windows
14. Управление конфигурацией информационной систем и системы защиты персональных данных (УКФ) Настройка параметров Политик безопасности/Групповых политик безопасности Windows. Применение шаблонов безопасности. Контроль. Аудит и настройка параметров безопасности при помощи программ Check из состава пакета сертифицированного ПО

Безусловно, построить защиту персональных данных только на встроенных средствах операционной системы не получится. Для реализации некоторых требований необходимо покупать узкоспециализированные средства защиты. Тем не менее, использование встроенных средств защиты операционных систем позволяет существенно сэкономить на покупке отдельных СЗИ, обеспечивает полную совместимость и требует меньших ресурсов для администрирования.

 

19. Задачи комплексного обеспечения ИБ в АС.

 

Для эффективного обеспечения безопасности информации требуется создание развитого методологического базиса, позволяющего решить следующие комплексные задачи:

- создать систему органов, ответственных за безопасность информации;

- разработать теоретико-методологические основы обеспечения безопасности информации;

- решить проблему управления защитой информации и ее автоматизации;

- создать нормативно-правовую базу, регламентирующую решение всех задач обеспечения безопасности информации;

- наладить производство средств защиты информации;

- организовать подготовку специалистов по защите информации;

- подготовить нормативно-методическую базу для проведения работ по обеспечению безопасности информации.

Более подробно цели и содержание перечисленных задач приведены в таблице 1.1.

Государственная политика в сфере формирования информационных ресурсов и информатизации должна быть направлена на создание условий для эффектив­ного и качественного информационною обеспечения решения стратегических и оперативных задач социального и экономического развития страны.

Основными направлениями государственной политики в сфере информатизации являются:

- обеспечение условий для развития и защиты всех форм собственности на информационные ресурсы;

- формирование и защита государственных информационных ресурсов;

- создание и развитие и региональных информационных систем и сетей, обеспечение их совместимости и взаимодействия в едином информационном пространстве;

- создание условий для качественного и эффективного информационного обеспечения граждан, органов государственной власти, организаций и общественных объединений на основе государственных информационных ресурсов;

- обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан и организаций в условиях информатизации;

- содействие формированию рынка информационных ресурсов, услуг, информационных систем, технологий и средств их обеспечения;

- формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современного мирового уровня развития информационных технологий;

- поддержка проектов и программ информатизации;

- создание и совершенствование системы привлечения инвестиций и механизма стимулирования разработки и реализации проектов информатизации;

- развитие законодательства в сфере информационных процессов, информатизации и защиты информации.

Таблица 1.1 – Комплексные задачи обеспечения безопасности информации

Задача Цель решения Общее содержание
Создание системы органов, ответственных за безопасность и информации Создание стройной системы органов, необходимых и достаточных для эффективного решения всех задач обеспечения безопасности информации на общегосударственном, региональном (ведомственном) и объектовом уровнях Создание органов, осуществляющих: - управление процессами обеспечения безопасности; - проведение научно-исследовательской работы; - разработку и производство необходимых средств; - практическое решение задач обеспечения безопасности информации на объектах; - подготовку, повышение квалификации и переподготовку кадров.
Разработка теоретико-методологического базиса обеспечения безопасности информации Создание научно обоснованного базиса решения всех задач, связанных с обеспечением безопасности информации Обоснование понятийного аппарата. Аналитико-синтетическая обработка имеющихся данных. Обоснование современной постановки задачи. Обоснование стратегических подходов к обеспечению безопасности. Разработка методов решения задач обеспечения безопасности. Обоснование структуры и содержания инструментально-методологической базы решения задач. Обоснование путей и способов решения задач обеспечения безопасности. Обоснование перспектив развития теории и практики обеспечения безопасности информации.
Решение проблемы управления защитой информации и ее автоматизации Разработка методов и технологии управления защитой информации Отработка принципов управления в рамках государственной СЗИ: 1) по трем основным уровням: - во взаимодействии со структурами государственной власти; - в регионах, территориально-промышленных зонах; - на предприятиях, полигонах, объектах, в системах и комплексах. 2) в двух состояниях (режимах): - повседневном (режим заблаговременного, планового осуществления мер по ЗИ); - «быстрого реагирования» (режим принятия оперативных решений и осуществления мер по ЗИ). Создание систем управления защитой информации различного уровня и назначения.
Создание нормативно-правовой базы, регламентирующей решение задач обеспечения безопасности информации Создание условий, необходимых для правового и нормативного регулирования решения всех задач обеспечения безопасности информации Обоснование структуры и содержания нормативно-правовой базы. Разработка и организация принятия законов, регламентирующих деятельность в области обеспечения безопасности информации. Разработка, утверждение и распространение системы общегосударственных руководящих и методических материалов по обеспечению безопасности информации. Определение порядка разработки, утверждения региональных (ведомственных) документов по обеспечению безопасности информации. Разработка, утверждение и распространение комплекта типовых инструкций по решению задач обеспечения безопасности информации. Разработка и узаконивание правил сертификации средств и лицензирования деятельности по обеспечению безопасности информации.
Организация производства средств защиты информации на промышленной основе Создание индустрии производства и распространения средств обеспечения безопасности информации Обоснование перечня и содержания средств обеспечения безопасности. Создание системы предприятий и учреждений, производящих средства обеспечения безопасности. Определение порядка разработки, аттестации и распространения технических средств. Определение порядка разработки, аттестации и распространения программных средств. Определение порядка разработки, аттестации и распространения организационных средств. Определение порядка разработки, аттестации и распространения криптографических средств.
Организация системы подготовки кадров по безопасности Создание регулярной системы подготовки специалистов по безопасности информации, необходимого количества и требуемых профилей Разработка и научное обоснование концепции подготовки кадров по безопасности информации. Определение перечня учебных заведений, уполномоченных готовить кадры по безопасности информации, и распределение между ними функций. Организация подготовки молодых специалистов. Организация повышения квалификации специалистов по безопасности информации. Организация переподготовки специалистов другого профиля. Организация подготовки научно-педагогических кадров в области безопасности информации. Организация всеобуча по безопасности информации.
Создание системы документационно-методического обеспечения работ по безопасности информации Создание регулярной системы обеспечения всех органов и специалистов по безопасности информации необходимыми источниками и пособиями Разработка и научное обоснование системы документационно-методического обеспечения. Создание системы разработки, издания и распространения официальных документов. Создание системы разработки, издания и распространения трудов монографического характера. Создание системы разработки, издания и распространения учебно-методической литературы. Создание системы разработки, издания и распространения периодических изданий.

 

20. Фрагментарный и комплексный подход обеспечения ИБ в АС. Организационно-технические меры обеспечения ИБ в АС.

 

Существуют два подхода к проблеме обеспечения безопасности АСОИ:

• фрагментарный и

• комплексный.

Фрагментарный подходнаправлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.п.

Достоинством такого подхода является высокая избирательность к конкретной угрозе. Существенным недостатком данного подхода является отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов АСОИ только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.

Комплексный подходориентирован на создание защищенной среды обработки информации в АСОИ, объединяющей в единый комплекс разнородные меры противодействия угрозам. Организация защищенной среды обработки информации позволяет гарантировать определенный уровень безопасности АСОИ, что является несомненным достоинством комплексного подхода. К недостаткам этого подхода относятся: ограничения на свободу действий пользователей АСОИ, большая чувствительность к ошибкам установки и настройки средств защиты, сложность управления.

• Комплексный подход применяют для защиты АСОИ крупных организаций или небольших АСОИ, выполняющих ответственные задачи или обрабатывающих особо важную информацию. Нарушение безопасности информации в АСОИ крупных организаций может нанести огромный материальный ущерб как самим организациям, так и их клиентам. Поэтому такие организации вынуждены уделять особое внимание гарантиям безопасности и реализовывать комплексную защиту. Комплексного подхода придерживаются большинство государственных и крупных коммерческих предприятий и учреждений. Этот подход нашел свое отражение в различных стандартах.

15. Какие требования предъявляются к комплексным системам защи­ты информации?

Основные требования к комплексной системе защиты информации:

• разработка на основе положений и требований существующих законов, стандартов и нормативно-методических документов по обеспечению информационной безопасности;

• использование комплекса программно-технических средств и организационных мер для защиты КС;

• надежность, производительность, конфигурируемость;

• экономическая целесообразность (поскольку стоимость КСЗИ включается в стоимость КС, стоимость средств защиты не должна быть выше возможного ущерба от потери информации);

• выполнение на всех этапах жизненного цикла обработки ин­формации в КС (в том числе при проведении ремонтных и регла­ментных работ);

• возможность совершенствования;

• обеспечение разграничения доступа к конфиденциальной ин­формации с отвлечением нарушителя на ложную информацию (обеспечение не только пассивной, но и активной защиты);

• взаимодействие с незащищенными КС по установленным для этого правилам разграничения доступа;

• обеспечение проведения учета и расследования случаев нарушения безопасности информации в КС;

• сложная для пользователя (не должна вызывать у него психо­логического противодействия и стремления обойтись без приме­нения ее средств);

• возможность оценки эффективности ее применения.

Дата добавления: 2019-07-15; просмотров: 1711; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая6789101112131415Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.053)