Семинар Информационная безопасность и эффективное

реклама
Программа
«Безопасность компьютерных систем и
информационных технологий»
1
Лопухов Виталий Михайлович
к.т.н., доцент,
доцент кафедр МИТ ААЭП,
ИВИиИБ и ПМ АлтГТУ
lovimi@mail.ru
Модуль 1. Основы безопасности
информационных технологий
2
Тема 1. Концепция информационной безопасности.
- Концептуальная модель ИБ. Основные концептуальные положения системы защиты информации.
- Основные положения теории информационной безопасности.
- Компоненты концептуальной модели информационной безопасности (угрозы, их источники и объекты,
цели злоумышленников, направления, способы и средства защиты информации).
- Угрозы безопасности информационных технологий.
- Уязвимость основных структурно-функциональных элементов распределенных автоматизированных
систем.
- Угрозы безопасности информации, автоматизированных систем и субъектов информационных отношений.
- Основные источники и пути реализации угроз.
- Классификация угроз безопасности и каналов проникновения в автоматизированную систему и утечки
информации.
- Основные непреднамеренные и преднамеренные искусственные угрозы.
- Неформальная модель нарушителя.
- Виды мер и основные принципы обеспечения безопасности информационных технологий. Виды мер
противодействия угрозам безопасности. Достоинства и недостатки различных видов мер защиты.
- Основные принципы построения системы обеспечения безопасности информации в автоматизированной
системе. Система защиты информации, её цели и задачи, и требования к ней.
- Структура и концепция защиты. Основные уровни зашиты информации
Основные понятия информатики
(Федеральный закон № 149-ФЗ от 27.07.2006 г.
«Об информации, информационных технологиях и
о защите информации»)
Информация - сведения (сообщения, данные)
независимо от формы их представления.
Информационные технологии - процессы, методы поиска,
сбора, хранения, обработки, предоставления,
распространения информации и способы
осуществления таких процессов и методов.
Обладатель информации - лицо, самостоятельно создавшее информацию либо
получившее на основании закона или договора право разрешать или
ограничивать доступ к информации, определяемой по каким-либо признакам.
Доступ к информации - возможность получения информации и ее использования.
Конфиденциальность информации - обязательное для выполнения лицом,
получившим доступ к определенной информации, требование не передавать такую
3
информацию третьим лицам без согласия ее обладателя.
3
Информация – сведения о лицах,
предметах, фактах, событиях,
явлениях и процессах независимо
от формы их представления.
Актив – всё, что имеет ценность.
«Кто владеет информацией, тот
владеет миром»
4
Защита информации
Защита информации (149-ФЗ)
Защита информации – деятельность, направленная на
предотвращение утечки защищаемой информации,
несанкционированных и преднамеренных
воздействий на защищаемую информацию. (ГОСТ Р
52653-2006 «Информационно-коммуникационные технологии
в образовании. Термины и определения»)
Обеспечение информационной безопасности
(Федеральный закон от 03.04.1995 N 40-ФЗ «О
Федеральной службе безопасности»)
5
5
Информационная безопасность –
6
это состояние защищённости информационной среды
общества, обеспечивающее её формирование,
использование и развитие в интересах граждан,
организаций, государств.
Безопасность информации [данных] - состояние защищенности информации
[данных], при котором обеспечены ее [их] конфиденциальность, доступность и
целостность (ГОСТ Р 50922-2006 «Защита информации. Основные термины и
определения»)
Информационная безопасность Российской Федерации - состояние
защищенности ее национальных интересов в информационной сфере, определяющихся
совокупностью сбалансированных интересов личности, общества и государства
(Доктрина информационной безопасности Российской Федерации (утв. Президентом
РФ от 9 сентября 2000 г. N Пр-1895).
Информационная безопасность детей - «состояние защищенности детей, при
котором отсутствует риск, связанный с причинением информацией вреда их здоровью и
(или) физическому, психическому, духовному, нравственному развитию»
(Федеральный закон от 29.12.2010 N 436-ФЗ "О защите детей от информации,
причиняющей вред их здоровью и развитию ")
Виды информации
Информационные ресурсы —
отдельные документы и отдельные
массивы документов, документы и
массивы документов в информационных
системах (библиотеках, архивах, фондах,
банках данных, других информационных
системах).
«…к общедоступной информации
относятся общеизвестные сведения и
иная информация, доступ к которой не
ограничен…» (ст. 8 149-ФЗ)
Массовая информация предназначенные для неограниченного
круга лиц печатные, аудио-,
аудиовизуальные и иные сообщения и
материалы (Закон РФ от 27.12.1991г. N
2124-1 "О средствах массовой
7
информации
")
Тайна (конфиденциальная информация)
8
Л.О. Красавчикова: тайна - информация о действиях (состоянии и
иных обстоятельствах) определенного лица (гражданина, организации,
государства), не подлежащих разглашению.
С.И. Ожегов: тайна - нечто скрываемое от других, известное не всем.
И.В. Смолькова: тайна может быть определена как особым образом
охраняемый законом блок секретной или конфиденциальной
информации (сведений) известной или доверенной узкому кругу
субъектов в силу исполнения служебных, профессиональных и иных
обязанностей или отдельных поручений, разглашение которых может
повлечь юридическую ответственность.
Источниками конфиденциальной информации являются люди, документы,
публикации, технические носители информации, технические средства
обеспечения производственной и трудовой деятельности, продукция и отходы
производства.
Виды тайн, связанных с хозяйственной
деятельностью
9
Cлужебная тайна - сведения о сферах деятельности государственных органов, доступ
к которым ограничивается служебной необходимостью и разглашение или утрата
которых может нанести ущерб государственным органам или государству ("Модельный
закон о государственных секретах», принятый 16.06.2003 на 21-ом пленарном
заседании Межпарламентской Ассамблеи государств-участников СНГ)
Информация, полученная гражданами (физическими лицами) при исполнении ими
профессиональных обязанностей или организациями при осуществлении ими
определенных видов деятельности (профессиональная тайна), подлежит защите в
случаях, если на эти лица федеральными законами возложены обязанности по
соблюдению конфиденциальности такой информации.(149-ФЗ «Об информации,
информационных технологиях и о защите информации»)
Коммерческая тайна - режим конфиденциальности информации, позволяющий ее
обладателю при существующих или возможных обстоятельствах увеличить доходы,
избежать неоправданных расходов, сохранить положение на рынке товаров, работ,
услуг или получить иную коммерческую выгоду (Федеральный закон от 29 июля 2004 г.
N 98-ФЗ "О коммерческой тайне").
Термином "интеллектуальная собственность" охватываются
только сами результаты интеллектуальной деятельности
Гражданский Кодекс. Часть 4.
ПРАВА НА РЕЗУЛЬТАТЫ ИНТЕЛЛЕКТУАЛЬНОЙ
ДЕЯТЕЛЬНОСТИ И СРЕДСТВА ИНДИВИДУАЛИЗАЦИИ
Гл. 70. АВТОРСКОЕ ПРАВО Ст. 1255-1302.
Гл. 71. ПРАВА, СМЕЖНЫЕ С АВТОРСКИМИ
Ст. 1303-1344
Гл. 72. ПАТЕНТНОЕ ПРАВО Ст. 1345-1407
Статья 1225 «Результатами интеллектуальной деятельности и приравненными к ним
средствами индивидуализации юридических лиц, товаров, работ, услуг и предприятий,
которым предоставляется правовая охрана (интеллектуальной собственностью),
являются:
1) произведения науки, литературы и искусства;
2) программы для электронных вычислительных машин (программы для ЭВМ);
3) базы данных;
4) исполнения;
5) фонограммы;
6) сообщение в эфир или по кабелю радио- или телепередач (вещание организаций эфирного или
кабельного вещания);
7) изобретения;
8) полезные модели;
9) промышленные образцы;
10) селекционные достижения;
11) топологии интегральных микросхем;
12) секреты производства (ноу-хау);
13) фирменные наименования;
14) товарные знаки и знаки обслуживания;
10
15) наименования мест происхождения товаров;
16) коммерческие обозначения..."
Каждый имеет право на неприкосновенность
частной жизни, личную и семейную тайну, защиту
своей чести и доброго имени. (Ст. 23. Конституции РФ)
Жизнь и здоровье, достоинство
личности, личная неприкосновенность,
честь и доброе имя, деловая репутация,
неприкосновенность частной жизни,
неприкосновенность жилища, личная и
семейная тайна, свобода
передвижения, свобода выбора места
пребывания и жительства, имя
гражданина, авторство, иные
нематериальные блага, принадлежащие
гражданину от рождения или в силу
закона, неотчуждаемы и непередаваемы
иным способом. (Ст. 150 ГК РФ)
11
Персональные данные (ПДн) - любая
информация, относящаяся к прямо или
косвенно определенному или
определяемому физическому лицу
(субъекту персональных данных).
Федеральный Закон от 27.07.2006 г. N 152-ФЗ
«О персональных данных»
Целью закона является обеспечение защиты прав и свобод
человека и гражданина при обработке его персональных
данных, в том числе защиты прав на неприкосновенность
частной жизни, личную и семейную тайну.
12
12
Трудовой кодекс
Российской Федерации
N 197-ФЗ (ТК РФ)
13
Глава 14. Защита
персональных данных работника
 Статья 86. Общие требования при обработке




персональных данных работника и гарантии их защиты
Статья 87. Хранение и использование персональных
данных работников
Статья 88. Передача персональных данных работника
Статья 89. Права работников в целях обеспечения
защиты персональных данных, хранящихся у
работодателя
Статья 90. Ответственность за нарушение норм,
регулирующих обработку и защиту персональных
данных работника
Коммерческая тайна
14
режим конфиденциальности информации, позволяющий
ее обладателю при существующих или возможных
обстоятельствах увеличить доходы, избежать
неоправданных расходов, сохранить положение на рынке
товаров, работ, услуг или получить иную коммерческую
выгоду (Федеральный закон
от 29.07.2004 г. N 98-ФЗ
"О коммерческой тайне")
15
Комплексное использование всего арсенала имеющихся средств защиты
16
17
Защита информации должна быть:
•
•
•
•
•
•
•
непрерывной
плановой
целенаправленной
конкретной
активной
универсальной
комплексной
18
Система защиты информации должна:
• охватывать весь технологический комплекс
информационной деятельности;
• быть разнообразной по используемым средствам,
многоуровневой с иерархической
последовательностью доступа;
• быть открытой для изменения и дополнения мер
обеспечения безопасности информации;
• быть нестандартной, разнообразной;
• быть простой для технического обслуживания и
удобной для эксплуатации пользователями;
• быть надежной;
• быть комплексной,
19
Требования к системе безопасности:
• четкость определения полномочий и прав пользователей на
доступ к определенным видам информации;
• предоставление пользователю минимальных полномочий,
необходимых ему для выполнения порученной работы;
• сведение к минимуму числа общих для нескольких
пользователей средств защиты;
• учет случаев и попыток несанкционированного доступа к
конфиденциальной информации;
• обеспечение оценки степени конфиденциальной
информации;
• обеспечение контроля целостности средств защиты и
немедленное реагирование на их выход из строя.
20
Общая структурная схема системы
защиты информации (СЗИ)
Ресурсы АС
С
З
И
Организационноправовое
обеспечение
Человеческий
компонент
Лингвистическое обеспечение
Информационное обеспечение
Программное обеспечение
Математическое обеспечение
Техническое обеспечение
Организационно-правовые нормы
Организационно-технические
мероприятия
Системные программисты
Обслуживающий персонал
Администраторы банков данных
Диспетчеры и операторы АС
Администрация АС
Пользователи
Служба защиты информации 22
Основные направления защиты
информации
ПРАВОВАЯ ЗАЩИТА
ОРГАНИЗАЦИОННАЯ ЗАЩИТА
ИНЖЕНЕРНО-ТЕХНИЧЕСКАЯ ЗАЩИТА
23
Дефиниции модели информационной безопасности
•Информационная безопасность
•Безопасность информационнотелекоммуникационных
•Аутентичность
•Доступность
•Конфиденциальность
•Целостность
•Неотказуемость
•Достоверность
•Угроза
•Уязвимость
•Активы
•Инцидент информационной
безопасности
24
Источники:
- ГОСТ Р 53114-2008 «Защита
информации. Обеспечение
информационной безопасности в
организации. Основные термины
и определения»
- ГОСТ Р 50922-2006 «Защита
информации. Основные термины
и определения»
Модель построения системы защиты
информации
25
КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
26
Тайна (конфиденциальная информация) информация о действиях (состоянии и иных
обстоятельствах) определенного лица (гражданина,
организации, государства), не подлежащих разглашению.
Закон РФ N 5485-1
"О государственной тайне",
ст. 275, 276, 283 и 284 УК
РФ
N 98-ФЗ "О коммерческой тайне"
ст. 183 УК РФ
ст. 137 УК РФ, тайна усыновления ребёнка (ст. 139 СК
РФ)
Указ Президента РФ от 06.03.1997 N 188 "Об
утверж- дении Перечня сведений
конфиденциальн. характера"
адвокатская тайна (ст. 8 N 63-ФЗ "Об
адвокатской деятельности и
адвокатуре в Российской Федерации«)
27
Источники
конфиденциальной информации
28
Угрозы конфиденциальной информации - потенциальные
или реально возможные действия по отношению к информационным
ресурсам, приводящие к неправомерному овладению охраняемыми
сведениями.
РАЗРУШЕНИЕ
(уничтожение)
ОЗНАКОМЛЕ-НИЕ
(получение)
Киберпреступность - правонарушения, связанные с
использованием инфо-коммуникационных технологий.
30
Классификация угроз
• по величине принесенного
ущерба:
• предельный, после которого
фирма может стать
банкротом;
• значительный, но не
приводящий к банкротству;
• незначительный, который
фирма за какое-то время
может компенсировать и
др.;
• по вероятности
возникновения:
• весьма вероятная угроза;
• вероятная угроза;
• маловероятная угроза;
• по причинам появления:
• стихийные бедствия;
• преднамеренные
действия;
• по характеру
нанесенного ущерба:
• материальный;
• моральный;
• по характеру
воздействия:
• активные;
• пассивные;
• по отношению к объекту:
• внутренние;
• внешние.
31
Системная классификация угроз
Виды угроз
Нарушение физической целостности
 Уничтожение (искажение)
Нарушение логической структуры
 Искажение структуры
Нарушение содержания
 Несанкционированная
модификация
Нарушение конфиденциальности
 Несанкционированное получение
Нарушение права собственности
32
 Присвоение чужого права
Системная классификация
угроз
Природа происхождения угроз
Случайная
 Отказы
 Сбои
 Ошибки
 Стихийные бедствия
 Побочные влияния
Преднамеренная  Злоумышленные действия
людей
33
Системная классификация
угроз
Предпосылки появления угроз
Объективные
 Количественная недостаточность
элементов системы
 Качественная недостаточность
элементов системы
Субъективные
 Разведорганы иностранных
государств
 Промышленный шпионаж
 Уголовные элементы
 Недобросовестные сотрудники
34
35
Специфические виды угроз для компьютерных сетей
- несанкционированный обмен информацией между
пользователями;
- несанкционированный межсетевой доступ к
информационным и техническим ресурсам сети;
- отказ от информации, т.е. непризнание получателем
(отправителем) этой информации факта ее получения
(отправления);
- отказ в обслуживании, который может
сопровождаться тяжелыми последствиями для
пользователя, обратившегося с запросом на
предоставление сетевых услуг;
- распространение сетевых вирусов.
Виды атак в IP-сетях
Подслушивание (sniffing) – подключение к линиям связи
Парольные атаки
Изменение данных
«Угаданный ключ»
Подмена доверенного субъекта – хакер выдает себя за
санкционированного пользователя (подмена IP-адреса)
Перехват сеанса – хакер переключает установленное
соединение на новый хост
Посредничество в обмене незашифрованными ключам
«Отказ в обслуживании»
Атаки на уровне приложений – использование слабостей
системного ПО (HTTP, FTP)
Злоупотребление доверием
Вирусы и приложения типа «троянский конь»
Сетевая разведка – сбор информации о сети
Модель
информационной
безопасности
Модель информационной
безопасности
Уязвимость - слабость одного или нескольких
активов, которая может быть использована
одной или несколькими угрозами
Источники угроз
•конкуренты,
•преступники,
•коррупционеры,
•отдельные лица,
•административноуправленческие
органы,
•администрация и
персонал предприятия
40
Группы субъектов:
Хакеры
кодировщики
Коллекционеры
киберкруки
Спамеры
Парнографы
Кракеры
пираты
кардеры
фишеры
вирусописатели
киберсквотеры
Фрикеры
Первоначально
под
хакером
(hacker)
понимался
высокопрофессиональный программист, способный разрабатывать и
модернизировать компьютерные программы, не имея детальных
спецификаций и документации к ним. (Стал означать компьютерного
взломщика, способного незаконным способом получить доступ в ИС или к
защищенным ИР).
Однако большинство авторов небезосновательно полагают, что для последней
указанной категории субъектов противоправной деятельности более
предпочтительным является использование термина “кракер“ (cracker).
41
Субъекты обеих указанных категорий ищут и
анализируют уязвимые места (“дыры”, ”люки” и т.д.) в
аппаратно-программном обеспечении ИС и осуществляют
взлом компьютерных систем и сетей (КСС).
Статистическое соотношение различного рода мотивов при совершении компьютерных
преступлений по экспертным оценкам составляет:
• корыстные мотивы – 60…70%;
• политические мотивы (терроризм, шпионаж, диссидентство и т.д.) – 15…20%;
• исследовательский интерес (любопытство) – 5… 7%;
• хулиганские побуждения и озорство – 8…10%;
42
• месть – 4%.
Кодировщики (coders) осуществляют взлом программных продуктов, устраняя или
обходя в них программные механизмы защиты.
Компьютерные пираты (wares dudes) специализируются на незаконном (без согласия
правообладателя) копировании лицензионных программных продуктов и их
распространении с целью получения материальной выгоды. Своеобразная
классификация субъектов на: "Лоточники" , "Интернетчики", "Черные внедренцы"
("Предустановщики")
и
“Популяризаторы”.
Коллекционеры
(codes
kids)
коллекционируют, используют и обмениваются защищенными компьютерными
программными продуктами.
Кардеры (card) – специализируются на махинациях
карточками,оплачивая свои расходы с чужих кредитных карточек.
с
пластиковыми
Киберкруки (cybercrooks) – специализируются на несанкционированном
проникновении в КСС финансово-банковских учреждений и закрытые КСС
государственных силовых структур и органов.
Фишинг (fіshіng – с англ .–рыбная ловля) – относительно новый вид сетевого
мошенничества.
43
Спамеры (spam, spiced ham – досл. с англ .– "ветчина со специями") занимаются
массовой рассылкой непрошенных (часто анонимных) объявлений средствами
электронных коммуникаций, прежде всего — по электронной почте.
Вирусописатели (Virus Writers, вирмейкеры) осуществляют противоправное
повреждение КСС с целью нарушения ее функционирования с помощью
программных (компьютерных или сетевых) вирусов.
Порнографы используют возможности WWW для платного распространения
материалов порнографического характера, которые ученые называют ”кокаином
для нового поколения”.
Киберсквоттинг (cybersquatting) – захват доменных имен с целью наживы.
Фрикеры (phreak=phone+break) специализируются на использовании телефонных
систем, взломе цифровых АТС телефонных компаний,несанкционированном
получении кодов доступа к платным услугам.
С правовой точки зрения относить хакеров, кракеров, фрикеров, кардеров и других
субъектов из вышерассмотренных категорий
к
компьютерным преступникам может только суд.
44
45
Скачать