 |
Основные задачи обеспечения безопасности информации
|
|
|
|
Основные составляющие ИБ
ИБ – многогранная, многомерная область деятельности, в которой успех может принести только системный, комплексный подход.
Спектр интересов субъектов, связанных с использованием ИС можно разделить на следующие категории:
- обеспечения
- доступности
- целостности
-конфиденциальности
информационных ресурсов и ПИ
Доступность – возможность за приемлемое время получить требуемую информационную услугу.
Целостность – актуальность и непротиворечивость информации и её защищенность
Конфиденциальность – защита от несанкционированного доступа к информации
Целостность делят на:
1) Статическую 2) Динамическую
Целостность является важнейшим аспектом ИБ в тех случаях, когда информация служит руководством к действию.
Конфиденциальность – самый проработанный в РФ аспект ИБ.
Объектно-ориентированный подход к ИБ
В настоящее время ИБ является замкнутой дисциплиной, развитие которой не всегда синхронизировано с изменениями в других областях ИТ.
ОО подход является основой современной технологии программирования, испытанным методом борьбы со сложностью системы.
Сложность имеет двоякую природу:
- во-первых, усложняются не только системы, которые необходимо защищать, но и сами средства защиты.
- во-вторых, быстро нарастает сложность нормативных документов
Класс – абстракция множества сущностей реального мира, объединенных сущностью, структурой и поведением.
Объект – элемент класса, абстракция определенной сущности.
ОО подход использует объектную декомпозицию, т.е. поведение системы описывается в терминах взаимодействия объектов.
Структурный подход опирается на алгоритмическую декомпозицию, когда выделяются функциональные элементы системы.
|
|
|
Основная проблема структурного подхода состоит в том, что он не применим на ранних этапах анализа и моделирования предметной области.
Группу важнейших понятий объектного подхода составляют:
- инкапсуляция (сокрытие реализаций объектов)
- наследование (построение новых классов на основе существующих)
- полиморфизм (способность объектов принадлежать > чем 1 классу)
Наследование и полиморфизм в совокупности наделяют ОО систему способностью относительно безболезненной эволюции.
Основные определения и критерии классификации угроз
Угроза – потенциальная возможность определенным образом нарушения ИБ.
Попытка реализации угрозы называется атакой, а тот, кто предпринимает её – злоумышленник.
Потенциальные злоумышленники называются источниками угрозы.
Чаще всего угроза оказывается следствием наличия слабых мест в защите Информационной Системы.
Промежуток времени от момента, когда появляется возможность использовать слабое месте и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом.
Пока существует окно опасности, возможны успешные атаки на ИС.
3 этапа существования ОО:
1) Становится известно о средствах использования пробелов в защите
2) Выпускаются соответствующие «заплаты»
3) «заплаты» д.б. установлены в ИС
Отслеживание окон должно проводиться постоянно, а выпуск и наложение «заплат» - оперативно.
Иметь представление о возможных угрозах а так же об уязвимых местах, которые эти угрозы эксплуатируют необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.
Угрозы зависят от интересов субъектов информационных отношений и от того, какой ущерб является неприемлемым.
Угрозы классифицируют по следующим критериям:
- по аспекту ИБ (достоверность, целостность, конфиденциальность)
- по компонентам ИС, на которые угрозы нацелены (данные программы, аппаратура, поддержка инфрасруктур)
- по способу осуществления (случайные/преднамеренные действия природного или техногенного характера)
- по расположению источника угрозы (внутри или вне рассматриваемой ИС).
|
|
|
Наиболее распространенные угрозы доступности
Самыми частыми и самыми опасными с точки зрения ущерба являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов, и других лиц обслуживающих ИС.
Самые радикальные способы борьбы с непреднамеренными ошибками пользователей – максимальная автоматизация.
По компонентам ИС, на которую нацелены угрозы, выделяют следующие виды:
1) Отказ пользователей
2) Внутренний отказ ИС
3) Отказ подд. инфраструктуры
Применительно к пользователям выделяют следующие угрозы:
1) Нежелание работать с ИС
2) Невозможность работать с ИС в силу отсутствия подготовки
3) Невозможность работать с системой в силу отсутствия технической поддержки
Основные источники внутренних отказов:
1) Отступление от установленных правил эксплуатации (случ/умышленных)
2) Выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей
3) Ошибки при конфигурировании системы
4) Отказы от программного и аппаратного обеспечения
5) Разрушение данных
6) Разрушение или повреждение аппаратуры
По отношению и подд. рассматривают следующие угрозы:
1) Нарушение работы систем связи, электропитания, водо или теплоснабжения, кондиционирования
2) Разрушение или повреждение помещений
3) Невозможность или нежелание обслуживающего персонала выполнять свои обязанности (гражданские беспорядки, аварии, теракты)
Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам анулированись.
Вредоносное ПО
Одним из опаснейших способов проведения атак является внедрение в атакуемые системы вредоносного ПО
Обычно ВПО предназначаются для:
1) Внедрения другого ВПО
2) Получения контроля под атакуемой системой
3) Агрессивное потребление ресурсов
4) Изменение или разрушение программ и данных
Вирус – код, обладающий способностью к распространению, путем внедрения в другие программы
|
|
|
Червь – код, способный самостоятельно, т.е. без внедрения в другие программы, вызывать распространение своих копий по ИС и их выполнение.
По госту Р51275-99 «пр. вирус – исполняемый или интерпретируемый программный код, обладающий свойством несанкционированного распространения и самовоспроизведения в автоматизированных системах или телекоммуникационных сетях с целью изменить или уничтожить ПО или данные, хранящиеся в автоматизированных системах.»
Действие ВПО м.б. направлено не только против доступности, но и против других аспектов ИБ.
Угрозой целостности является не только фальсификация или изменение данных, но и отказ от действий.
Потенциально уязвимы в точки зрения целостности не только данные, но и программы.
Угрозой дан. цел-ти является:
- нарушение атонарности транзакций
- переупорядочивание
- кража
- дублирование данных
- несение дополнительных сообщений
Соотв. Действия в сетевой среде называются активным прослушиванием.
Конфиденциальную информацию можно разделить на предметную и служебную.
Последняя не относится к определенной предметной области, в ИС оно играет техническую роль, но её раскрытие особенно опасно, поскольку чревато получением несанкционированного доступа ко всей информации, в т.ч. предметной.
Основные направления деятельности государства в области ИБ:
1) развитие научно практических основ ИБ
2) развитие законодательной и нормативно правовой базы обеспечения ИБ
3) совершенствование форм и методов предотвращения угроз ИБ (техническая часть)
4) развитие современных методов обеспечения ИБ (работа с людьми)
Основные задачи обеспечения безопасности информации
Государственная политика в сфере формирования информационных ресурсов и информатизации должно быть направленно на создание условий для эффективного и качественного информационного обеспечения и решения стратегических и оперативных задач социального и экономического развития страны. Для эффективного обеспечения безопасности информации требуется создание развитого методологического базиса позволяющего решать следующие комплексные задачи:
1) создать систему органов, ответственных за безопасность информации
2) разработать теоретико-методологические основы обеспечения безопасности информации
3) решить проблему управления защитой информации и её автоматизации
4) создать нормативно правовую базу, регламентирующую решение всех задач обеспечения безопасности информации
5) наладить производство средств защиты информации
6) организовать подготовку специалистов по защите информации
7) подготовить нормативно-методическую базу для проведения работ по обеспечению безопасности информационных технологий (БИТ)
|
|
|
|
|
|
