 |
Организационные структуры системы обеспечения ИБ
|
|
|
|
Ас стрелка руководство, департамент ИБ,департамент ТО, департамент эксплуатации, посторонние лица, сотрудники организации.
Концепция ИБ
Две части:
l основной открытый текст концепции ИБ, отражающих исключительно общие взляды на проблему ИБ. Включают в себя термины, определения, предметную область, цели и обеспечения ИБ, модели угроз и нарушителей, парадигму обеспечения ИБ, основные принципы обеспечения ИБ, требования к политике ИБ, управление ИБ. Критерий оценки.
l приложения к концепции, включающие в себя полную информацию по наиболее важным проблемам. Перечень сведений, относящиеся к конфиденциальной информации, перечень организационных мероприятий по внедрению концепций ИБ, риски ИБ связанные с персоналом, распределение функций по обеспечению ИБ, положение о мониторинге ИБ, регламент расследований инцидентов ИБ.
Таким образом в концепции ИБ должны быть определены следущие области: политика ИБ, организация ИБ, классификация и контроль активов, безопасность персонала, физическая безопасность, управление коммуникациями и операциями, контроль доступа, разработка и сопровождение АС, управление обеспечения непрерывности бизнесса.
Основных принципов построение системы ИБ
⑯ своевременность обнаружения проблема
⑰ прогнозируемость развития проблем
⑱ оценка влияния проблем
⑲ адекватность защитных мер
⑳ фиктивность защитных мер
21 использование опыта при принятии и реализации решений
22 непрерывность принципов безопасного функционирования
23 контроль защитных мер
Технологии обеспечения ИБ
Это определенное распределение функций и регламентация порядка их исполнения, а так же порядка взаимодействия подразделений и сотрудников организации по обеспечению комплексной защиты ресурсов АС в процессе ее эксплуатации. К технологиям обеспечения ИБ применяются следующие требования:
|
|
|
1. соответствие современному уровню развития айти
2. учет особенностей построения и функционирования различных подсистем АС
3. точное и своевременное реализации политики безопасности организации
4. минимизация затрат на реализацию обеспечении ИБ
Реализация технологий обеспечения предполагают:
5. назначение и подготовка сотрудников, ответственных за обеспечения ИБ
6. строгий учет всех подлежащих к защите ресурсов
7. разработка реально выполнимых и непротиворечивых документов по вопросам обеспечений ИБ
8. реализация технологических процессов обработки информации в АС
9. принятие эффективных мер сохранности и обеспечение физической целостности технических средств АС
10. приминение физических и технических средств защиты АС
11. регламентация всех процессов обработки информации
12. четкое знание и строгое соблюдение всеми сотрудниками требования ИБ
13. пресональная ответственность за свои действия каждого сотрудника
14. эффективный контроль за соблюдением требований ИБ
15. проведения постоянного анализа эффективности и достаточности принятых мер
Система организационно-распорядительных документов организации по защите информации
В уставе организации, а так же во всех положениях о структурных подразделений организации и в должностных инструкциях всех сотрудниках обязательно должны быть отражены требования по обеспечению ИБ. Все выше перечисленные документы должны формулироваться с учетом действующего законодательства РФ. Основным документом является документ концепции ИБ. Для обеспечения управления и контроля за соблюдением установленных требований ИБ с целью обеспечения дифференцированного подхода к защите АС организации необходимо разработать и принять "положение об определения требований по защите ресурсов". Для классификации защищаемой информации используется документ "перечень информационных ресурсов подлежащих к защите". Полномочие пользователей АС устанавливается специальной "инструкцией по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсу системы". Добавление новых рабочих станций серверов, а так же изменение их конфигурации регламентируется "инструкцией по установке модификацией и тех обслуживанием ПО и аппаратных средств компьютеров АС". Разработка ПО должна осуществляться в соответствии с "порядком разработки, проведение испытаний и передача задач в эксплуатацию". При использовании криптографических схем защиты должен быть разработан "порядок работы с носителями ключевой информации". Кроме этого защиту информации регламентирует инструкция по организации парольной защиты, инструкция по организаци антивирусной защиты, а так же любые другие документы по организации защиты информации, которая организация сочтет необходимым ввести в действие.
|
|
|
Корпоративные системы защиты информации
Локальная сеть представляет собой группу компьютеров, сопряженных друг с другом каналами передачи информации и размещенных в пределах одного или нескольких компактно расположенных зданий.
Под корпоративной информационно-вычислительной сетью понимается локальная или территориально-распределенная информационно-вычисл ительная сеть, состаящая из совокупности средств вычислительной техники и перифирийного оборудования, объединенных каналами связи, обеспечивающая функционирование одной организации (предприятия).
Задачи службы информационной безопасности (СИБ):
l организация и защита конфиденциального документооборота и архива документов
l защита помещений
l организация доступа в помещения, где обробатывается конфиденциальная информация
l защита каналов и сетей связи
l обеспечение компьютерной безопасности
l информирование пользователей о правилах защиты информации (компетенция персонала)
l контроль выполнения правил защиты информации
|
|
|
l администрирование выделенного сегмента корпоративной сети
l компьютерная разведка по открытым источникам
Основы криптографии
- Наука о шифровании данных
Криптоанализ – наука о раскрытия исходного текста зашифрованного сообщения.
Код
Шифр
Алгоритм – шифрует
Ключ – дешифрует
Шифр – совокупность обратимых преобразований множества открытых данных на множество зашифрованных данных, задаваемых ключом и алгоритмов крипто преобразовании.
Ключ – это конкретное открытое или секретное состояние некоторых параметров алгоритмов криптографического преобразовании данных, обеспечивающие выбор только одного варианта из всех возможных для данного алгоритма. Криптостойкость определяет стойкость шифра к раскрытию методами криптоанализа, измеряется интервалами времени необходимого для ….
Требования к шифрам:
- достаточная криптосттойкости
- простота процедуры шифровании и дешифровании
- незначительное увеличение объема информации за счет шифрования
- нечувствительность к небольшим ошибкам шифрования
Задача, решаема применением криптографических методов:
- предотвращения возможности несанкционированного ознакомления с информацией.
- Подтверждение подлинности электронного документа
- Гарантия целостности
- Усиление аутентификации пользователя системы
Недостатки криптографических методов:
- Большие затраты ресурсов
- Трудности с совместном использовании зашифрованной информации
- Выскоие требования к сохранности секретных ключей и защиты открытыйх ключей от подменты
- Трудности с применением в отсутствии надежных средств защиты открытой информации и ключей от НСД
Два типа криптографических методов: симметричный и ассиметричный
Алгоритмы: DES(Data ecryption standart),Triple DES, IDEA (128 бит, смещение операции для блоков 64). Для подбора ключа нужно несколько суток. Алгоритм ГОСТ-28147-89, ключ 256 бит.
4 работы алгоритма ГОСТ:
- Шифрование данных в режиме простой замены
- Шифрование данных в режиме гаммирования
- Гаммирование с обратной связью
- Выработка эмитовставки
Гаммирования – процесс наложения по определенному закону гаммо шифром на открытые данные. Гаммо шифр – это псевдо случаная двоичная последовательность, вырабатываемая по заданному алгоритму, используемая для шифрования и дешифрования.
|
|
|
Эмитозащита – защита системы шифрованной связи от навязывания ложных данных.
Эмитовставка – это блок из какого-либо колличесвта бит, которое вырабатываются по определенному правилу из открытых данных с использованием ключа и затем добавляется к зашифрованным данным для обеспечения эмитозащиты.
(бумажка)
|
|
|
