Введение

Основные принципы организации защиты информации

от НСД и обеспечения ее конфиденциальности

Некоторые понятия
Защита информации в КС – комплекс организационных, организационно-
технических и технических мер, предотвращающих или снижающих
возможность образования каналов утечки информации и/или каналов воздействия
на КС. Для защиты информации в компьютерной системе принимаются
следующие меры.
Организационные меры защиты – меры общего характера, затрудняющие
доступ к ценной информации злоумышленникам вне зависимости от
особенностей способа обработки информации и каналов утечки и воздействия.
Организационно-технические меры защиты – меры, связанные со спецификой
каналов утечки (воздействия) и метода обработки информации, но не требующие
для своей реализации нестандартных приемов, оборудования или программных
средств.
Технические (программно-технические) меры защиты – меры, жестко
связанные с особенностями каналов утечки и воздействия и требующие для своей
реализации специальных приемов, оборудования или программных средств
Основные принципы организации защиты информации
от НСД и обеспечения ее конфиденциальности

Основные принципы
1. Соответствие уровня безопасности информации законодательным
положениям и нормативным требованиям по охране сведений, подлежащих
защите по действующему законодательству, в т.ч. выбор класса защищенности
АС в соответствии с особенностями обработки информации (технология
обработки, конкретные условия эксплуатации АС) и уровнем ее
конфиденциальности.
2. Выявление конфиденциальной информации и документальное оформление в
виде перечня сведений, подлежащих защите, его своевременная
корректировка.
3. Наиболее важные решения по защите информации должны приниматься
руководством предприятия (организации, фирмы), владельцем АС.
4. Определение порядка установки уровней полномочий субъектов доступа, а
также круга лиц, которым это право предоставлено.
5. Установление и оформление правил разграничения доступа (ПРД), т.е.
совокупности правил, регламентирующих правадоступа субъектов доступа к
объектам доступа
 Основные принципы организации защиты информации от
НСД и обеспечения ее конфиденциальности

Основные принципы
6. Установление личной ответственности пользователей за поддержание уровня
защищенности АС при обработке сведений, подлежащих защите по
действующему законодательству, путем:
 ознакомления с перечнем защищаемых сведений, организационно-
распорядительной и рабочей документацией, определяющей требования и
порядок обработки конфиденциальной информации;
 определение уровня полномочий пользователя в соответствии с его
должностными обязанностями;
 получения от субъекта доступа расписки о неразглашении доверенной ему
конфиденциальной информации.
7. Обеспечение физической охраны объекта, на котором расположена
защищаемая АС (территория, здания, помещения, хранилища информационных
носителей), путем установления соответствующих постов, технических
средств охраны или любыми другими способами, предотвращающими или
существенно затрудняющими хищение средств вычислительной техники
(СВТ), информационных носителей, а также НСД к СВТ и линиям связи
Основные принципы организации защиты информации
от НСД и обеспечения ее конфиденциальности

Основные принципы
8. Организация службы безопасности информации (ответственные лица,
администратор АС), осуществляющей учет, хранение и выдачу
информационных носителей, паролей, ключей, ведение служебной
информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил
разграничения доступа), приемку включаемых в АС новых программных
средств, а также контроль за ходом технологического процесса обработки
конфиденциальной информации и т.д.
9. Планомерный и оперативный контроль уровня безопасности защищаемой
информации согласно НД по безопасности информации, в т.ч. проверка
защитных функций средств защиты информации

Средства защиты информации должны иметь сертификат,

удостоверяющий их соответствие требованиям по безопасности
информации.
 Стандарты информационной безопасности и их роль

Главная задача стандартов информационной безопасности – создать основу

для взаимодействия между производителями, потребителями и экспертами по
квалификации продуктов информационных технологий.
Потребители:
a) заинтересованы в методике, позволяющей обоснованно выбрать продукт,
отвечающий их нуждам, для чего необходима шкала оценки безопасности.
b) нуждаются в инструменте, с помощью которого они могли бы
сформулировать свои требования производителям. При этом потребителя
интересуют исключительно характеристики и свойства конечного продукта, а
не методы и средства их достижения
Производители:
нуждаются в стандартах как средстве сравнения возможностей своих продуктов,
а также в стандартизации определенного набора требований безопасности. Эти
требования не должны противоречить парадигмам обработки информации,
архитектуре вычислительных систем и технологиям создания информационных
продуктов.
Таким образом, перед стандартами информационной безопасности стоит задача –
примирить эти три точки зрения и создать эффективный механизм
взаимодействия всех сторон
 Основные понятия и определения

• Политика безопасности .Совокупность норм и правил, обеспечивающих эффективную

защиту системы обработки информации от заданного множества угроз безопасности.
• Дискреционное, или произвольное управление доступом (Discretionery Access Control).
Управление доступом, осуществляемое на основании заданного администратором
множества разрешенных отношений доступа (например в виде «троек» – <объект, субъект,
тип доступа>).
• Мандатное, или нормативное, управление доступом (Mandatory Access Control).
Управление доступом, основанное на совокупности правил предоставления доступа,
определенных на множестве атрибутов безопасности субъектов и объектов, например, в
зависимости от грифа секретности информации и уровня доступа пользователя.
• Идентификация-Процесс распознания сущностей путем присвоения им уникальных меток
(идентификаторов).
• Аутентификация-Проверка подлинности идентификаторов сущностей с помощью
различных (преимущественно криптографических) методов.
• Квалификационный анализ, квалификация уровня безопасности-Анализ ВС с целью
определения уровням ее защищенности и соответствия требованиям безопасности на
основе критериев стандарта безопасности.
• Контролируемая Зона - пространство, в котором исключено неконтролируемое
пребывание лиц, не имеющих постоянного или разового допуска, и посторонних
транспортных средств. Границей контролируемой зоны могут являться: периметр
охраняемой территории предприятия (учреждения); ограждающие конструкции
охраняемого здания, охраняемой части здания, выделенного помещения.
 Угрозы безопасности компьютерных систем

Под угрозой безопасности в вычислительной системе понимаются

воздействия на систему, которые прямо или косвенно могут нанести ущерб ее
безопасности.
Разработчики требований безопасности и средств защиты выделяют три вида
угроз:
1. угрозы нарушения конфиденциальности обрабатываемой информации;
2. угрозы нарушения целостности обрабатываемой информации;
3. угрозы нарушения работоспособности ВС

Угрозы несанкционированного доступа к информации в

информационной системе с применением программных и программно-
аппаратных средств реализуются при осуществлении
несанкционированного, в том числе случайного, доступа, в результате
которого осуществляется нарушение конфиденциальности (копирование,
несанкционированное распространение), целостности (уничтожение,
изменение) и доступности (блокирование) информации.
 Угрозы безопасности компьютерных систем

Угрозы НСД включают в себя:

• угрозы доступа (проникновения) в операционную среду
компьютера с использованием штатного программного
обеспечения (средств операционной системы или прикладных
программ общего применения);
• угрозы создания нештатных режимов работы программных
(программно-аппаратных) средств за счет преднамеренных
изменений служебных данных, игнорирования предусмотренных в
штатных условиях ограничений на состав и характеристики
обрабатываемой информации, искажения (модификации) самих
данных и т.п.;
• угрозы внедрения вредоносных программ (программно-
математического воздействия)
• комбинированные угрозы, представляющие собой сочетание
вышеуказанных угроз.
 Угрозы безопасности компьютерных систем
Общая характеристика источников угроз
несанкционированного доступа в информационной системе
Источниками угроз НСД в ИС могут быть:
• нарушитель;
• носитель вредоносной программы;
• аппаратная закладка.
По наличию права постоянного или разового доступа в
контролируемую
зону (КЗ) нарушители подразделяются на два типа:
1. нарушители, не имеющие доступа к ИС, реализующие угрозы из
внешних сетей связи общего пользования и (или) сетей
международного информационного обмена, – внешние нарушители;
2. нарушители, имеющие доступ к ИС, включая пользователей ИС,
реализующие угрозы непосредственно в ИС, – внутренние
нарушители.
Внешние Нарушители

Внешний нарушитель
 Внешние Нарушители

Внешний нарушитель имеет следующие возможности:

• осуществлять несанкционированный доступ к каналам связи, выходящим
за пределы служебных помещений;
• осуществлять несанкционированный доступ через автоматизированные
рабочие места, подключенные к сетям связи общего пользования и (или)
сетям международного информационного обмена;
• осуществлять несанкционированный доступ к информации с
использованием специальных программных воздействий посредством
программных вирусов, вредоносных программ, алгоритмических или
программных закладок;
• осуществлять несанкционированный доступ через элементы
информационной инфраструктуры ИС, которые в процессе своего
жизненного цикла (модернизации, сопровождения, ремонта, утилизации)
оказываются за пределами контролируемой зоны;
• осуществлять несанкционированный доступ через информационные
системы взаимодействующих ведомств, организаций и учреждений при
их подключении к ИС.
 Внутренний Нарушитель
Возможности внутреннего нарушителя существенным образом
зависят от действующих в пределах контролируемой зоны режимных и
организационно-технических мер защиты, в том числе по допуску
физических лиц к данным и контролю порядка проведения работ
Внутренние потенциальные нарушители подразделяются на восемь
категорий в зависимости от способа доступа и полномочий доступа к
данным
1. Лица, имеющие санкционированный доступ к ИС, но не имеющие
доступа к данным. К этому типу нарушителей относятся должностные
лица, обеспечивающие нормальное функционирование ИС.
2. Зарегистрированные пользователи ИС, осуществляющие
ограниченный доступ к ресурсам ИС с рабочего места.
3. Зарегистрированные пользователи ИС, осуществляющие удаленный
доступ к данным по локальным и (или) распределенным
информационным системам.
 Внутренний Нарушитель
4. Зарегистрированные пользователи ИС с полномочиями
администратора безопасности сегмента (фрагмента) ИС
5. Зарегистрированные пользователи с полномочиями системного
администратора ИС.
6. Зарегистрированные пользователи с полномочиями администратора
безопасности ИС
7. Программисты-разработчики (поставщики) прикладного
программного обеспечения и лица, обеспечивающие его
сопровождение на защищаемом объекте.
8. Разработчики и лица, обеспечивающие поставку, сопровождение и
ремонт технических средств на ИС