Амелин Р.В.Информационная безопасностьэлектронный учебник |
Оглавление
Установочный модуль
Модуль 1 Глава 1.Введение в информационную безопасность Глава 2.
Глава 3.Принципы построения защищенной АИС Модели безопасности Тест к модулю 1 Модуль 2 Глава 4.Введение в криптографию. Симметричное шифрование Тест к модулю 2 Модуль 3 Глава 5.Шифрование с открытым ключом. ЭЦП Глава 6. Криптографические протоколы Тест к модулю 3 Модуль 4 Глава 7.Парольная защита Глава 8. Компьютерные вирусы и борьба с ними Глава 9. Средства защиты сети Тест к модулю 4 Практические задания Глоссарий Список литературы Актуальные проблемы уголовно-правовой борьбы с посягательствами на компьютерную информацию по УК РФ |
|
Глава 2. Принципы построения защищенной АИС2.1. Задачи системы информационной безопасностиСистема обеспечения информационной безопасности АИС должна решать следующие задачи с целью противодействия основным угрозам ИБ [3]:
Различают внешнюю и внутреннюю безопасность АИС. Внешняя безопасность включает защиту АС от стихийных бедствий (пожар, землетрясение и т.п.) и от проникновения в систему злоумышленников извне. Внутренняя безопасность заключается в создании надежных и удобных механизмов регламентации деятельности всех ее законных пользователей и обслуживающего персонала. 2.2. Меры противодействия угрозам безопасностиПо способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на: законодательные (правовые), административные (организационные), процедурные и программно-технические. К законодательным мерам защиты относятся действующие в стране нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил. Важное значение имеют стандарты в области защиты информации (в первую очередь, международные). Среди этих стандартов выделяются «Оранжевая книга», рекомендации X.800 и «Общие критерии оценки безопасности информационных технологий» (Common Criteria for IT Security Evaluation). «Оранжевая книга» — крупнейший базовый стандарт. В ней даются важнейшие понятия, определяются основные сервися безопасности и предлагается метод классификации информационных систем по требованиям безопасности. Рекомендации X.800 в основном посвящены вопросам защиты сетевых конфигураций. Они предлагают развитый набор сервисов и механизмов безопасности. «Общие критерии» описывают 11 классов, 66 семейств и 135 компонентов функциональных требований безопасности. Классам присвоены следующие названия: Первая группа определяет элементарные сервисы безопасности:
Вторая группа описывает производные сервисы, реализованные на базе элементарных:
Третья группа классов связана с инфраструктурой объекта оценки:
Кроме этого «Общие критерии» содержат сведения о том, каким образом могут быть достигнуты цели безопасности при современном уровне информационных технологий и позволяют сертифицировать систему защиты (ей присваивается определенный уровень безопасности). Осенью 2006 года в России был принят национальный стандарт ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология — Практические правила управления информационной безопасностью», соотвествующий международному стандарту ИСО 17799. Стандарт представляет собой перечень мер, необходимых для обеспечения информационной безопасности организации, включая действия по созданию и внедрению системы управления информационной безопасности, которая строится таким же образом и на тех же принципах, что и система менеджмента качества, и совместима с ней. Административные меры защиты — меры организационного характера, регламентирующие процессы функционирования АИС, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:
В составе административных мер защиты важную роль играет формирование программы работ в области информационной безопасности и обеспечение ее выполнения (для этого необходимо выделять необходимые ресурсы и контролировать состояние дел). Основой программы является политика безопасности организации. Политика безопасности — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которыми руководствуется организация в своей деятельности. Разработка политики безопасности включает определение следующих основных моментов:
С практической точки зрения политику безопасности можно условно разделить на три уровня: верхний, средний и нижний. К верхнему уровню относятся решения, затрагивающие организацию в целом (как правило, носят общий характер и исходят от руководства). Например, цели организации в области информационной безопасности, программа работ в области информационной безопасности (с назначением ответственных за ее реализацию). К среднему уровню относятся вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией (например, использование на работе персональных ноутбуков, установка непроверенного программного обеспечения, работа с Интернетом и т.д.). Политика безопасности нижнего уровня касается конкретных сервисов и должна быть наиболее детальной. Часто правила достижения целей политики безопасности нижнего уровня заложены в эти сервисы на уровне реализации [см. 4. С. 148—149]. Меры процедурного уровня — отдельные мероприятия, выполняемые на протяжении всего жизненного цикла АИС. Они ориентированы на людей (а не на технические средства) и подразделяются на:
Программно-технические меры защиты основаны на использовании специальных аппаратных средств и программного обеспечения, входящих в состав АИС и выполняющих функции защиты: шифрование, аутентификацию, разграничение доступа к ресурсам, регистрацию событий, поиск и удаление вирусов и т.д. Они будут подробно рассмотрены в следующих главах. 2.3. Основные принципы построения систем защиты АИС
назад | оглавление | вперед
|