Файл: Предмет и задачи программных и программноаппаратных средств защиты информации.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 08.02.2024
Просмотров: 16
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
1. / Предмет и задачи программных и программно-аппаратных средств защиты информации
Предметом защиты информации является компьютерная система или автоматизированная система обработки данных (АСОД). Компьютерная система - это комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации. Наряду с термином «информация» применительно к КС часто используют термин «данные». Предметом защиты в КС является информация. Материальной основой существования информации в КС являются электронные и электромеханические устройства (подсистемы), а также машинные носители.
Информация имеет ценность. Ценность информации определяется степенью ее полезности для владельца. Обладание истинной (достоверной) информацией дает ее владельцу определенные преимущества. Истинной или достоверной информацией является информация, которая с достаточной для владельца (пользователя) точностью отражает объекты и процессы окружающего мира в определенных временных и пространственных рамках. Информация, искаженно представляющая действительность (недостоверная информация), может нанести владельцу значительный материальный и моральный ущерб. Если информация искажена умышленно, то ее называют дезинформацией. Законом «Об информации, информатизации и защите информации» гарантируется право собственника информации на ее использование и защиту от доступа к ней других лиц (организаций). Если доступ к информации ограничивается, то такая информация является конфиденциальной.
Конфиденциальная информация может содержать государственную или коммерческую тайну. Коммерческую тайну могут содержать сведения, принадлежащие частному лицу, фирме, корпорации и т. п. Государственную тайну могут содержать сведения, принадлежащие государству (государственному учреждению). В соответствии с законом «О государственной тайне» сведениям, представляющим ценность для государства, может быть присвоена одна из трех возможных степеней секретности. В порядке возрастания ценности (важности) информации ей может быть присвоена степень (гриф) «секретно», «совершенно секретно
» или «особой важности». В государственных учреждениях менее важной информации может присваиваться гриф «для служебного пользования».
Для обозначения ценности конфиденциальной коммерческой информации используются три категории:
• «коммерческая тайна - строго конфиденциально»;
• «коммерческая тайна - конфиденциально»;
• «коммерческая тайна».
Используется и другой подход к градации ценности коммерческой информации:
• «строго конфиденциально - строгий учет»;
• «строго конфиденциально»;
• «конфиденциально».
2. / Классификация ППСЗИ
3. / Профили защиты ППСЗИ
Предназначение ПЗ состоит в том, чтобы изложить проблему безопасности для определенной совокупности систем или продуктов (изделий) ИТ, называемых далее объектами оценки (ОО), и сформулировать требования безопасности для решения данной проблемы. При этом ПЗ не регламентирует то, каким образом данные требования будут выполнены, обеспечивая, таким образом, независимое от реализации описание требований безопасности.
Профиль защиты включает взаимосвязанную информацию, имеющую отношение к безопасности ИТ, в том числе:
- формулировку потребности в безопасности, соответствующую проблеме безопасности и выраженную в терминах, ориентированных на пользователей изделий ИТ;
- описание среды ОО, уточняющее формулировку потребности в безопасности с учетом порождаемых средой угроз, которым нужно противостоять, политики безопасности, которая должна выполняться, и сделанных предположений;
- цели безопасности ОО, основанные на описании среды безопасности и предоставляющие информацию относительно того, как и в какой мере должны быть удовлетворены потребности в безопасности. Предназначение целей безопасности заключается в том, чтобы снизить риск и обеспечить поддержание политики безопасности организации, в интересах которой ведется разработка ПЗ;
- функциональные требования безопасности и требования доверия к безопасности, которые направлены на решение проблемы безопасности в соответствии с описанием среды безопасности ОО и целями безопасности для ОО и ИТ-среды. Функциональные требования безопасности выражают то, что должно выполняться ОО и ИТ-средой для удовлетворения целей безопасности. Требования доверия к безопасности определяют степень уверенности в правильности реализации функций безопасности ОО;
- обоснование, показывающее, что функциональные требования и требования доверия к безопасности являются надлежащими для удовлетворения сформулированной потребности в безопасности. Посредством целей безопасности должно быть показано, что необходимо сделать в плане решения проблем безопасности, имеющихся в описании среды безопасности ОО. Функциональные требования безопасности и требования доверия к безопасности должны удовлетворять целям безопасности.
4. / Стандарты по защите информации
Система стандартов по защите информации (ССЗИ) - совокупность взаимосвязанных стандартов, устанавливающих характеристики продукции, правила осуществления и характеристики процессов, выполнения работ или оказания услуг в области защиты информации.
Национальные стандарты (ГОСТы) в общем случае являются рекомендательными.
Основополагающим стандартом РФ в области защиты информации (некриптографическими методами) является ГОСТ Р 52069.0-2013 "Защита информации. Система стандартов. Основные положения".
| ГОСТ Р 50739-95 | Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования |
| ГОСТ Р 50922-2006 | Защита информации. Основные термины и определения |
| ГОСТ Р 51188-98 | Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство |
| ГОСТ Р 51275-2006 | Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения |
| ГОСТ Р 51583-2014 | Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения |
5. / Нормативно-правовые акты в области обеспечения информационной безопасности в Российской Федерации
Федеральный закон от 28 декабря 2010 г. N 390-ФЗ «О безопасности» закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности.
Федеральный закон от 27.07.2006, г., № 149-ФЗ «Об информации, информационных технологиях и о защите информации» фиксирует базовые нормы для всей системы информационного законодательства, в т.ч. правового обеспечения информационной безопасности.
Федеральный закон от 21 июня 1993 № 5485-1 «О государственной тайне», Федеральные законы от 29 июля 2004 № 98-ФЗ «О коммерческой тайне» и от 27.07.2006 г. № 152-ФЗ «О персональных данных» устанавливают правовые режимы информации ограниченного доступа, в том числе, сведений, составляющих государственную и коммерческую тайну.
Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи». Нормы названного закона определяют правовой режим технологического обеспечения защиты информации в системе базовых законов информационного законодательства.
Уголовный кодекс РФ в главе 28 Кодекса предусматривает ответственность за совершение преступлений в сфере компьютерной информации (ст.272-275).
Трудовой кодекс РФ устанавливает правовой режим персональных данных работника, определяет общие требования по их обработке и защите, устанавливает сроки хранения таких данных и процедуру их использования.
Указ Президента РФ от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена». В данном Указе устанавливается запрет подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения
, обработки или передачи информации, содержащей сведения, составляющие государственную тайну к информационно-телекоммуникационным сетям международного информационного обмена.
6. / Компьютерный инцидент
Компьютерный инцидент – факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктурой (КИИ), сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки. В соответствии с приказами ФСБ России от 24 июля 2018 г. №№366-368, субъекты КИИ и Национальный координационный центр по компьютерным инцидентам (НКЦКИ) осуществляют информационное взаимодействие, в ходе которого субъекты КИИ обязаны уведомлять НКЦКИ о компьютерных инцидентах, произошедших на объектах КИИ.
В целях унификации сведений, передаваемых в ходе информационного взаимодействия между НКЦКИ и субъектом КИИ, НКЦКИ и владельцами российских информационных ресурсов, НКЦКИ и иностранными (международными) организациями, выделяются базовые категории и типы компьютерных инцидентов, представленные в таблице.
Базовые категории и типы компьютерных инцидентов безопасности
= Категория компьютерного инцидента и его международное обозначение
- Тип компьютерного инцидента и его международное обозначение
= Заражение вредоносным программным обеспечением (malware)
- Внедрение в контролируемый объект КИИ модулей вредоносного программного обеспечения (malware infection)
= Распространение вредоносного программного обеспечения (malware distribution)
- Использование контролируемого объекта КИИ для распространения вредоносного программного обеспечения (malware command and control)
= Нарушение или замедление работы контролируемого информационного ресурса (availability)
- Компьютерная атака типа «отказ в обслуживании», направленная на контролируемый объект КИИ (dos)
- Распределенная компьютерная атака типа «отказ в обслуживании», направленная на контролируемый объект КИИ (ddos)
- Несанкционированный вывод объекта КИИ из строя (sabotage)
- Непреднамеренное отключение объекта КИИ (outage)
= Несанкционированный доступ в систему (intrusion)
- Успешная эксплуатация уязвимости на контролируемом объекте КИИ (application compromise)