Файл: Предмет и задачи программных и программноаппаратных средств защиты информации.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 08.02.2024
Просмотров: 17
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
- Компрометация учетной записи на контролируемом объекте КИИ (account compromise)
= Сбор сведений с использованием информационнокоммуникативных технологий (information gathering)
- Прослушивание (захват) сетевого трафика контролируемого объекта КИИ (traffic hijacking)
- Социальная инженерия, направленная на компрометацию объекта КИИ (social engineering)
= Нарушение безопасности информации (information content security)
- Несанкционированное разглашение информации, обрабатываемой на контролируемом объекте КИИ (unauthorised access)
- Несанкционированное изменение информации, обрабатываемой на контролируемом объекте КИИ (unauthorised modification)
= Распространение информации с неприемлемым содержимым (abusive content)
- Рассылка спам-сообщений с контролируемого объекта КИИ (spam)
- Публикация на контролируемом объекте КИИ запрещенной законодательством РФ информации (prohibited content)
= Мошенничество с использованием информационнокоммуникативных технологий (fraud)
- Злоупотребление при использовании объекта КИИ (unauthorized purposes)
- Публикация на контролируемом объекте КИИ мошеннической информации (phishing)
7. / Защита автоматизированных систем в обработке данных от несанкционированного доступа
Объекты защиты
-
Исходные данные — первичная информация, поступающая на хранение и обработку в АИС от клиентов, пользователей, контрагентов. -
Производные данные — информация, которая создается непосредственно в АИС, в процессе обработки исходных данных. Сюда относят отчеты, базы данных и другие структурированные информационные массивы. -
Служебные. Данные вспомогательного характера, архивы защитных систем, данные сканирования. -
Программные средства защиты данных — лицензированное ПО или ПО собственной разработки. -
Алгоритмы, на основе которых разрабатываются программы.
Планирование и реализация систем защиты
Важным требованием при обеспечении защиты информации в АИС является планомерное решение этой задачи. Эта деятельность должна быть структурирована и разбита на этапы.
Можно выделить такие этапы:
-
Этап планирования. Составляется перечень требований к системе информационной безопасности. Требования зависят от характера выполняемых бизнес-процессов, модели действующих внутренних и внешних угроз и степени их опасности, потребностей пользователей. Планирование выполняют в соответствии с действующими стандартами, которые регулируют информационную безопасность. Это международный стандарт ISO/IEC 27001 и его прямой российский аналог ГОСТ Р ИСО/МЭК 27001, а также ряд других стандартов. -
Этап внедрения. Должны быть исключены ошибки или срывы сроков по причине неточностей в планировании и бюджетировании. -
Этап управления. Оперативное управление безопасностью — это организованная система реагирования на любые инциденты информационной безопасности и нештатные ситуации. Оно реализуется комплексно с обеспечением работы в «ручном» и автоматическом режиме. В крупных организациях должна быть создана оперативно-диспетчерская служба. В малых компаниях управление системой информационной безопасности АИС может выполнять один сисадмин. -
Плановое руководство. Включает в себя периодический аудит системы информационной безопасности, комплексный анализ его результатов, подготовку по итогам анализа доклада и предложений руководству по совершенствованию системы и усилению защитных мер. -
Повседневная работа по поддержанию информационной безопасности. Включает процессы планирования, организации, управления, оценки, обнаружения возникающих инцидентов, внесение оперативных корректировок в функционирование аппаратных и программных защитных средств.
На каждом из этих этапов должны применяться в полном объеме доступные ресурсы и осуществляться контроль эффективности.
Методы защиты информации
При построении системы защиты информации в АИС могут применяться одновременно разные методы, в том числе:
-
методы повышения уровня достоверности данных; -
методы защиты информации в автоматизированных системах от их потери в результате аварий и аппаратных сбоев; -
методы контроля физического доступа к оборудованию и сетям, который может приводить к хищению данных, повреждению аппаратуры, преднамеренному созданию нештатных и аварийных ситуаций, установке шпионских приборов и т. д.; -
методы идентификации пользователей, аутентификации ПО, съемных носителей.
Применяются и другие методы организационного и аппаратно-программного характера. Первые реализуются централизованно на уровне компании, а выбор аппаратно-программных методов остается на выбор специалиста.
Организационные
Выбор организационных методов и их применение определяется спецификой деятельности компании, включая ее правовое регулирование.
Выделяют две категории организационных методов защиты информации — системные и административные.
К числу системных методов принадлежат:
-
повышение степени надежности оборудования, выбор аппаратуры с минимальными рисками отказа, использование специального оборудования для минимизации рисков потери данных при аварийном отключении питания; -
организация резервирования информации на внешних серверах для предотвращения ошибок в результате системных сбоев или физического повреждения оборудования; -
ранжирование пользователей с предоставлением разных уровней допуска для уменьшения вероятности хищения, изменения, уничтожения информации; -
структурирование обработки данных, совершенствование смежных процессов, формирование специализированных кластеров для работы с определенными типами данных.
За разработку и внедрение применяемых в организации административных методов защиты несет ответственность руководство фирмы, вышестоящие инстанции, подразделения безопасности и управления персоналом.
Среди административных методов защиты информации можно назвать такие способы:
-
утверждение внутренних нормативных документов, регламентирующих обработку данных и доступ к АИС; -
создание у персонала заинтересованности в защите данных; -
создание режима коммерческой тайны, внесение положений об ответственности за ее разглашение в контракты с работниками и трудовые договоры; -
обучение и повышение мотивации персонала; -
улучшение эргономики и условий труда, чтобы исключить потерю данных и системные сбои в связи с потерей внимания и усталостью работников.
Внедрение организационных методов проводится с параллельным аудитом, который показывает их эффективность и позволяет совершенствовать защиту.
Аппаратно-программные
Способы этой категории определяются политикой компании и регламентом ИТ-подразделений. Методы программного уровня поддерживают защищенность данных при обработке в АИС и передаче по различным каналам связи. Аппаратные методы предусматривают использование высокоточных контрольно-технических средств для дублирования функций программных способов защиты. Такие средства могут обнаруживать ошибки, недоступные для выявления программными способами.
Основные группы задач, которые выполняются аппаратно-программными методами:
-
Трехуровневое резервирование и дублирование данных, формирование удаленных баз данных. Оперативное резервирование предусматривает копирование информации в реальном времени. Восстановительное резервирование применяется для восстановления информации в случае утери из-за сбоев. Долгосрочное резервирование — сохранение значительного объема данных, в том числе копий полного объема системных файлов, с длительным хранением для восстановления и проведения аудита. -
Блокирование ошибочных или преднамеренных вредоносных операций. -
Защита информации от вредоносного ПО. Применяется сканирование, обнаружение изменений элементов файлов, аудит, антивирусное программное обеспечение. -
Защита от несанкционированного доступа к данным. Применяются файерволы, средства выявления атак. -
Шифрование данных методами криптографической защиты. -
Контроль доступа, аутентификация пользователей.
Помимо этих методов, активно внедряется DLP- и SIEM-системы, а также другие комплексные решения.
Методы контроля доступа
Формирование контроля доступа пользователей — необходимая мера для защиты информации. Контроль доступа реализуется на организационном и программном уровне.
Предусматривается размещение рабочих станций и периферийного оборудования в замкнутом пространстве, куда исключается доступ посторонних. Для этого в компании создается пропускная система. Для обработки информации повышенной важности могут выделяться отдельные зоны с доступом по электронному пропуску. Рабочие станции в таких зонах работают без подключения к общей сети.
Определенные процессы могут обрабатываться на специально выделенных рабочих станциях, которые также зачастую не подключаются к сети. Этот метод предполагает создание отдельных кластеров для вывода на печать.
Методы идентификации пользователей
Еще одним ключевым системным решением для обеспечения безопасности данных в АИС является допуск только уполномоченных пользователей к работе с информацией. Для аутентификации могут использоваться разные способы, с учетом степени ценности защищаемых данных, в том числе:
-
Логин и пароль. Пользователь аутентифицируется путем введения этих идентификационных данных, которые должны иметь определенный формат. Устанавливаются требования по периодичности смены логина и пароля, предусматриваются меры дисциплинарной ответственности за передачу этих данных третьим лицам или за вход в систему под чужими данными. -
Диалоговый режим. Для распознавания определенного пользователя в систему вводится набор определенных данных. После этого для входа в систему пользователь должен будет отвечать на меняющиеся вопросы. -
Биометрический метод. Распознавание при помощи специального оборудования по отпечаткам пальцев, сетчатке глаза. -
Использование автоматических радиокодовых устройств (токенов), которые передают в систему зашифрованные сигналы. Если эти сигналы совпадают с заданными значениями, пользователю предоставляется доступ. -
Аутентификация при помощи чипов. Информация, идентифицирующая пользователя, содержится на чипе и считывается при входе в систему. Эта информация может быть нанесена в зашифрованном виде. В этом случае ключ шифрования используется как дополнительный идентификационный параметр.
Максимальное снижение рисков обеспечивают аппаратные методы контроля доступа, которые исключают подделку или перехват паролей. При этом наиболее высокая эффективность достигается с помощью биометрии.
Средства разграничения доступа
Применяются следующие варианты разграничения доступа пользователей к информации в соответствии с установленными полномочиями:
-
По уровню конфиденциальности. Предусматривается установка грифов секретности для маркировки информационных массивов и пользователей. Каждый пользователь получает доступ к данным не выше собственного уровня. -
По специальным спискам. Каждому файлу, базе данных, программе или другому информационному объекту устанавливается перечень допущенных пользователей. Второй вариант — определение для каждого пользователя перечня разрешенных информационных объектов. -
По матрице полномочий. Применяется двухмерная матрица, внутри которой за каждым пользователем закреплен идентификатор. Этот идентификатор прописывается в столбце. В строке матрицы прописаны идентификаторы информационных элементов. Допуск разрешается при совпадении обоих идентификаторов. -
По мандатному принципу. Элементу информации, подлежащему защите, присваивается метка. Аналогичная метка должна содержаться и в запросе для предоставления доступа.