- Компрометация учетной записи на контролируемом объекте КИИ (account compromise)

= Сбор сведений с использованием информационнокоммуникативных технологий (information gathering)

- Прослушивание (захват) сетевого трафика контролируемого объекта КИИ (traffic hijacking)

- Социальная инженерия, направленная на компрометацию объекта КИИ (social engineering)

= Нарушение безопасности информации (information content security)

- Несанкционированное разглашение информации, обрабатываемой на контролируемом объекте КИИ (unauthorised access)

- Несанкционированное изменение информации, обрабатываемой на контролируемом объекте КИИ (unauthorised modification)

= Распространение информации с неприемлемым содержимым (abusive content)

- Рассылка спам-сообщений с контролируемого объекта КИИ (spam)

- Публикация на контролируемом объекте КИИ запрещенной законодательством РФ информации (prohibited content)

= Мошенничество с использованием информационнокоммуникативных технологий (fraud)

- Злоупотребление при использовании объекта КИИ (unauthorized purposes)

- Публикация на контролируемом объекте КИИ мошеннической информации (phishing)

7. / Защита автоматизированных систем в обработке данных от несанкционированного доступа

Объекты защиты

• 
  Исходные данные — первичная информация, поступающая на хранение и обработку в АИС от клиентов, пользователей, контрагентов.
  
• 
  Производные данные — информация, которая создается непосредственно в АИС, в процессе обработки исходных данных. Сюда относят отчеты, базы данных и другие структурированные информационные массивы.
  
• 
  Служебные. Данные вспомогательного характера, архивы защитных систем, данные сканирования.
  
• 
  Программные средства защиты данных — лицензированное ПО или ПО собственной разработки.
  
• 
  Алгоритмы, на основе которых разрабатываются программы.
  

Планирование и реализация систем защиты

Важным требованием при обеспечении защиты информации в АИС является планомерное решение этой задачи. Эта деятельность должна быть структурирована и разбита на этапы.

Можно выделить такие этапы:

1. 
   Этап планирования. Составляется перечень требований к системе информационной безопасности. Требования зависят от характера выполняемых бизнес-процессов, модели действующих внутренних и внешних угроз и степени их опасности, потребностей пользователей. Планирование выполняют в соответствии с действующими стандартами, которые регулируют информационную безопасность. Это международный стандарт ISO/IEC 27001 и его прямой российский аналог ГОСТ Р ИСО/МЭК 27001, а также ряд других стандартов.
   
2. 
   Этап внедрения. Должны быть исключены ошибки или срывы сроков по причине неточностей в планировании и бюджетировании.
   
3. 
   Этап управления. Оперативное управление безопасностью — это организованная система реагирования на любые инциденты информационной безопасности и нештатные ситуации. Оно реализуется комплексно с обеспечением работы в «ручном» и автоматическом режиме. В крупных организациях должна быть создана оперативно-диспетчерская служба. В малых компаниях управление системой информационной безопасности АИС может выполнять один сисадмин.
   
4. 
   Плановое руководство. Включает в себя периодический аудит системы информационной безопасности, комплексный анализ его результатов, подготовку по итогам анализа доклада и предложений руководству по совершенствованию системы и усилению защитных мер.
   
5. 
   Повседневная работа по поддержанию информационной безопасности. Включает процессы планирования, организации, управления, оценки, обнаружения возникающих инцидентов, внесение оперативных корректировок в функционирование аппаратных и программных защитных средств.
   

---

На каждом из этих этапов должны применяться в полном объеме доступные ресурсы и осуществляться контроль эффективности.

Методы защиты информации

При построении системы защиты информации в АИС могут применяться одновременно разные методы, в том числе:

• 
  методы повышения уровня достоверности данных;
  
• 
  методы защиты информации в автоматизированных системах от их потери в результате аварий и аппаратных сбоев;
  
• 
  методы контроля физического доступа к оборудованию и сетям, который может приводить к хищению данных, повреждению аппаратуры, преднамеренному созданию нештатных и аварийных ситуаций, установке шпионских приборов и т. д.;
  
• 
  методы идентификации пользователей, аутентификации ПО, съемных носителей.
  

Применяются и другие методы организационного и аппаратно-программного характера. Первые реализуются централизованно на уровне компании, а выбор аппаратно-программных методов остается на выбор специалиста.

Организационные

Выбор организационных методов и их применение определяется спецификой деятельности компании, включая ее правовое регулирование.

Выделяют две категории организационных методов защиты информации — системные и административные.

К числу системных методов принадлежат:

• 
  повышение степени надежности оборудования, выбор аппаратуры с минимальными рисками отказа, использование специального оборудования для минимизации рисков потери данных при аварийном отключении питания;
  
• 
  организация резервирования информации на внешних серверах для предотвращения ошибок в результате системных сбоев или физического повреждения оборудования;
  
• 
  ранжирование пользователей с предоставлением разных уровней допуска для уменьшения вероятности хищения, изменения, уничтожения информации;
  
• 
  структурирование обработки данных, совершенствование смежных процессов, формирование специализированных кластеров для работы с определенными типами данных.
  

За разработку и внедрение применяемых в организации административных методов защиты несет ответственность руководство фирмы, вышестоящие инстанции, подразделения безопасности и управления персоналом.

Среди административных методов защиты информации можно назвать такие способы:

• 
  утверждение внутренних нормативных документов, регламентирующих обработку данных и доступ к АИС;
  
• 
  создание у персонала заинтересованности в защите данных;
  
• 
  создание режима коммерческой тайны, внесение положений об ответственности за ее разглашение в контракты с работниками и трудовые договоры;
  
• 
  обучение и повышение мотивации персонала;
  
• 
  улучшение эргономики и условий труда, чтобы исключить потерю данных и системные сбои в связи с потерей внимания и усталостью работников.
  

---

Внедрение организационных методов проводится с параллельным аудитом, который показывает их эффективность и позволяет совершенствовать защиту.

---

Аппаратно-программные

Способы этой категории определяются политикой компании и регламентом ИТ-подразделений. Методы программного уровня поддерживают защищенность данных при обработке в АИС и передаче по различным каналам связи. Аппаратные методы предусматривают использование высокоточных контрольно-технических средств для дублирования функций программных способов защиты. Такие средства могут обнаруживать ошибки, недоступные для выявления программными способами.

Основные группы задач, которые выполняются аппаратно-программными методами:

• 
  Трехуровневое резервирование и дублирование данных, формирование удаленных баз данных. Оперативное резервирование предусматривает копирование информации в реальном времени. Восстановительное резервирование применяется для восстановления информации в случае утери из-за сбоев. Долгосрочное резервирование — сохранение значительного объема данных, в том числе копий полного объема системных файлов, с длительным хранением для восстановления и проведения аудита.
  
• 
  Блокирование ошибочных или преднамеренных вредоносных операций.
  
• 
  Защита информации от вредоносного ПО. Применяется сканирование, обнаружение изменений элементов файлов, аудит, антивирусное программное обеспечение.
  
• 
  Защита от несанкционированного доступа к данным. Применяются файерволы, средства выявления атак.
  
• 
  Шифрование данных методами криптографической защиты.
  
• 
  Контроль доступа, аутентификация пользователей.
  

Помимо этих методов, активно внедряется DLP- и SIEM-системы, а также другие комплексные решения.

Методы контроля доступа

Формирование контроля доступа пользователей — необходимая мера для защиты информации. Контроль доступа реализуется на организационном и программном уровне.

Предусматривается размещение рабочих станций и периферийного оборудования в замкнутом пространстве, куда исключается доступ посторонних. Для этого в компании создается пропускная система. Для обработки информации повышенной важности могут выделяться отдельные зоны с доступом по электронному пропуску. Рабочие станции в таких зонах работают без подключения к общей сети.

---

Определенные процессы могут обрабатываться на специально выделенных рабочих станциях, которые также зачастую не подключаются к сети. Этот метод предполагает создание отдельных кластеров для вывода на печать.

Методы идентификации пользователей

Еще одним ключевым системным решением для обеспечения безопасности данных в АИС является допуск только уполномоченных пользователей к работе с информацией. Для аутентификации могут использоваться разные способы, с учетом степени ценности защищаемых данных, в том числе:

• 
  Логин и пароль. Пользователь аутентифицируется путем введения этих идентификационных данных, которые должны иметь определенный формат. Устанавливаются требования по периодичности смены логина и пароля, предусматриваются меры дисциплинарной ответственности за передачу этих данных третьим лицам или за вход в систему под чужими данными.
  
• 
  Диалоговый режим. Для распознавания определенного пользователя в систему вводится набор определенных данных. После этого для входа в систему пользователь должен будет отвечать на меняющиеся вопросы.
  
• 
  Биометрический метод. Распознавание при помощи специального оборудования по отпечаткам пальцев, сетчатке глаза.
  
• 
  Использование автоматических радиокодовых устройств (токенов), которые передают в систему зашифрованные сигналы. Если эти сигналы совпадают с заданными значениями, пользователю предоставляется доступ.
  
• 
  Аутентификация при помощи чипов. Информация, идентифицирующая пользователя, содержится на чипе и считывается при входе в систему. Эта информация может быть нанесена в зашифрованном виде. В этом случае ключ шифрования используется как дополнительный идентификационный параметр.
  

Максимальное снижение рисков обеспечивают аппаратные методы контроля доступа, которые исключают подделку или перехват паролей. При этом наиболее высокая эффективность достигается с помощью биометрии.

Средства разграничения доступа

Применяются следующие варианты разграничения доступа пользователей к информации в соответствии с установленными полномочиями:

• 
  По уровню конфиденциальности. Предусматривается установка грифов секретности для маркировки информационных массивов и пользователей. Каждый пользователь получает доступ к данным не выше собственного уровня.
  
• 
  По специальным спискам. Каждому файлу, базе данных, программе или другому информационному объекту устанавливается перечень допущенных пользователей. Второй вариант — определение для каждого пользователя перечня разрешенных информационных объектов.
  
• 
  По матрице полномочий. Применяется двухмерная матрица, внутри которой за каждым пользователем закреплен идентификатор. Этот идентификатор прописывается в столбце. В строке матрицы прописаны идентификаторы информационных элементов. Допуск разрешается при совпадении обоих идентификаторов.
  
• 
  По мандатному принципу. Элементу информации, подлежащему защите, присваивается метка. Аналогичная метка должна содержаться и в запросе для предоставления доступа.
  

---

Смотрите также файлы

• ыса мерзімді жоспар 17сабак.docx

• Письменная работа Письменное задание Функции языка.docx

• Контрольная работа по дисциплине Методы принятия управленческих решений Форма обучения очнозаочная.docx

• Согласование подходов по оцениванию заданий развернутых ответов огэ по химии.pptx

• Лишай розовый.docx