2. Понимание ИБ
Главное – не разбираться во всех технических
вопросах, а понимать цели и функции ИБ.
Быть архитектором,
а не строителем.
Понимать принципы.
2
3. Некоторые принципы ИБ
• Принцип «Слабого звена» (рвётся там, где
слабо)
• Принцип «Лего» (стройте автономными и
заменимыми модулями)
• Принцип «Неуловимого Джо» (не всё
требует чрезменой защиты)
• Принцип «360 градусов» (комплексность)
3
5. Угрозы доступности
Доступность – это возможность за
приемлемое время получить требуемую
информационную услугу.
Часто – непреднамеренные ошибки: штатных
пользователей, операторов, сисадминов и др.
обслуживающих ИС
5
6. Угрозы доступности: компоненты
ИС
• отказ пользователей
(нежелание работать, отсутствие подготовки/техподдержки)
• внутренний отказ информационной
системы
(нарушение правил эксплуатации, действия людей, ошибки
конфигурации системы, отказы программ или оборудования,
повреждение аппаратуры или данных)
• отказ поддерживающей инфраструктуры
(повреждение сетей связи, электро-, водо-, теплоснабжения,
помещений, невыполнение обязанностей людьми, саботаж и
вредительство бывшими сотрудниками)
6
7. Угрозы целостности
Целостность - актуальность и непротиворечивость информации,
ее защищенность от разрушения и несанкционированного
изменения.
Бывает статическая (данные) и динамическая (процессы).
Целостность оказывается важнейшим аспектом ИБ в тех случаях,
когда информация служит "руководством к действию» (рецепты
лекарств, ход процесса, набор комплектующих, технология…).
Потенциально уязвимы с точки зрения нарушения
целостности не только данные, но и программы. Внедрение
вредоносного ПО - пример подобного нарушения.
8. Угрозы конфиденциальности
Конфиденциальность – это защита от
несанкционированного доступа к информации.
Конфиденциальная информация: предметная
(документы; раскрытие ––> ущерб) и служебная (пароли)
Источники угроз:
• Незащищенность паролей (слабый или записан физически)
• Кража оборудования
• Злоупотребление полномочиями
• «Маскарад»: выдать себя за другого
• Перехват данных (разговор, чат, почта)
8
9. Задачи ИБ (в широком смысле)
• с защита государственной тайны, т. е. секретной и
другой конфиденциальной информации, являющейся
собственностью государства, от всех видов
несанкционированного доступа, манипулирования и
уничтожения;
• защита прав граждан на владение, распоряжение и
управление принадлежащей им информацией;
• защита прав предпринимателей при осуществлении
ими коммерческой деятельности;
• защита конституционных прав граждан на тайну
переписки, переговоров, личную тайну.
9
10. Уровни формирования ИБ
Система формирования режима информационной
безопасности – многоуровневая система, обеспечивающая
комплексную защиту информационных систем от вредных
воздействий, наносящих ущерб субъектам
информационных отношений.
11. Административный уровень
Главная цель – формирование политики безопасности,
отражающей подход организации к защите данных.
ПБ – совокупность документированных решений,
направленных на защиту информации и ассоциированных с
ней ресурсов.
Выработку политики безопасности и ее содержание рассматривают на трех
горизонтальных уровнях детализации:
• Верхний уровень – вопросы, относящийся к организации в целом;
• Средний уровень – вопросы, касающиеся отдельных аспектов ИБ;
• Нижний уровень – вопросы относящиеся к конкретным сервисам;
Организационный уровень должен охватывать все структурные элементы
систем обработки данных на всех этапах их жизненного цикла: строительство
помещений, проектирование системы, монтаж и наладка оборудования,
испытания и проверки, эксплуатация.
13. Законодательно-правовой уровень
Комплекс законодательных и иных правовых актов, устанавливающих правовой
статус субъектов информационных отношений, субъектов и объектов защиты,
методы, формы и способы защиты, их правовой статус.
Также – стандарты и спецификации в области информационной безопасности.
Плюс – морально-этические нормы (м.б. регламентированы законодательно, в
виде правил и предписаний или носить рекомендательный характер).
Должен обеспечивать организацию эффективного надзора за их исполнением со
стороны правоохранительных органов и реализацию мер судебной защиты и
ответственности субъектов информационных отношений.
14. Уровни защиты информационных
ресурсов
Предотвращение - только авторизованный персонал имеет
доступ к информации и технологии
Обнаружение - обеспечивается раннее обнаружение
преступлений и злоупотреблений, даже если механизмы защиты
были обойдены
Ограничение - уменьшается размер потерь, если преступление
все-таки произошло несмотря на меры по его предотвращению и
обнаружению
Восстановление - обеспечивается эффективное восстановление
информации при наличии документированных и проверенных
планов по восстановлению
15. Синхронизация программы безопасности с
жизненным циклом системы
В жизненном цикле информационного сервиса можно
выделить следующие этапы:
• инициация, определяются потребности в новом сервисе,
документируется его назначение;
• приобретение (разработка), составляется спецификация,
варианты приобретения или разработки, собственно
приобретение;
• установка (внедрение), сервис устанавливается,
конфигурируется, тестируется и вводится в эксплуатацию;
• эксплуатация, работа в штатном и регламентном режиме;
• утилизация (выведение из эксплуатации).
16. Атака на ИС
Атака – любое действие или последовательность действий, испол
Механизм безопасности – программное и/или аппаратное средст
Сервис безопасности - сервис, который обеспечивает задаваемую
17. Классификация атак
По месту возникновения:
• Локальные атаки (источником данного вида атак являются
пользователи и/или программы локальной системы);
• Удаленные атаки (источником атаки выступают удаленные
пользователи, сервисы или приложения);
По воздействию на информационную систему
• Активные атаки (результатом воздействия которых
является нарушение деятельности информационной
системы);
• Пассивные атаки (ориентированные на получение
информации из системы, не нарушая функционирование
информационной системы);
17
18. Принцип сетевой атаки
Существует информационный поток от
отправителя (файл, пользователь, компьютер) к
получателю (файл, пользователь, компьютер):
18
19. Модель социальной
коммуникации Г. Ласуэлла
1. Кто говорит (Коммуникатор)
2. Кому говорит (Аудитория)
3. По какому каналу (канал связи)
4. Что говорит (сообщение)
5. С каким эффектом (обратная связь)
20. Пассивная атака
Пассивной называется такая атака, при которой противник не
имеет возможности модифицировать передаваемые
сообщения и вставлять в информационный канал между
отправителем и получателем свои сообщения.
Целью пассивной атаки может быть только прослушивание
передаваемых сообщений и анализ трафика.
20
21. Активная атака
Активной называется такая атака, при которой противник имеет
возможность модифицировать передаваемые сообщения и
вставлять свои сообщения.
Типы:
• Отказ в обслуживании (DoS-атака - Denial of Service)
• Модификация потока данных («man in the middle»)
• Создание ложного потока (фальсификация)
• Повторное использование (replay-атака)
21
22. Отказ в обслуживании:
DoS-атака
Отказ в обслуживании нарушает нормальное функционирование сетевых
сервисов. Противник может перехватывать все сообщения, направляемые
определенному адресату.
Другим примером подобной атаки является создание значительного
трафика, в результате чего сетевой сервис не сможет обрабатывать
запросы законных клиентов.
• Классическим примером такой атаки в сетях TCP/IP является SYN-атака, при которой
нарушитель посылает пакеты, инициирующие установление ТСР-соединения, но не
посылает пакеты, завершающие установление этого соединения.
В результате может произойти переполнение памяти на сервере, и серверу не удастся
установить соединение с законными пользователями.
22
23. Модификация потока данных:
Man in the middle
Модификация потока данных означает либо изменение
содержимого пересылаемого сообщения, либо изменение
порядка сообщений.
23
25. Повторное использование:
Reply-атаки
• Повторное использование означает пассивный захват данных с
последующей их пересылкой для получения несанкционированного
доступа (replay-атака).
Replay-атаки – одним из вариантов фальсификации. Т.к. один из
наиболее распространенных вариантов атаки для получения
несанкционированного доступа, его часто рассматривают как отдельный
тип атаки.
25
26. Подходы к защите ИС
• ИБ основывается на положениях и требованиях
существующих законов, стандартов и нормативно-
методических документов;
• ИБ ИС обеспечивается комплексом программно-
технических средств и поддерживающих их
организационных мероприятий;
• ИБ ИС должна обеспечиваться на всех этапах
технологической обработки данных и во всех режимах
функционирования, в том числе при проведении
ремонтных и регламентных работ;
26
27. Подходы к защите ИС
• Программно-технические средства защиты не должны
существенно ухудшать основные функциональные
характеристики АИС;
• Неотъемлемой частью работ по ИБ является оценка
эффективности средств защиты, осуществляемая по
методике, учитывающей всю совокупность технических
характеристик оцениваемого объекта, включая
технические решения и практическую реализацию;
• Защита ИС должна предусматривать контроль
эффективности средств защиты. Этот контроль может быть
периодическим или инициируемым по мере
необходимости пользователем ИС.
27
28. Принципы обеспечения ИБ
• Системность;
• Комплексность;
• Непрерывность защиты;
• Разумная достаточность;
• Гибкость управления и применения;
• Открытость алгоритмов и механизмом защиты;
• Простота применения защитных мер и средств.
28
29. Методы обеспечения ИБ
• препятствие – метод физического преграждения пути злоумышленнику
к информации;
• управление доступом – метод защиты с помощью регулирования
использования информационных ресурсов системы;
• маскировка – метод защиты информации путем ее криптографического
преобразования;
• регламентация – метод защиты информации, создающий условия
автоматизированной обработки, при которых возможности
несанкционированного доступа сводится к минимуму;
• принуждение – метод защиты, при котором персонал вынужден
соблюдать правила обработки, передачи и использования
информации;
• побуждение – метод защиты, при котором пользователь побуждается
не нарушать режимы обработки, передачи и использования
информации за счет соблюдения этических и моральных норм.
29
30. Средства защиты ИС
• технические средства – различные электрические, электронные и
компьютерные устройства;
• физические средства – реализуются в виде автономных устройств и
систем;
• программные средства – программное обеспечение, предназначенное
для выполнения функций защиты информации;
• криптографические средства – математические алгоритмы,
обеспечивающие преобразования данных для решения задач
информационной безопасности;
• организационные средства – совокупность организационно-
технических и организационно-правовых мероприятий;
• морально-этические средства – реализуются в виде норм,
сложившихся по мере распространения ЭВМ и информационных
технологий;
• законодательные средства – совокупность законодательных актов,
регламентирующих правила пользования ИС, обработку и передачу
информации.
30