Защита информации
Основные принципы обеспечения информационной безопасности в автоматизированных системах
Под автоматизированной системой обработки информации (АС) принято понимать совокупность следующих объектов:
1. средств вычислительной техники;
2. программного обеспечения;
3. каналов связи;
4. информации на различных носителях;
5. персонала и пользователей системы.
К основным принципам обеспечения информационной безопасности АС относят: системность; комплексность; непрерывность защиты; разумная достаточность; гибкость управления и применения; открытость алгоритмов и механизмом защиты; простота применения защитных мер и средств. Системность при выработке и реализации систем защиты информации предполагает определение возможных угроз информационной безопасности и выбор методов и средств, направленных на противодействие данного комплексу угроз. Решения должны иметь системный характер, то есть включать набор мероприятий противодействующий всему комплексу угроз. Комплексность систем защиты: при решение вопросов обеспечения информационной безопасности необходимо ориентироваться на весь набор средств защиты данных - программные, технические, правовые, организационные и т.д. Непрерывность защиты предполагает, что комплекс мероприятий по обеспечению информационной безопасности должен быть непрерывен во времени и пространстве. Защита информационных объектов должна обеспечиваться и при выполнении регламентных и ремонтных работ, во время настройки и конфигурирования информационных систем и сервисов. Разумная достаточность: построение и обслуживание систем информационной безопасности требует определенных, подчас значительных, средств. Вместе с тем невозможно создание все объемлемой системы защиты. При выборе системы защиты необходимо найти компромисс между затратами на защиту информационных объектов и возможными потерями при реализации информационных угроз. Гибкость управления и применения: угрозы информационной безопасности многогранны и заранее не определены. Для успешного противодействия необходимо наличие возможности изменения применяемых средств, оперативного включения или исключения используемых средств защиты данных, добавления новых механизмов защиты. Открытость алгоритмов и механизмов защиты: средства информационной безопасности сами могут представлять собой угрозу информационной системе или объекту. Для предотвращения такого класса угроз требуют, чтобы алгоритмы и механизмы защиты допускали независимую проверку на безопасность и следование стандартов, а также на возможность их применение в совокупности с другими средствами защиты данных. Простота применения защитных мер и средств: при проектировании систем защиты информации необходимо помнить, что реализация предлагаемых мер и средств будет проводится пользователями (часто не являющихся специалистами в области ИБ). Поэтому для повышения эффективности мер защиты необходимо, чтобы алгоритм работы с ними был понятен пользователю. Кроме того, используемые средства и механизмы информационной безопасности не должны нарушать нормальную работу пользователя с автоматизированной системой (резко снижать производительность, повышать сложность работы и т.п.).
Причины, виды и каналы утечки информации
Утечку информации в общем плане можно рассматривать как бесконтрольный и неправомерный выход конфиденциальной информации за пределы организации или круга лиц, которым эта информация была доверена.
Среди причин нарушения целостности информации (т.е. её утечки) можно выделить следующие:
1. Субъективные. Преднамеренные: диверсия(организация пожаров, повреждений электропитания и др.); непосредственные действия над носителем (хищение, подмена носителей, уничтожение информации); информационное воздействие (электромагнитное облучение, ввод в компьютерные системы разрушающих программных средств, воздействие на психику личности психотропным оружием). Непреднамеренные: отказы обслуживающего персонала (гибель, длительный выход из строя); сбои людей (временный выход из строя); ошибки людей.
2. Объективные, непреднамеренные: отказы (полный выход из строя) аппаратуры, программ, систем питания и жизнеобеспечения; сбои (кратковременный выход из строя) аппаратуры, программ, систем питания и жизнеобеспечения; стихийные бедствия (наводнения, землетрясения, ураганы); несчастные случаи (пожары, взрывы, аварии); электромагнитная несовместимость.
Виды утечек информации: разглашение (несанкционированное доведение защищаемой информации потребителям не имеющим право доступа к ней); НСД (получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или установленных собственником прав и правил доступа к защищаемой информации); получение защищаемой информации разведками (технические или агентурные).
Рассмотрим каналы утечки информации. Канал утечки информации – совокупность источника материального носителя или среды распространения несущего информацию сигнала и средств выделения информации сигнала или носителя. Их можно разделить на 4-е класса относительно степени взаимодействия злоумышленника с элементами объекта обработки информации и самой информации.
К 1-ому классу относятся каналы от источника информации при несанкционированном доступе (НСД) к нему: хищение носителей информации; копирование информации с носителей (материально0вещественных, магнитных и т.д.); подслушивание разговоров (в том числе аудиозапись); установка закладных устройств в помещение и съём информации с их помощью; выведение информации обслуживающего персонала на объекте; фотографирование или видеосъёмка носителей информации внутри помещения.
Ко 2-ому классу относятся каналы со средств обработки информации при НСД к ним: снятие информации с устройств электронной памяти; установка закладных устройств в системе обработке информации (СОИ); ввод программных продуктов, позволяющих злоумышленнику получать информацию; копирование информации с технических устройств отображения (фотографирование с мониторов и др.).
К 3-ему классу относятся каналы от источника информации без прямого воздействия на него: получение информации по акустическим каналам (в системе вентиляции, теплоснабжения, а также с помощью направленных микрофонов); получение информации по виброакустическим каналам (с использование акустических датчиков, лазерных устройств); использование технических средств оптической разведки (биноклей, подзорных труб и т.д.); использование технических средств оптико-электронной разведки (внешних телекамер, приборов ночного видения и т.д.); осмотр отходов и мусора; выведение информации у обслуживающего персонала за пределами объекта; изучение выходящей за пределы объекта открытой информации (публикаций, рекламных проспектов и т.д.).
К 4-ому классу относятся каналы со средств обработки информации без НСД к ним: электромагнитные излучения СОИ (паразитные электромагнитные излучения (ПЭМИ), паразитная генерация усилительных каскадов, паразитная модуляция высокочастотных генераторов низкочастотным сигналом, содержащим конфиденциальную информацию); электромагнитные излучения линий связи; подключения к линиям связи; снятие наводок электрических сигналов с линий связи; снятие наводок с системы питания; снятие наводок с системы заземления; снятие наводок с системы теплоснабжения; использование высокочастотного навязывания; снятие с линий, выходящих за пределы объекта, сигналов, образованных на технических средствах за счёт акустоэлектрических преобразований; снятие излучений оптоволоконных линий связи; подключение к БД и ПЭВМ по компьютерным сетям.
Основные понятия теории информационной безопасности
Основные положения теории информационной безопасности информационных систем (ИС)
Для защиты ИС могут быть сформулированы следующие положения: информационная безопасность основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов; информационная безопасность ИС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мероприятий; информационная безопасность ИС должна обеспечиваться на всех этапах технологической обработки данных и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ. Для защиты ИС могут быть сформулированы следующие положения: программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АИС; неотъемлемой частью работ по информационной безопасности является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию; защита ИС должна предусматривать контроль эффективности средств защиты. Этот контроль может быть периодическим или инициируемым по мере необходимости пользователем ИС.
Дата добавления: 2015-06-17; просмотров: 2019;