Фрагмент для ознакомления
2
1 КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Для построения концептуальной модели информационной безопасности не зависимо от того насколько простая или сложная информационная система, необходимо как минимум ответить на три вопроса: что защищать, от кого защищать и как защищать. Это обязательный минимум, которого может быть достаточно для небольших информационных систем. При построении полной концептуальной модель информационной безопасности, в которой необходимо определить:
1. Источники информации
2. Приоритет или степень важности информации.
3. Источники угроз
4. Цели угроз
5. Угрозы
6. Способы доступа
7. Направления защиты
8. Средства защиты
9. Методы защиты
На рисунке 1.1 показана наиболее полная концептуальная модель информационной безопасности, которая является общей для всех информационных систем.
Необходимо соблюдать жизненный цикл данной системы информационной безопасности, в которой вне зависимости от размеров организации и специфики ее информационной системы, работы по обеспечению информационной безопасности, в том или ином виде должны содержать следующие этапы или шаги, представленные на рисунке 1.2.
При этом важно не упустить каких-либо существенных аспектов. Это будет гарантировать некоторый минимальный (базовый) уровень информационной
безопасности, обязательный для любой информационной системы.
Рисунок 1.1 - Концептуальная модель информационной безопасности
Информационная безопасность это процесс обеспечения доступности, целостности и конфиденциальности информации.
Под доступностью понимается соответственно обеспечение доступа к информации. Целостность это обеспечение достоверности и полноты информации. Конфиденциальность подразумевает под собой обеспечение доступа к информации только авторизованным пользователям. Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее оптимальные средства обеспечения безопасности.
Рисунок 1.2 - Жизненный цикл системы информационной безопасности
Под «Угрозой» понимается потенциальная возможность тем или иным способом нарушить информационную безопасность. Попытка реализации угрозы называется «атакой», а тот, кто реализует данную попытку, называется «злоумышленником». Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем.
Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы.
1) Угрозы информационной безопасности, которые наносят наибольший ущерб. Классификация видов угроз по различным критериям:
- Угроза непосредственно информационной безопасности: доступность, целостность, конфиденциальность;
- Компоненты на которые угрозы нацелены:
данные, программы, аппаратура, поддерживающая инфраструктура;
- По способу осуществления: случайные или преднамеренные, природного или техногенного характера;
- По расположению источника угрозы бывают: внутренние, внешние
Угрозы непосредственно информационной безопасности
К основным угрозам доступности можно отнести:
1. Внутренний отказ информационной системы;
2. Отказ поддерживающей инфраструктуры.
Основными источниками внутренних отказов являются:
• Нарушение (случайное или умышленное) от установленных правил эксплуатации
• Выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.)
• Ошибки при (пере)конфигурировании системы
• Вредоносное программное обеспечение
• Отказы программного и аппаратного обеспечения
• Разрушение данных
• Разрушение или повреждение аппаратуры
По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:
• Нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
• Разрушение или повреждение помещений;
Невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).
Основные угрозы целостности можно разделить на угрозы статической целостности и угрозы динамической целостности. Также стоит разделять на угрозы целостности служебной информации и содержательных данных. Под служебной информацией понимаются пароли для доступа, маршруты передачи данных в локальной сети и подобная информация. Чаще всего и практически во всех случаях злоумышленником осознанно или нет, оказывается сотрудник организации, который знаком с режимом работы и мерами защиты.
С целью нарушения статической целостности злоумышленник может:
ввести неверные данные, изменить данные. Угрозами динамической целостности являются, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений.
Рисунок 1.3 - Классификация видов угроз информационной безопасности
Основные угрозы конфиденциальности. Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.
Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.
К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например, системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.
Для наглядности данные виды угроз так же схематично представлены на рисунке 1.3.
Для применения наиболее оптимальных мер по защите, необходимо провести оценку не только угроз информационной безопасности, но и возможного ущерба, для этого используют характеристику приемлемости, таким образом, возможный ущерб определяется как приемлемый или неприемлемым.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
- Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- Соблюдение конфиденциальности информации ограниченного доступа;
- Реализацию права на доступ к информации.
Защиту информации можно разделить так же на несколько уровней.
Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции.
Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и носителями данных.
Регламент работы пользователей с конфиденциальной информацией называют
правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа.
Технический уровень условно разделяют на физический, аппаратный, программный и математический (криптографический).
Средства защиты информации принято делить на нормативные (неформальные) и технические (формальные). Неформальными средствами защиты информации являются нормативные (законодательные), административные (организационные) и морально-этические средства, к которым можно отнести: документы, правила, мероприятия.
Правовую основу (законодательные средства) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.
Административные (организационные) мероприятия играют существенную роль в создании надежного механизма защиты информации. Так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями.
К морально-этическим средствам можно отнести сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.
Формальные средства защиты – это специальные технические средства и программное обеспечение, которые можно разделить на физические,
аппаратные, программные и криптографические.
Физические средства защиты информации – это любые механические, электрические и электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.
Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами.
Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств для снятия информации.
Рисунок 1.4 - Классификация средства защиты информации
Аппаратный средства защиты информации это любые электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в
информационные и телекоммуникационные системы: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. Они препятствуют доступу к информации, в том числе с помощью её маскировки. К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.
Программные средства защиты информации – это простые и комплексные программы, предназначенные для решения задач, связанных с обеспечением информационной безопасности.
Примером комплексных решений служат DLP-системы и SIEM-системы. DLP-системы («Data Leak Prevention» дословно «предотвращение утечки данных») соответственно служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков.
SIEM-системы («Security Information and Event Management», что в переводе означает «Управление событиями и информационной безопасностью») обеспечивают анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.
Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.
Математический (криптографический) – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети. Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи.
Алгоритм проведения оценки рисков информационной безопасности в информационных системах представлен на рисунке 1.5.
Оценка рисков информационной безопасности проводится в несколько этапов:
Этап 1. Идентификация риска
o Идентификация активов;
o Идентификация угроз;
o Идентификация уязвимостей;
o Идентификация мер защиты.
Этап 2. Анализ риска
Этап 3. Оценка рисков
Этап 4. Внедрение и автоматизация процесса управления рисками
Рисунок 1.5 - Алгоритм проведения оценки рисков информационной безопасности
Фрагмент для ознакомления
3
1. Алексеенко, В.Н. Современная концепция комплексной защиты. Технические средства защиты.– М.: МИФИ, 2022.
2. Браун С. Виртуальные частные сети / С. Браун – Н.: Лoри, 2022.
3. Герасименко В.А – Основы защиты информации. - М.: Энергоатомиздат, 2023.
4. Гайкович В.Ю. Основы безопасности информационных технологий / В.Ю. Гайкович, Д.В. Ершов - М.: МИФИ. 2021. - 120 с.
5. Герасименко В.Г., Лаврухин Ю.Н., Тупота В.И. Методы защиты акустической речевой информации от утечки по техническим каналам. – М.: РЦИБ «Факел», 2021. – 256 с.
6. Зайцев А.П., Шелупанов А.А., Мещеряков Р.В., Скрыль С.В., Голубятников И.В. «Технические средства и методы защиты информации: Учебник для вузов»,- М.: ООО "Издательство Машиностроение", 2021.- 508с.
7. Зепченкoв С.В., Милoславкая Н.Г., Тoлстoй А.И. Oснoвы пoстрoения виртуальных частных сетей: Учеб. Пoсoбие для вузoв. М.: Гoрячая линия – Телекoм, 2022, – 249 с.
8. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. СПб.: БХВ-Петербург, 2023.
9. Кульгин М. Е. Технологии корпоративных сетей. – СПб: Питер, 2023г.
10. Кульгин, М. В. Кoмпьютерные сети. Практика пoстрoения. Для прoфессиoналoв. 2-е изд. / М. В. Кульгин – СПб.: Питер, 2021 – 462 с.
11. Рoманец Ю. В., Тимoфеев П.А., Шаньгин В.Ф. Защита инфoрмации в кoмпьютерных системах и сетях. / Пoд ред. В.Ф. Шаньгина – 2-е изд., перераб. и дoп. – М: Радиo и связь, 2022- 376 с.: ил.
12. Росляков А.В. Виртуальные частные сети. Основы построения и применения. СПб.: Эко-Трендз, 2023 - 304 с.