Похожие презентации:
Методы и средства защиты информации. (Лекция 3)
1. Лекция 3. Методы и средства защиты информации.
Защита информацииЗащита информации
Лекция 3. Методы и средства защиты
информации.
Автор
Ст. преподаватель кафедры ФИОУ
Васильченко А.А.
2. Системный и концептуальный подход
Проблема защиты информации относится к формально неопределенным и слабо предсказуемым проблемам.
Отсюда следуют два основных вывода:
надежная защита информации в компьютерной системе не
может быть обеспечена только формальными методами;
защита информации в компьютерной системе не может быть
абсолютной.
При решении задачи защиты информации в
компьютерной системе необходимо применять
системно-концептуальный подход.
системность целевая (защищенность информации является
неотъемлемой часть ее качества;
системность пространственная (взаимосвязанность защиты
информации во всех элементах компьютерной системы)
системность временная (непрерывность защиты информации);
системность организационная (единство организации всех
работ по защите информации в компьютерной системе и
управления ими.
3. Системный и концептуальный подход
Концептуальность подхода к решению задачи защитыинформации в компьютерной системе предусматривает ее
решение на основе единой концепции, представляющей собой
совокупность научно обоснованных решений, необходимых и
достаточных для оптимальной организации защиты информации
в компьютерной системе.
Обеспечение информационной безопасности компьютерной
системы является непрерывным процессом, целенаправленно
проводимым на всех этапах ее жизненного цикла с комплексным
применением всех имеющихся методов и средств, которые
можно подразделить на четыре основные группы:
методы и средства организационно-правовой защиты
информации;
методы и средства инженерно-технической защиты
информации;
криптографические методы и средства защиты информации;
программно-аппаратные методы и средства защиты
информации.
4. Правовое обеспечение защиты информации
На правовом уровне доступ к информационным системамрегулируется законодательными и нормативными
документами в области информационной безопасности.
Можно выделить четыре уровня правового обеспечения
информационной безопасности.
1
1 уровень
уровень
2 уровень
России:
Международн
Международн
ые
ые договоры,
договоры, кк
которым
которым
присоединила
присоединила
сь
сь РФ
РФ ии
федеральные
федеральные
законы
законы
России
России::
Указы
Президента РФ и
постановления
Правительства
РФ, письма
Высшего
Арбитражного
Суда
3 уровень
4 уровень
ГОСТы,
руководящие
документы,
нормы,
методики,
классификатор
ы,
разработанные
гос. органами
Локальные
нормативны
е акты,
положения,
инструкции
5. Правовое обеспечение защиты информации
Международные конвенции об охране промышленнойНа правовом
уровне доступ к информационным системам
собственности, охране интеллектуальной
регулируется
законодательными и нормативными
собственности,
документами
области информационной безопасности.
авторском в
праве;
Можно
выделитьРФ;
четыре уровня правового обеспечения
Конституция
информационной
безопасности.
Гражданский кодекс
РФ;
Уголовный кодекс
1
1 уровень
уровень
2 уровень
РФ
3 уровень
4 уровень
России:
Федеральный закон «Об информации,
ГОСТы,информатизации
Локальные
Международн
Международн
Указы
руководящие
и
нормативны
Президента
РФ
и
ые
ые договоры,
договоры,
к
к
документы,
защите информации» от 20.02.95 № 24-ФЗ
е акты,
постановления
нормы,
которым
которым
положения,
Федеральный закон «О государственной
тайне»
от
методики,
Правительства
инструкции
присоединила
присоединила
21.07.93
классификатор
РФ, письма
сь
сь РФ
РФ№
ии 5485-1
ы,
Высшего
федеральные
федеральные
разработанные
ФедеральныеАрбитражного
законы «О лицензировании
отдельных
гос.
органами
законы
законы
видов деятельности»
от 08.08.2001 № 128-ФЗ, «О
Суда
связи»
от 16.02.95 № 15-ФЗ, «Об электронной цифровой
России
России
::
подписи» от 10.01.02 № 1-ФЗ, «Об авторском праве и
смежных правах» от 09.07.93 № 5351-1, «О правовой
охране программ для электронных вычислительных
машин и баз данных» от 23.09.92 № 3523-1
6. Правовое обеспечение защиты информации
На правовом уровне доступ к информационным системамрегулируется законодательными и нормативными
документами в области информационной безопасности.
Можно выделить четыре уровня правового обеспечения
информационной безопасности.
Указы Президента
РФ
1
1 уровень
уровень
2 уровень
3 уровень
4 уровень
Постановления Правительства РФ
России:
ГОСТы,
Локальные
Международн
Международн
Подзаконны
Письма Высшего Арбитражного руководящие
Суда
нормативны
ые
ые договоры
договоры
и
и
е
акты
документы,
Постановления пленумов Верховного Суда РФ е акты,
нормы,
федеральные
федеральные государстве
положения,
Например:
методики,
инструкции
законы
законы России
России нных
классификатор
Указ Президента
РФ «Об утверждении
перечня
субъектов
ы гос. органов
сведений конфиденциального характера» от
06.03.97 № 188
Постановление Правительства РФ «О перечне
сведений, которые не могут составлять
коммерческую тайну» от 05.12.91 № 35.
7. Правовое обеспечение защиты информации
На правовом уровне доступ к информационным системамрегулируется
законодательными и нормативными
ГОСТ Р 50922—96 «Защита информации. Основные
документами
в области информационной безопасности.
термины
и определения»
Можно
выделить четыре уровня правового обеспечения
информационной
безопасности.
ГОСТ Р 50739—95 «Средства
вычислительной
техники. Защита от несанкционированного доступа к
3 уровень
4 уровень
2 уровень
информации. Общие технические требования»,
России:
ГОСТы,
ГОСТ 28147—89 «Системы
обработки информации. Локальные
Защита
Международн
Международн
Подзаконны
руководящие
нормативны
Алгоритм криптографического
ые
ыекриптографическая.
договоры
договоры и
и е акты
документы,
е акты,
преобразования» и др.;
нормы,
федеральные
федеральные государстве
положения,
методики,
инструкции
Руководящие
документы
технической
законы
законы
России
России
нных Государственной
классификатор
комиссии при Президенте
Российской
Федерации
субъектов
ы гос. органов
(Гостехкомиссии России)
«Концепция защиты средств вычислительной техники и
автоматизированных систем от несанкционированного
доступа к информации»,
«Автоматизированные системы. Защита от
несанкционированного доступа к информации.
Классификация автоматизированных систем и требования
1
1 уровень
уровень
8. Правовое обеспечение защиты информации
На правовом уровне доступ к информационным системамрегулируется законодательными и нормативными
документами в области информационной безопасности.
Можно выделить четыре уровня правового обеспечения
информационной безопасности.
приказ об утверждении перечня сведений, составляющих
4 уровень
1
1 уровень
уровень
2 уровень
коммерческую тайну
предприятия;3 уровень
России:
ГОСТы,
Локальные
трудовые и гражданско-правовые
договоры подряда,
Международн
Международн
Подзаконны
руководящие
нормативны
поручения,
комиссии
и
т.п.,
в
которые
включены пункты
ые
ые договоры
договоры и
и е акты
документы,
е акты,
об обязанности возмещения ущерба
за разглашение
нормы,
федеральные
федеральные государстве
положения,
сведений, составляющих коммерческую
тайну
методики,
инструкции
законы
законы России
России нных
классификатор
предприятия, и др.
субъектов
ы гос. органов
9. Организационная защита информации
К методам и средствам организационной защиты информацииотносятся организационно-технические и организационноправовые мероприятия, проводимые в процессе создания и
эксплуатации компьютерной системы для обеспечения защиты
информации. Эти мероприятия должны проводиться при
строительстве или ремонте помещений, в которых будет
размещаться компьютерная система; проектировании системы,
монтаже и наладке ее технических и программных средств;
испытаниях и проверке работоспособности компьютерной
системы.
- обеспечение полного или частичного перекрытия
Взначительной
задачи организационных
входит: информации
частимероприятий
каналов утечки
(например, хищения или копирования носителей
информации);
- объединение всех используемых в КС средств в
целостный механизм защиты информации.
Методы и средства организационной защиты
информации включают в себя комплекс мер для
обеспечения целостного механизма защиты
информации
10. Организационная защита информации
К методам и средствам организационной защиты информацииотносятся организационно-технические и организационноправовые мероприятия, проводимые в процессе создания и
эксплуатации компьютерной системы для обеспечения защиты
информации. Эти мероприятия должны проводиться при
строительстве или ремонте помещений, в которых будет
размещаться компьютерная система; проектировании системы,
ограничение физического доступа к объектам КС и
монтаже и наладке ее технических и программных средств;
реализация
режимных
мер;
испытаниях
и проверке
работоспособности
компьютерной
системы.
ограничение возможности перехвата ПЭМИН;
- обеспечение
полного
или частичного
перекрытия ресурсам
разграничение
доступа
к информационным
В задачи организационных
мероприятий
входит:информации (например,
значительной
части
каналов
утечки
и процессам компьютерной системы:
хищения или копирования носителей информации);
- установка
прав
или разграничения
доступа,
- объединение
всех
используемых
в КС средств
в целостный
-шифрование
информации при ее хранении и
механизм
защиты информации.
передаче,
- обнаружение и уничтожение аппаратных и
программных закладок;
резервное копирование наиболее важных с точки
зрения утраты массивов документов;
профилактику заражения компьютерными вирусами.
11. Основные мероприятия различных этапов жизненного цикла компьютерной системы
Основные мероприятия различныхэтапов жизненного цикла
Разработка проектов — анализ возможных угроз и методов их
компьютерной
системы
Этап создания
компьютерной
нейтрализации;
Этап создания компьютерной
системы — приобретение
Строительство и переоборудование помещений
системы
сертифицированного оборудования, выбор
лицензированных организаций;
Разработка математического, программного, информационного и
лингвистического обеспечения — использование сертифицированных
программных и инструментальных средств;
Монтаж и наладка оборудования — контроль за работой технического
персонала;
Испытания и приемка в эксплуатацию — включение в состав
аттестационных комиссий сертифицированных специалистов;
организация пропускного режима,
определение
технологии
Этап
эксплуатации
компьютерной
автоматизированной обработки системы
документов, организация работы
обслуживающего персонала, распределение реквизитов разграничения
доступа пользователей к элементам компьютерной системы (паролей,
ключей, карт и т.п.), организация ведения протоколов работы
компьютерной системы, контроль выполнения требований служебных
инструкций и т.п.
Мероприятия
подбор и подготовка кадров, организация
плановых общего
и
предупреждающих проверок средств характера
защиты информации,
планирование мероприятий по защите информации, обучение
персонала, участие в семинарах, конференциях и выставках по
проблемам безопасности информации и т. п.
12. Инженерно-технические методы защиты
защитыПод инженерно-техническими средствами защиты информации
понимают физические объекты, механические, электрические и
электронные устройства, элементы конструкции зданий, средства
пожаротушения и другие средства, обеспечивающие:
защиту территории и помещений компьютерной системы от
проникновения нарушителей;
защиту аппаратных средств компьютерной системы и носителей
информации от хищения;
предотвращение возможности удаленного (из-за пределов
охраняемой территории) видеонаблюдения (подслушивания) за
работой персонала и функционированием технических средств
компьютерной системы;
предотвращение возможности перехвата ПЭМИН, вызванных
работающими техническими средствами компьютерной системы
и линиями передачи данных;
организацию доступа в помещения компьютерной системы
сотрудников;
контроль над режимом работы персонала компьютерной системы
;
контроль над перемещением сотрудников компьютерной системы
в различных производственных зонах;
противопожарную защиту помещений компьютерной системы;
минимизацию материального ущерба от потерь информации,
возникших в результате стихийных бедствий и техногенных
13. Методы и средства защиты информации от утечки по каналам ПЭМИН
ПЭМИН - перехват побочных электромагнитных излучений инаводок
снижение уровня излучений сигналов в аппаратных
средствах компьютерной системы:
выбор системно-технических и конструкторских
решений при создании технических средств
компьютерной системы в защищенном исполнении;
рациональный выбор места размещения этих средств
относительно мест возможного перехвата ПЭМИН
увеличение мощности помех в соответствующих этим
сигналам частотных диапазонах:
применения активных средств защиты в виде
генераторов сигналоподобных помех или шума
включение в состав информационных каналов
компьютерной системы устройств предварительного
шифрования обрабатываемой информации
14. Программно-аппаратная защита
К аппаратным средствам защиты информации относятся электронные иэлектронно-механические устройства, включаемые в состав
технических средств компьютерной системы и выполняющие
(самостоятельно или в едином комплексе с программными средствами)
некоторые функции обеспечения информационной безопасности.
К основным аппаратным средствам защиты информации относятся:
устройства для ввода идентифицирующей пользователя информации
(магнитных и пластиковых карт, отпечатков пальцев и др.
устройства для шифрования информации;
устройства для воспрепятствования несанкционированному
включению рабочих станций и серверов (электронные замки и
блокираторы).
Под программными средствами защиты информации понимают
специальные программы, включаемые в состав программного
обеспечения компьютерной системы исключительно для выполнения
защитных функций.
К основным программным средствам защиты информации относятся:
программы идентификации и аутентификации пользователей КС;
программы разграничения доступа пользователей к ресурсам КС;
программы шифрования информации;
программы защиты информационных ресурсов (системного и