ИБ

Вредоносные утилиты

Вредоносные программы, разработанные для автоматизации создания других вирусов, червей или троянских программ, организации DoS-атак на удаленные сервера, взлома других компьютеров и т.п. В отличие от вирусов, червей и троянских программ, представители данной категории не представляют угрозы компьютеру, на котором исполняются.

Хорошая антивирусная программа должна удовлетворять ряду требований

1)способность надежно обнаруживать все распространенные типы опасных вредоносных программ;

2)способность выполнять лечение инфицированных объектов;

3)удобство в использовании;

4)скорость и стабильность работы;

5)способность выполнять сканирование объектов «по запросу»;

6)способность выполнять сканирование «на лету» – постоянный в реальном времени мониторинг объектов, к которым происходит обращение (открытие, запуск и т. п.);

7)оперативность выпуска обновлений антивируса при появлении новых видов вредоносных программ;

8)способность эвристического анализа;

9)способность надежно детектировать вредоносный код в электронных по-

чтовых сообщениях;

10)существование версий антивирусного ПО для различных платформ и для серверов.

Выделяют несколько разновидностей антивирусных программ:

•сканеры (детекторы);

•CRC-сканеры (ревизоры);

•мониторы (фильтры);

•иммунизаторы (вакцинаторы).

Антивирусный сканер – антивирусная программа, осуществляющая поиск известных вирусов по маске вируса путем сканирования файлов,секторов и системной памяти.

Сигнатурой вируса называется уникальная последовательность кода, специфическая для данного конкретного вируса и однозначно его идентифицирующая. Сигнатура может быть сплошной или разреженной. В случае разреженной сигна-

туры между уникальными постоянными для данного вируса байтами кода могут

находиться другие байты, нехарактерные для этого вируса. Поиск по маске вируса и есть поиск по разреженной сигнатуре. Таким образом, маской вируса называ-

ется специфическая для данного конкретного вируса разреженная сигнатура, по которой ведется выявление вируса.

Для выявления новых, ранее не наблюдавшихся видов и разновидностей вредоносных программ, сигнатуры которых отсутствуют в антивирусной базе, сканеры могут использовать алгоритмы эвристического анализа − анализа объектов

с целью выявления в них последовательностей команд, возможно присущих вредоносной программе.

CRC-сканер − антивирусная программа-ревизор, осуществляющая выявление вирусов по изменению ранее подсчитанных и запомненных CRCсумм (контрольных сумм) файлов и системных секторов, а также других параметров файлов.

Антивирусный монитор – резидентная антивирусная программа, выявляющая вредоносные программы по характерным для них действиям. К действиям, которые перехватывает антивирусный монитор (еще называемый анти- вирусом-фильтром), относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочные секторы дисков, попытки программ остаться в памяти резидентно и другие действия, специфичные для размножающихся и активирующихся вирусов. Антивирусные мониторы используются крайне редко,о- бычно в составе аппаратных компонентов компьютеров, ( антивирусная защита BIOS).

Иммунизатор − антивирусная программа, блокирующая заражение определенным типом вируса путем модификации файлов, придающей им признаки заражения. Это обеспечивает защиту, но только от определенного вируса, так как вирус сочтет, что эти файлы уже инфицированы им ранее.

17. Методы программно-аппаратной защиты информации.

Программно-аппаратные средства защиты информации — это сервисы безопасности, встроенные в сетевые операционные системы. К сервисам безопасности относятся: идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование.

Идентификация предназначена для того, чтобы пользователь или вычислительный процесс, действующий по команде определенного пользователя, могли идентифицировать себя путем сообщения своего имени. С помощью аутентификации вторая сторона убеждается, что пользователь, пытающийся войти в опера-

ционную систему, действительно тот, за кого себя выдает.

Средства управления доступом позволяют специфицировать и контролировать действия, которые пользователи и вычислительные процессы могут выполнять над информацией и другими компьютерными ресурсами, то есть речь идет о логическом управлении доступом, который реализуется программными средствами.

Логическое управление доступом обеспечивает конфиденциальность и целостность объектов путем запрещения обслуживания неавторизированных пользователей. Контроль прав доступа осуществляется посредством различных компонент программной среды — ядром сетевой операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением.

Протоколированием называется процесс сбора и накопления информации о событиях, происходящих в информационной системе предприятия. Возможные события принято делить на три группы:

-внешние события, вызванные действиями других сервисов;

-внутренние события, вызванные действиями самого сервиса;

-клиентские события, вызванные действиями пользователей и администраторов.

Аудитом называется процедура анализа накопленной в результате протоколирования информации. Этот анализ может осуществляться оперативно в реальном времени или периодически.

Экран - это средство разграничения доступа клиентов из одного сетевого множества к серверам, принадлежащим другому сетевому множеству. Функция экрана заключается в контроле всех информационных потоков между двумя множествами систем. Примерами экранов являются межсетевые экраны (брандма- уары (firewalls)), устанавливаемые для защиты локальной сети организации, имеющей выход в открытую среду.

Метод криптографии — одно из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации. Основной элемент криптографии - шифрование (или преобразование данных в нечитабельную фор-

му ключей шифрования - расшифровки). В состав криптографической системы входят: один или нескольких алгоритмов шифрования, ключи, используемые этими алгоритмами шифрования, подсистемы управления ключами, незашифрованный и зашифрованный тексты.

Дополнительным методом защиты шифруемых данных и проверки их целост-

ности является цифровая подпись.

Программно-технические методы и средства являются технической основой

системы защиты информации. Применение таких средств осуществляется структурными органами в соответствии с принятой политикой информационной безопасности,

описанной в нормативно-методических документах. Программно-технические методы и средства следует использовать в СЗИ по уже знакомым НАПРАВЛЕНИЯМ:

•Защита объектов корпоративных си-

стем;

•Защита процессов, процедур и программ обработки информации;

•Защита каналов связи;

•Подавление побочных электромагнитных излучений;

•Управление системой защиты.

Сущность аппаратной или схемной защиты состоит в том, что в устройствах и технических средствах обработки информации предусматривается наличие специ-

альных технических решений, обеспечивающих защиту и контроль информации, например экранирующие устройства, локализующие электромагнитные 61 излучения или схемы проверки информации на четность, осуществляющей контроль за правильностью передачи информации между различными устройствами ИС. Программные методы защиты — это совокупность алгоритмов и программ, обеспечивающих разграничение доступа и исключение несанкционированного использования информации.

18. Аттестация объектов информатизации.

Система аттестации объектов информатизации по требованиям безопасности информации (далее - система аттестации) является составной частью единой

системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее - федеральный орган по сертификации и аттестации), которым является ФСТЭК России.

Под аттестацией объектов информатизации понимается комплекс организа- ционно-технических мероприятий, в результате которых посредством специаль-

o анализ исходных данных по аттестуемому объекту информатизации;

o предварительное ознакомление с аттестуемым объектом информатизации;

o проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;

o проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;

oпроведение испытаний отдельных средств и систем защиты информации

виспытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;

oпроведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;

o анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.

Основными отчетными документами, разрабатываемыми в ходе аттестационных испытаний объектов информатизации (АС, ИСПДн, защищаемых помещений), являются:

o Технические паспорта объектов информатизации; o Программа и методика аттестационных испытаний; o Протоколы аттестационных испытаний;

o Заключение по результатам аттестационных испытаний; o Аттестат соответствия.

ДОПОЛНЕНИЕ

Аттестация автоматизированных/информационных систем

- обрабатывающих информацию ограниченного доступа, содержащую сведения, составляющие государственную тайну:

на соответствие требованиям нормативно-методического документа «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам»

- обрабатывающих информацию ограниченного доступа, не содержащую сведений, составляющих государственную тайну, являющуюся государственным

информационным ресурсом:

на соответствие требованиям документа «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утвержден приказом ФСТЭК России от 11.02.2013 г. № 17);

на соответствие требованиям нормативно-методического документа «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»

- обрабатывающих информацию ограниченного доступа, не содержащую сведений, составляющих государственную тайну, являющуюся персональными данными:

на соответствие требованиям документа «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (утвержден приказом ФСТЭК России от 18.02.2013 г. № 21);

- обрабатывающих информацию, к которой владелец устанавливает требования по безопасности:

на соответствие требованиям безопасности информации, установленными национальными стандартами и владельцем информации, или владельцем объекта информатизации.

Аттестация выделенных и защищаемых помещений

- в которых циркулирует информация ограниченного доступа, содержащая сведения, составляющие государственную тайну:

на соответствие требованиям нормативно-методического документа «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам» (решение Гостехкомиссии России от 23.05.1997 г. № 55);

- в которых циркулирует информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, являющаяся государственным информационным ресурсом:

на соответствие требованиям нормативно-методического документа «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» (утвержден приказом Гостехкомиссии России от 30.08.2002 г. № 282);

- в которых циркулирует информация, к которой владелец устанавливает тре-

бования по безопасности:

на соответствие требованиям безопасности информации, установленными

национальными стандартами и владельцем информации, или владельцем объекта информатизации.

Аттестация систем связи, отображения и размножения информации

- обрабатывающих информацию ограниченного доступа, содержащую сведения, составляющие государственную тайну:

на соответствие требованиям нормативно-методического документа «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам» (решение Гостехкомиссии России от 23.05.1997 г. № 55);

- обрабатывающих информацию ограниченного доступа, не содержащую сведений, составляющих государственную тайну:

на соответствие требованиям нормативно-методического документа «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» (утвержден приказом Гостехкомиссии России от 30.08.2002 г. № 282);

- обрабатывающих информацию, к которой владелец устанавливает требования по безопасности:

на соответствие требованиям безопасности информации, установленными национальными стандартами и владельцем информации или владельцем объекта информатизации.

19.Виды защиты информации.

Косновным видам защиты информации относятся:

Правовая защита информации - это специальные (на международном, внутригосударственном и ведомственном уровнях) правовые акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе. Правовые меры по внутригосударственному праву можно разделить на две группы: государственные (нормативные акты, определяющие правила и процедуры защиты информации, которые регламентируются законами и подзаконными актами), ведомственные (нормативные акты, устанавливающие ответственность за покушение на сведения, составляющие государственную или коммерческую тайну, и за преступления против установленного порядка сохранения засекреченной информации).

Организационная защита информации - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой

основе, исключающей или существенно затрудняющей неправомерное овладение секретной или конфиденциальной информацией.

Группа мер организационной защиты информации направлена на проведение

организационной работы по выполнению правил, процедур и требований защиты государственной и коммерческой тайны на основе правил, установленных законами и подзаконными правовыми актами (инструкциями, положениями и т.д.)

Инженерно-техническая защита информации (рис. 20) - это комплекс организационных и инженерно-технических мероприятий, направленных на то, чтобы исключить или существенно затруднить добывание защищаемой информации с помощью технических средств разведки.

Инженерно-техническую защиту информации классифицируют по используемым средствам:

•физическим - устройства, инженерные сооружения и организационные меры, затрудняющие или исключающие проникновение злоумышленников к источникам конфиденциальной информации;

•аппаратным - механические, электрические, электронные и другие устройства, предназначенные для защиты информации от утечки и разглашения и противодействия техническим средствам промышленного шпионажа;

•программным - совокупная реализация аппаратных и программных средств

икриптографических методов защиты информации;

•криптографическим - технические и программные средства защиты;

•комбинированным - совокупная реализация аппаратных, программных средств и криптографических методов защиты информации.

20. Системы защиты информации.

Система защиты информации - совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответству-

ющими правовыми, организационно-распорядительными и нормативными документами в области защиты информации. (ГОСТ Р 50922-2006 «Защита инфор-

мации. Основные термины и определения»)

Подходы к структуре системы защиты информации можно рассматривать по двум основным направлениям:

− структура технического (программно-технического) элемента системы защиты, включающего инженерно-технические и программно-аппаратные средства защиты информации;

− структура нормативного элемента системы защиты, регламентирующего работу программнотехнического элемента и персонала.

При определении структуры любой сложной системы базовым этапом является формулирование цели и критериев эффективности работы системы. Основной целью СЗИ является предотвращение ущерба, т.е. предотвращение реализации угроз информационной безопасности.

Архитектура системы защиты информации должна быть аналогична архитектуре защищаемой системы. Зависимость структуры СЗИ от структуры информационной системы вызвана необходимостью защищать информацию на всех этапах работы с информацией.

Подход к построению СЗИ на основе защиты от угроз позволяет рассматривать структуру СЗИ на уровне «Тип угрозы – Тип рубежа защиты». Тогда классификация методов и средств защиты сводится к следующим типа:

1)рубежи защиты информации и ее носителей от угроз конфиденциальности, целост-

ности и доступности;

2)рубежи защиты элементов информационной системы (баз данных, операционных систем, сетевых сервисов и т.п.), включая программно - технические средства защиты информации, и их настроек от угроз конфиденциальности и целостности;

3)рубежи защиты, отвечающие за контроль выполнения правил работы с защищаемой информацией и программ- но-техническими средствами

СЗИ.