- •Актуальность проблемы обеспечения безопасности информационных технологий Место и роль информационных систем в управлении бизнес-процессами
- •Основные причины обострения проблемы обеспечения безопасности информационных технологий
- •Защита информационных технологий как процесс управления рисками. Сложность количественной оценки рисков
- •Особенности современных автоматизированных систем как объектов защиты
- •Основные понятия в области безопасности информационных технологий Что такое безопасность информационных технологий
- •Информация и информационные отношения
- •Субъекты информационных отношений, их безопасность
- •Цель защиты автоматизированной системы и циркулирующей в ней информации
- •Угрозы безопасности информационных технологий Уязвимость основных структурно-функциональных элементов распределённых автоматизированных систем
- •Угрозы безопасности информации, автоматизированных систем и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Классификация каналов проникновения в автоматизированную систему и утечки информации
- •Неформальная модель нарушителя
- •Виды мер и основные принципы обеспечения безопасности информационных технологий Виды мер противодействия угрозам безопасности
- •Достоинства и недостатки различных видов мер защиты
- •Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе
- •Правовые основы обеспечения безопасности информационных технологий Введение
- •Защищаемая информация
- •Лицензирование
- •Сертификация средств защиты и аттестация объектов информатизации
- •Новое поколение нормативно-технических документов (гост р исо/мэк 15408-2008)
- •Часть 2 рд содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определённым правилам.
- •Специальные требования и рекомендации по технической защите конфиденциальной информации
- •Юридическая значимость электронных документов с электронной подписью
- •Ответственность за нарушения в сфере защиты информации
- •Государственная система защиты информации Введение
- •Государственная система защиты информации
- •Организация защиты информации в системах и средствах информатизации и связи
- •Контроль состояния защиты информации
- •Финансирование мероприятий по защите информации
- •Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты Основные механизмы защиты информационных систем
- •Разграничение доступа зарегистрированных пользователей к ресурсам автоматизированной системы
- •Регистрация и оперативное оповещение о событиях безопасности
- •Криптографические методы защиты информации
- •Контроль целостности программных и информационных ресурсов
- •Обнаружение атак
- •Защита периметра компьютерных сетей
- •Управление механизмами защиты
- •Страхование информационных рисков
- •Организационная структура системы обеспечения безопасности информационных технологий Понятие технологии обеспечения (управления) безопасности информации и ресурсов в автоматизированной системе
- •Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала автоматизированной системы
- •Политика безопасности организации
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Распределение функций по обеспечению безопасности информационных технологий
- •Система организационно-распорядительных документов по обеспечению безопасности информационных технологий
- •Документы , регламентирующие правила парольной и антивирусной защиты Инструкция по организации парольной защиты
- •Инструкция по организации антивирусной защиты
- •Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей автоматизированной системы Допуск сотрудников подразделений к работе с ас
- •Обеспечение и контроль физической целостности и неизменности конфигурации аппаратно-программных средств автоматизированной системы
- •Регламентация процессов обслуживания и осуществления модификации аппаратных и программных средств автоматизированной системы
- •Процедура внесения изменений в конфигурацию аппаратных и программных средств защищённых серверов и рабочих станций
- •Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач Основы процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач
- •Взаимодействие подразделений на этапах проектирования, разработки, испытания и внедрения новых автоматизированных подсистем
- •Назначение, возможности, и основные защитные механизмы межсетевых экранов Введение
- •Мэ - основные сведения
- •Классификация мэ
- •Варианты расположения мэ
- •Политика безопасности и мэ
- •Недостатки мэ
- •Что такое «HoneyNet»?
Контроль целостности программных и информационных ресурсов
Механизм контроля целостности ресурсов системы предназначен для своевременного обнаружения модификации ресурсов системы. Он позволяет обеспечить правильность функционирования системы защиты и целостность обрабатываемой информации.
Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:
средствами разграничения доступа, запрещающими модификацию или удаление защищаемого ресурса;
средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);
средствами подсчета контрольных сумм (сигнатур, имитовставок и т.п.);
средствами электронной цифровой подписи.
Контролируемые ресурсы:
файлы и каталоги;
элементы реестра;
сектора дисков;
Контролируемые параметры:
содержимое ресурса;
списки управления доступом;
атрибуты файлов;
Алгоритмы контроля:
сравнение с эталоном;
вычисление контрольных сумм (сигнатур);
формирование ЭП и имитовставок;
Время контроля:
до загрузки ОС;
при наступлении событий;
по расписанию.
Обнаружение атак
Обнаружение вторжений (атак) - это процесс мониторинга событий, происходящих в АС, с целью поиска признаков нарушений безопасности.
Выше было сказано, что нарушением безопасности (просто нарушением или атакой) называется реализация угрозы безопасности (наступление соответствующего события).
Например, просматривая журнал регистрации событий и обнаружив там большое количество неудачных попыток аутентификации за короткий промежуток времени (Рис. 1.7.13), можно сделать вывод, что произошла атака «подбор пароля». В данном случае, определённое число неудачных попыток аутентификации за определённый период времени — это и есть признак нарушения безопасности.
Теоретически, поиск признаков атак может выполняться вручную (в этом случае он сводится к рассмотренному выше анализу собранной средствами регистрации информации, что, в принципе, позволяет выявить факты совершения нарушений), но суть механизма обнаружения атак состоит именно в автоматизации данного процесса.
Таким образом, система (средство) обнаружения вторжений (атак) - это программное (или программно-аппаратное) обеспечение, автоматизирующее процесс обнаружения атак.
Попытки аутентификации
Для приведённого выше примера с журналом это означает, что система будет непрерывно осуществлять мониторинг журнала «Security» и при обнаружении там определённого количества записей, свидетельствующих о попытках аутентификации за единицу времени, будет произведено соответствующее оповещение (Рис. 1.7.14).
Консоль системы обнаружения атак
Считается, что впервые механизм обнаружения атак был «обозначен» в работе Джеймса Андерсена (James Anderson) «Computer Security Threat Monitoring and Surveillance».
В частности, Джеймс Андерсен предложил автоматизировать анализ результатов работы механизма регистрации событий с целью сокращения времени реагирования на нарушения.
Таким образом, появившись как дополнительная «надстройка» над механизмом регистрации событий, обнаружение атак стао вполне самостоятельным защитным механизмом.
В настоящее время системы обнаружения атак осуществляют поиск признаков нарушений в следующих источниках:
сетевой трафик;
журналы событий;
действия субъектов системы.
Более подробно средства обнаружения атак будут рассмотрены ниже.