ИБ
.pdfДОПОЛНЕНИЯ
Из книжки Гришиной Н. Организация комплексной системы защиты информации(годная, т.к. тетка эта есть в лит-ре к вопросам госов):
Каналы |
методы |
1. Установление контакта с лицами, |
выведывание КИ под благовидным |
имеющими или имевшими доступ к |
предлогом |
конфиденциальной информации; |
переманивания сотрудников |
|
покупка КИ |
|
принуждение к выдаче КИ |
|
склонение к выдаче КИ убеждением, |
|
лестью... |
2. Вербовка и (или) внедрение |
Вербовка и (или) внедрение агентов |
агентов; |
|
3. Организация физического |
использование подложного, |
проникновения к носителям |
украденного или купленного |
конфиденциальной информации; |
пропуска |
|
маскировка под другое лицо |
|
проход под видом внешнего |
|
обслуживающего персонала; |
|
проезд спрятанным в автотранспорте; |
|
отвлечение внимания охраны |
|
изоляция или уничтожение охраны |
|
преодоление заграждающих барьеров |
4. Подключение к средствам |
с персонального |
отображение, хранения, обработки, |
компьютера(удаленно) |
воспроизведения и передачи |
закладные устройства |
информации средствам связи; |
прямого присоединение к кабельным |
|
линиям связи |
|
электромагнитные наводки |
5. Прослушивание речевой |
непосредственных разговоров лиц |
конфиденциальной информации; |
прослушивание речевой информации, |
|
зафиксированной на носителе |
Каналы |
методы |
6. Визуальный съем |
чтением документов на рабочих |
конфиденциальной информации; |
местах |
|
осмотром продукции, наблюдением |
|
за технологическим процессом |
|
изготовления продукции; |
|
просмотром информации, |
|
воспроизводимой средствами |
|
видеовоспроизводящей техники и |
|
телевидения |
|
чтением текста, печатаемого и |
|
размножаемого |
|
наблюдением за технологическими |
|
процессами изготовления, обработки, |
|
размножения информации |
|
чтением остаточной информации |
7. Перехват электромагнитных |
Методами перехвата являются поиск |
излучений; |
сигналов, выделение из них сигналов, |
|
несущих конфиденциальную |
|
информацию, съем с них |
|
информации, ее обработка и анализ |
8. Исследование выпускаемой |
обратный инжиниринг |
продукции, производственных |
сбор и изучение поломанных изделий, |
отходов и отходов процессов |
макетов изделий, бракованных узлов, |
обработки информации; |
блоков, устройств, деталей, созданных |
|
на стадии опытно-конструкторских |
|
разработок, а также руды и шлаков, |
|
позволяющих определить состав |
|
материалов, а нередко и технологию |
|
изготовления продукции |
|
сбор и прочтение черновиков |
|
и проектов конфиденциальных |
|
документов, копировальной бумаги, |
|
прокладок, испорченных магнитных |
|
дискет |
Каналы |
методы |
9. Изучение доступных источников |
изучения научных публикаций |
информации; |
средств массовой информации |
|
изучения проспектов и каталогов |
|
выставок |
|
конференции и другие публичные |
|
мероприятии |
|
изучения банков данных о |
|
предприятиях |
10. Подключение к системам |
- |
обеспечения производственной |
|
деятельности предприятия; |
|
11. Замеры и взятие проб |
- |
окружающей объект среды; |
|
12. Анализ архитектурных |
- |
особенностей некоторых категорий |
|
объектов. |
|
11. Модель нарушителя
Нарушитель - это лицо, предпринявшее попытку выполнения запрещенных операций по ошибке, незнанию или осознанно использующее для этого различные возможности, методы и средства.
Модель нарушителя безопасности необходима для систематизации информации о типах и возможностях субъектов, целях несанкционированных воздействий и выработки адекватных организационных и технических мер противодействия.
Модель нарушителя имеет следующую структуру:
•описание нарушителей (субъектов атак) – внешние и внутренние (по доступу в контролируемую зону). Внутренние нарушители: пользователи, привилегированные пользователи, тех.персонал, обслуживающий персонал, другие
•предположение об имеющейся у нарушителя информации;
•описание каналов атак; (см. №10)
•описание объектов и целей атаки – защищаемая информация; СЗИ; программные, аппаратные, программно-аппаратные средства, которые влияют на функционирование СЗИ.
•предположение об имеющихся у нарушителя средствах осуществления атак – штатные средства или специально разработанные для атаки.
• описание способов осуществления атак (классификация способов мне не очень нравится, я бы лучше взяла из 10 билета).
o Атаки, основанные на использовании уязвимостей и недекларированных возможностей средств зашиты, внесенные в процессе создания, перевозки, внедрения, перевозки, наладки этих средств.
o Перехват, разглашение сведений о защищаемой информации об АСЗИ (автоматизированная система в защищенном исполнении) и её компонентах, включая средства и систему зашиты.
o Восстановление защищаемой информации и информации об АСЗИ и её компонентах, путем анализа носителей защищаемой информации выведенных из эксплуатации, сданных в ремонт и т.д.
o Перехват защищаемой информации при её передачи по каналам связи, которые не защищены от НСД к информации организационными, техническими
иорганизационно-техническими мерами
12.Модель угроз
Модель угроз содержит систематизированный перечень угроз. Существуют базовая и частная модели угроз. Целью частной модели угроз является определение актуальных угроз безопасности для конкретной ИС.
Если говорить про обработку персональных данных, то реализуются следующие шаги:
•определяется уровень исходной защищенности ИС на основе технических и эксплуатационных характеристик (коэф. Y1 = 0,5,10)
•экспертным методом определяется вероятность реализации угрозы (Y2=0,2,5,10)
•по формуле Y=(Y1+Y2)/20 определяется возможность реализации угрозы: o если 0 ≤ Y ≤ 0,3, то возможность реализации угрозы признается низкой; o если 0,3 < Y ≤ 0,6, то возможность реализации угрозы признается средней;
o если 0,6 < Y ≤ 0,8, то возможность реализации угрозы признается высокой; o если Y > 0,8, то возможность реализации угрозы признается очень высокой.
•экспертным методом определяется опасность угрозы в зависимости от негативных последствий для субьекта:
o низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
o средняя опасность – если реализация угрозы может привести к негативным
последствиям для субъектов персональных данных;
o высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
• выбираются актуальные угрозы
• предлагаются технические и организационные меры противодействия актуальным угрозам.
При составлении модели угроз пользуются «Базовой моделью угроз безопасности ПДн при их обработке в ИСПДн» и «Методикой определения актуальных угроз безопасности ПДн при их обработке в ИСПДн» ФСТЭК
13. Критерии оценки безопасности информационных технологий.
«Общие критерии» = «Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий».
Содержит систематизированный каталог требований к безопасности информационных технологий, порядок и методические рекомендации по его использованию при задании требований, разработке, оценке и сертификации продуктов и систем информационных технологий по требованиям безопасности информации.
Объект оценки с точки зрения ОК: Подлежащие оценке продукт ИТ или система с руководствами администратора и пользователя.
Для структуризации пространства требований в " Общих критериях " введена иерархия класс - семейство - компонент - элемент. Классы определяют наиболее общую (как правило, предметную) группировку требований. Семейства в пределах класса различаются по строгости и другим характеристикам требований. Компонент - минимальный набор требований, фигурирующий как целое. Элемент - неделимое требование.
Между компонентами могут существовать зависимости. Они возникают, когда компонент сам по себе недостаточен для достижения цели безопасности. Соответственно, при включении такого компонента необходимо добавить всю "гроздь" его зависимостей.
"Общие критерии" содержат два основных вида требований безопасности: функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям безопасности Объекта оценки (ОО) и реализующим их механизмам; требования доверия, которые соответствуют пассивному аспекту, предъявляются к технологии и процессу разработки и эксплуатации ОО.
Для типовых изделий "Общие критерии" предусматривают разработку типовых совокупностей требований безопасности, называемых профилями защиты. Для проектируемого изделия за выработкой требований следует разработка краткой спецификации, входящей в задание по безопасности (ЗБ).
В ОК определены три типа конструкций требований: пакет, ПЗ и ЗБ. Помимо этого, в ОК определена совокупность критериев безопасности ИТ, которые могут отвечать потребностям многих сообществ пользователей и поэтому служат основным исходным материалом для создания этих конструкций. Центральной идеей ОК является концепция максимально широкого использования определенных в ОК компонентов, которые представляют хорошо известную и понятную сферу применимости.
Промежуточная комбинация компонентов называется пакетом. Пакет позволяет выразить совокупность функциональных требований или требований доверия, которые отвечают идентифицируемому подмножеству целей безопасности. Пакет предназначен для многократного использования и определяет требования, которые известны как полезные и эффективные для достижения установленных целей. Допускается применение пакета при создании более крупных пакетов, профилей защиты и заданий по безопасности.
14. Методы защиты информации от несанкционированного доступа.
•идентификация и аутентификация субъектов доступа и объектов доступа;
•управление доступом субъектов доступа к объектам доступа;
•ограничение программной среды;
•защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
•регистрация событий безопасности;
•антивирусная защита;
•обнаружение (предотвращение) вторжений;
•контроль (анализ) защищенности данных;
•обеспечение целостности;
•обеспечение доступности;
•защита среды виртуализации;
•защита технических средств;
•защита информационной системы, ее средств, систем связи и передачи дан-
ных;
•выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее
-инциденты), и реагирование на них;
•управление конфигурацией информационной системы и системы защиты.
15. Риски информационной безопасности.
Риск – это возможность того, что произойдет определенное неблагоприятное событие, имеющее свою цену (размер ожидаемого ущерба) и вероятность наступления.
Риск информационной безопасности представляет собой возможность нарушения ИБ с негативными последствиями.
Основными рисками информационной безопасности являются:
• риск утечки конфиденциальной информации
•риск потери или недоступности важных данных
•риск использования неполной или искаженной информации
•риск неправомочной скрытой эксплуатации информационно-вычислитель- ных ресурсов (например, при создании бот-сети)
•риск распространения во внешней среде информации, угрожающей репутации организации.
Основные методики оценки рисков CRAMM
В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Основной способ оценки рисков – это тщательно спланированные опросные листы для владельцев и пользователей информационных активов.
1)Строится модель активов ИС и определяется ценность активов
2)Оценка рисков. Значения ожидаемых годовых потерь переводятся в баллы, показывающие уровень риска по семибалльной шкале.
3)Определяется набор контрмер по минимизации идентифицированных рисков и производится сравнение рекомендуемых и существующих контрмер, после чего формируется план обработки рисков.
На этом этапе CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры можно объединить в три категории: около 300 рекомендаций общего плана; более 1000 конкретных рекомендаций; около 900 примеров того, как можно организовать защиту в данной ситуации.
Результаты анализа и управления рисками для каждого из рассмотренных этапов представляются в виде промежуточных и окончательных отчетов.
RiskWatch
На первом этапе определяется предмет исследования. Здесь описываются такие параметры, как тип организации, состав исследуемой системы, базовые требования в области безопасности.
На втором этапе происходит ввод данных, описывающих конкретные характеристики системы (ресурсы и их ценности, уязвимости, частоты возникновения угроз и т.д.).
На третьем этапе проводится количественная оценка риска и выбор мер обеспечения безопасности.
OCTAVE
Оценка и обработка рисков осуществляются в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование и координацию действий участников рабочей группы по оценке рисков.
На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификацию применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.
По типу источника, угрозы в OCTAVE делятся на:
1)угрозы, исходящие от злоумышленника, действующего через сеть передачи данных;
2)угрозы, исходящие от злоумышленника, использующего физический до-
ступ;
3)угрозы, связанные со сбоями в работе системы;
4)прочие угрозы.
Результатом может быть раскрытие, изменение, потеря или разрушение информационного ресурса, разрыв подключения, отказ в обслуживании.
Главная задача первого этапа – стандартизованным образом описать сочетание угрозы и ресурса.
На втором этапе производится технический анализ уязвимостей информаци-
онных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся технических уязвимостей и оценку их величины.
В конце данного этапа готовится отчет, в котором указывается, какие уязвимости обнаружены, какое влияние они могут оказать на выделенные ранее активы, какие меры надо предпринять для устранения уязвимостей.
На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.
Далее разрабатывают планы снижения рисков нескольких типов: долговре-
менные, на среднюю перспективу и списки задач на ближайшее время. В методике предлагаются каталоги мер и средств защиты.
16. Вредоносные программы и антивирусные программные средства.
Вредоносная программа— любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам самой ЭВМ или к информации, хранимой на ЭВМ, с целью несанкционированного использования ресурсов ЭВМ или причинения вреда (нанесения ущерба) владельцу информации, и/или владельцу ЭВМ, и/или владельцу сети ЭВМ, путем копирования, искажения, удаления или подмены информации.
По основному определению, вредоносные программы предназначены для получения несанкционированного доступа к информации, в обход существующих правил разграничения доступа.(по ФСТЭК).
Классификация
Вирусы и черви
Подобные вредоносные программы обладают способностью к несанкционированному пользователем саморазмножению в компьютерах или компьютерных сетях, при этом полученные копии также обладают этой возможностью.
Компьютерный вирус размножается в пределах компьютера и через сменные диски. Размножение через сеть возможно, если пользователь сам выложит заражённый файл в сеть. Вирусы, в свою очередь, делятся по типу заражаемых файлов (файловые, загрузочные, макро-, автозапускающиеся); по способу прикрепления к файлам (паразитирующие, «спутники» и перезаписывающие) и т. д. Сетевой червь способен самостоятельно размножаться по сети. Делятся на IRC-, почтовые, размножающиеся с помощью эксплойтов и т. д.
Троянские программы
Эти вредоносные программы созданы для осуществления несанкционированных пользователем действий, направленных на уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители данной категории не имеют способности создавать свои копии, обладающие возможностью дальнейшего самовоспроизведения.
Подозрительные упаковщики
Вредоносные программы часто сжимаются различными способами упаковки, совмещенными с шифрованием содержимого файла для того, чтобы исключить обратную разработку программы и усложнить анализ поведения проактивными и эвристическими методами. Антивирусом детектируются результаты работы подозрительных упаковщиков — упакованные объекты.