- •Пояснительная записка
- •Конспект лекций по дисциплине «Информационная безопасность» Лекция 1-2 «Роль и место знаний по дисциплине в сфере профессиональной деятельности»
- •Лекция 2-3 «Понятие информационной безопасности» Уровни зрелости соиб организации
- •Законодательная, нормативно-правовая и научная база
- •Структура и задачи органов (подразделений), обеспечивающих безопасность ит
- •Программно-технические способы и средства обеспечения информационной безопасности
- •Средства защиты от несанкционированного доступа (нсд)
- •Криптографические средства
- •Лекция 5-6 «Наиболее распространенные угрозы»
- •Лекция 7-8 «Оценочные стандарты и технические спецификации»
- •"Оранжевая книга" как оценочный стандарт
- •Лекция 9-10 «Рекомендации х.800»
- •Лекция 11-12 «Стандарт iso/ise 15408. Критерии безопасности информационных технологий»
- •Часть 1. Введение и общая модель.
- •Часть 2. Функциональные требования безопасности.
- •Часть 3. Гарантийные требования безопасности (вариант перевода - "требования гарантированности").
- •Требования общих критериев и результаты оценки
- •Лекция 13-14 «Обзор российского законодательства в области информационной безопасности»
- •Виды угроз информационной безопасности Российской Федерации
- •Лекция 15-16 «Обзор зарубежных законодательных актов»
- •Лекция 17-18 «Основные понятия. Политика безопасности»
- •Лекция 19-20 «Программа безопасности»
- •Лекция 21-22 «Управление рисками» Основные принципы управления рисками информационной безопасности
- •Лекция 23-24 «Основные понятия. Классы мер процедурного уровня»
- •Лекция 25-26 «Поддержание работоспособности информационных систем»
- •Требования к системе резервного копирования
- •Виды резервного копирования
- •Лекция 27-28 «Планирование восстановительных работ»
- •Лекция 29-30 «Основные понятия программно-технического уровня информационной безопасности»
- •Лекция 31-32 «Архитектурная безопасность»
- •Сервисы безопасности: Идентификация/аутентификация
- •Разграничение доступа
- •Протоколирование/аудит
- •Экранирование
- •Туннелирование
- •Контроль защищенности
- •Лекция 33-34 «Идентификация и аутентификация. Управление доступом»
- •1. Основанные на знании лицом, имеющим право на доступ к ресурсам системы, некоторой секретной информации – пароля.
- •2. Основанные на использовании уникального предмета: жетона, электронной карточки и др.
- •3. Основанные на измерении биометрических параметров человека – физиологических или поведенческих атрибутах живого организма.
- •4. Основанные на информации, ассоциированной с пользователем, например, с его координатами.
- •Лекция 35-36 «Протоколирование и аудит, шифрование, управление доступом»
- •Лекция 37-38 «Обзор антивирусных и иных защитных программ» Принципы работы антивирусных программ Общие сведения
- •Сигнатурный поиск
- •Эвристический анализ
- •Детектирование аномального поведения
- •Шифрование методом замены (подстановки)
- •Одноалфавитная подстановка
- •Многоалфавитная одноконтурная обыкновенная подстановка
- •Многоалфавитная одноконтурная монофоническая подстановка
- •Практическое занятие 2 (лекция 41-42) «Шифрование файлов»
- •Простая перестановка
- •Перестановка, усложненная по таблице
- •Практическое занятие 3, 4 (лекция 43-44) «Работа с антивирусным программным обеспечением. Архивация файлов» Архиватор WinZip
- •Архиватор WinRar
- •Практическое занятие 5 (лекция 45-46) «Настройка параметров безопасности пк»
Лекция 17-18 «Основные понятия. Политика безопасности»
Политика безопасности — документ «верхнего» уровня, в котором должны быть указаны:
-
лица, ответственные за безопасность функционирования фирмы;
-
полномочия и ответственность отделов и служб в отношении безопасности;
-
организация допуска новых сотрудников и их увольнения;
-
правила разграничения доступа сотрудников к информационным ресурсам;
-
организация пропускного режима, регистрации сотрудников и посетителей;
-
использование программно-технических средств защиты;
-
другие требования общего характера.
Таким образом, политика безопасности — это организационно-правовой и технический документ одновременно.
Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей:
|
Величина ущерба |
Описание |
|
0 |
Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме |
|
1 |
Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты |
|
2 |
Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально |
|
3 |
Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов |
|
4 |
Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы. |
|
5 |
Фирма прекращает существование |
Общие рекомендации политики безопасности:
-
в системе должен быть администратор безопасности;
-
должен быть назначен ответственный за эксплуатацию каждого устройства;
-
системный блок компьютера надо защищать печатями ответственного и работника IT-службы (или службы безопасности);
-
жесткие диски лучше использовать съемные, а по окончании рабочего дня убирать их в сейф;
-
если нет необходимости в эксплуатации CD-ROM, дисководов, они должны быть сняты с компьютеров;
-
установка любого программного обеспечения должна производиться только работником IT-службы;
-
для разграничения доступа сотрудников лучше всего использовать сочетание паролей и смарт-карт (токенов). Пароли генерируются администратором безопасности, выдаются пользователю под роспись и хранятся им также как и другая конфиденциальная информация;
-
следует запретить использование неучтенных носителей информации. На учтенных носителях выполняется маркировка, например, гриф, номер, должность и фамилия сотрудника.
Безусловно, внедрение любой защиты приводит к определенным неудобствам пользователя. Однако эти неудобства не должны быть существенными, иначе человек станет игнорировать правила.
Лекция 19-20 «Программа безопасности»
Жизненный цикл информационных систем – это период их создания и использования, охватывающий различные состояния, начиная с момента возникновения необходимости в такой системе и заканчивая моментом ее полного выхода из употребления у пользователей.
Жизненный цикл информационных систем включает в себя четыре стадии: предпроектную, проектировочную, внедрение, функционирование. От качества проектировочных работ зависит эффективность функционирования системы, поэтому каждая стадия разделяется на ряд этапов и предусматривает составление документации, отражающей результаты работ.
На предпроектной стадии можно выделить следующие этапы:
1) Сбор материалов для проектирования – предусматривает разработку и выбор варианта концепции системы, выявление всех характеристик объекта и управленческой деятельности, потоков внутренних и внешних информационных связей, состава задач и специалистов, которые будут работать в новых технологических условиях, уровень их подготовки, как будущих пользователей системы.
2) анализ материалов и формирование документации – составление задания на проектирование, утверждение технико-экономического обоснования. Для успешного создания управленческой информационной системы всесторонне изучаются пути прохождения информационных потоков, как внутри предприятия, так и во внешней среде.
Стадия проектирования делится на:
1) Этап технического проектирования – формируются проектные решения по обеспечивающей и функциональной частям информационной системы, моделирование производственных, хозяйственных, финансовых ситуаций, осуществляется постановка задачи и блок-схемы и их решение.
2) Этап рабочего проектирования – осуществляется разработка и доводка системы, корректировка структуры, создание различной документации: на поставку, на установку технических средств, инструкции по эксплуатации, должностные инструкции.
Стадия внедрения информационной системы предполагает:
1) Подготовку к вводу в эксплуатацию – на этом этапе производится установка технически средств, настройка системы, обучение персонала, пробное использование.
2) Проведение опытных испытаний всех компонентов системы перед запуском.
3) Сдача в промышленную эксплуатацию, которая оформляется актом сдачи-приемки работ.
На этапе функционирования информационной системы в рабочем режиме не исключается корректировка функций и управляющих параметров. Также осуществляется оперативное обслуживание и администрирование.
Если синхронизировать программу безопасности нижнего уровня с жизненным циклом защищаемого сервиса, можно добиться большего эффекта с меньшими затратами. Добавить новую возможность к уже готовой системе на порядок сложнее, чем изначально спроектировать и реализовать ее.
В жизненном цикле информационного сервиса можно выделить следующие этапы:
1. Инициация. На данном этапе выявляется необходимость в приобретении нового сервиса, документируется его предполагаемое назначение, определяется, какими характеристиками и какой функциональностью он должен обладать, оцениваются финансовые и иные ограничения.
2. Закупка. Нужно окончательно сформулировать требования к защитным средствам нового сервиса, к компании, которая может претендовать на роль поставщика, и к квалификации, которой должен обладать персонал, использующий или обслуживающий закупаемый продукт. Все эти сведения оформляются в виде спецификации, куда входят не только аппаратура и программы, но и документация, обслуживание, обучение персонала. Особое внимание должно уделяться вопросам совместимости нового сервиса с существующей конфигурацией. Нередко средства безопасности являются необязательными компонентами коммерческих продуктов, и нужно проследить, чтобы соответствующие пункты не выпали из спецификации.
3. Установка. Сервис устанавливается, конфигурируется, тестируется и вводится в эксплуатацию. Полнота и комплексность тестирования могут служить гарантией безопасности эксплуатации в штатном режиме.
4. Эксплуатация. На данном этапе сервис не только работает и администрируется, но и подвергается модификациям. Для борьбы с эффектом медленных изменений приходится прибегать к периодическим проверкам безопасности сервиса. После значительных модификаций подобные проверки являются обязательными.
5. Выведение из эксплуатации. Происходит переход на новый сервис. Только в специфических случаях необходимо заботиться о физическом разрушении аппаратных компонентов, хранящих конфиденциальную информацию. При выведении данных из эксплуатации их обычно переносят на другую систему, архивируют, выбрасывают или уничтожают. При архивировании необходимо позаботиться о восстановимости данных.