- •Москва – 2011
- •1. Методы защиты информации
- •2. Идентификация и установление подлинности объекта и субъекта
- •3. Криптографическое преобразование информации
- •4. Стеганографическое преобразование информации
- •5. Методы защиты информации от компьютерных вирусов
- •6. Защита информации от утечки за счет побочного электромагнитного излучения и наводок
- •7. Методы и средства защиты информации от случайных воздействий
- •8. Методы защиты информации от аварийных ситуаций
- •9. Организационные мероприятия по защите информации
- •10. Законодательные меры по защите информации
- •11. Анализ и оценка действующей концепции защиты
- •12. Выбор модели построения защиты
- •13. Исходные данные для постановки задачи
- •14. Общий методологический подход
- •15. Модель элементарной защиты
- •Заключение
Министерство внутренних дел Российской Федерации
Московский университет
Кафедра информационной безопасности
Учебно-научного комплекса информационных технологий
УТВЕРЖДАЮ
начальник кафедры
информационной безопасности
полковник полиции
К.К. Борзунов
"_____" _______________ 2011 г.
Автор: Кадулин Владимир Елизарович
Фондовая лекция № 8
по учебной дисциплине «ТЕОРИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И МЕТОДОЛОГИЯ ЗАЩИТЫ ИНФОРМАЦИИ»
(специальность 090103.65 – «Организация и технология защиты информации»)
Тема: Организационные основы и методологические принципы защиты информации
Обсуждена и одобрена на заседании
кафедры информационной безопасности
(протокол № 11 от 12.04.2011 г.).
Москва – 2011
ПЛАН ЛЕКЦИИ
Введение.
Методы защиты информации.
2. Идентификация и установление подлинности объекта и субъекта.
3. Криптографическое преобразование информации.
4. Стеганографическое преобразование информации.
5. Методы защиты информации от компьютерных вирусов.
6. Защита информации от утечки за счет побочного электромагнитного излучения и наводок.
7. Методы и средства защиты информации от случайных воздействий
8. Методы защиты информации от аварийных ситуаций.
9. Организационные мероприятия по защите информации.
10. Законодательные меры по защите информации.
11. Анализ и оценка действующей концепции защиты.
12. Выбор модели построения защиты.
13. Исходные данные для постановки задачи.
14 Общий методологический подход.
15 Модель элементарной защиты
Заключение
Литература
Введение
Аннотация лекции по теме 8: « Организационные основы и
методологические принципы защиты информации»
Организационные основы как необходимые условия для осуществления защиты информации. Основы, обеспечивающие технологию защиты информации. Основы, необходимые для обеспечения сохранности и конфиденциальности информации.
Значение методологических принципов защиты информации. Принципы, обусловленные принадлежностью, ценностью, конфиденциальностью, технологией защиты информации.
1. Методы защиты информации
При наличии простых средств хранения и передачи информации существовали и не утратили своего значения до настоящего времени следующие методы ее защиты от преднамеренного доступа:
– ограничение доступа;
– разграничение доступа;
– разделение доступа (привилегий);
– криптографическое преобразование информации;
– контроль, обнаружение и регистрация доступа;
– законодательные меры.
Указанные методы осуществлялись чисто организационно или с помощью технических средств.
С появлением автоматизированной обработки информации изменился и дополнился новыми видами физический носитель информации и усложнились технические средства ее обработки.
С усложнением обработки, увеличением количества технических средств, участвующих в ней, умножаются количество и виды случайных воздействий, а также возможные каналы несанкционированного доступа. С возрастанием объемов, сосредоточением информации, увеличением количества пользователей и другими указанными выше причинами увеличивается вероятность преднамеренного несанкционированного доступа к информации. В связи с этим развиваются старые и возникают новые дополнительные методы защиты информации в вычислительных системах:
– методы функционального контроля, обеспечивающие обнаружение и диагностику отказов, сбоев аппаратуры и ошибок человека, а также программные ошибки;
– методы повышения достоверности информации;
– методы защиты информации от аварийных ситуаций;
– методы контроля доступа к внутреннему монтажу аппаратуры, линиям связи и технологическим органам управления;
– методы разграничения и контроля доступа к информации;
– методы идентификации и аутентификации пользователей, технических средств, носителей информации и документов;
– методы защиты от побочного излучения и наводок информации. Рассмотрим каждый из методов подробнее и оценим его возможности в плане дальнейшего использования при проектировании конкретных средств защиты информации в автоматизированных системах.
Ограничение доступа
Ограничение доступа заключается в создании некоторой физической замкнутой преграды вокруг объекта защиты с организацией контролируемого доступа лиц, связанных с объектом обработки и защиты по своим функциональным обязанностям.
Ограничение доступа к автоматизированной системе обработки информации заключается:
– в выделении специальной территории для размещения автоматизированных систем (АС);
– в сооружении по периметру зоны специальных ограждений с охранной сигнализацией;
– в сооружении специальных зданий или других построек;
– в выделении специальных помещений в здании;
– в создании контрольно-пропускного режима на территории, в зданиях и помещениях.
Задача средств ограничения доступа – исключить случайный и преднамеренный доступ посторонних лиц на территорию размещения АС и непосредственно к аппаратуре. В указанных целях создается защитный контур, замыкаемый двумя видами преград: физической и контрольно-пропускной. Такие преграды часто называют системой охранной сигнализации и системой контроля доступа.
Традиционные средства контроля доступа в защищаемую зону: изготовление и выдача допущенным лицам специальных пропусков с фотографией владельца и сведений о нем. При этом контролируется: потеря пропуска, его перехват и подделка. Кроме того, есть резерв в повышении эффективности защиты с помощью увеличения количества проверяемых параметров. Однако основная нагрузка по контролю при этом ложится на человека, а он, как известно, может ошибаться.
В зарубежной литературе имеются сообщения о применении биометрических методов аутентификации человека, когда в качестве идентификаторов используются отпечатки пальцев, ладони, голоса, личной подписи. Однако перечисленные методы пока не получили широкого распространения, но будут активно развиваться.
Совершенствование контрольно-пропускной системы в настоящее время ведется также в направлении улучшения конструкции пропуска-удостоверения личности путем записи кодовых значений паролей и других данных, размещаемых на носителе типа смарт-карты.
Физическая преграда защитного контура, размещаемая по периметру охраняемой зоны, снабжается охранной сигнализацией.
В настоящее время ряд предприятий выпускает электронные системы для защиты государственных и частных объектов от проникновения посторонних лиц.
При разработке комплексной системы охраны конкретного объекта с целью исключения возможности обхода создаваемой преграды учитывают его специфику: внутреннюю планировку здания, окон, входной двери, размещение наиболее важных технических средств.
Разграничение доступа
Автоматизированная система в зависимости от ее сложности и выполняемых задач может размещаться в одной, двух, трех и т.д. .помещениях, этажах, зданиях. В силу различия функциональных обязанностей и работы с разными документами необходимо обеспечить разграничение доступа пользователей к их рабочим местам, аппаратуре и информации. Это обеспечивается размещением рабочих мест пользователей в отдельных помещениях, закрываемых разного рода замками на входных дверях с устанавливаемыми на них датчиками охранной сигнализации или применением специальной автоматической системы контроля доступа в помещения по жетонам или карточкам с индивидуальным кодом ее владельца, записанным в ее память.
Контроль доступа к аппаратуре
Контроль вскрытия аппаратуры необходим не только в интересах защиты информации от несанкционированного доступа (НСД), но и для соблюдения технологической дисциплины в целях обеспечения нормального функционирования вычислительной системы, потому что часто при эксплуатации параллельно решению основных задач производится ремонт или профилактика аппаратуры, и может оказаться, что случайно забыли подключить кабель. С позиций защиты информации от НСД контроль вскрытия аппаратуры предохраняет от следующих действий:
– изменения и разрушения принципиальной схемы вычислительной системы и аппаратуры;
– подключения постороннего устройства;
– загрузки посторонних программ и внесения программных "вирусов" в систему и т.д.
Основная задача систем контроля вскрытия аппаратуры – перекрытие на период эксплуатации всех нештатных и технологических подходов к аппаратуре. Если последние потребуются в процессе эксплуатации системы, выводимая на ремонт или профилактику перед началом работ оперативная информация на выводимом техническом средстве удаляется, аппаратура отключается от рабочего контура обмена информацией, подлежащей защите, и вводится в рабочий контур под наблюдением и контролем лиц, ответственных за безопасность информации.
Разграничение и контроль доступа к информации
Разграничение доступа в автоматизированной системе заключается в разделении информации, циркулирующей в ней, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями. Задача такого разграничения доступа к информации: сокращение количества должностных лиц, не имеющих к ней отношения при выполнении своих функций, т.е. защита информации от нарушителя среди законных пользователей.
Принимая во внимание, что доступ осуществляется с различных технических средств, начинать разграничение можно путем разграничения доступа к техническим средствам, разместив их в отдельных помещениях. Все подготовительные функции технического обслуживания аппаратуры, ее ремонта, профилактики, перезагрузки программного обеспечения и другие должны быть технически и организационно отделены от основных задач системы. При этом должно выполняться основное требование: техническое обслуживание АС в процессе эксплуатации должно выполняться специальным техническим персоналом без доступа к информации, подлежащей защите.
В качестве идентификаторов личности для реализации разграничения широко распространено применение кодов паролей, которые хранятся в памяти пользователя и АС. В помощь пользователю в системах с повышенными требованиями большие значения кодов паролей записываются на специальные носители – электронные ключи, жетоны, смарт-карты и т.д.
Разделение привилегий на доступ к информации
Разделение привилегий на доступ к информации заключается в том, что из числа допущенных к ней должностных лиц выделяется группа, которой предоставляется доступ только при одновременном предъявлении полномочий всех членов группы.
Задача указанного метода – существенно затруднить преднамеренный перехват информации нарушителем. Примером такого доступа может быть сейф с несколькими ключами, замок которого открывается только при наличии всех ключей. Аналогично в АС может быть предусмотрен механизм разделения привилегий при доступе к особо важным данным с помощью кодов паролей.
Данный метод несколько усложняет процедуру, но обладает высокой эффективностью защиты. На его принципах можно организовать доступ к данным с санкции вышестоящего лица по запросу или без него.
Сочетание двойного криптографического преобразования информации и метода разделения привилегий позволяет обеспечить высокоэффективную защиту информации от преднамеренного НСД.
Кроме того, при наличии дефицита в средствах, а также в целях постоянного контроля доступа к ценной информации со стороны администрации потребителя автоматизированных систем управления (АСУ) в некоторых случаях возможен вариант использования права на доступ к информации нижестоящего руководителя только при наличии его идентификатора и идентификатора его заместителя или представителя службы безопасности информации. При этом информация выдается на монитор только руководителя, а на монитор подчиненного – только информация о факте ее вызова.