Кодекс и Законы Разработка методов и средств проведения экспертизы и контроля качества защиты информации и инфор
Работа добавлена на сайт bukvasha.net: 2015-10-29Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
от 25%
договор
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОСИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ АГЕСТВО ПО ОБРАЗОВАНИЮ
ГОСУДАРСТВЕНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕСИОНАЛЬНОГО ОБРАЗОВАНИЯ
ТЮМЕНСКИЙ ГОСУДАРСТВЕНЫЙ УНИВЕРСИТЕТ
МЕЖДУНАРОДНЫЙ ИНСТИТУТ ФИНАНСОВ, УПРАВЛЕНИЯ И БИЗНЕСА
РЕФЕРАТ
На тему: «Разработка методов и средств проведения экспертизы и контроля качества защиты информации и информационных ресурсов, в том числе вопросов оценки базовых общесистемных программных средств на соответствие требованиям информационной безопасности»
Проверил:
Фролов И.М.
Автор работы:
студентка гр. 25УК502
Червоная А.С.
Шокотько Ю.Ю.
ТЮМЕНЬ-2009
СОДЕРЖАНИЕ
Введение………………………………………………..……………….…..4
Информация и ее свойства ………………………………...……………….…5
Защита информации …………………………………….….….……….……..6
Защита информации от технических разведок ……….…..…………………8
Организация защиты информации ………………………...…………….….13
Технические меры защиты информации ……………………………………15
Основные концептуальные положения системы защиты
информации ……………………………………………..……..………….…..16
Программные средства защиты информации ………..…..…………………21
Средства архивации информации ……………………....…….……………..21
Законодательные и административные меры для регулирования вопросов защиты информации …………………………………………….……………22
Инструкция о порядке проведения экспертиз предприятий,
учреждений и организаций на право получения лицензии в области защиты информации ………………………………………………..……...…………..24
Сущность понятия «информационная безопасность».
Содержание понятия ……………………………………..…….……………..27
Исторические аспекты возникновения и развития информационной безопасности …………………………………………………….……………30
Нормативные документы в области информационной безопасности ……32
Программно-технические способы и средства обеспечения информационной безопасности …………………………………………………………….……34
Меры информационной безопасности ……………………….……………..36
Защита программного обеспечения компьютерных систем……………….38
Угрозы безопасности программного обеспечения и примеры их реализации в современном компьютерном мире……………………………………………..41
Жизненный цикл программного обеспечения компьютерных систем………49
Обеспечение базового уровня безопасности городских информационных систем………………………………………………………….………………....51
Заключение …………………………………………………………………58
Список литературы ……………………………….………….…………..60
Введение
Примечательная особенность нынешнего периода - переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество и которое при необходимости могут быть использованы для достижения конкретной цели хозяйственной деятельности. Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому. Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, уничтожить.
В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа.
Информационная безопасность - довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.
Основное внимание уделяется защите конфиденциальной информации, с которой большей частью встречаются предприниматели негосударственного сектора экономики.
Информация и ее свойства
1. Информация (в теории информации) - совокупность сведений об объектах и явлениях материального мира, рассматриваемых в аспекте их передачи в пространстве и времени. Информация передается в виде сообщений с помощью сигналов.
Сообщение - информация, выраженная в определенной форме и предназначенная для передачи от источника информации к ее получателю с помощью сигналов различной физической природы. Сообщением могут быть телеграмма, фототелеграмма, речь, телевизионное изображение, данные на выходе ЭВМ и т.д., передаваемые по различным каналам связи, а также сигналы различной физической природы, исходящие от объектов.
Сигнал - материальный носитель информации, представляющий любой физический процесс, параметры которого адекватно отображают сообщение. По своей физической природе сигналымогут быть электрические, акустические, оптические, электромагнитные и т.д.
Источником информации является материальный объект или субъект, способный накапливать, хранить, преобразовывать и выдавать информацию в виде сообщений или сигналов различной физической природы.
Получатель информации - материальный объект или субъект, воспринимающий информацию во всех формах ее проявления с целью дальнейшей ее обработки и использования. Источниками и получателями информации могут быть как люди, так и технические средства, которые накапливают, хранят, преобразуют, передают или принимают информацию.
2.Информация (в информационных технологиях) рассматривается как совокупность данных, обрабатываемых техническими средствами.
3. Информация (в области защиты информации) - сведения, раскрываемые разведкой противника через демаскирующие признаки объектов защиты или путем несанкционированного доступа к их носителям.
Защита информации
Защита информации - деятельность, направленная на сохранение государственной, служебной, коммерческой или личной тайн, а также на сохранение носителей информации любого содержания.
Система защиты информации - комплекс организационных и технических мероприятий по защите информации, проведенный на объекте с применением необходимых технических средств и способов в соответствии с концепцией, целью и замыслом защиты.
Концепция защиты информации - система взглядов и общих технических требований по защите информации.
Цель защиты информации - заранее намеченный уровень защищенности информации, получаемый в результате реализации системы защиты.
Замысел защиты информации - основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность мероприятий, необходимых для достижения цели защиты информации.
Организационные мероприятия по защите информации - мероприятия по защите информации, предусматривающее использование маскирующих свойств окружающей среды и установление временных, территориальных и пространственных ограничений на условия использования и режимы работ.
Технические мероприятия по защите информации - мероприятия по защите информации, предусматривающее применение технических средств и способов защиты и реализацию технических решений.
Техническое средство защиты информации - техническое средство, предназначенное для устранения или ослабления демаскирующих признаков объекта, создания ложных (имитирующих) признаков, а также для создания помех техническим средствам доступа к информации.
Способ защиты информации - прием (метод), используемый для организации защиты информации.
Технико-экономическое обоснование защиты информации - определение оптимального объема организационных и технических мероприятий в составе системы защиты информации, необходимого для достижения цели защиты. Для проведения исследований следует исходить из того, что стоимость затрат на создание системы защиты информации на объекте не должна превышать стоимость защищаемой информации. В противном случае защита информации становится нецелесообразной.
Эффективность защиты информации - степень соответствия достигнутого уровня защищенности информации поставленной цели.
Показатель эффективности защиты информации - параметр технического демаскирующего признака объекта защиты, применительно к которому устанавливаются требования и/или нормы по эффективности защиты информации.
Требования (нормы) эффективности защиты информации - установленные допустимые значения показателей эффективности защиты информации.
Категория защиты информации - качественный показатель, отражающий степень важности защиты информации в выбранной шкале ценностей.
Контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты.
Технический (инструментальный) контроль эффективности защиты информации - контроль с использованием технических средств.
Организационный контроль эффективности защиты информации - контроль путем проверки соответствия состояния. организации, наличия документов, полноты и обоснованности мероприятий по защите информации требованиям организационно-распорядительных и нормативных документов.
Защита информации от технических разведок
1.Техническая разведка - деятельность по получению развединформации с помощью технических средств.
Получение развединформации - процесс, складывающийся из добывания разведданных и получения сначала разведсведений, а затем итоговой развединформации в форме, удобной для восприятия человеческим сознанием.
Разведданные - зарегистрированные и/или зафиксированные средством ТР технические демаскирующие признаки объекта.
Разведсведения - смысловая и фактографическая информация об объекте разведки, получаемая в результате обработки разведданных.
Развединформация - информация, полученная в результате отбора, сопоставления, логической увязки и обобщения разведывательных данных и сведений.
Техническое средство обработки развединформации - техническое средство, предназначенное для сбора, сопоставления, логической увязки и обобщения разведданных и разведсведений для получения необходимой развединформации.
Средство технической разведки - аппаратура технической разведки, установленная и используемая на носителе.
Аппаратура ТР - совокупность технических устройств обнаружения, приема, регистрации, измерения и анализа, предназначенная для получения разведывательной информации.
Носитель аппаратуры ТР - механическое транспортное средство или живой организм (в т.ч. человек), предназначенные для установки и перевозки (переноски) аппаратуры технической разведки в различных средах. По типам носителей аппаратуры ТР различают наземную, воздушную, космическую и морскую (надводную и подводную) разведки.
Объект ТР - объект, используемый ТР как источник развединформации.
Возможности ТР - характеристики способности обнаружения, распознавания, измерения и регистрации технических демаскирующих признаков объекта средствами ТР.
Обнаружение объекта - процесс функционирования средства ТР, в результате которого фиксируются технические демаскирующие признаки объекта и делается заключение о его наличии.
Распознавание объекта - процесс функционирования средства ТР, в результате которого измеряются параметры демаскирующего признака объекта и делается заключение о его характеристиках (производится классификация).
Зона разведдоступности - часть пространства вокруг объекта, в пределах которого реализуются возможности ТР.
Модель ТР - описание средств ТР, содержащее их технические характеристики и организацию использования в объеме, достаточном для оценки возможностей ТР.
Технический канал утечки информации - совокупность объекта ТР, физической среды и средства технической, разведки, которыми добываются разведданные.
2. Объект защиты - обобщающий термин для всех форм существования информации, требующих защиты от ТР. По своему составу могут быть:
единичными - конкретный носитель секретной информации, представляющий собой единое целое и предназначенный для выполнения определенных функций (люди, владеющие секретной информацией, секретные документы и изделия, в т.ч. технические средства обработки информации, выделенные здания и помещения, а также вспомогательные технические средства и системы, подверженные влиянию информационных физических полей);
групповыми - структурное объединение единичных объектов, как требующих, так и не требующих защиты, предназначенных для совместного выполнения определенных функций.
Технический демаскирующий признак объекта - отличительная особенность объекта защиты, которая может быть использована ТР для обнаружения и распознавания объекта, а также для получения охраняемых сведений о нем. Различают демаскирующие признаки:
расположения - признак, характеризующий местоположение объекта в системе других объектов и предметов окружающей среды. Местоположение устанавливается нормативными документами;
структурно-видовой - признак, определяющий структуру и визуальные характеристики группового объекта: состав, количество и группировку единичных объектов, отражающие свойства их поверхностей, форму и геометрические размеры;
деятельности - признак, раскрывающий деятельность объекта через физические проявления. Технические демаскирующие признаки деятельности делятся на два класса:
прямой демаскирующий признак - признак, обусловленный состоянием и функционированием объекта защиты и проявляющийся через его физические поля (магнитные, электромагнитные и акустические, распространяющиеся в различных средах);
косвенный демаскирующий признак - признак, обусловленный действием обеспечивающих сил и средств или изменением окружающей среды в результате функционирования объекта (визуально-оптические признаки деятельности).
Параметр технического демаскирующего признака - показатель признака объекта, используемый ТР для получения развединформации.
К параметрам прямых демаскирующих признаков относятся напряженность магнитного и электромагнитного полей по сравнению с магнитным (электромагнитным) фоном окружающей среды, уровень электромагнитных наводок на вспомогательных технических устройствах и системах, интенсивность (звуковое давление) акустического поля и т.д..
К параметрам косвенных - геометрические размеры тех или иных объектов, контрастность их освещенности и др.
3. Защита информации от технических разведок - деятельность, направленная на предотвращение или существенное снижение возможностей ТР по получению развединформации путем разработки и реализации системы защиты.
Требования (принципы) к замыслу защиты:
комплексность защиты - проведение мероприятий против всех опасных видов и средств ТР;
активность защиты - целенаправленное навязывание ТР ложного представления об объекте в соответствии с замыслом защиты, а также подавление возможностей ТР;
убедительность - соответствие замысла условиям обстановки, в которых он реализуется;
непрерывность - организация защиты объекта на всех стадиях его жизненного цикла (период разработки, изготовления (строительства), испытаний, эксплуатации и утилизации;
разнообразие - исключение повторяемости в выборе путей реализации замысла защиты, в том числе с применением типовых решений.
Способ защиты информации от ТР - преднамеренное воздействие на технический канал утечки информации или на объект защиты для достижения целей защиты от ТР. Основными способами являются:
скрытие
- устранение или ослабление технических демаскирующих признаков объекта защиты путем применения (использования) технических и организационных мероприятий по маскировке объекта;
техническая дезинформация - введение ТР в заблуждение относительно истинного местоположения (дислокации) объекта защиты и его функционального назначения путем проведения комплекса мер по искажению технических демаскирующих признаков. Разновидностями дезинформации являются:
легендирование - преднамеренное распространение и поддержание ложной информации о функциональном предназначении объекта защиты;
имитация - искусственное воспроизведение ложных объектов и технических демаскирующих признаков.
Средство защиты от ТР - техническое средство, предназначенное для устранения или ослабления демаскирующих признаков объекта защиты, создания ложных (имитирующих) признаков и воздействия на средства технической разведки с целью снижения их возможностей по получению развединформации.
Организация защиты информации
Организация защиты информации - содержание и порядок действий по обеспечению защиты информации.
Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
Мероприятие по защите информации - совокупность действий по разработке и/или практическому применению способов и средств защиты информации.
Мероприятие по контролю эффективности защиты информации- совокупность действий по разработке и/или практическому применению методов [способов] и средств контроля эффективности защиты информации.
Техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
Объект защиты - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Способ защиты информации - порядок и правила применения определенных принципов и средств защиты информации.
Категорирование защищаемой информации [объекта защиты] - установление градаций важности защиты защищаемой информации [объекта защиты].
Метод [способ] контроля эффективности защиты информации - порядок и правила применения определенных принципов и средств контроля эффективности защиты информации.
Контроль состояния защиты информации - проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации.
Средство защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации.
Средство контроля эффективности защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации.
Контроль организации защиты информации - проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.
Контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.
Организационный контроль эффективности зашиты информации- проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.
Технический контроль эффективности зашиты информации - контроль эффективности защиты информации, проводимой с использованием средств контроля.
Технические меры защиты информации.
Можно так классифицировать потенциальные угрозы, против которых направлены технические меры защиты информации:
1. Потери информации из-за сбоев оборудования:
- перебои электропитания;
- сбои дисковых систем;
- сбои работы серверов, рабочих станций, сетевых карт и т.д.
2. Потери информации из-за некорректной работы программ:
- потеря или изменение данных при ошибках ПО;
- потери при заражении системы компьютерными вирусами;
3. Потери, связанные с несанкционированным доступом:
- несанкционированное копирование, уничтожение или подделка информации;
- ознакомление с конфиденциальной информацией
4. Ошибки обслуживающего персонала и пользователей:
- случайное уничтожение или изменение данных;
- некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных
Сами технические меры защиты можно разделить на:
- средства аппаратной защиты, включающие средства защиты кабельной системы, систем электропитания, и т.д.
- программные средства защиты, в том числе: криптография, антивирусные программы, системы разграничения полномочий, средства контроля доступа и т.д..
- административные меры защиты, включающие подготовку и обучение персонала, организацию тестирования и приема в эксплуатацию программ, контроль доступа в помещения и т.д.
Следует отметить, что подобное деление достаточно условно, поскольку современные технологии развиваются в направлении сочетания программных и аппаратных средств защиты. Наибольшее распространение такие программно-аппаратные средства получили, в частности, в области контроля доступа, защиты от вирусов и т.д..
Основные концептуальные положения системы защиты информации
Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:
- весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;
- значительное число фирм, специализирующихся на решении вопросов защиты информации;
- достаточно четко очерченная система взглядов на эту проблему;
- наличие значительного практического опыта и др.
Опыт также показывает, что:
- обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;
- безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм - систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий;
С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.
С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:
- непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;
- плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);
- целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;
- конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;
- активной. Защищать информацию необходимо с достаточной степенью настойчивости;
- надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выраже-ния и вида физического носителя, на котором они закреплены;
- универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;
- комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства.
Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:
- охватывать весь технологический комплекс информационной деятельности;
- быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;
- быть открытой для изменения и дополнения мер обеспечения безопасности информации;
- быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;
- быть простой для технического обслуживания и удобной для эксплуатации пользователями;
- быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;
- быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы. К системе безопасности информации предъявляются также определенные требования:
- четкость определения полномочии и прав пользователей на доступ к определенным видам информации;
- предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;
- сведение к минимуму числа общих для нескольких пользователей средств защиты;
- учет случаев и попыток несанкционированного доступа к конфиденциальной информации;
- обеспечение оценки степени конфиденциальной информации;
- обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. Система защиты информации как любая система должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого СЗИ может иметь:
- правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действий;
- организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами - такими, как служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и др.;
- аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно СЗИ;
- информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информаци-онного обеспечения расчетных задач различного характера, связан-ных с деятельностью службы обеспечения безопасности;
- программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфи-денциальной информации;
- математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;
- лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;
- нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.
Программные средства защиты информации
Программными называются средства защиты данных, функционирующие в составе программного обеспечения. Среди них можно выделить и подробнее рассмотреть следующие;
- средства архивации данных
- антивирусные программы
- криптографические средства
- средства идентификации и аутентификации пользователей
- средства управления доступом
- протоколирование и аудит
Как примеры комбинаций вышеперечисленных мер можно привести:
- защиту баз данных
- защиту информации при работе в компьютерных сетях.
Средства архивации информации.
Иногда резервные копии информации приходится выполнять при общей ограниченности ресурсов размещения данных, например владельцам персональных компьютеров. В этих случаях используют программную архивацию. Архивация это слияние нескольких файлов и даже каталогов в единый файл — архив, одновременно с сокращением общего объема исходных файлов путем устранения избыточности, но без потерь информации, т. е. с возможностью точного восстановления исходных файлов. Действие большинства средств архивации основано на использовании алгоритмов сжатия, предложенных в 80-х гг. Абрахамом Лемпелем и Якобом Зивом. Наиболее известны и популярны следующие архивные форматы;
- ZIP, ARJ для операционных систем DOS. и Windows
- TAR для операционной системы Unix
- межплатформный формат JAR (Java ARchive)
- RAR (все время растет популярность этого нового формата, так как разработаны программы позволяющие использовать его в операционных системах DOS, Windows и Unix),
Пользователю следует лишь выбрать для себя подходящую программу, обеспечивающую работу с выбранным форматом, путем оценки ее характеристик – быстродействия, степени сжатия, совместимости с большим количеством форматов, удобности интерфейса, выбора операционной системы и т.д.. Список таких программ очень велик – PKZIP, PKUNZIP, ARJ, RAR, WinZip, WinArj, ZipMagic, WinRar и много других. Большинство из этих программ не надо специально покупать, так как они предлагаются как программы условно-бесплатные (Shareware) или свободного распространения (Freeware). Также очень важно установить постоянный график проведения таких работ по архивации данных или выполнять их после большого обновления данных.
Законодательные и административные меры для регулирования вопросов защиты информации
Законодательные и административные меры для регулирования вопросов защиты информации на государственном уровне применяются в большинстве научно-технически развитых стран мира. Компьютерные преступления приобрели в странах с развитой информационно-телекоммуникационной инфраструктурой такое широкое распространение, что для борьбы с ними в уголовное законодательство введены специальные статьи.
Первый закон о защите информации был принят в Соединенных Штатах Америки в 1906 году. В настоящее время в США имеется около 500 законодательных актов по защите информации, ответственности за ее разглашение и компьютерные преступления. Проблемы информационной безопасности рассматриваются американской администрацией как один из ключевых элементов национальной безопасности. Национальная политика США в области защиты информации формируется Агентством национальной безопасности (АНБ). При этом наиболее важные стратегические вопросы, определяющие национальную политику в данной сфере, как правило, решаются на уровне Совета национальной безопасности, а решения оформляются в виде директив Президента США.
В период с 1967 года по настоящее время в США принят целый ряд федеральных законов, создавших правовую основу для формирования и проведения единой государственной политики в области информатизации и защиты информации с учетом интересов национальной безопасности страны. Это законы "О свободе информации" (1967 год), "О секретности" (1974 год), "О праве на финансовую секретность" (1978 год), "О доступе к информации о деятельности ЦРУ" (1984 год), "О компьютерных злоупотреблениях и мошенничестве" (1986 год), "О безопасности компьютерных систем" (1987 год) и некоторые другие.
Во Франции государственному контролю подлежат изготовление, экспорт и использование шифровального оборудования. Экспорт возможен только с разрешения Премьер-министра страны, выдаваемого после консультаций со специальным комитетом по военному оборудованию. Импорт шифровальных средств на территорию Французской республики вообще запрещен. Закон объявляет экспорт и снабжение криптографическими средствами без специального разрешения преступлением, которое наказывается штрафом в размере до 500 000 франков или тюремным заключением на срок от 1 до 3 месяцев.
19 февраля 1993 года Верховным Советом Российской Федерации был принят закон "О федеральных органах правительственной связи и информации" N 4524-1. Статья 11 данного закона предоставила Федеральному агентству права по определению порядка разработки, производства, реализации, эксплуатации шифровальных средств, предоставления услуг в области шифрования информации, а также порядка проведения работ по выявлению электронных устройств перехвата информации в технических средствах и помещениях государственных структур. Таким образом, закон Российской Федерации "О федеральных органах правительственной связи и информации" является первым собственно российским правовым нормативным актом, который вводит сертификацию в области защиты информации и дата его принятия - 19 февраля 1996г. - является исходной точкой от которой необходимо вести отсчет ограничения прав на занятие предпринимательской деятельностью.
ИНСТРУКЦИЯ о порядке проведения экспертиз предприятий,
учреждений и организаций на право получения лицензии в области защиты информации
1. Настоящая Инструкция разработана в соответствии с требованиями "Положения о государственном лицензировании деятельности в области защиты информации", утвержденного совместными решениями Гостехкомиссии России и ФАПСИ от 24.04.94 г. № 10 и от 24.06.97 г. № 60, Закона Российской Федерации "Об образовании" от 13.01.96 г. и Постановления Госкомвуза России от 27.12.95 г. № 13.
2. Настоящая Инструкция определяет порядок организации и проведения специальных экспертиз (далее - экспертиз) предприятий, учреждений и организаций, в том числе и образовательных учреждений (далее - предприятия) с целью оценки достаточности необходимых условий, имеющихся на предприятиях, для получения лицензии (разрешения на оказание услуг) в области защиты информации, выдаваемой Государственной технической комиссией при Президенте Российской Федерации (Гостехкомиссией России).
Организация проведения экспертиз предприятий
3. Экспертизы организуются и проводятся созданными совместными Решениями отраслевыми и региональными лицензионными центрами, а также лицензионными центрами Гостехкомиссии России.
4. Проведение экспертиз осуществляется экспертными комиссиями.
Экспертные комиссии формируются лицензионными центрами из числа компетентных в соответствующих областях защиты информации специалистов отраслей промышленности, Вооруженных Сил, органов государственного управления, других организаций и учреждений, включая и специалистов центрального аппарата Гостехкомиссии России.
5. Для проведения экспертиз предприятия обращаются в центральный аппарат Гостехкомиссии России или в лицензионные центры (по согласованию со 2 Управлением Гостехкомиссии России) с заявлениями, подписанными руководителями предприятий или их заместителями.
6. Сроки работы экспертной комиссии доводятся до руководителя предприятия не позднее 5 дней до ее начала.
7. Экспертиза проводится по договору между предприятием и лицензионным центром. Расходы по проведению экспертизы относятся на счет предприятия. Для предприятий и учреждений, содержащихся за счет средств федерального бюджета, стоимость экспертизы не должна превышать 10 минимальных размеров оплаты труда без учета командировочных расходов. Оплата работы членов экспертной комиссии осуществляется лицензионным центром.
8. Экспертизы проводятся путем оценки соответствия готовности предприятий - заявителей к оказанию услуг в области защиты информации требованиям, предъявляемым Гостехкомиссией России, по следующим направлениям:
- наличие руководящих и нормативно - методических документов, необходимых для обеспечения заявленных видов деятельности;
- наличие подготовленных сотрудников по защите информации;
наличие помещений, производственного, испытательного и контрольно-измерительного оборудования, необходимого для обеспечения заявленных видов деятельности;
- наличие документов, дающих право на подготовку, повышение квалификации и профессиональную подготовку специалистов в области защиты информации.
9. Наличие руководящих и нормативно - методических документов проверяется с учетом Приложения № 1 настоящей Инструкции.
При определении достаточности у соискателей лицензий комплектов нормативных документов, необходимых для осуществления заявленных видов деятельности, оцениваются условия их хранения и работы с ними.
10. Результаты работы экспертной комиссии оформляются в виде экспертного заключения, утверждаемого руководителем лицензионного центра. В экспертном заключении делается вывод о готовности предприятия оказывать услуги в области защиты информации в соответствии с заявленными видами деятельности. Экспертное заключение прилагается к заявлению о выдаче лицензии, которое предприятием направляется в Гостехкомиссию России.
11. Наличие подготовленных сотрудников по защите информации проверяется с учетом требований по уровню квалификации, изложенных в Приложении № 2 настоящей Инструкции.
12. Требования к помещениям, предназначенным для проведения измерений при предварительных и лабораторных специсследованиях (сертификации продукции), и их технической и технологической оснащенности рассматриваются как совокупность нормативно - технологических требований к разработанной технологии проведения измерений, измерительной аппаратуре, помещениям, стендам, а также к организации их содержания, обслуживания и поверки, выполнение которых позволяет предприятию, претендующему на проведение указанных в заявке работ, получить лицензию на право их проведения. Кроме того, на предприятии, претендующем на получение лицензии, должны быть выделены помещения, обеспечивающие сохранность исследуемых технических средств заказчика и документов.
13. Каждый определенный в заявке вид работ по защите информации должен быть обеспечен средствами измерений и контроля в объеме и по качеству достаточными для проведения в соответствии с действующими на момент заявления методиками измерений параметров технических средств. Допускается использование средств измерений на условиях аренды.
14. Лицензионным центрам ежегодно, к 1 февраля, представлять в Гостехкомиссию России отчет о деятельности лицензиатов по установленной форме.
Сущность понятия «информационная безопасность»
Содержание понятия
В то время как информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
Информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.
Информационная безопасность государства — состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере.
В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.
Стандартизированные определения
Безопасность информации (данных) — состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.
Информационная безопасность — защита конфиденциальности, целостности и доступности информации.
Конфиденциальность: обеспечение доступа к информации только авторизованным пользователям.
Целостность: обеспечение достоверности и полноты информации и методов её обработки.
Доступность: обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Информационная безопасность (англ. information security) — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.
Безопасность информации (данных) (англ. information (data) security) — состояние защищенности информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.
Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии.
Безопасность информации (при применении информационных технологий) (англ. IT security) — состояние защищенности информационной технологии, обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.
Безопасность автоматизированной информационной системы — состояние защищенности автоматизированной информационной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов.
Информационная безопасность - защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура - системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т.д., а также обслуживающий персонал. Неприемлемый ущерб - ущерб, которым нельзя пренебречь.
Исторические аспекты возникновения и развития информационной безопасности
Объективно категория «информационная безопасность» возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесен ущерб путём воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума.
Учитывая влияние на трансформацию идей информационной безопасности, в развитии средств информационных коммуникаций можно выделить несколько этапов:
I этап — до 1816 года — характеризуется использованием естественно возникавших средств информационных коммуникаций. В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или сообщества, к которому он принадлежал, жизненное значение.
II этап — начиная с 1816 года — связан с началом использования искусственно создаваемых технических средств электро- и радиосвязи. Для обеспечения скрытности и помехозащищенности радиосвязи необходимо было использовать опыт первого периода информационной безопасности на более высоком технологическом уровне, а именно применение помехоустойчивого кодирования сообщения (сигнала) с последующим декодированием принятого сообщения (сигнала).
III этап — начиная с 1935 года — связан с появлением радиолокационных и гидроакустических средств. Основным способом обеспечения информационной безопасности в этот период было сочетание организационных и технических мер, направленных на повышение защищенности радиолокационных средств от воздействия на их приемные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами.
IV этап — начиная с 1946 года — связан с изобретением и внедрением в практическую деятельность электронно-вычислительных машин (компьютеров). Задачи информационной безопасности решались, в основном, методами и способами ограничения физического доступа к оборудованию средств добывания, переработки и передачи информации.
V этап — начиная с 1965 года — обусловлен созданием и развитием локальных информационно-коммуникационных сетей. Задачи информационной безопасности также решались, в основном, методами и способами физической защиты средств добывания, переработки и передачи информации, объединённых в локальную сеть путём администрирования и управления доступом к сетевым ресурсам.
VI этап — начиная с 1973 года — связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач. Угрозы информационной безопасности стали гораздо серьёзнее. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев безопасности. Образовались сообщества людей — хакеров, ставящих своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности — важнейшей и обязательной составляющей национальной безопасности. Формируется информационное право — новая отрасль международной правовой системы.
VII этап — начиная с 1985 года — связан с созданием и развитием глобальных информационно-коммуникационных сетей с использованием космических средств обеспечения. Можно предположить что очередной этап развития информационной безопасности, очевидно, будет связан с широким использованием сверхмобильных коммуникационных устройств с широким спектром задач и глобальным охватом в пространстве и времени, обеспечиваемым космическими информационно-коммуникационными системами. Для решения задач информационной безопасности на этом этапе необходимо создание макросистемы информационной безопасности человечества под эгидой ведущих международных форумов.
Нормативные документы в области информационной безопасности
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
- Акты федерального законодательства:
- Международные договоры РФ;
- Конституция РФ;
- Законы федерального уровня (включая федеральные конституционные законы, кодексы);
- Указы Президента РФ;
- Постановления правительства РФ;
- Нормативные правовые акты федеральных министерств и ведомств;
- Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
К нормативно-методическим документам можно отнести
Методические документы государственных органов России:
- Доктрина информационной безопасности РФ;
- Руководящие документы ФСТЭК (Гостехкомиссии России);
- Приказы ФСБ;
- Стандарты информационной безопасности, из которых выделяют:
- Международные стандарты;
- Государственные (национальные) стандарты РФ;
- Рекомендации по стандартизации;
Государственные органы РФ, контролирующие деятельность в области защиты информации:
- Комитет Государственной думы по безопасности;
- Совет безопасности России;
- Федеральная служба по техническому и экспортному контролю (ФСТЭК);
- Федеральная служба безопасности Российской Федерации (ФСБ России);
- Министерство внутренних дел Российской Федерации (МВД России);
- Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Службы, организующие защиту информации на уровне предприятия
Служба экономической безопасности;
- Служба безопасности персонала (Режимный отдел);
- Отдел кадров;
-Служба информационной безопасности.
Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.
Политика безопасности (информации в организации) (англ. Organizational security policy) — совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:
- Защита объектов информационной системы;
- Защита процессов, процедур и программ обработки информации;
- Защита каналов связи;
- Подавление побочных электромагнитных излучений;
- Управление системой защиты.
Программно-технические способы и средства обеспечения информационной безопасности
Средства защиты от несанкционированного доступа (НСД):
- Средства авторизации;
- Мандатное управление доступом;
- Избирательное управление доступом;
- Управление доступом на основе ролей;
- Журналирование (так же называется Аудит).
- Системы анализа и моделирования информационных потоков (CASE-системы).
- Системы мониторинга сетей:
- Системы обнаружения и предотвращения вторжений (IDS/IPS).
- Анализаторы протоколов.
- Антивирусные средства.
- Межсетевые экраны.
Криптографические средства:
- Шифрование;
- Цифровая подпись.
- Системы резервного копирования.
Системы бесперебойного питания:
- Источники бесперебойного питания;
- Резервирование нагрузки;
- Генераторы напряжения.
Системы аутентификации:
- Пароль;
- Сертификат;
- Биометрия.
- Средства предотвращения взлома корпусов и краж оборудования.
Меры информационной безопасности.
Информационная безопасность подчеркивает важность информации в современном обществе - понимание того, что информация - это ценный ресурс, нечто большее, чем отдельные элементы данных. Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется
Можно выделить следующие направления мер информационной безопасности.
- правовые
- организационные
- технические
К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение
К организационным мерам можно отнести охрану вычислительного центра, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра, после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.
К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое. Более подробно эти меры будут рассмотрены в последующих разделах этого реферата.
Защита программного обеспечения компьютерных систем
Безопасность программного обеспечения (ПО) в широком смысле является свойством данного ПО функционировать без проявления различных негативных последствий для конкретной компьютерной системы. Под уровнем безопасности ПО понимается вероятность того, что при заданных условиях в процессе его эксплуатации будет получен функционально пригодный результат. Причины, приводящие к функционально непригодному результату могут быть разными: сбои компьютерных систем, ошибки программистов и операторов, дефекты в ПО. При этом дефекты принято рассматривать двух типов: преднамеренные и непреднамеренные. Первые являются, как правило, результатом злоумышленных действий, вторые - ошибочных действий человека.
При исследовании проблем защиты ПО от преднамеренных дефектов неизбежна постановка следующих вопросов:
- кто потенциально может осуществить практическое внедрение программных дефектов деструктивного воздействия в исполняемый программный код;
- каковы возможные мотивы действий субъекта, осуществляющего разработку таких дефектов;
- как можно идентифицировать наличие программного дефекта;
как можно отличить преднамеренный программный дефект от программной ошибки;
- каковы наиболее вероятные последствия активизации деструктивных программных средств при эксплуатации КС.
При ответе на первый вопрос следует отметить, что это: непосредственные разработчики алгоритмов и программ для компьютерных систем. Они хорошо знакомы с технологией разработки программных средств, имеют опыт разработки алгоритмов и программ для конкретных прикладных систем, знают тонкости существующей технологии отработки и испытаний программных компонентов и представляют особенности эксплуатации и целевого применения разрабатываемой КС. Кроме того, при эксплуатации программных комплексов возможен следующий примерный алгоритм внесения программного дефекта: дизассемблирование исполняемого программного кода, получение исходного текста, привнесение в него деструктивной программы, повторная компиляция, корректировка идентификационных признаков программы (в связи с необходимостью получения программы "схожей" с оригиналом). Таким образом, манипуляции подобного рода могут сделать и посторонние высококлассные программисты, имеющие опыт разработки и отладки программ на ассемблерном уровне.
В качестве предположений при ответе на второй вопрос следует отметить, что алгоритмические и программные закладки могут быть реализованы в составе программного компонента вследствие следующих факторов:
- в результате инициативных злоумышленных действий непосредственных разработчиков алгоритмов и программ;
- в результате штатной деятельности специальных служб и организаций, а также отдельных злоумышленников;
- в результате применения инструментальных средств проектирования ПО, несущих вредоносное свойство автоматической генерации деструктивных программных средств.
Для описания мотивов злоумышленных действий при разработке программных компонентов необходим психологический "портрет" злоумышленника, что требует проведения специальных исследований психологов и криминологов в области психологии программирования. Однако некоторые мотивы очевидны уже сейчас и могут диктоваться следующим:
- неустойчивым психологическим состоянием алгоритмистов и программистов, обусловленным сложностью взаимоотношений в коллективе, перспективой потерять работу, резким снижением уровня благосостояния, отсутствием уверенности в завтрашнем дне и т.п., в результате чего может возникнуть, а впоследствии быть реализована, мысль отмщения;
- неудовлетворенностью личных амбиций непосредственного разработчика алгоритма или программы, считающего себя непризнанным талантом, в результате чего может появиться стремление доказать и показать кому-либо (в том числе и самому себе) таким способом свои высокие интеллектуальные возможности;
- перспективой выезда за границу на постоянное место жительства (перспективной перехода в другую организацию, например, конкурирующую) с надеждой получить вознаграждение за сведения о программной закладке и механизме ее активизации, а также возможностью таким способом заблокировать применение определенного класса программных средств по избранному месту жительства;
- потенциальной возможностью получить вознаграждение за устранение возникшего при испытаниях или эксплуатации системы "программного отказа" и т.п.
Таким образом, правомерно утверждать, что вредоносные программы, в отличие от широко применяемых электронных закладок, являются более изощренными объектами, обладающими большей скрытностью и эффективностью применения.
Ответы на три последних вопроса можно найти в рамках быстро развивающейся методологии обеспечения безопасности программных средств и оценки уровня их защищенности.
Угрозы безопасности программного обеспечения и примеры их реализации в современном компьютерном мире
Угрозы безопасности информации и программного обеспечения КС возникают как в процессе их эксплуатации, так и при создании этих систем, что особенно характерно для процесса разработки ПО, баз данных и других информационных компонентов КС.
Наиболее уязвимы с точки зрения защищенности информационных ресурсов являются так называемые критические компьютерные системы. Под критическими компьютерными системами будем понимать сложные компьютеризированные организационно-технические и технические системы, блокировка или нарушение функционирования которых потенциально приводит к потере устойчивости организационных систем государственного управления и контроля, утрате обороноспособности государства, разрушению системы финансового обращения, дезорганизации систем энергетического и коммуникационно - транспортного обеспечения государства, глобальным экологическим и техногенным катастрофам.
При решении проблемы повышения уровня защищенности информационных ресурсов КС необходимо исходить из того, что наиболее вероятным информационным объектом воздействия будет выступать программное обеспечение, составляющее основу комплекса средств получения, семантической переработки, распределения и хранения данных, используемых при эксплуатации критических систем.
В настоящее время одним из наиболее опасных средств информационного воздействия на компьютерные системы являются программы - вирусы или компьютерные вирусы.
Наибольшее распространение компьютерные вирусы получили с развитием персональных ЭВМ (ПЭВМ) и появлением микропроцессоров фирмы Intel. Это обусловлено тем, что для ПЭВМ наиболее распространенными операционными системами (ОС) были и используются по настоящее время (в новых версиях) ОС MS-DOS и ОС Windows, которые по многим параметрам открыты и беззащитны к вирусной угрозе. В известных классификациях вирусов более 90% от их общего числа составляют именно вирусы для среды этих операционных систем. Для наиболее распространенных современных сетевых и многозадачных операционных систем ряда Windows, OS/2 и клона Unix по сравнению с этим вирусов обнаружено не столь много.
В последние 10-15 лет компьютерные вирусы нанесли значительный ущерб, как отдельным средствам вычислительной техники, так и сложным телекоммуникационным системам различного назначения. Интенсивные проявления вирусных заражений начались примерно в середине 80-х годов. Так, с 1986 по 1989 год было зарегистрировано 450 случаев проникновения через сеть INTERNET компьютерных вирусов в сеть Министерства обороны США DDN, из которых 220 были классифицированы как успешные. Только стоимость операций по выявлению источников вирусных атак в DDN превысила 100 тысяч долларов. Факты попыток проникновения с использованием компьютерных вирусов в информационные банки критических систем в первой половине 80-х были зарегистрированы в различных сетях США, Франции, Великобритании, ФРГ, Израиля, Пакистана и Японии. По мнению исследователей, после заражения одной ЭВМ в сети среднее время заражения следующего узла сети составляет от 10 до 20 минут. При такой интенсивности размножения некоторые вирусы способны за несколько часов вывести из строя всю сеть.
Классическим примером широкомасштабной вирусной угрозы является известный вирус Морриса, выведший 21 ноября 1988 на 24 часа из строя сеть ARPARNET. Промышленная ассоциация компьютерных вирусов (Computer Virus Industry Association - CVIA) выполнила детальный анализ расходов, связанных с действием этого вируса, заразившего 7,3% или 6200 из 85200 компьютеров сети. Пользователи потеряли свыше 8 млн. часов рабочего времени, а операторы и администраторы сети потратили около 1,13 млн. человеко-часов на то, чтобы привести сеть в рабочее состояние. Расходы от потерянной возможности доступа в сеть и средства, затраченные на ее восстановление, составили 98 млн. долларов. К декабрю
В качестве основных средств вредоносного (деструктивного) воздействия на КС необходимо, наряду с другими средствами информационного воздействия, рассматривать алгоритмические и программные закладки.
Под алгоритмической закладкой будем понимать преднамеренное завуалированное искажение какой-либо части алгоритма решения задачи, либо построение его таким образом, что в результате конечной программной реализации этого алгоритма в составе программного компонента или комплекса программ, последние будут иметь ограничения на выполнение требуемых функций, заданных спецификацией, или вовсе их не выполнять при определенных условиях протекания вычислительного процесса, задаваемого семантикой перерабатываемых программой данных. Кроме того, возможно появление у программного компонента функций, не предусмотренных прямо или косвенно спецификацией, и которые могут быть выполнены при строго определенных условиях протекания вычислительного процесса.
Под программной закладкой будем понимать совокупность операторов и (или) операндов, преднамеренно в завуалированной форме включаемую в состав выполняемого кода программного компонента на любом этапе его разработки. Программная закладка реализует определенный несанкционированный алгоритм с целью ограничения или блокирования выполнения программным компонентом требуемых функций при определенных условиях протекания вычислительного процесса, задаваемого семантикой перерабатываемых программным компонентом данных, либо с целью снабжения программного компонента не предусмотренными спецификацией функциями, которые могут быть выполнены при строго определенных условиях протекания вычислительного процесса.
Действия алгоритмических и программных закладок условно можно разделить на три класса: изменение функционирования вычислительной системы (сети), несанкционированное считывание информации и несанкционированная модификация информации, вплоть до ее уничтожения. В последнем случае под информацией понимаются как данные, так и коды программ. Следует отметить, что указанные классы воздействий могут пересекаться.
Год | События, цифры, факты |
21.11. 1988 | Вирус Морриса на 24 часа вывел из строя сеть ARPANET. Ущерб составил 98 млн. долларов |
1988 | Зафиксировано 200 попыток заражения вирусами (150 - успешных) глобальной компьютерной сети NASA. Причем 16 мая в течение 7 часов было заражено 70 ЭВМ. |
с 20.03. по 9.09. 1988 | Промышленная ассоциация компьютерных вирусов (Computer Vi-rus Industry Association - CVIA) зарегистрировала 61795 случаев заражения вирусами различных информационных систем по всему миру |
1986 - 1989 | Зарегистрировано 450 случаев попыток НСД и заражения вирусами (220 - успешные) сети МО США DDN. Длительность цикла проникновения и выборки информации не превышала 1 мин. |
1992 | В США было заражено чуть более одного из каждых десяти офисных компьютеров (данные для более, чем 60000 ПЭВМ фирм Mac, Atari, Amiga, PC) |
1994 | Национальная аудиторская служба Великобритании (National Audit Office - NAO) зарегистрировала 562 случая заражения вирусами компьютерных систем британских правительственных организаций, что в 3.5 раза превышает уровень |
1995 | В космическом центре Джонсона NASA зарегистрировано 52 случая заражения компьютеров Mac и PC вирусам. Время, затраченное на их устранение, составило более 350 часов |
1995 | Появление макровирусов. Изменение динамики процентного содержания макровирусов в общем числе компьютерных вирусов с 16% в январе |
1995 | В сети Bitnet (международная академическая сеть) за 2 часа вирус, замаскированный под рождественское поздравление, заразил более 500 тысяч компьютеров по всему миру, при этом сеть IBM прекратила вообще работу на несколько часов. |
Декабрь 1996 | Компьютерная атака на WebCom (крупнейшего провайдера услуг WWW в США) вывела из строя на 40 часов больше 3000 абонентских пунктов WWW. Атака представляла собой "синхронный поток", которая блокирует функционирование сервера и приводит к "отказу в обслуживании". Поиск маршрута атаки длился 10 часов. |
Рис. 1.1. График роста компьютерных вирусов
В первом классе воздействий выделим следующие:
-уменьшение скорости работы вычислительной системы (сети);
-частичное или полное блокирование работы системы (сети);
-имитация физических (аппаратурных) сбоев работы вычислительных средств и периферийных устройств;
-переадресация сообщений;
-обход программно-аппаратных средств криптографического преобразования информации;
-обеспечение доступа в систему с непредусмотренных периферийных устройств.
Несанкционированное считывание информации, осуществляемое в автоматизированных системах, направлено на:
-считывание паролей и их отождествление с конкретными пользователями;
-получение секретной информации;
-идентификацию информации, запрашиваемой пользователями;
-подмену паролей с целью доступа к информации;
-контроль активности абонентов сети для получения косвенной информации о взаимодействии пользователей и характере информации, которой обмениваются абоненты сети.
Несанкционированная модификация информации является наиболее опасной разновидностью воздействий программных закладок, поскольку приводит к наиболее опасным последствиям. В этом классе воздействий можно выделить следующие:
-разрушение данных и кодов исполняемых программ внесение тонких, трудно обнаруживаемых изменений в информационные массивы;
-внедрение программных закладок в другие программы и подпрограммы (вирусный механизм воздействий);
-искажение или уничтожение собственной информации сервера и тем самым нарушение работы сети;
-модификация пакетов сообщений.
Из изложенного следует вывод о том, что алгоритмические и программные закладки имеют широкий спектр воздействий на информацию, обрабатываемую вычислительными средствами в КС. Следовательно, при контроле технологической безопасности программного обеспечения необходимо учитывать его назначение и состав аппаратных средств и общесистемного программного обеспечения (программно-аппаратную среду) КС.
С точки зрения времени внесения программных закладок в программы их можно разделить на две категории: априорные и апостериорные, то есть закладки, внесенные при разработке ПО (или "врожденные") и закладки, внесенные при испытаниях, эксплуатации или модернизации ПО (или "приобретенные") соответственно. Хотя последняя разновидность закладок и относятся больше к проблеме обеспечения эксплуатационной, а не технологической безопасности ПО, однако методы тестирования программных комплексов, вероятностные методы расчета наличия программных дефектов и методы оценивания уровня безопасности ПО могут в значительной мере пересекаться и дополнять друг друга. Тем более что действие программной закладки после того как она была внесена в ПО либо на этапе разработки, либо на последующих этапах жизненного цикла ПО, практически не будет ничем не отличаться.
Таким образом, рассмотренные программные средства деструктивного воздействия по своей природе носят, как правило, разрушительный, вредоносный характер, а последствия их активизации и применения могут привести к значительному или даже непоправимому ущербу в тех областях человеческой деятельности, где применение компьютерных систем является жизненно необходимым. В связи с этим такие вредоносные программы будем называть разрушающими программными средствами (РПС), а их обобщенная классификация может выглядеть следующим образом:
-компьютерные вирусы - программы, способные размножаться, прикрепляться к другим программам, передаваться по линиям связи и сетям передачи данных, проникать в электронные телефонные станции и системы управления и выводить их из строя;
-программные закладки - программные компоненты, заранее внедряемые в компьютерные системы, которые по сигналу или в установленное время приводятся в действие, уничтожая или искажая информацию, или дезорганизуя работу программно-технических средств;
-способы и средства, позволяющие внедрять компьютерные вирусы и программные закладки в компьютерные системы и управлять ими на расстоянии.
Жизненный цикл программного обеспечения компьютерных систем
Необходимость определения этапов жизненного цикла (ЖЦ) ПО обусловлена стремлением разработчиков к повышению качества ПО за счет оптимального управления разработкой и использования разнообразных механизмов контроля качества на каждом этапе, начиная от постановки задачи и заканчивая авторским сопровождением ПО. Наиболее общим представлением жизненного цикла ПО является модель в виде базовых этапов - процессов, к которым относятся:
- системный анализ и обоснование требований к ПО;
- предварительное (эскизное) и детальное (техническое) проектирование ПО;
- разработка программных компонент, их комплексирование и отладка ПО в целом;
- испытания, опытная эксплуатация и тиражирование ПО;
- регулярная эксплуатация ПО, поддержка эксплуатации и анализ результатов;
- сопровождение ПО, его модификация и совершенствование, создание новых версий.
Данная модель является общепринятой и соответствует как отечественным нормативным документам в области разработки программного обеспечения, так и зарубежным. С точки зрения обеспечения технологической безопасности целесообразно рассмотреть более подробно особенности представления этапов ЖЦ в зарубежных моделях, так как именно зарубежные программные средства являются наиболее вероятным носителем программных дефектов диверсионного типа.
Первоначально была создана каскадная модель ЖЦ, в которой крупные этапы начинались друг за другом с использованием результатов предыдущих работ. Наиболее специфической является спиралевидная модель ЖЦ. В этой модели внимание концентрируется на итерационном процессе начальных этапов проектирования. На этих этапах последовательно создаются концепции, спецификации требований, предварительный и детальный проект. На каждом витке уточняется содержание работ и концентрируется облик создаваемого ПО.
Стандартизация ЖЦ ПО проводится по трем направлениям. Первое направление организуется и стимулируется Международной организацией по стандартизации (ISO - International Standard Organization) и Международной комиссией по электротехнике (IEC - International Electro-technical Commission). На этом уровне осуществляется стандартизация наиболее общих технологических процессов, имеющих значение для международной кооперации. Второе направление активно развивается в США Институтом инженеров электротехники и радиоэлектроники (IEEE - Institute of Electrotechnical and Electronics Engineers) совместно с Американским национальным институтом стандартизации (American Na-tional Standards Institute-ANSI). Стандарты ISO/IEC и ANSI/IEEE в основном имеют рекомендательный характер. Третье направление стимулируется Министерством обороны США (Department of Defense-DOD). Стандарты DOD имеют обязательный характер для фирм, работающих по заказу Министерства обороны США.
Для проектирования ПО сложной системы, особенно системы реального времени, целесообразно использовать общесистемную модель ЖЦ, основанную на объединении всех известных работ в рамках рассмотренных базовых процессов. Эта модель предназначена для использования при планировании, составлении рабочих графиков, управлении различными программными проектами.
Совокупность этапов данной модели ЖЦ целесообразно делить на две части, существенно различающихся особенностями процессов, технико-экономическими характеристиками и влияющими на них факторами.
В первой части ЖЦ производится системный анализ, проектирование, разработка, тестирование и испытания ПО. Номенклатура работ, их трудоемкость, длительность и другие характеристики на этих этапах существенно зависят от объекта и среды разработки. Изучение подобных зависимостей для различных классов ПО позволяет прогнозировать состав и основные характеристики графиков работ для новых версий ПО.
Вторая часть ЖЦ, отражающая поддержку эксплуатации и сопровождения ПО, относительно слабо связана с характеристиками объекта и среды разработки. Номенклатура работ на этих этапах более стабильна, а их трудоемкость и длительность могут существенно изменяться, и зависят от массовости применения ПО. Для любой модели ЖЦ обеспечение высокого качества программных комплексов возможно лишь при использовании регламентированного технологического процесса на каждом из этих этапов. Такой процесс поддерживается CASE средствами автоматизации разработки, которые целесообразно выбирать из имеющихся или создавать с учетом объекта разработки и адекватного ему перечня работ.
Обеспечение базового уровня безопасности городских информационных систем
Основой организации обеспечения информационной безопасности в ОИВ города Москвы в рамках комплексной системы информационной безопасности (КСИБ) является достижение базового уровня безопасности городских автоматизированных систем (АС).
Базовый уровень информационной безопасности - это уровень безопасности, при котором удовлетворяется установленный минимальный объем требований по информационной безопасности, приводящий к приемлемому для владельцев информации уровню снижения риска ее компрометации, то есть приемлемому для владельцев информации уровню возможности утери конфиденциальности информации, ее целостности или доступности.
Задание требований к базовому уровню информационной безопасности (ИБ) для конкретного объекта защиты должно происходить на предпроектной стадии создания автоматизированной системы. В ходе ее создания или модернизации параллельно должна создаваться или модернизироваться обеспечивающая базовый уровень подсистема информационной безопасности. По завершении очередного этапа создания, модернизации, установленного календарного периода эксплуатации (как правило, не менее года) должен определяться текущий уровень ИБ объекта защиты в целях контроля его соответствия требуемому уровню - так называемый периодический контроль. В критически важных элементах городской информационной инфраструктуры дополнительно должен быть предусмотрен постоянный контроль за соблюдением базового уровня - в этих целях создается Система мониторинга событий информационной безопасности города Москвы. Базовый уровень также может уточняться в зависимости от установленных критериев его достижения в процессе разработки и эксплуатации объекта защиты.
Основным документом, определяющим подход к заданию необходимого и достаточного уровня информационной безопасности, является утвержденный документ «Методические рекомендации по формированию требований к обеспечению информационной безопасности информационных систем и ресурсов органов исполнительной власти города»
В качестве объектов защиты Методические рекомендации определяют информационные системы и ресурсы города, включающие:
- общедоступную информацию;
- информацию ограниченного доступа, в том числе информацию, составляющую служебную тайну, коммерческую тайну, профессиональную тайну и персональные данные;
- средства и системы связи и передачи данных в АС, программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для сбора, хранения, обработки и передачи информации, средства защиты информации.
В зависимости от состава (категории) информации и потенциальных угроз для определения требуемых мероприятий по защите информации, а также для минимизации затрат на защиту информации установлено два базовых уровня информационной безопасности АС:
1) Базовый уровень информационной безопасности АС, обрабатывающих открытую информацию - определяется владельцем, т.е. Правительством Москвы.
2) Уровень информационной безопасности АС, содержащих информацию ограниченного доступа, в том числе конфиденциальную и секретную - определяется нормативными документами федерального уровня.
Реализация базового уровня информационной безопасности может обеспечиваться использованием типовых проектных решений.
Основу требований базового уровня информационной безопасности АС должны составлять квалификационные минимумы требований к видам обеспечения ИБ: правовому, техническому, организационному.
В целях нормативно-правового обеспечения информационной безопасности должны быть разработаны соответствующие документы на следующих уровнях: макроуровень (Российская Федерация, международные организации); метауровень; микроуровень (предприятие, организация - владелец информации).
Организационное обеспечение базового уровня информационной безопасности требует выполнения каждым владельцем информационных систем и ресурсов города , в том числе, следующих требований:
- обеспечение штатного наполнения специалистами по информационной безопасности;
- разработка и контроль реализации программ и планов обеспечения информационной безопасности города и отдельных информационных систем и ресурсов;
- определение порядка обращения с категорированной информацией;
- контроль выполнения регламентов органов власти города в части обеспечения информационной безопасности, реализации механизмов поощрения и наказания должностных лиц.
- организация разработки типовых решений и технологий защиты, рекомендуемых для обеспечения базового уровня безопасности городских информационных систем и ресурсов и другое.
Базовый уровень информационной безопасности информационной системы конкретного органа власти оценивается совокупной мерой оценок показателей нейтрализации всех угроз, установленных при создании системы с учетом выбранного класса защищенности автоматизированной системы. Такую оценку правомочны осуществлять государственный заказчик создания автоматизированной системы, разработчик с привлечением специалистов по информационной безопасности.
Таким образом, достижение базового уровня информационной безопасности органов исполнительной власти города означает, что во всех городских информационных системах обеспечивается защита от тех угроз, которые были определены владельцами информации с учетом требований федерального и московского законодательства.
Требования базового уровня информационной безопасности в случае создания (модернизации) конкретной АС могут и должны (особенно в случае создания (модернизации) АС, содержащей информацию ограниченного доступа) дополняться требованиями нормативных, нормативно-технических документов различного уровня с учетом положений Методических рекомендаций.
Подсистема управления доступом должна обеспечивать защиту от несанкционированного доступа (НСД) серверов, автоматизированных рабочих мест (АРМ) пользователей и прикладных сервисов. Кроме того, должна быть обеспечена защита от НСД аппаратно-программных средств, влияющих на функционирование сегментов информационных сетей, в которых обрабатывается защищаемая информация.
При создании подсистемы управления доступом могут использоваться как наложенные, так и встроенные в операционные системы и приложения системы защиты от НСД.
Доступ к защищаемым инфраструктурным и информационным ресурсам должен осуществляться в соответствии с матрицей доступа. При построении матрицы доступа:
- для инфраструктурных ресурсов должна осуществляться идентификация терминалов, электронных вычислительных машин (ЭВМ), узлов сети ЭВМ, каналов связи, устройств сети хранения данных, внешних устройств ЭВМ - по логическим именам, адресам в информационной сети, уникальным кодам устройств, цифровым сертификатам и иным технологически допустимым параметрам;
- для информационных ресурсов должна осуществляться идентификация сервисов, программ, томов, каталогов, файлов, записей, полей записей - по сетевым адресам доступа к ним, логическим именам, цифровым сертификатам и иным технологически допустимым параметрам;
- субъекты доступа (пользователи) идентифицируются по логическим именам, паролям условно-постоянного действия длиной не менее шести буквенно-цифровых символов, цифровым сертификатам, электронным ключам и иным параметрам.
Подсистема регистрации и учета должна обеспечивать регистрацию следующих событий:
а) запуск и останов средств регистрации;
б) события, связанные с функциональными компонентами (средствами безопасности), в том числе:
- любое использование программно-аппаратных средств аутентификации;
- принятие или отвержение любого используемого атрибута безопасности (например: пароля или цифрового сертификата) при аутентификации;
- все попытки установления сеансов пользователями;
- успешное применение предупредительных действий, которые должны использоваться при возможном нарушении безопасности;
- истечение срока действия атрибутов безопасности (паролей, цифровых сертификатов и пр.);
- успешные и неуспешные попытки активизации (запуска) программ (процессов) субъектами доступа (пользователями);
- идентификатор пользователя или субъекта доступа, неуспешно пытавшегося получить доступ к объекту доступа (сервису или файлу);
любые попытки выполнения операций с системным журналом, т.е. любые попытки чтения, изменения или уничтожения системного журнала;
- извещения администратора в случае переполнения системного журнала.
Средства регистрации должны приписывать к каждой записи, по крайней мере, следующие данные:
а) дату и время возникновения события, тип события, идентификатор субъекта доступа и результат завершения события: успешное/неуспешное;
б) для каждого типа регистрируемого события с учетом специфики соответствующей функциональной компоненты другие характерные данные.
Подсистема антивирусной защиты устанавливает следующие требования:
- должны применяться только сертифицированные средства антивирусной защиты. Установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах АС должны осуществляться администраторами АС;
- должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности технологических процессов обработки информации. Особое внимание должно быть уделено антивирусной фильтрации трафика электронного почтового обмена;
- отключение антивирусных средств не допускается. Установка и обновление антивирусных средств в организации должны контролироваться представителями подразделений (лицами) в организации, ответственными за обеспечение ИБ;
- должны быть разработаны организационно-технические меры, и введены в действие инструкции по обеспечению режима безопасного функционирования информационной системы в случае, когда невозможно обеспечить обновление сертифицированных средств антивирусной защиты.
Заключение
Информация - это ресурс. Потеря конфиденциальной информации приносит моральный или материальный ущерб.
Условия, способствующие неправомерному овладению конфиденциальной информацией, сводятся к ее разглашению, утечке и несанкционированному доступу к ее источникам.
В современных условиях безопасность информационных ресурсов может быть обеспечена только комплексной системной защиты информации.
Комплексная система защиты информации должна быть: непрерывной, плановой, целенаправленной, конкретной, активной, надежной и др.
Система защиты информации должна опираться на систему видов собственного обеспечения, способного реализовать ее функционирование не только в повседневных условиях, но и критических ситуациях.
Многообразие условий, способствующих неправомерному овладению конфиденциальной информацией, вызывает необходимость использования не менее многообразных способов, сил и средств для обеспечения информационной безопасности,
Способы обеспечения информационной безопасности должны быть ориентированы на упреждающий характер действий, направляемых на заблаговременные меры предупреждения возможных угроз коммерческим секретам.
Основными целями защиты информации являются обеспечение конфиденциальности, целостности, полноты и достаточности информационных ресурсов.
Обеспечение информационной безопасности достигается организационными, организационно-техническими и техническими мероприятиями, каждое из которых обеспечивается специфическими силами, средствами и мерами, обладающими соответствующими характеристиками.
Совокупность способов обеспечения информационной безопасности может быть подразделена на общие и частные, применение которых обусловливается масштабностью защитных действий.
Список литературы
1. Титоренко Г.А. Информационные технологии управления. М., Юнити: 2002.
2. Мельников В. Защита информации в компьютерных системах. – М.: Финансы и статистика, Электронинформ, 2003
4. ГОСТ 28195-89 "Оценка качества программных средств. Общие положения".
5. ГОСТ Р 50739-95 Защита от НСД к информации. Общие технические требования.
6. ГОСТ РВ 50600-93. "Защита секретной информации от технической разведки. Система документов. Общие положения".
7. ГОСТ Р. 50922-96. Защита информации. Основные термины и определения.