 |
|
Ответственность за нарушения в сере инфо безопасности(ИБ)
Особенности использования КС в современных условиях
1) Возрастающий вес автоматизированных процедур
2) Увеличивающаяся концентрация информационно-вычислительных ресурсов
3) Территориальная разобщенность компонентов КС
4) Услужение условий функционирования тех. средств
5) Накопление больших объемов информации
6) Интеграция в единых базах данных информации различного назначения
7) Одновременный доступ к ресурсам большого числа пользователей различных категорий.
8) Возрастающая себестоимость ресурсов КС для управления и обработки информации
Основные положения по построению надежной системы защиты
информации.
По статистике число несанкционированных действий над информацией увеличивается.
Для борьбы с этим надо:
Целенаправленная организация защиты информационных ресурсов. В этом должны участвовать все специалисты, сотрудники и пользователи. Обеспечение безопасности не может быть одноразовым актом, это непрерывный процесс, который заключается в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования системы защиты, непрерывном контроле её состояния, выявления слабых и узких мест.
Безопасность информации может быть обеспечена только при комплексном использовании всего арсенала средств защиты.
Задачи защиты (ну каакие ещё задачи, ясно же чтоб все было защитненько!!!!):
-предотвращение утечек, хищения, подделки и искажения информации.
-предотвращение несанкционированных действий.
-защита конституционных прав на сохранение конфиденциальности и личной тайны.
Уровни формирования режима ИБ
1) Законодательно- правовой( это типа система законных актов и бумаженции там разные)
2) Административный(еще не уголовка, но по рукам могут надавать
хулиганам )
3) Программно-технический(есть физический, технический и
программный)
Нормативно правовая основа ИБ в РФ
Очень много и все полная туфта здесь, я прочитал 3 раза и ничего е понял. Напишу только про закон о «Защите информации» от 20 февраля 1995 №24-ФЗ
По нему все компьютерные злодейчики бо-бо по носу получили.
И еще немного нелепой фигни:
Коммерческая тайна- строго конфиденциально
Коммерческая тайна-конфиденциально
Строго конфединциально - строгий учет
Конфедединциально
В соответствии с законом инфо. ресурсы делятся на гос. и не гос.
Государственные-открытые и общедоступные, кроме информации с ограничением доступа.( статья 10)
Документированная информация с ограничением доступа подразделяется на
-инфо с гос тайной
-конфиденциальная информация
Закон определяет 5 категорий инфо ресурсов:
1-открытая общедоступная инфо
2-инфо с ограниченным доступом ДСП
3-инфо относящаяся к гос. тайне
4-конфиденциальная инфо
5-персональные данные о гражданах
Ответственность за нарушения в сере инфо безопасности(ИБ)
Основные документы-уголовный кодекс РФ, кодекс об административных правонарушениях:
В УК наиболее важные законодательные акты по предупреждению и привлечению ответственности в сфере ИБ есть следующие главы и статьи:
ст 138- нарушение тайны переписки, телефонных переговоров, почтовый и других сообщений
ст 140- отказ в представлении гражданину инфо
ст 183- незаконное получение и разглашение сведений составляющих коммерческую или банковскую тайну
ст 237- сокрытие инфо об обстоятельствах создающих опасность для жизни и здоровья людей
ст 283- разглашение гос тайны
ст 284- утрата документов, содержащих сведения о гос. тайне
За компьютерные преступления предусмотрена ответственность согласно 28 главе "Преступления в сфере компьютерной информации".
ст 272- неправомерный доступ к компьютерной информации
пункт А- неправомерный доступ охраняемой инфо если деяние повлекло уничтожение, блокирование, модификацию, нарушение работы ЭВМ, системы ЭВМ или их сети - это штраф в размере от 200 до 500 минимальных размеров оплаты труда или в размере з.п. осужденного за период от 3-5 месяцем, или 6 мес исправительных работ или лищение свободы до 2 лет
пункт Б- то же деяние, но совершенное группой лиц, либо лицом, совершившим это со своего служебного положения. Штраф от 500 до 800 МРОТ, исправительные работы до 2 лет, лишение свободы до 5 лет.
ст 273- создание, использование и распространение вредоносных программ для ЭВМ:
пункт А- создание программ или внесение модификаций в существующие заведомо приводящие к несанкционированному уничтожению, блокированию, модификации, копированию инфо, нарушение работы ЭВМ или сети. Наказывается лишением сободы до 3 лет, со штрафом в размере от 200 до 500 МРОТ, или в размере з.п. осужденного от 2 до 5 месяцев
пункт Б- те же деяния, повлекщие по неосторожности тяжкие последствия. Эт лишение свободы от 3 до 7 лет.
статья 274- нарушение эксплуатации ЭМВ, систем ЭВМ и их сети
пункт А- нарушение правил эксплуатации лицом, имеющим доступ к ЭВМ, повлекшим уничтожение, инфо, если деяние повлекло существенный вред. Это лишение права занимать определенную должность и право заниматься определенной деятельностью на срок до 5 лет.
пункт Б- то же деяние, повлекшее тяжкие последствие. Это лишение свободы до 5 лет.
Средства обеспечения информационно безопасности:
Не существует единственного продукта, обеспечивающего инфо безопасность. Для обеспечения комплексной безопасности предлагается большой выбор различных решений, которые можно разделить на следующие виды:
1- антивирусы(неотъемлемая часть программы безопасности)
Его основная задача- уменьшить воздействие вредоносных программ. Но никакая антивирусная система не защитит от злоумышленника, используюего для входа в систему лицензионную программу или заходящего под именем легального пользователя.
2- управление доступом (любая компьютерная система должна быть ограниченна для пользователей согласно их компетенции)
3- межсетевые экраны или фаерволы. Это устройства управления доступа, защищающие внутреннюю сеть от внешних атак. Устанавливается на границе между внешней и внутренней сетью. Правильно настроенный, он является важнейшим средством защиты. Однако он не может предотвратить атаку через внутренний канал связи.При разрешении доступа к веб-серверу с внешней стороны и при наличии слабого места в ПО, межсетевой экран может пропустить атаку, поскольку посчитает открытое веб-соединение необходимым для работы сервера.
Под внутреннего пользователя может замаскироваться злоумышленник, особенно требуется внимание к беспроводным сетям. При неправильной настройке злоумышленник может находясь на стоянке перехватить данные из внутренней сети, при этом действия будут расцениваться как штатная работа пользователя внутри системы и межсетевой экран не поможет.
4- Смарт-карта: аутентификация личности может быть произведена 3 способами: 1-того, что знает субъект(пароль и др.), 2- того, что имеет субъект(пропуск, электронный замок) и 3-то, кем является субъект. Исторически, основным способом является знание субъекта, т.е. пароль. в настоящее время для защиты данного критерия недостаточно, так как пароль можно угадать, прочитать, поэтому используется комплексная система аутентификации.
Для установления личности используются смарт-карты: они уменьшают риск взлома и дополняют пароли. Однако если смарт-карта украдена и это единственное средство для доступа, то похититель может этим воспользоваться.
5- Биометрия- еще один вид аутентификации, на основе того, кем является человек. Есть множество механизмов для верификации следующего: отпечатки пальцев, сетчатки глаза, отпечатков ладони, конфигурация руки, лица, частотные характеристики голоса.
6-Системы обнаружения вторжений:
ИДС
Данные системы на основании признаков активности субъектов и действий через внешнюю сеть определить с определенной долей вероятности потенциальную атаку.
Система обнаружения вторжений автоматической поддержкой защиты отдельных участков могут создать дополнительные проблемы, например если ИДС настроена на блокировку доступа с предполагаемых адресов нападения и в это время клиент системы сгенерирован трафик, который по ошибке идентифицирован как возможная атака, то блокировка пользователя приводит к потере клиента.
7- управления политиками безопасности.
Политики и их управление важнейшие компоненты надежной программы безопасности. С их помощью организации получают сведения о системах несоответствующих установленным правилам, однако данный компонент не учитывает наличие уязвимых мест и неправильную конфигурацию ПО.
Управление политиками не гарантирует, что пользователи не будут пренебрежительно относиться к своим паролям и не передадут их злоумышленникам.
8-сканирование на наличие уязвимых мест.
Данный компонент позволяет выявить потенциальные точки вторжения и принять оперативные меры для повышения безопасности.
Однако в данном компоненте рассматривается как уязвимость деятельность легальных пользователей.
9-шифрование.
Важнейший механизм защиты информации при передаче их кому-то. Штатные сотрудники организации должны иметь доступ зашифрованным файлам, но система шифрования сама по себе не может отличить легального и нелегального пользователя, если они предоставляют одинаковые ключи для алгоритма шифрования. Для обеспечения безопасности при шифровании необходим контроль за ключами, использование цифровых подписей, контроль над системой шифрования и связи.
10- механизмы физической защиты.
Ее можно выполнить относительно дешево, изолировав информацию от внешнего окружения, но при этом может значительно пострадать свойство доступности информации, поэтому всегда выполняется компромис межд защищенность и доступностью.
К механизмам относятся: защита периметра, сейф, пост охраны, видеонаблюдение, бабушки-вахтеры, боевые коты, живые деревья.
Категории атак:
Атаки доступа
Атаки на захват инфо в электронном виде имеют важную особенность- инфо копируется. Владелец инфо может понести убытки не обнаружив момента копирования.
Атака доступа- попытка получения инфо, для просмотра которой у него нет разрешения. Данная атака возможна везде, где храниться информация и есть средства ее передачи. Атака доступа направлена на нарушение конфиденциальности и подразделяется на:
-подсматривание (поиск интересующей инфо и просмотр документов ). При доступе открывается большое количество файлов.
-подсушивание( когда слушается разговор участником которого субъект не является). При такой атаке злоумышленник должен находиться в пределах досягаемости звуковых волн. Часто используются звуковые устройства.
-перехват(активная атака захвата информации в процессе передачи. После анализа жулик принимает решение о запрете или разрешении дальнейшего движения к адресату.)
Выполнение атак доступа:
1) над документами
а- в картотеке
б- на столах
в- оставленный документы в принтере
г- в мусоре
д- в архиве
2) инфо в электронном виде
а- на рабочих станциях
б- на серверах
в- в портативных компьютерах
г- на дисках и флешках
2) атаки модификации
3) атаки на отказ в обслуживании
-это ДОС атаки. Злоумышленник не получая доступ к компьютерной системе и не может оперировать информацией, но она становиться недоступной и для легальных пользователей.
Разновидности ДОС атак:
-в результате ДОС атаи на инфо, она становиться непригодной для использования, тоесть уничтожается, или переноситься в недоступное место.
-отказ в доступе к приложениям: данный тип атакует на приложения, обрабатывающие или обрабатывающие инфо. Это самый популярный тип. В случае успеха, решение задач с помощью приложения становиться невозможным.
-отказ в доступе к системы: ставит цель вывод из строя вывод всей компьютерной системы, из-за чего вся система и приложения становятся недоступными.
-отказ в доступе к средствам связи: данный тип является самым древним. К такой атаке относиться разрыв сетевого провода, глушение радиопередач, заполнение ширины пропускания линии связи.
Выполнение атак на отказ в обслуживании:
1) На документ: на бумажные носители делают физические атаки ДОС (красть, уничтожить, сесть в тюрьму). Физические атаки происходят преднамеренно или ой я у вас тут случайно что-то взял, извин пжлст. Пожар может возникнуть из за повреждения проводки(мыши перегрызли) или преднамеренно(мыши подожгли)
2) На электронный носитель: можно привести файл в негодность зашифровав его и уничтожив ключ шифрования, например можно отключить компьютер, что бы ребтня лишилась доступ к ко всей информации и игрушкам там своим. Атаки на компьютерную систему реализуются через ЭКСПЛОЙТЫ, которые используют уязвимые места в ОС или межсетевых протоколов. Самый простой способ привести в нерабочее состояние средство коммуникации, это перерезать сетевой кабели. ДОС атаки на средства связи с помощью программ, выполняют отправку на один хост большого количества пакетов, создавая неприемлемо большой трафик.
3) Атаки на отказ от обязательств- данная така направлена против возможности идентификации информации, попытка дать неверно информацию о реальном событии или транзакции
Типы:
1) маскарад - выполнение действий от имени другого пользователя или системы. Атака организуется через персональные устройства пользователя, чаще всего при осуществленни оплаты или передачи конфиденциальной информации между системами.
2) ДОС атаки на отказ от интернета, атака на корневые имена, серверы были завалены запросами на разрешение имен. Не все атаки имели успех, серверы на время теряют работоспособность, но связь по прежнему работала.
3) Отрицание событий - отказ от факта совершения операции. Например при получении товара, купленного в электронном магазине, клиент отказывается от факта принятия товара.
Выполнение атак на отказ в обслуживании.
Скорость выполнения атак данной категории зависит от мер предосторожности, принятых в организации или у конкретного физического лица.
1) атаки на документы: злоумышленник выдает себя за свинку Пеппу, используя другие документы. Это легко сделать, если ваши документы без водяных знаков и других технологических решений и других штук.
Административный уровень обеспечения безопасности.
Цели и задачи:
- Являтся основой практического построения коплексной системы безопасности внутри любой организации.
- Задачей является разработка и реализация мероприятий по созданию системы безопасности.
- На административном уровне определяются механизмы защиты, которые реализуются на программно - техническом уровне
- Целью является разработка систем безопасности и ИБ , и обеспечение ее выполнения в конкретных условиях функционирования информационной системы.
Содержание административного уровня состоит в реализации двух больших документов:
1) Разработка политики безопасности
2) Проведение анализа и учет рисков