Безопасность информационных технологий

 

Содержание

Введение………………………………………………………………………. 2

     Глава 1. Основные понятия и методы оценки безопасности………………3                                                   

Глава 2. Основополагающие документы основных понятий, методов, требований системы информационной безопасности…………………….10

2.1."Оранжевая книга" Национального центра защиты компьютеров США………………………………………………………………………….10

2.2. Гармонизированные критерии Европейских стран (ITSEC)………… 16

2.3. Концепция защиты от НСД Госкомиссии при Президенте РФ……... 18

2.4. Рекомендации X.800…………………………………………………… 22

Глава 3. Проектирование системы защиты данных……………………… 25

Заключение………………………………………………………………….. 29

Список литературы…………………………………………………………. 30

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

   Интерес к вопросам безопасности информационных систем в последнее время вырос, что связывают с возрастанием роли информационных ресурсов в конкурентной борьбе, расширением использования сетей, а, следовательно, и возможностей несанкционированного доступа к хранимой и передаваемой информации. Развитие средств, методов и форм автоматизации процессов хранения и обработки информации и массовое применение персональных компьютеров делают информацию гораздо более уязвимой. Информация, циркулирующая в них, может быть незаконно изменена, похищена или уничтожена.

   Вопросы разработки способов и методов защиты данных в информационной системе являются только частью проблемы проектирования защиты системы и в настоящее время получили большую актуальность. Этим вопросам посвящено много работ, но наиболее полно и системно они изложены в работах Титоренко Г.А., Гайковича В., Першина А. и Левина В.К.

    Чтобы разработать систему защиты, необходимо, прежде всего, определить, что такое "угроза безопасности информации", выявить возможные каналы утечки информации и пути несанкционированного доступа к защищаемым данным. B литературе предложены различные определения угрозы в зависимости от ee специфики, среды проявления, результата ее воздействия, приносимого ею ущерба и т. д.

   Для реализации мер безопасности используются различные способы шифрования (криптографии), суть которых заключается в том, что данные, отправляемые на хранение, или сообщения, готовые для передачи, зашифровываются и тем самым преобразуются в шифрограмму или закрытый текст. Санкционированный пользователь получает данные или сообщение, дешифрует их или раскрывает посредством обратного преобразования криптограммы, в результате чего получается исходный открытый текст.

   Основные понятия, требования, методы и средства проектирования и оценки системы информационной безопасности для информационных систем (ИС) отражены в следующих основополагающих документах:

* "Оранжевая книга"  Национального центра защиты  компьютеров

США (TCSEC);

* "Гармонизированные  критерии Европейских стран (ITSEC)";

* Рекомендации X.800;

* Концепция защиты от  НСД¹ Госкомиссии при Президенте РФ.

   Остановимся на кратком рассмотрении состава основных понятий и подходов к проектированию и оценке системы защиты информации в ИС, изложенных в этих документах.

   Степень доверия, или надежность проектируемой или используемой системы защиты или ее компонентов, оценивается по двум основным критериям: концепция безопасности; гарантированность.

   Если понимать систему безопасности узко, т.е. как правила разграничения доступа, то механизм подотчетности является дополнением подобной системы. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что он делает.

  Принципиально важной чертой европейских критериев является отсутствие априорных требований к условиям, в которых должна работать информационная система.

   Цель работы - раскрыть понятие безопасности информационных систем.

В соответствии с намеченной целью основными задачи будут  являться: определение основных понятий, изучение теоретических материалов по выбранной теме и выработка  рекомендаций по проектированию системы  защиты данных.

 

 

Глава 1. Основные понятия и методы оценки безопасности информационных систем

  Чтобы разработать систему защиты, необходимо, прежде всего, определить, что такое "угроза безопасности информации", выявить возможные каналы утечки информации и пути несанкционированного доступа к защищаемым данным. B литературе предложены различные определения угрозы в зависимости от ee специфики, среды проявления, результата ее воздействия, приносимого ею ущерба и т. д.

   Так в работе под угрозой понимается целенаправленное действие, которое повышает уязвимость нaкaпливaeмoй, xpaнимoй и oбpaбaтывaeмoй в системе инфopмaции и приводит к ее случайному или предумышленному изменению или уничтожению.

   В работе² предлагается под "угрозой безопасности информации" понимать "действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и обрабатываемые средства".

  Под "несанкционированным³ доступом" понимается нарушение установленных правил разграничения доступа, последовавшее в результате случайных или преднамеренных действий пользователей или других субъектов системы разграничения, являющейся составной частью системы защиты информации. С точки зрения защиты информации несанкционированный доступ может иметь следующие последствия: утечка обрабатываемой конфиденциальной информации, а также ее искажение или разрушение в результате умышленного разрушения работоспособности системы.

   Под "каналом несанкционированного доступа" к информации понимается последовательность действий лиц и выполняемых ими технологических процедур, которые либо выполняются несанкционированно, либо обрабатываются неправильно в результате ошибок персонала или сбоя оборудования, приводящих к несанкционированному доступу. Для обеспечения защиты хранимых данных используется несколько методов и механизмов их реализации.

Каналы  утечки информации

• ошибки конфигурации (прав доступа, файрволов, ограничений на массовость запросов к базам данных),
• слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохо охраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников),
• ошибки в программном обеспечении,
• злоупотребление служебными полномочиями (воровство резервных копий, копирование информации на внешние носители при праве доступа к информации),
• Прослушивание каналов связи при использовании незащищённых соединений внутри ЛВС,
• Использование клавиатурных шпионов, вирусов на компьютерах сотрудников

В литературе выделяют следующие  способы защиты:

   Физические способы защиты основаны на создании физических препятствий для злоумышленника, преграждающих ему путь к защищаемой информации (строгая система пропуска на территорию и в помещения с аппаратурой или с носителями информации). Эти способы дают защиту только от "внешних" злоумышленников и не защищают информацию от тех лиц, которые обладают правом входа в помещение.

   Законодательные средства защиты составляют законодательные акты, которые регламентируют правила использования и обработки информации ограниченного доступа и устанавливают меры ответственности за нарушения этих правил.

   Управление доступом представляет способ защиты информации путем регулирования доступа ко всем ресурсам системы (техническим, программным, элементам баз данных).

Управление доступом предусматривает  следующие функции защиты:

* идентификацию⁴ пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора: имени, кода, пароля и т. п.);

* аутентификацию - опознание  (установление подлинности) объекта  или субъекта по предъявляемому  им идентификатору;

* авторизацию⁵ - проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

* разрешение и создание  условий работы в пределах  установленного регламента;

* регистрацию (протоколирование) обращений к защищаемым ресурсам;

* реагирование (сигнализация, отключение, задержка работ, отказ  в запросе) при попытках несанкционированных  действий.

   Для реализации мер безопасности используются различные способы шифрования (криптографии), суть которых заключается в том, что данные, отправляемые на хранение, или сообщения, готовые для передачи, зашифровываются и тем самым преобразуются в шифрограмму или закрытый текст. Санкционированный пользователь получает данные или сообщение, дешифрует их или раскрывает посредством обратного преобразования криптограммы, в результате чего получается исходный открытый текст.

   Основные понятия, требования, методы и средства проектирования и оценки системы информационной безопасности для информационных систем (ИС) отражены в следующих основополагающих документах:

* "Оранжевая книга"  Национального центра защиты  компьютеров

США (TCSEC);

* "Гармонизированные  критерии Европейских стран (ITSEC)";

* Рекомендации X.800;

* Концепция защиты от  НСД⁶ Госкомиссии при Президенте РФ.

   Остановимся на кратком рассмотрении состава основных понятий и подходов к проектированию и оценке системы защиты информации в ИС, изложенных в этих документах.

Информационная технология – совокупность методов, производственных процессов и программно-технических средств, объединенных в технологическую цепочку, обеспечивающую сбор, хранение, обработку, вывод и распространение информации для снижения трудоемкости процессов использования информационных ресурсов, повышения их надежности и оперативности.

Разберем подробнее составные  части информационной технологии:

Совокупность методов и производственных процессов экономических информационных систем определяет принципы, приемы, методы и мероприятия, регламентирующие проектирование и использование программно-технических средств для обработки данных в предметной области.

Цель применения информационных технологий – снижение трудоемкости использования информационных ресурсов. Под информационными ресурсами понимается совокупность данных, представляющих ценность для организации (предприятия) и выступающих в качестве материальных ресурсов. К ним относятся файлы данных, документы, тексты, графики, знания, аудио- и видеоинформация, позволяющие изобразить на экране ПК объекты реального мира.

Процесс обработки данных в ЭИС невозможен без использования технических средств, которые включают компьютер, устройства ввода-вывода, оргтехнику, линии связи, оборудование сетей.

Программные средства обеспечивают обработку данных в ЭИС и состоят из общего и прикладного программного обеспечения и программных документов, необходимых для эксплуатации этих программ.

Информация является одним  из ценнейших ресурсов общества наряду с такими традиционными материальными  видами ресурсов, как нефть, газ, полезные ископаемые и др., а значит, процесс  ее переработки по аналогии с процессами переработки материальных ресурсов можно воспринимать как технологию. Тогда справедливо следующее  определение:

Информационная технология – процесс, использующий совокупность средств и методов сбора, обработки и передачи данных (первичной информации) для получения информации нового качества о состоянии объекта, процесса или явления (информационного продукта).

Информационные технологии реализуются в автоматизированном и традиционном (бумажном) видах. Объем  автоматизации, тип и характер использования технических средств зависят от характера конкретной технологии.

Автоматизация – замена деятельности человека работой машин и механизмов. Степень автоматизации может меняться в широких пределах: от систем, в которых процесс управления полностью осуществляется человеком, до таких, где он реализуется автоматически.

Необходимость автоматизации. Автоматизация управления, а значит и автоматизация информационной системы, автоматизация технологий необходимы в следующих случаях:

* физиологические и психологические возможности человека для управления данным процессом недостаточны;

* система управления находится в среде, опасной для жизни и здоровья человека;