Аспекты информационной безопасности
Покупка
Основная коллекция
Издательство:
Российский университет транспорта
Год издания: 2018
Кол-во страниц: 64
Дополнительно
В данном учебном пособии использованы материалы, собранные группой студентов, обучающихся в РУТ(МИИТ) по специальности 10.05.01 «Компьютерная безопасность» в 2017 году, в ходе выполнения индивидуальных заданий. Особую благодарность авторы выражают Смирнову М.В. и Трошкину П.С. Вопрос защиты цифровой информации как никогда актуален в настоящее время, характеризующееся развитием информационных систем и
мультимедийных технологий. Данное учебное пособие содержит основополагающие положения, изучение которых происходит в дисциплинах «История техники (Введение в специальность)», «Методы анализа управления рисками». Учебное пособие предназначено для студентов, обучающихся по специальности 10.05.01 «Компьютерная безопасность».
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов.
Для полноценной работы с документом, пожалуйста, перейдите в
ридер.
МИНИСТЕРСТВО ТРАНСПОРТА РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «РОССИЙСКИЙ УНИВЕРСИТЕТ ТРАНСПОРТА (МИИТ)» ИНСТИТУТ ТРАНСПОРТНОЙ ТЕХНИКИ И СИСТЕМ УПРАВЛЕНИЯ (ИТТСУ) Кафедра «Управление и защита информации» В.Г. Сидоренко, Н.Н. Скоробогатова Аспекты информационной безопасности Учебное пособие Москва – 2018
МИНИСТЕРСТВО ТРАНСПОРТА РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «РОССИЙСКИЙ УНИВЕРСИТЕТ ТРАНСПОРТА (МИИТ)» ИНСТИТУТ ТРАНСПОРТНОЙ ТЕХНИКИ И СИСТЕМ УПРАВЛЕНИЯ (ИТТСУ) Кафедра «Управление и защита информации» В.Г. Сидоренко, Н.Н. Скоробогатова Аспекты информационной безопасности Учебное пособие для студентов специальности 10.05.01 «Компьютерная безопасность» Москва – 2018
УДК 004 С-34 Сидоренко В.Г., Скоробогатова Н.Н. Аспекты информационной безопасности: Учебное пособие. – М.: РУТ (МИИТ). 2018. – 64 с. В данном учебном пособии использованы материалы, собранные группой студентов, обучающихся в РУТ(МИИТ) по специальности 10.05.01 «Компьютерная безопасность» в 2017 году, в ходе выполнения индивидуальных заданий. Особую благодарность авторы выражают Смирнову М.В. и Трошкину П.С. Вопрос защиты цифровой информации как никогда актуален в настоящее время, характеризующееся развитием информационных систем и мультимедийных технологий. Данное учебное пособие содержит основополагающие положения, изучение которых происходит в дисциплинах «История техники (Введение в специальность)», «Методы анализа управления рисками». Учебное пособие предназначено для студентов, обучающихся по специальности 10.05.01 «Компьютерная безопасность». Рецензенты: к.т.н. Щепанов С.Л. (ИЭРТ) к.т.н. Голдовский Я.М. РУТ (МИИТ) © РУТ (МИИТ), 2018
СОДЕРЖАНИЕ 1 Общие положения ........................................................................................................................ 4 1.1 Основные понятия и направления информационной безопасности ......................................... 4 1.2 История ............................................................................................................................................... 10 1.3 Защита информации в наши дни ................................................................................................... 12 2 Законодательная база ................................................................................................................ 16 2.1 NDA ...................................................................................................................................................... 18 2.2 Законы ................................................................................................................................................. 20 2.3 Стандарты .......................................................................................................................................... 24 2.3.1 Сертификация ISO ......................................................................................................................... 24 2.3.2 Сертификация PCI DSS ................................................................................................................ 26 2.3.3 Сертификация PA-DSS .................................................................................................................. 29 2.4 Договоры ............................................................................................................................................. 31 3 ТЭО 34 3.1 Общие положения ............................................................................................................................. 34 3.2 Методика ............................................................................................................................................. 37 4 Методы и способы обеспечения ИБ .......................................................................................... 51 4.1 Понятия Insuring и Outsourcing ...................................................................................................... 51 4.2 Информационная безопасность облачных технологий ............................................................. 55 Список литератур: ....................................................................................................................... 61
1 Общие положения 1.1 Основные понятия и направления информационной безопасности Разработка стратегии и соответствующего документа, направлений на получение ожидаемого результата, с учетом долговременного развития требует четкого обозначения круга проблем, которые будут решены в рамках работы по обозначенным в стратегии направлениям. Поэтому особое значение имеет определение основных понятий. Информационная безопасность (ИБ) - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры [1]. Основной деятельностью ИБ является сохранение свойств информации, циркулирующей в информационной системе, представленные на рисунке 1 [21]. Рисунок 1 – Стандартная модель ИБ Доступность - возможность за разумное время получить требуемую информационную услугу Целостность - актуальность и непротиворечивость информации,ее защищенность от разрушения и несанкционированного изменения Конфиденциальность - защита от несанкционированного прочтения
Меры по обеспечению ИБ можно подразделить на пять уровней: 1.Законодательный (законы, нормативные акты, стандарты и т.п.). 2.Морально-этический (всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации). 3.Административный (действия общего характера, предпринимаемые руководством организации). 4.Физический (механические, электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей). 5.Аппаратно-программный (электронные устройства и специальные программы защиты информации). Компьютерная безопасность (КБ) – это такие меры безопасности, которые применяются для защиты различных вычислительных устройств (компьютеров, смартфонов и пр.), компьютерных сетей (частных и публичных, в том числе сети Интернет) [1]. Деятельность по обеспечению КБ включает в себя все процессы и механизмы, с помощью которых защищаются от несанкционированного или случайного доступа, изменения или уничтожения данных: различное цифровое оборудование, информационное поле и прочие услуги. В связи с ростом зависимости общества от персональных компьютеров (ПК), КБ приобретает все большее значение. КБ решает четыре класса взаимосвязанных задач [17]: 1. Формулировка и изучение политик безопасности. 2. Реализация политик безопасности. 3. Гарантирование заданной политики безопасности. 4. Управление безопасностью. Основные направления технической защиты компьютерной системы представлены на рисунке 2.
Рисунок 2 – Способы защиты 1. Защита информационных ресурсов от несанкционированного или случайного доступа и использования — применяются средства контроля включения питания и загрузки программного обеспечения, а также парольная защита [21]. 2. Защита от утечки по побочным каналам электромагнитных излучений и наводок — за счет экранирования аппаратуры, помещений, применения маскирующего генератора шума, проверки аппаратуры на наличие компрометирующих излучений [21]. 3. Защита информации в каналах связи и узлах коммутации — использование процедуры аутентификации абонентов, шифрования и специальных протоколов связи [21]. 4. Защита юридической значимости электронных документов — «цифровая подпись» — специальная метка, неразрывно логически связанная с текстом и формируемая с помощью секретного криптографического ключа [21]. 5. Защита автоматизированных систем от компьютерных вирусов и незаконной модификации — применение иммуностойких программ и механизмов модификации фактов программного обеспечения [21]. Действенным способом ограничения несанкционированного доступа к компьютерным системам (КС) является также регулярная смена паролей,
особенно при увольнении работников, обладающих информацией о способах защиты. Кроме всех вышеперечисленных мер КБ, в их перечень входит аудит, который представляет собой независимую экспертизу отдельных областей функционирования организации [4]. Целями проведения аудита КБ являются: анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов и объектов КС; оценка текущего уровня защищенности КС; локализация узких мест в системе защиты КС; оценка соответствия КС существующим стандартам в области информационной безопасности; выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности КС. Услуги в сфере КБ представлены на рисунке 3. Кибербезопасность(КбБ) – совокупность условий, при которых все составляющие киберпространства защищены от максимально возможного числа угроз и воздействий с нежелательными последствиями [1]. Она включает в себя защиту активов, в том числе данных локальной сети компьютеров, серверов. Под охрану попадают и здания, в которых рас- положено оборудование, и персонал, с ним работающий. КбБ подразумевает защиту данных (в процессе передачи, обмена или хранения). Она может включать в себя и такие контрмеры, как контроль доступа, обучение персонала, аудит и отчетность, оценка вероятных рисков, тестирование на проникновения и требование авторизации от пользователей.
Рисунок 3 – Виды услуг в сфере КБ КбБ понимается, таким образом, более узкое по смыслу понятие, чем ИБ, но более широкое, чем КБ. Более наглядная схема представлена на рисунке 4. • Комплексное обследование защищенности КС; • Разработка организационно-распорядительной и нормативной документации в области КБ; • Разработка, апробация и внедрение технических решений по защите информации; • Техническая поддержка и сопровождение систем обеспечения безопасности информации (СОБИ); • Установка и настройка программно-технических средств защиты. Технико-аналитические • Анализ компьютерных рисков; • Аттестация объектов компьютеризации; • Расчет финансово-экономических показателей СОБИ; • Сертификационные испытания оборудования и ПО; • Сертификация на соответствие международным стандартам; • Экспертиза проектов и решений. Экспертно-аналитическиея • Обучение в сфере компьютерной безопасности; • Консультационные услуги по техническим вопросам; • Консультационные услуги по нормативным вопросам; • Консультационные услуги по правовым вопросам; • Аутсорсинг эксплуатации СОБИ. Дополнительные
Рисунок 4 – Иерархия понятий Обеспечение КбБ в РФ должно осуществляться по следующим направлениям: 1. Принятие общесистемных мер по обеспечению КбБ. 2. Совершенствование нормативно-правовой базы и правовых мер обеспечения КбБ. 3. Проведение научных исследований в области КбБ. 4. Создание условий для разработки, производства и применения средств обеспечения КбБ. 5. Совершенствование кадрового обеспечения и организационных мер обеспечения КбБ. 6. Организация внутреннего и международного взаимодействия действующих лиц по обеспечению КбБ. 7. Формирование и развитие культуры безопасного поведения в киберпространстве и безопасного использования его сервисами. Нужно отметить, что в официальных российских документах в области ИБ термин КбБ» не выделяется из объема понятия ИБ и не используется
отдельно в отличие от большинства зарубежных стран. Необходимо учитывать, что регулирование киберпространства исключительно на национальном уровне невозможно в силу его трансграничности [19]. В связи с этим существует необходимость обозначения в российских документах, посвященных ИБ, термина КбБ, что позволит установить соответствие между российскими и иностранными нормативными актами [16]. 1.2 История С древних времён человеку приходилось защищать информацию, которой он владеет. На данный момент, можно выделить семь этапов развития ИБ, как науки, представлены на рисунке 5 [1]. Рисунок 5 – Линия времени. Этапы развития информационной безопасности Первый этап, по мнению ученых, начинается приблизительно с 3-го тысячелетия до н. э., с заражением письменности. Он характеризуется использованием естественно возникавших средств информационных коммуникаций. В период 1906 – 1916 гг. ученые разных стран работали над созданием вакуумных электронных ламп. Это изобретение послужило толчком для создания генераторов незатухающих электрических колебаний, усилителей, модуляторов и др. устройств, без которых не обходится ни одна система передачи, поэтому с 1916г. начинается второй период, связанный с началом использования искусственно создаваемых технических средств электро и радиосвязи [17,18]. ..1916 … ..1935. ..1946. … ..1965. … ..1973.. ..1985..