Введение в информационную безопасность автоматизированных систем
Покупка
Автор:
Бондарев Валерий Васильевич
Год издания: 2018
Кол-во страниц: 251
Дополнительно
Вид издания:
Учебное пособие
Уровень образования:
ВО - Бакалавриат
ISBN: 978-5-7038-4899-9
Артикул: 655115.03.99
Доступ онлайн
В корзину
Рассмотрена законодательная база информационной безопасности, приведен перечень возможных угроз, отражены основные подходы к созданию систем защиты информации, представлена классификация предупредительных мер, изучены вопросы, связанные с программно-аппаратными механизмами обеспечения информационной безопасности.
Для студентов, обучающихся по направлению подготовки «Информационная безопасность», по специальности «Информационная безопасность автоматизированных систем» и слушателей факультета повышения квалификации. Может быть полезно студентам и аспирантам других специальностей, интересующимся современными средствами и методами обеспечения информационной безопасности.
Тематика:
ББК:
УДК:
ОКСО:
- ВО - Бакалавриат
- 10.03.01: Информационная безопасность
- ВО - Специалитет
- 10.05.03: Информационная безопасность автоматизированных систем
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов.
Для полноценной работы с документом, пожалуйста, перейдите в
ридер.
В.В. Бондарев Введение в информационную безопасность автоматизированных систем Учебное пособие 2-е издание
УДК 681.326 ББК 67.408 Б81 Издание доступно в электронном виде на портале ebooks.bmstu.ru по адресу: http://ebooks.bmstu.ru/catalog/117/book1425.html Факультет «Информатика и системы управления» Кафедра «Информационная безопасность» Рекомендовано Редакционно-издательским советом МГТУ им. Н.Э. Баумана в качестве учебного пособия Рецензент канд. юрид. наук, доцент Б.Н. Коробец © МГТУ им. Н.Э. Баумана, 201 © Оформление. Издательство ISBN 978-5-7038-4899-9 МГТУ им. Н.Э. Баумана, 201 Бондарев, В. В. Б81 Введение в информационную безопасность автоматизированных систем : 2-е изд. —Москва : Издательство МГТУ им. Н. Э. Баумана, 2018. — 250, [2] с. : ил. ISBN 978-5-7038-4899-9 Рассмотрена законодательная база информационной безопасности, приведен пе- речень возможных угроз, отражены основные подходы к созданию систем защиты ин- формации, представлена классификация предупредительных мер, изучены вопросы, связанные с программно-аппаратными механизмами обеспечения информационной безопасности. Для студентов, обучающихся по направлению подготовки «Информационная безопасность», по специальности «Информационная безопасность автоматизирован- ных систем» и слушателей факультета повышения квалификации. Может быть полез- но студентам и аспирантам других специальностей, интересующимся современными средствами и методами обеспечения информационной безопасности. УДК 681.326 ББК 67.408
ПРЕДИСЛОВИЕ Цель учебного пособия — ознакомление студентов с основами комплекс- ного подхода к обеспечению информационной безопасности (ИБ) автомати- зированных систем (АС), проблемами защиты информации и подходами к их решению. В пособии рассмотрены: • теоретические и правовые вопросы защиты информации и обеспечения безопасности АС; • принципы построения комплексных систем защиты АС; • основные направления деятельности служб технической защиты ин- формации (подразделений обеспечения безопасности АС); • современная технология обеспечения безопасности АС, предусматривающая рациональное распределение функций и организацию эффективного взаимодействия по вопросам защиты информации сотрудников всех подразделений, которые используют АС в процессе работы и гарантируют ее функционирование; • вопросы разработки нормативно-методических и организационно-распорядительных документов, необходимых для реализации технологии обеспечения безопасности АС; • разработка защищенных АС; • проектирование системы управления информационной безопасностью АС; • разработка модели угроз и модели нарушителя информационной безопасности АС; • организация эксплуатации АС с учетом требований информационной безопасности; • восстановление работоспособности систем защиты информации при возникновении нештатных ситуаций. Для лучшего усвоения материала студентам необходимо иметь представление о современных информационных технологиях и автоматизированных системах управления, о правовых, организационных и технических аспектах проблемы обеспечения информационной безопасности. После изучения данного пособия студент должен знать: • ос нов ные уг розы безо пас но сти ин фор ма ции и мо де ли на ру ши те ля в АС; • АС как объ ект ин фор ма ци он но го воз дей ст вия, кри те рии оцен ки ее за- щи щен но сти и ме то ды обес пе че ния ее ин фор ма ци он ной безо пас но сти;
• со дер жа ние и по ря док дея тель но сти пер со на ла по экс плуа та ции за щи- щен ных АС; • законодательные акты в области защиты информации; • основные задачи подразделения защиты информации; • ос нов ные ме ры по за щи те ин фор ма ции в АС (ор га ни за ци он ные, пра во- вые, про грамм но-ап па рат ные, физические, технологические); • ос нов ные за щи тные механизмы, применяемые в АС; уметь: • разрабатывать модели угроз и нарушителей в АС; • анализировать и оценивать риски информационной безопасности; • разрабатывать структуру системы обеспечения безопасности АС; • классифицировать уязвимости АС; • правильно выбирать средства защиты АС; иметь навыки: • использования основных защитных механизмов под сис тем безо пас но- сти АС; • разработки системы организационно-распорядительных и нормативно- методических документов по защите информации; • определения требований к защите и категорирования ресурсов АС; • применения штатных и дополнительных средств защиты информации от несанкционированного доступа (НСД); • построения инфраструктуры управления событиями. Предисловие
РА З Д Е Л I ОСНОВЫ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ Гл а в а 1. АКТУАЛЬНОСТЬ ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ Автоматизированные системы, в состав которых входят информационные технологии (ИТ), основанные на новейших разработках в области средств вы- числительной техники (СВТ) и связи, находят все более широкое применение практически во всех сферах жизни и деятельности (в отличие от индустриаль- ных технологий, где основным объектом переработки являются сырье и матери- алы, информационные технологии «потребляют» и «перерабатывают» инфор- мацию). С развитием ИТ объемы обрабатываемой и передаваемой информации, как в абсолютных значениях, так и по отношению к объемам переработки сырья и материалов в индустриальных технологиях, непрерывно возрастают. 1.1. Место и роль автоматизированных систем в управлении бизнес‑процессами Почему же современные компьютеры и средства телекоммуникации так широко востребованы? Что они умеют делать, что становятся необходимыми практически везде? В ответ на эти вопросы, как правило, можно услышать: «Компьютеры позволяют автоматизировать умственный труд». Но разве физический труд они не автоматизируют и как объяснить понятие «умственный труд»? Ответим на поставленные вопросы. Компьютерные технологии дают возможность автоматизировать процессы управления (умственный труд по управлению — по принятию решений в конкретных ситуациях на основе имеющейся информации). А поскольку управление необходимо везде, всегда и всем, то и средства автоматизации управления применяются повсеместно. Автоматизация на основе современных ИТ позволяет принимать решения более оперативно и
Раздел I. Основы безопасности автоматизированных систем обоснованно, учитывая при этом большой объем сведений, повышая качество и эффективность управления — управления чем бы то ни было — от отдельных узлов и агрегатов (например, в автомобилях), деятельностью отдельных людей до технологических процессов на производстве, бизнес-процессов компаний, экономических и социально-политических процессов в обществе. Широкое внедрение АС во все сферы жизни общества требует повышенного внимания к защите применяемых для автоматизации управления информационных технологий и непосредственно информации. Любые нарушения и неполадки в работе автоматизированных/информационных систем (ИС), систем обработки и передачи информации приводят к снижению качества или полной потере управления критичными процессами и, соответственно, к убыткам. Следует отметить, что любая информационная система всегда является частью соответствующей системы управления, а любая автоматизированная информационная система (АИС) — частью автоматизированной системы управления (АСУ). Практически каждое фундаментальное техническое или технологическое новшество, предоставляя возможности для решения каких-либо социальных проблем и открывая широкие перспективы для развития личности и общества, вызывает обострение существующих или порождает новые, ранее неизвестные, проблемы, становится источником новых потенциальных опасностей. Без должного внимания к вопросам обеспечения безопасности послед- ствия перехода общества к новым технологиям могут быть катастрофически- ми как для отдельных граждан, так и общества в целом. Именно так обстоит дело в области атомных, химических и других экологически опасных техноло- гиях, в сфере транспорта. Аналогичная ситуация и с информатизацией общества. Искажение или фальсификация, уничтожение или разглашение определенной части инфор- мации, а также дезорганизация процессов ее обработки и передачи в инфор- мационно-управляющих системах наносят серьезный материальный и мо- ральный урон многим субъектам (государству, юридическим и физическим лицам), участвующим в процессах автоматизированного информационного взаимодействия. Жизненно важные интересы этих субъектов, как правило, заключаются в том, чтобы определенная часть информации, касающаяся их экономических, политических и других сфер деятельности, конфиденциальная коммерческая и персональная информация была бы легко доступна для пользователя и в то же время надежно защищена. 1.2. Обострение проблемы обеспечения безопасности автоматизированных систем на современном этапе Актуальность проблемы защиты АС в современных условиях определяет- ся следующими основными ф а к т о р а м и :
Глава 1. Актуальность проблемы обеспечения безопасности АС • обострением противоречий между объективно существующими потреб- ностями общества в расширении свободного обмена информацией и чрезмер- ными (недостаточными) ограничениями на ее распространение и использова- ние; • расширением сферы применения электронно-вычислительных машин (ЭВМ), многообразием и повсеместным распространением информационно- управляющих систем, высокими темпами увеличения парка средств вычисли- тельной техники и связи; • повышением уровня доверия к автоматизированным системам управ- ления и обработки информации, использованием их в критических областях деятельности; • вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных по- требностей, наличием интенсивного обмена информацией между участника- ми этого процесса; • концентрацией больших объемов информации различного назначения и принадлежности на электронных носителях; • количественным и качественным совершенствованием способов досту- па пользователей к информационным ресурсам; • отношением к информации как к товару, переходом к рыночным отно- шениям в области предоставления информационных услуг; • многообразием видов угроз и возникновением новых каналов несанкци- онированного доступа к информации; • увеличением числа квалифицированных пользователей средствами вы- числительной техники и возможностей по созданию ими нежелательных про- граммно-математических воздействий на системы обработки информации; • возрастанием уязвимости субъектов вследствие увеличения потерь от уничтожения, фальсификации, разглашения или незаконного тиражирования информации; • развитием рыночных отношений в сфере ИТ (в области разработки, по- ставки, обслуживания вычислительной техники, разработки программных средств, в том числе средств защиты). Проблема обеспечения безопасности субъектов информационных отно- шений, защиты их законных интересов при использовании информационных и управляющих систем, хранящейся и обрабатываемой в них информации все более обостряется по следующим объективным п р и ч и н а м : • расширение сферы применения СВТ и возросший уровень доверия к авто- матизированным системам управления и обработки информации. С помощью компьютерных систем выполняют самую ответственную работу, от которой зависит жизнь и благосостояние многих людей. Автоматизированные систе- мы позволяют управлять технологическими процессами на предприятиях и атомных электростанциях (АЭС), движением самолетов и поездов, выпол- нять финансовые операции, обрабатывать секретную и конфиденциальную информацию;
Раздел I. Основы безопасности автоматизированных систем • изменение подхода к самому понятию «информация». Данный термин все чаще используется для обозначения особого товара, стоимость которого нередко превышает стоимость автоматизированной системы, в рамках кото- рой он существует; • переход к рыночным отношениям в области создания и предоставления информационных услуг с присущей этим отношениям конкуренцией и про- мышленным шпионажем; • развитие и распространение информационно-телекоммуникационных сетей, территориально распределенных систем и систем с удаленным досту- пом как совместно используемых ресурсов; • распространение компьютерной грамотности в широких слоях населе- ния из-за доступности СВТ и прежде всего персональных компьютеров (ПК), что вызвало увеличение числа попыток неправомерного вмешательства в ра- боту государственных и коммерческих АСУ как случайных, так и умышлен- ных; • отсутствие стройной и непротиворечивой системы законодательно- правового регулирования отношений в сфере накопления, использования и за- щиты информации создает условия для возникновения и широкого распро- странения «компьютерного хулиганства» и «компьютерной преступности»; • бурное развитие и широкое распространение компьютерных вирусов, способных скрытно существовать в системе и совершать любые несанкциони- рованные действия; • наличие злоумышленников — специалистов-профессионалов в области вычислительной техники и программирования, досконально знающих все до- стоинства и слабые места АС и занимающихся анализом и взломом механиз- мов защиты. Исследование в области информационной безопасности, проведенное английской консалтинговой компанией «Ernst & Young» в России и странах СНГ, показало, что более 65 % российских компаний сталкивались с нару- шениями информационной безопасности, при этом в 50 % случаев данные нарушения были вызваны хакерскими атаками, в том числе с проникновени- ем в информационную систему извне, несанкционированным доступом непо- средственно в компании, атаками, имеющими целью вызвать отказ в обслужи- вании, саботажем, финансовым мошенничеством и хищением коммерческой информации. Проблема обеспечения безопасности АС относится к числу трудноразре- шимых, что связано со следующими объективными обстоятельствами: • недостаточным (неадекватным реалиям) пониманием необходимости защиты используемых АС; • высокой степенью неопределенности рисков при применении новейших АС; • сложностью АС как объектов защиты; • необходимостью комплексного подхода к защите АС с учетом их значи- тельной зависимости от человеческого фактора;
Глава 1. Актуальность проблемы обеспечения безопасности АС • сложностью разрешения конфликтов интересов между различными ка- тегориями субъектов (операторами информационных систем, системными и сетевыми администраторами, администраторами безопасности, пользователя- ми, обслуживающим персоналом систем и менеджерами различных уровней); • отставанием методов и средств защиты от развития информационных технологий, а также методов и средств нападения; • недостатком квалифицированных специалистов в сфере компьютерной безопасности и низким уровнем компьютерной культуры пользователей (сла- бой осведомленностью в вопросах безопасности ИТ). 1.3. Защита автоматизированных систем как процесс управления рисками Создание абсолютно непреодолимой системы защиты принципиально невозможно. До тех пор пока информация находится в обращении, принима- емые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить полностью. При достаточном количестве вре- мени и средств можно преодолеть любую защиту, поэтому имеет смысл рас- сматривать некоторый приемлемый уровень обеспечения безопасности, соот- ветствующий реально существующим угрозам (рискам). Под угрозой обычно понимают потенциально возможное событие, вы- званное действием, процессом или явлением, которое может (воздействуя на что-либо) привести к нанесению ущерба чьим-либо интересам. Риск — это оценка опасности определенной угрозы. Риск выражает вероятностно-стоимостную оценку возможных потерь (ущерба) и характеризуется: • вероятностью успешной реализации угрозы; • стоимостью потерь (ущерба) в случае реализации угрозы. Стоимостную составляющую информационной безопасности хорошо иллюстрирует упрощенная формула оценки издержек, связывающая количе- ственные характеристики рисков, стоимость реализации мер защиты и сум- марные издержки: R A B C R i i i i n = + < =∑( ) , max 1 где n — количество рисков (угроз); А — вероятностная оценка риска (0-1); В — сто- имостная оценка риска; С — стоимость реализации мер защиты; Rmax — допустимые издержки. Анализ рисков заключается в выявлении существующих угроз и оценке их опасности. На этапе анализа рисков выявляют все значимые угрозы, т. е. угрозы, характеризующиеся большой частотой (вероятностью) реализации и/или приво- дящие к существенным (ощутимым) потерям. Суть защиты ресурсов АС — управление рисками, связанными с использованием этих АС.
Раздел I. Основы безопасности автоматизированных систем Известно два основных подхода к анализу рисков — качественный и количественный. Наиболее привлекательным, на первый взгляд, является количественный подход, позволяющий сравнивать защищенность различных систем, но его внедрение осложнено следующими п р ич ин а ми : • отсутствием достоверной статистики в быстро меняющемся мире ИТ; • трудностью оценки ущерба по нематериальным активам (репутация, конфиденциальность сведений, идеи, бизнес-планы, здоровье персонала); • сложностью оценки косвенных потерь от реализации угроз; • обесцениванием результатов длительной количественной оценки рисков из-за постоянной модификации и реконфигурации АС. В связи с этим для анализа рисков в настоящее время используется качественный подход, предусматривающий простое ранжирование угроз и связанных с ними рисков по степени их опасности. Управление рисками предполагает принятие мер защиты (контрмер), направленных на снижение частоты успешной реализации угроз и/или ущерба в случае их реализации. Защитные меры выбирают на основе принципа разумной достаточности (экономической целесообразности, сопоставимости возможного ущерба и затрат на защиту), исходя из минимизации общих издержек — затрат на защиту и остаточных потерь от угроз. Существует несколько в а р и а н т о в п р о т и в о д е й с т в и я в ы я в - л е н н ы м р и с к а м (угрозам): 1) признание допустимости риска от конкретной угрозы (например, если вероятность реализации угрозы ничтожна мала или затраты на защиту от нее катастрофически велики); 2) частичная передача ответственности за инциденты в сфере безопасности ИТ сторонней организации (например, страховой компании); 3) проведение комплекса мероприятий (мер противодействия), позволяющих уменьшить или полностью исключить риск. Основные э т а п ы анализа рисков и управления ими: • определение границ системы и методологии оценки рисков; • идентификация и оценка информационных ресурсов системы (ценностей); • идентификация угроз и оценка вероятностей их реализации; • определение риска и выбор средств защиты; • внедрение средств защиты и оценка остаточного риска. 1.4. Методы оценки целесообразности затрат на обеспечение безопасности К методу оценки целесообразности затрат на обеспечение безопасности АС предъявляются определенные требования: • метод должен обеспечивать количественную оценку затрат на безопас- ность АС, используя качественные показатели оценки вероятностей событий и их последствий;
Доступ онлайн
В корзину