Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Методы и средства защиты информации

Содержание

Классификация угроз информационной безопасностиУгроза информационной безопасности (ИБ) – потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.Попытка реализации угрозы называется атакой.Классификация угроз ИБ можно выполнить по нескольким критериям:по аспекту ИБ
Информационная безопасностьОбзорная лекция к междисциплинарному экзамену (специализация «Информационная безопасность в коммерческих структурах») Классификация угроз информационной безопасностиУгроза информационной безопасности (ИБ) – потенциально возможное событие, действие, Классификация угроз ИБ по базовым свойствам информацииВне зависимости от конкретных видов угроз Примеры реализации угроз (угроза нарушения конфиденциальности)ПредметнаяПредметная информация содержит информацию, раскрытие которой может Примеры реализации угроз (угроза нарушения конфиденциальности)Средствами атаки могут служить различные технические средства Примеры реализации угроз (угроза нарушения целостности данных)Одними из наиболее часто реализуемых угроз Примеры реализации угроз (угроза отказа доступа)Отказ служб (отказа в доступе к ИС) Основные принципы обеспечения информационной безопасностиИнформационная безопасность может быть обеспечена при соблюдении следующих Понятие политики безопасностиПолитика безопасности – совокупность документированных решений, принимаемых на разных уровнях Рекомендации к составу политики безопасности Рекомендации к составу политики безопасности (продолжение) Административный уровень защиты информацииПод административным уровнем информационной безопасности относятся действия общего характера, Политика безопасности (верхний уровень)Решения принимаемые на верхнем уровне определяют наиболее общие подходы Политика безопасности (средний уровень)К данному уровню относятся вопросы отдельных аспектов информационной безопасности, Политика безопасности (нижний уровень)Политика безопасности организации на нижнем уровне относится к конкретным Административный уровень защиты информацииПосле формулирования политики безопасности, составляется программа обеспечения информационной безопасности.Программа Программа верхнего уровняПрограмму верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. Программы служебного уровняЦель программы нижнего уровня – обеспечить надежную и экономичную защиту Синхронизация программы безопасности с жизненным циклом системыВ жизненном цикле информационного сервиса можно Управление доступомК числу мер обеспечения безопасности относится управление доступом.Управление доступом позволяет разграничить Основные типы политики управления доступом.Одним из сужений политики безопасности является политика безопасности Модель произвольного доступа (дискреционная модель)В основе дискреционной модели управления доступом лежат следующие Модель принудительного доступа (мандатная модель)Мандатное управление доступом, включает следующие требования:Все субъекты и Модель принудительного доступа (мандатная модель)Основная цель мандатной политики — предотвращение утечки информации Контроль прав доступаПри реализации политики безопасности на уровне доступа в информационной системе Процедурный уровень информационной безопасностисовокупность организационных мер безопасности, ориентированных на людей и направленных Основные классы мер процедурного уровняУправление персоналомФизическая защитаПоддержание работоспособности ИСРеагирование на нарушения режима безопасностиПланирование восстановительных работ Управление персоналомКомплекс мер, направленных на взаимодействие с сотрудниками организации, обеспечивающее заданный уровень безопасности.Основные принципы:Разделение обязанностейМинимизация привилегий Управление персоналомПринцип разделения обязанностей предписывает распределить роли и ответственности между участниками таким Физическая защитаОсновной принцип физической защиты – ее непрерывность в пространстве и во Физическая защитаМеры физического управления доступом позволяют контролировать и при необходимости ограничивать вход Поддержка работоспособности ИСВыделяется несколько направлений работы системных администраторов для поддержания работоспособности ИС:Поддержка Поддержка работоспособностиПоддержка пользователей – консультирование и помощь пользователям в процессе выполнения работыПоддержка Поддержка работоспособностиРезервное копирование – необходимо для восстановления данных в случае аварии или Поддержка работоспособностиДокументирование – описание выполняемых процедурных, административных или иных мер по обеспечению Планирование восстановительных работВ любой организации возможны аварии, вызванные естественными причинами, халатностью или Планирование восстановительных работЭтапы планирования восстановительных работ:Выявление критически важных функций организации, выставление приоритетовИдентификация Идентификация и аутентификация пользователейИдентификация субъекта в ИС — установление соответствия между множеством Системы аутентификацииРазличают три группы методов аутентификации:Индивидуального объекта заданного типа (удостоверения, пропуска, магнитные Парольные схемы аутентификацииКлассическое средство аутентификации субъекта — парольные схемы. В данной схеме Основные компоненты парольной схемыОсновными компонентами парольной схемы являются:Интерфейс пользователя;Интерфейс администратора;Модуль сопряжения с Использование одноразовых паролейВ современных распределенных системах требуется передача пароля по сети. Если Схемы аутентификации с третьей доверенной сторонойВ распределенных многопользовательских ИС использование криптографических методов Аутентификация KerberosСхема Kerberos предназначена для решения задачи аутентификации в открытой сети с Аутентификация KerberosКлиент C -> Kerberos: c, s, … клиент направляет Kerberos сведения Аудит в информационных системахДля обеспечения защиты данных ИС используются подходы, основанные на Функции и назначение аудитаАудит в ИС позволяет решить следующие задачи:Обеспечение подотчетности пользователей Протоколирование и аудитПри выполнении протоколирования рекомендуется фиксировать следующие события (согласно «Оранжевой книге»):Вход Активный аудитВыделяют активный аудит – выявление подозрительной активности и управление средствами автоматического Активный аудитРазделяют ошибки активного аудита первого и второго рода:Ошибки первого рода – Понятие цифровой подписиИспользование цифровой подписи в электронных документах призвано обеспечить ей ту Механизм формирования электронной цифровой подписи Электронная цифровая подпись (ЭЦП) выполняет роль обычной Законодательный уровень применения цифровой подписи10 января 2002 года был подписан закон «Об Основные понятия законаэлектронный документ - документ, в котором информация представлена в электронно Условия использования электронной цифровой подписиВ законе определены условия равнозначности ЭЦП в электронных Основные этапы разработки защищенной системыПроцесс разработки защищенной информационной системы включает в себя Определение политики безопасностиПри разработке защищенной информационной системы в соответствии с требованиями «Единых Проектирование модели ИСПри проектировании ИС можно выделить следующие методологии построения ИС:Иерархический метод Системы криптографической защиты информацииЗадача средств криптографической защиты информации — преобразование информационных объектов Криптографические средства защиты данныхДля обеспечения защиты информации в распределенных информационных системах активно Использование средств криптографической защиты для предотвращения угроз ИБОбеспечение конфиденциальности данных. Использование криптографических Требования к системам криптографической защитыКриптографические требованияЭффективность применения злоумышленником определяется средней долей дешифрованной Требования к системам криптографической защитыТребования надежности. Средства защиты должны обеспечивать заданный уровень Требования к системам криптографической защитыТребование по защите от несанкционированного доступа для средств Требования к системам криптографической защитыТребование по защите от несанкционированного доступа для средств Требования к системам криптографической защитыТребования к средствам разработки, изготовления и изготовления и
Слайды презентации

Слайд 2 Классификация угроз информационной безопасности
Угроза информационной безопасности (ИБ) –

Классификация угроз информационной безопасностиУгроза информационной безопасности (ИБ) – потенциально возможное событие,

потенциально возможное событие, действие, процесс или явление, которое может

привести к нанесению ущерба чьим-либо интересам.
Попытка реализации угрозы называется атакой.
Классификация угроз ИБ можно выполнить по нескольким критериям:
по аспекту ИБ (доступность, целостность, конфиденциальность);
по компонентам ИС, на которые угрозы нацелены (данные, программа, аппаратура, поддерживающая инфраструктура);
по способу осуществления (случайные или преднамеренные действия природного или техногенного характера);
по расположению источника угроз (внутри или вне рассматриваемой ИС).

Слайд 3 Классификация угроз ИБ по базовым свойствам информации
Вне зависимости

Классификация угроз ИБ по базовым свойствам информацииВне зависимости от конкретных видов

от конкретных видов угроз информационная система должна обеспечивать базовые

свойства информации и систем ее обработки. Для автоматизированных ИС рассматриваются три основных вида угроз:
угроза нарушения конфиденциальности;
угроза нарушения целостности;
угроза отказа служб (отказа в доступе).

Слайд 4 Примеры реализации угроз (угроза нарушения конфиденциальности)

Предметная
Предметная информация содержит

Примеры реализации угроз (угроза нарушения конфиденциальности)ПредметнаяПредметная информация содержит информацию, раскрытие которой

информацию, раскрытие которой может привести к ущербу (экономическому, моральному)

организации или лица.



Часть информации, хранящейся и обрабатываемой в ИС, должна быть сокрыта от посторонних. Передача данной информации может нанести ущерб как организации, так и самой информационной системе.


Слайд 5 Примеры реализации угроз (угроза нарушения конфиденциальности)
Средствами атаки могут

Примеры реализации угроз (угроза нарушения конфиденциальности)Средствами атаки могут служить различные технические

служить различные технические средства (подслушивание разговоров, сети), другие способы

(несанкционированная передача паролей доступа и т.п.).
Важный аспект при предотвращении угрозы конфиденциальности – непрерывность защиты данных на всем жизненном цикле ее хранения и обработки. Пример реализации угрозы – доступное хранение резервных копий данных.

Слайд 6 Примеры реализации угроз (угроза нарушения целостности данных)
Одними из

Примеры реализации угроз (угроза нарушения целостности данных)Одними из наиболее часто реализуемых

наиболее часто реализуемых угроз ИБ являются кражи и подлоги.

Целостность информации может быть разделена на статическую и динамическую.
Примерами нарушения статической целостности являются:
ввод неверных данных;
несанкционированное изменение данных;
изменение программного модуля вирусом;
Примеры нарушения динамической целостности:
нарушение атомарности транзакций;
дублирование данных;
внесение дополнительных пакетов в сетевой трафик.

Слайд 7 Примеры реализации угроз (угроза отказа доступа)
Отказ служб (отказа

Примеры реализации угроз (угроза отказа доступа)Отказ служб (отказа в доступе к

в доступе к ИС) относится к одним из наиболее

часто реализуемых угроз ИБ. Относительно компонент ИС данный класс угроз может быть разбит на следующие типы:
отказ пользователей (нежелание, неумение работать с ИС);
внутренний отказ информационной системы (ошибки при переконфигурировании системы, отказы программного и аппаратного обеспечения, разрушение данных);
отказ поддерживающей инфраструктуры (нарушение работы систем связи, электропитания, разрушение и повреждение помещений).

Слайд 8 Основные принципы обеспечения информационной безопасности
Информационная безопасность может быть

Основные принципы обеспечения информационной безопасностиИнформационная безопасность может быть обеспечена при соблюдении

обеспечена при соблюдении следующих принципов:
Системности;
Комплексности;
Непрерывности защиты;
Разумной достаточности;
Гибкости управления и

применения;
Открытости алгоритмов и механизмов защиты;
Простоты применения защитных мер и средств.

Слайд 9 Понятие политики безопасности
Политика безопасности – совокупность документированных решений,

Понятие политики безопасностиПолитика безопасности – совокупность документированных решений, принимаемых на разных

принимаемых на разных уровнях управления и направленных на защиту

информации и ассоциированных с ней ресурсов.
ИС предприятия и связанные с ней субъекты представляют собой сложную систему, для рассмотрения которой рекомендуют применять объектно-ориентированный подход и понятие уровней детализации.
При формировании документированных решений разделяют несколько уровней управления:
верхний – выносится управление защитными ресурсами и координация использования данных ресурсов;
средний – выносятся вопросы, касающиеся отдельных аспектов информационной безопасности;
нижний – вопросы относящиеся к конкретным сервисам ИС.

Слайд 10 Рекомендации к составу политики безопасности
"Общие критерии оценки безопасности

Рекомендации к составу политики безопасности

информационных технологий", версия 2.0 от 22 мая 1998 г.

Британского стандарта BS7799:1995. рекомендует включать в документ, характеризующий политику информационной безопасности организации, следующие пункты:
вводный, подтверждающий заинтересованность высшего руководства проблемами информационной безопасности;
организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
классификационный, описывающий имеющиеся на предприятии материальные и информационные ресурсы и необходимый уровень их защиты;
штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения, порядок реагирования на нарушение режима и т.д.);


Слайд 11 Рекомендации к составу политики безопасности (продолжение)
"Общие критерии оценки

Рекомендации к составу политики безопасности (продолжение)

безопасности информационных технологий", версия 2.0 от 22 мая 1998

г. Британского стандарта BS7799:1995. рекомендует включать в документ, характеризующий политику информационной безопасности организации, следующие пункты:
раздел, освещающий вопросы физической защиты информации;
раздел управления, описывающий подход к управлению компьютерами и сетями передачи данных;
раздел, описывающий правила разграничения доступа к производственной информации;
раздел, описывающий порядок разработки и внедрения систем;
раздел, описывающий меры, направленные на обеспечение непрерывной работы организации (доступности информации);
юридический раздел, подтверждающий соответствие политики информационной безопасности текущему законодательству.


Слайд 12 Административный уровень защиты информации
Под административным уровнем информационной безопасности

Административный уровень защиты информацииПод административным уровнем информационной безопасности относятся действия общего

относятся действия общего характера, предпринимаемые руководством организации к обеспечению

защиты информации.
Главная цель – формирование политики безопасности, отражающей подход организации к защите данных.
Политика безопасности административного уровня – совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.
Выработку политики безопасности и ее содержание рассматривают на трех горизонтальных уровнях детализации:
Верхний уровень, относящийся к организации в целом
Средний уровень – вопросы, касающиеся отдельных аспектов ИБ
Низкий уровень – вопросы относящиеся к конкретным сервисам

Слайд 13 Политика безопасности (верхний уровень)
Решения принимаемые на верхнем уровне

Политика безопасности (верхний уровень)Решения принимаемые на верхнем уровне определяют наиболее общие

определяют наиболее общие подходы к защите информации и исходят,

как правило, от руководства организации.
Типовой список решений:
Формирование или изменение комплексной программы обеспечения безопасности
Формулирование целей организации в области ИБ, определение направлений в достижении данных целей
Обеспечение документальной базы для соблюдения законов и правил
Формулирование административных решений по вопросам реализации программы безопасности
В политике верхнего уровня определяются обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь.

Слайд 14 Политика безопасности (средний уровень)
К данному уровню относятся вопросы

Политика безопасности (средний уровень)К данному уровню относятся вопросы отдельных аспектов информационной

отдельных аспектов информационной безопасности, например, определение политики доступа к

ресурсам Интернет, использование неофициального ПО.
Политика среднего уровня для каждого аспекта определяет:
Описание аспекта
Область применения
Позиция организации по данному вопросу
Роли и обязанности
Законопослушность
Точки контакта

Слайд 15 Политика безопасности (нижний уровень)
Политика безопасности организации на нижнем

Политика безопасности (нижний уровень)Политика безопасности организации на нижнем уровне относится к

уровне относится к конкретным информационным сервисам. Она включает два

аспекта – цели и правила их достижения.
На данном уровне политика безопасности должна быть прописана наиболее формально и детализировано.
Формулирование целей политики безопасностей нижнего уровня исходят из соображений целостности, доступности и конфиденциальности данных.
Из целей безопасности выводятся правила безопасности, описывающие условия, объекты и средства защиты.

Слайд 16 Административный уровень защиты информации
После формулирования политики безопасности, составляется

Административный уровень защиты информацииПосле формулирования политики безопасности, составляется программа обеспечения информационной

программа обеспечения информационной безопасности.
Программа безопасности также структурируется по уровням.

В простом случае достаточно двух уровней:
верхнего (центрального) – охватывающего всю организацию;
нижнего (служебного) – относящегося к отдельным услугам или группам однородных сервисов.

Слайд 17 Программа верхнего уровня
Программу верхнего уровня возглавляет лицо, отвечающее

Программа верхнего уровняПрограмму верхнего уровня возглавляет лицо, отвечающее за информационную безопасность

за информационную безопасность организации. Цели такой программы:
Управление рисками (оценка

рисков, выбор эффективных решений);
Координация деятельности в области информационной безопасности
Стратегическое планирование
Контроль деятельности в области информационной безопасности.
Контроль деятельности в области ИБ должен гарантировать, во-первых, что действия организации не противоречат законам, во-вторых, что состояние безопасности в организации соответствует требованиям и реагировать на случаи нарушений.


Слайд 18 Программы служебного уровня
Цель программы нижнего уровня – обеспечить

Программы служебного уровняЦель программы нижнего уровня – обеспечить надежную и экономичную

надежную и экономичную защиту конкретного сервиса или группы однородных

сервисов.
На нижнем уровне осуществляется выбор механизмов защиты, технических и программных средств.
Ответственность за реализацию программ нижнего уровня обычно несут администраторы соответствующих сервисов.

Слайд 19 Синхронизация программы безопасности с жизненным циклом системы
В жизненном

Синхронизация программы безопасности с жизненным циклом системыВ жизненном цикле информационного сервиса

цикле информационного сервиса можно выделить следующие этапы:
инициация, определяются потребности

в новом сервисе, документируется его назначение;
приобретение (разработка), составляется спецификация, варианты приобретения или разработки, собственно приобретение;
установка (внедрение), сервис устанавливается, конфигурируется, тестируется и вводится в эксплуатацию;
эксплуатация, работа в штатном и регламентном режиме;
утилизация (выведение из эксплуатации).
Для обеспечения безопасной работы сервиса в рамках информационной системы на всех этапах жизненного цикла должны быть рассмотрены вопросы:
Какая информация предназначена для обслуживания?
Какие возможные последствия от реализации угроз ИБ а данном сервисе?
Каковы особенности данного сервиса?
Каковы характеристики персонала, имеющие отношения к информационной безопасности?

Слайд 20 Управление доступом
К числу мер обеспечения безопасности относится управление

Управление доступомК числу мер обеспечения безопасности относится управление доступом.Управление доступом позволяет

доступом.
Управление доступом позволяет разграничить доступ субъектов к информационным объектам

системы.

Слайд 21 Основные типы политики управления доступом.
Одним из сужений политики

Основные типы политики управления доступом.Одним из сужений политики безопасности является политика

безопасности является политика безопасности при управлении доступом к информационным

объектам.
Политика безопасности на уровне управления доступом включает:
Множество объектов системы Oj – пассивных сущностей и субъектов системы Sj – активных сущностей
Множество возможных действий над объектами R
Для каждой пары «объект, субъект» (Sj, Oj) множество разрешенных операций, являющееся подмножеством множества возможных операций.


Слайд 22 Модель произвольного доступа (дискреционная модель)
В основе дискреционной модели

Модель произвольного доступа (дискреционная модель)В основе дискреционной модели управления доступом лежат

управления доступом лежат следующие положения:
Все субъекты и объекты должны

быть идентифицированы;
Права доступа субъекта к объекту системы определяются на основании некоторого внешнего правила.
Отношения «субъекты-объекты» можно представить в виде матрицы доступа, в строках которой перечислены субъекты, в столбцах объекты ИС, а в клетках, на пересечении строк и столбцов, записаны дополнительные условия и разрешенные виды доступа.
Достоинство модели — относительно простая реализация соответствующих механизмов защиты.
Недостаток — статичность модели. Кроме того, возникает вопрос определения правил распространения прав доступа и анализа их влияния на безопасность ИС.


Слайд 23 Модель принудительного доступа (мандатная модель)
Мандатное управление доступом, включает

Модель принудительного доступа (мандатная модель)Мандатное управление доступом, включает следующие требования:Все субъекты

следующие требования:
Все субъекты и объекты ИС должны быть однозначны

идентифицированы;
Задан линейно упорядоченный набор меток секретности;
Каждому объекту системы присвоена метка секретности, определяющая ценность содержащей в ней информации — уровень секретности;
Каждому субъекту системы присвоена метка секретности, определяющая уровень к нему ИС — максимальное значение метки секретности объектов, к которым субъект имеет доступ; метка секретности субъекта называется его уровнем доступа.

Слайд 24 Модель принудительного доступа (мандатная модель)
Основная цель мандатной политики

Модель принудительного доступа (мандатная модель)Основная цель мандатной политики — предотвращение утечки

— предотвращение утечки информации от объектов с высоким доступа

к объектам низким уровнем доступа.
Важное достоинство мандатной модели – формальное доказательство утверждения: если начальное состояние системы безопасно, и все переходы системы из состояния в состояние не нарушает ограничений, сформулированных политикой безопасности, то любое состояние системы безопасно.
Недостаток мандатной модели – сложность реализации. Множество операций ограничивается операциями чтения (поток данных направлен от объекта к субъекту) и записи (поток направлен от субъекта к объекту).


Слайд 25 Контроль прав доступа
При реализации политики безопасности на уровне

Контроль прав доступаПри реализации политики безопасности на уровне доступа в информационной

доступа в информационной системе должен существовать модуль, обеспечивающий выполнение

операций доступа на основе построенной политики безопасности – монитор безопасности.
Задача монитора безопасности – контролировать выполнение операций в соответствии с определенной политикой безопасности.

Слайд 26 Процедурный уровень информационной безопасности
совокупность организационных мер безопасности, ориентированных

Процедурный уровень информационной безопасностисовокупность организационных мер безопасности, ориентированных на людей и

на людей и направленных на обеспечение заданного уровня информационной

безопасности

Слайд 27 Основные классы мер процедурного уровня
Управление персоналом
Физическая защита
Поддержание работоспособности

Основные классы мер процедурного уровняУправление персоналомФизическая защитаПоддержание работоспособности ИСРеагирование на нарушения режима безопасностиПланирование восстановительных работ

ИС
Реагирование на нарушения режима безопасности
Планирование восстановительных работ


Слайд 28 Управление персоналом
Комплекс мер, направленных на взаимодействие с сотрудниками

Управление персоналомКомплекс мер, направленных на взаимодействие с сотрудниками организации, обеспечивающее заданный уровень безопасности.Основные принципы:Разделение обязанностейМинимизация привилегий

организации, обеспечивающее заданный уровень безопасности.
Основные принципы:
Разделение обязанностей
Минимизация привилегий


Слайд 29 Управление персоналом
Принцип разделения обязанностей предписывает распределить роли и

Управление персоналомПринцип разделения обязанностей предписывает распределить роли и ответственности между участниками

ответственности между участниками таким образом, чтобы один человек не

мог нарушить критически важный процесс. Разделение выполнения критически важных действий позволяет уменьшить вероятность ошибок и злоупотреблений
Минимизация привилегий предполагает выделение пользователю только тех прав, что необходимы ему для выполнения служебных обязанностей. Задача данного принципа уменьшить ущерб от случайных или умышленных некорректных операций

Слайд 30 Физическая защита
Основной принцип физической защиты – ее непрерывность

Физическая защитаОсновной принцип физической защиты – ее непрерывность в пространстве и

в пространстве и во времени. Для физической защиты не

должно существовать «окон опасности»
Включает в себя несколько направлений:
Физическое управление доступом
Противопожарные меры
Защита поддерживающей инфраструктуры
Защита от перехвата данных
Защита мобильных систем

Слайд 31 Физическая защита
Меры физического управления доступом позволяют контролировать и

Физическая защитаМеры физического управления доступом позволяют контролировать и при необходимости ограничивать

при необходимости ограничивать вход и выход сотрудников и посетителей.
Противопожарные

меры позволяют избежать потерь при предупреждении, возникновении и ликвидации пожаров
Поддерживающая инфраструктура – электро-, водо- и теплоснабжение, кондиционеры и средства коммуникаций. К данным системам применимы те же требования целостности и доступности, что и для информационных систем


Слайд 32 Поддержка работоспособности ИС
Выделяется несколько направлений работы системных администраторов

Поддержка работоспособности ИСВыделяется несколько направлений работы системных администраторов для поддержания работоспособности

для поддержания работоспособности ИС:
Поддержка пользователей
Поддержка программного обеспечения
Конфигурационное управление
Резервное копирование
Управление

носителями
Документирование
Регламентные работы

Слайд 33 Поддержка работоспособности
Поддержка пользователей – консультирование и помощь пользователям

Поддержка работоспособностиПоддержка пользователей – консультирование и помощь пользователям в процессе выполнения

в процессе выполнения работы
Поддержка программного обеспечения – организация работ

по контролю за используемым ПО, его своевременное обновление, контроль за неавторизованным изменением ПО и доступа к ним
Конфигурационное управление – контроль за изменениями вносимыми в программную конфигурацию

Слайд 34 Поддержка работоспособности
Резервное копирование – необходимо для восстановления данных

Поддержка работоспособностиРезервное копирование – необходимо для восстановления данных в случае аварии

в случае аварии или другой причины
Управление носителями – обеспечивает

физической защиты и учета дискет, лент, выдачи печатных форм и т.п. Обеспечивает конфиденциальность, целостность и доступность информации. Управление носителями должно охватывать весь жизненный цикл.

Слайд 35 Поддержка работоспособности
Документирование – описание выполняемых процедурных, административных или

Поддержка работоспособностиДокументирование – описание выполняемых процедурных, административных или иных мер по

иных мер по обеспечению ИБ.
Регламентные работы – одна из

возможных угроз ИБ. Сотрудник, выполняющий регламентные работы, получает исключительный доступ к ИС. Проведение регламентных работ должно выполняться под контролем со стороны службы ИБ.

Слайд 36 Планирование восстановительных работ
В любой организации возможны аварии, вызванные

Планирование восстановительных работВ любой организации возможны аварии, вызванные естественными причинами, халатностью

естественными причинами, халатностью или некомпетентностью персонала или действиями злоумышленника.

В любой организации существуют критически важные процессы, которые должны быть восстановлены в первую очередь.
В организации должен существовать план выполнения восстановительных работ при реализации угроз, препятствующих выполнению критически важных функций


Слайд 37 Планирование восстановительных работ
Этапы планирования восстановительных работ:
Выявление критически важных

Планирование восстановительных работЭтапы планирования восстановительных работ:Выявление критически важных функций организации, выставление

функций организации, выставление приоритетов
Идентификация ресурсов, для выполнения критически важных

функций
Определение перечня возможных аварий
Разработка стратегии восстановительных работ
Подготовка к реализации выбранной стратегии
Проверка стратегии

Слайд 38 Идентификация и аутентификация пользователей
Идентификация субъекта в ИС —

Идентификация и аутентификация пользователейИдентификация субъекта в ИС — установление соответствия между

установление соответствия между множеством сущностей системы и множеством идентификаторов.
Аутентификации

— процесс проверки подлинности предъявленного идентификатора.
Аутентификация бывает односторонней и двусторонней (взаимной).
При двусторонней аутентификации выделяют:
Аутентификации субъекта решает задачу установления подлинности идентификатора, предъявляемого субъектом взаимодействия и используется при доступе к ресурсам.
Аутентификация объекта устанавливает подлинность идентификатора некоторого объекта. В качестве доказательства подлинности обычно используется подтверждением того, что источником данного объекта является владелец указанного идентификатора.

Слайд 39 Системы аутентификации
Различают три группы методов аутентификации:
Индивидуального объекта заданного

Системы аутентификацииРазличают три группы методов аутентификации:Индивидуального объекта заданного типа (удостоверения, пропуска,

типа (удостоверения, пропуска, магнитные карты, токены и т.п.);
Знание некоторой

известной только ему и проверяющей стороне информации (парольные схемы);
Индивидуальных биометрических характеристик пользователя (использование отпечатков пальцев, радужной оболочки глаза и т.п.).
Если в процедуре аутентификации участвуют две стороны, то такая схема называется непосредственной аутентификацией. Если же в процессе участвуют вспомогательные стороны, говорят об аутентификации с участием доверенной стороны. Третью сторону называют сервером аутентификации.

Слайд 40 Парольные схемы аутентификации
Классическое средство аутентификации субъекта — парольные

Парольные схемы аутентификацииКлассическое средство аутентификации субъекта — парольные схемы. В данной

схемы. В данной схеме претендент предъявляет пароль, а верификатор

сравнивает этот пароль с имеющимся у него множеством паролей.
Достоинство парольной аутентификации – простота применения и понятность для пользователя.
Недостаток парольной схемы — возможность несанкционированного доступа к паролям, хранимым в памяти компьютера и большая вероятность подбора пароля.
Один из способов защиты при передаче пароля — криптографическое преобразование перед передачей, например, с помощью хэш-фукнции.

Слайд 41 Основные компоненты парольной схемы
Основными компонентами парольной схемы являются:
Интерфейс

Основные компоненты парольной схемыОсновными компонентами парольной схемы являются:Интерфейс пользователя;Интерфейс администратора;Модуль сопряжения

пользователя;
Интерфейс администратора;
Модуль сопряжения с другими подсистемами безопасности;
База данных учетных

записей.
Хранение паролей может быть осуществлено в виде:
В открытом виде;
В виде сверток (хеширование)
Зашифрованном на некотором ключе.

Слайд 42 Использование одноразовых паролей
В современных распределенных системах требуется передача

Использование одноразовых паролейВ современных распределенных системах требуется передача пароля по сети.

пароля по сети. Если информация не будет защищена, то

возникает угроза ее перехвата и использования злоумышленником.
Один из вариантов защиты – использование одноразовых паролей (схема S/Key):
В процессе аутентификации используется односторонняя функция f, данная функция известна пользователю и серверу аутентификации
Задан ключ K, известный только пользователю
На этапе начального администрирования функция f применяется к ключу K n раз, результат сохраняется на сервер
Во время аутентификации сервер присылает на пользовательскую систему число (n-1)
Пользователь применяет функцию f к секретному числу (n-1) раз и отправляет результат серверу
Сервер применяет функцию f к полученному от пользователя значению и сравнивает с ранее сохраненной величиной. В случае совпадения подлинность считается установленной, сервер запоминает присланное значение и уменьшает на единицу счетчик.

Слайд 43 Схемы аутентификации с третьей доверенной стороной
В распределенных многопользовательских

Схемы аутентификации с третьей доверенной сторонойВ распределенных многопользовательских ИС использование криптографических

ИС использование криптографических методов при аутентификации субъектов затруднено в

силу того, что каждый верификатор (сервер, хост и т.д.) должен иметь копию ключа и информацию о пользователе данного ключа.
Эта проблема устраняется за счет использования специального сервера аутентификации – третьей доверенной стороны, с которой разделяют ключи шифрования каждый пользователь и каждый верификатор.
Пример схемы аутентификации с третьей доверенной стороной – схема Kerberos.

Слайд 44 Аутентификация Kerberos
Схема Kerberos предназначена для решения задачи аутентификации

Аутентификация KerberosСхема Kerberos предназначена для решения задачи аутентификации в открытой сети

в открытой сети с использованием третьей доверенной стороны.
Чтобы получить

доступ к серверу S, клиент C посылает Kerberos запрос, содержащий сведения о клиенте и запрашиваемой услуге. В ответ Kerberos возвращает так называемый билет, зашифрованный секретным ключом сервера и копию части информации из билета, зашифрованного секретным ключом клиента. Клиент расшифровывает вторую порцию данных и пересылает ее вместе с билетом серверу. Сервер, расшифровав билет, сравнивает с дополнительной информацией, присланной клиентом. Совпадение будет свидетельствовать о том, что клиент смог расшифровать данные присланные ему Kerberos и тем подтверждает знание секретного ключа и свою подлинность.
В схеме Kerberos сами секретные ключи не передаются по сети, они используются только в процессе шифрования.



Слайд 45 Аутентификация Kerberos
Клиент C -> Kerberos: c, s, …

Аутентификация KerberosКлиент C -> Kerberos: c, s, … клиент направляет Kerberos

клиент направляет Kerberos сведения о себе и запрашиваемом сервере
Kerberos

-> клиент С: {d1}Kc, {Tc.s} Ks Kerberos возвращает билет, зашифрованный ключом сервера и дополнительную информацию, зашифрованную ключом клиента
Клиент C -> сервер S: d2, {Tc.s} Ks клиент направляет на сервер билет и дополнительную информацию



Слайд 46 Аудит в информационных системах
Для обеспечения защиты данных ИС

Аудит в информационных системахДля обеспечения защиты данных ИС используются подходы, основанные

используются подходы, основанные на фиксации и анализе событий, происходящих

в информационной системе.
Протоколирование – сбор и накопление информации о событиях ИС (внешних, внутренних, клиентских)
Аудит – анализ накопленной информации, проводимый оперативно или периодически.

Слайд 47 Функции и назначение аудита
Аудит в ИС позволяет решить

Функции и назначение аудитаАудит в ИС позволяет решить следующие задачи:Обеспечение подотчетности

следующие задачи:
Обеспечение подотчетности пользователей и администраторов ИС;
Обеспечение реконструкции последовательности

событий;
Обнаружение попыток нарушений ИБ;
Предоставление информации для выявления и анализа проблем.

Слайд 48 Протоколирование и аудит
При выполнении протоколирования рекомендуется фиксировать следующие

Протоколирование и аудитПри выполнении протоколирования рекомендуется фиксировать следующие события (согласно «Оранжевой

события (согласно «Оранжевой книге»):
Вход в систему
Выход из системы
Обращение к

удаленной системе
Операции с файлами
Смена привилегий или иных атрибутов безопасности
В базу данных фиксируемых событий записывается следующая информация:
Дата и время события
Уникальный идентификатор субъекта – инициатора события
Результат события
Источник запроса
Имена объектов
Описание изменений, внесенных в базу данных защиты



Слайд 49 Активный аудит
Выделяют активный аудит – выявление подозрительной активности

Активный аудитВыделяют активный аудит – выявление подозрительной активности и управление средствами

и управление средствами автоматического реагирования на нее
Активность противоречащую политике

безопасности разделяют:
Атаки, направленные на незаконное получение полномочий
Действия, выполняемые в рамках полномочий, но нарушающие политику безопасности (злоупотребление полномочиями)

Слайд 50 Активный аудит
Разделяют ошибки активного аудита первого и второго

Активный аудитРазделяют ошибки активного аудита первого и второго рода:Ошибки первого рода

рода:
Ошибки первого рода – пропуск атак
Ошибки второго рода –

ложные срабатывания
Методы активного аудита:
Сигнатурный – на основе определения сигнатуры атаки (совокупность условий при которых считается, что атака имеет место) – велики ошибки первого рода (неумение обнаруживать неизвестные атаки)
Статистический – на основе анализа выполняемых действий субъектов – велики ошибки второго рода

Слайд 51 Понятие цифровой подписи
Использование цифровой подписи в электронных документах

Понятие цифровой подписиИспользование цифровой подписи в электронных документах призвано обеспечить ей

призвано обеспечить ей ту же роль, что и обычная

подпись на бумажных документах – подтверждение подлинности и актуальности передаваемых сообщений.
Получатель сообщения (или третья доверенная сторона) с помощью существующего ключа может удостоверится в подлинности автора сообщений.
При разработке алгоритма цифровой подписи решаются две основных задачи:
механизм формирования подпись должна гарантировать невозможность подделки;
должен существовать механизм проверки принадлежности подписи указанному владельцу.

Слайд 52 Механизм формирования электронной цифровой подписи
Электронная цифровая подпись

Механизм формирования электронной цифровой подписи Электронная цифровая подпись (ЭЦП) выполняет роль

(ЭЦП) выполняет роль обычной подписи в электронных документах для

подтверждения подлинности сообщений – данные присоединяются к передаваемому сообщению, подтверждая подлинность отправителя сообщения
При формировании цифровой подписи по классической схеме отправитель:
Применяет к исходному тексту хэш-функцию
Дополняет хэш-образ до длины, требуемой в алгоритме создания ЭЦП
Вычисляет ЭЦП по хэш-образу с использованием секретного ключа создания подписи
Получатель, получив подписанное сообщение, отделяет цифровую подпись от основного текста и выполняет проверку:
Применяет к тексту полученного сообщения хэш-функцию
Дополняет хэш-образ до требуемой длины
Проверяет соответствие хэш-образа сообщения полученной цифровой подписи с использованием открытого ключа проверки подписи

Слайд 53 Законодательный уровень применения цифровой подписи
10 января 2002 года

Законодательный уровень применения цифровой подписи10 января 2002 года был подписан закон

был подписан закон «Об электронной цифровой подписи».
Статья 1. Цель

и сфера применения настоящего Федерального закона

1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
2. Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско - правовых сделок и в других предусмотренных законодательством Российской Федерации случаях.
Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.


Слайд 54 Основные понятия закона
электронный документ - документ, в котором

Основные понятия законаэлектронный документ - документ, в котором информация представлена в

информация представлена в электронно - цифровой форме;
электронная цифровая подпись

- реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);
средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной;
сертификат средств электронной цифровой подписи ;
закрытый ключ электронной цифровой подписи;
открытый ключ электронной цифровой подписи;
сертификат ключа подписи;
подтверждение подлинности электронной цифровой подписи в электронном документе;
пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи;
информационная система общего пользования;
корпоративная информационная система.

Слайд 55 Условия использования электронной цифровой подписи
В законе определены условия

Условия использования электронной цифровой подписиВ законе определены условия равнозначности ЭЦП в

равнозначности ЭЦП в электронных документах собственноручной подписи на бумажном

носителе, содержание сертификата ЭЦП, сроки и порядок хранения сертификатов.
Закон определяет задачи и функции удостоверяющих центров, требования к их функционированию.
В законе определены особенности использования ЭЦП в сфере государственного управления, в корпоративных информационных системах.

Слайд 56 Основные этапы разработки защищенной системы
Процесс разработки защищенной информационной

Основные этапы разработки защищенной системыПроцесс разработки защищенной информационной системы включает в

системы включает в себя следующие этапы:
определение политики безопасности;
проектирование модели

ИС;
разработка кода ИС;
обеспечение гарантий соответствия реализации заданной политике безопасности.

Слайд 57 Определение политики безопасности
При разработке защищенной информационной системы в

Определение политики безопасностиПри разработке защищенной информационной системы в соответствии с требованиями

соответствии с требованиями «Единых критериев безопасности информационных технологий» необходимо

формирование следующих документов:
Задачи защиты – потребности потребителей ИТ-продукта в противостоянии к заданному множеству угроз безопасности;
Профиль защиты – специальный нормативный документ, представляющий собой совокупность задач защиты, функциональных требований, требований адекватности и их обоснование;
Проект защиты – специальный нормативный документ, представляющий собой совокупность задач защиты, функциональных требований, общих спецификаций средств защиты и их обоснование.

Слайд 58 Проектирование модели ИС
При проектировании ИС можно выделить следующие

Проектирование модели ИСПри проектировании ИС можно выделить следующие методологии построения ИС:Иерархический

методологии построения ИС:
Иерархический метод разработки;
Исследование корректности и верификации.
Иерархический метод

разработки на основе принципа абстракции предполагает ведение разработки двумя путями:
«Снизу-вверх» - проектирование от аппаратуры к виртуальной машине;
«сверху - вниз» - проектирование от виртуальной машины, представляющей ИС, с требуемыми свойствами, и последовательно разрабатываются слои виртуальной системы вплоть до аппаратуры.
Структурный принцип
Принцип модульного проектирования заключается в разделении программ на функционально самостоятельные части, обеспечивающие заменяемость, кодификацию и т.д.

Слайд 59 Системы криптографической защиты информации
Задача средств криптографической защиты информации

Системы криптографической защиты информацииЗадача средств криптографической защиты информации — преобразование информационных

— преобразование информационных объектов с помощью некоторого обратимого математического

алгоритма.
Процесс шифрования использует в качестве входных параметров объект – открытый текст и объект – ключ, а результат преобразования — объект – зашифрованный текст. При дешифровании выполняется обратный процесс.
Криптографическому методу в ИС соответствует некоторый специальный алгоритм. При выполнении данного алгоритма используется уникальное числовое значение – ключ.
Знание ключа позволяет выполнить обратное преобразование и получить открытое сообщения.
Стойкость криптографической системы определяется используемыми алгоритмами и степенью секретности ключа.


Слайд 60 Криптографические средства защиты данных
Для обеспечения защиты информации в

Криптографические средства защиты данныхДля обеспечения защиты информации в распределенных информационных системах

распределенных информационных системах активно применяются криптографические средства защиты информации.
Сущность

криптографических методов заключается в следующем:

Отправитель

Получатель



Слайд 61 Использование средств криптографической защиты для предотвращения угроз ИБ
Обеспечение

Использование средств криптографической защиты для предотвращения угроз ИБОбеспечение конфиденциальности данных. Использование

конфиденциальности данных. Использование криптографических алгоритмов позволяет предотвратить утечку информации.

Отсутствие ключа у «злоумышленника» не позволяет раскрыть зашифрованную информацию;
Обеспечение целостности данных. Использование алгоритмов несимметричного шифрования и хэширования делает возможным создание способа контроля целостности информации.
Электронная цифровая подпись. Позволяет решить задачу отказа от информации.
Обеспечение аутентификации. Криптографические методы используются в различных схемах аутентификации в распределенных системах (Kerberos, S/Key и др.).


Слайд 62 Требования к системам криптографической защиты
Криптографические требования
Эффективность применения злоумышленником

Требования к системам криптографической защитыКриптографические требованияЭффективность применения злоумышленником определяется средней долей

определяется средней долей дешифрованной информации, являющейся средним значением отношения

количества дешифрованной информации к общему количеству шифрованной информации, подлежащей дешифрованию, и трудоемкостью дешифрования единицы информации, измеряемой Q числом элементарных опробований.
Под элементарными опробованиями понимается операция над двумя n-разрядными двоичными числами. При реализации алгоритма дешифрования может быть использован гипотетический вычислитель, объем памяти которого не превышает M двоичных разрядов. За одно обращение к памяти может быть записано по некоторому адресу или извлечено не более n бит информации. Обращение к памяти по трудоемкости приравнивается к элементарному опробованию.
За единицу информации принимается общий объем информации обработанной на одном средстве криптографической защиты в течении единицы времени. Атака злоумышленника является успешной, если объем полученной открытой информации больше некоторого заданного объема V.

Слайд 63 Требования к системам криптографической защиты
Требования надежности.
Средства защиты

Требования к системам криптографической защитыТребования надежности. Средства защиты должны обеспечивать заданный

должны обеспечивать заданный уровень надежности применяемых криптографических преобразований информации,

определяемый значением допустимой вероятности неисправностей или сбоев, приводящих к получению злоумышленником дополнительной информации о криптографических преобразованиях.
Ремонт и сервисное обслуживание средств криптографической защиты не должно приводить к ухудшению свойств средств в части параметров надежности.

Слайд 64 Требования к системам криптографической защиты
Требование по защите от

Требования к системам криптографической защитыТребование по защите от несанкционированного доступа для

несанкционированного доступа для средств криптографической информации в составе информационных

систем.
В автоматизированных информационных системах, для которых реализованы программные или аппаратные средства криптографических защиты информации, при хранении и обработке информации должны быть предусмотрены следующие основные механизмы защиты:
идентификация и аутентификация пользователей и субъектов доступа;
управление доступом;
обеспечения целостности;
регистрация и учет.


Слайд 65 Требования к системам криптографической защиты
Требование по защите от

Требования к системам криптографической защитыТребование по защите от несанкционированного доступа для

несанкционированного доступа для средств криптографической информации в составе информационных

систем.
В автоматизированных информационных системах, для которых реализованы программные или аппаратные средства криптографических защиты информации, при хранении и обработке информации должны быть предусмотрены следующие основные механизмы защиты:
идентификация и аутентификация пользователей и субъектов доступа;
управление доступом;
обеспечения целостности;
регистрация и учет.


  • Имя файла: metody-i-sredstva-zashchity-informatsii.pptx
  • Количество просмотров: 165
  • Количество скачиваний: 0