Информационная безопасность и защита бизнес-информации

Литература

Хорев П.Б. Методы и средства защиты информации в компьютерных системах.
Хорев П.Б.

Дополнительная литература

Хорев П.Б. Криптографические интерфейсы и их использование.
Б. Шнайер. Прикладная криптография
Галатенко

Содержание лекции

Основные понятия защиты информации.
Угрозы безопасности информации.
Классификация методов и средств защиты

Основные понятия защиты информации

Информация - сведения (сообщения, данные) независимо от

Компьютерная (автоматизированная) система

Организационно-техническая система, включающая в себя информационные ресурсы, программно-аппаратные средства,

Виды информации

Общедоступная.
Ограниченного доступа:
государственная тайна;
конфиденциальная информация:
служебная тайна (например, тайна суда и следствия);
профессиональная

Обладатель информации

Физическое или юридическое лицо, Российская Федерация, ее субъект, муниципальное образование,

Защищаемая информация
Информация, имеющая обладателя и подлежащая защите в соответствии с требованиями

Защита информации

Деятельность по предотвращению
утечки защищаемой информации,
несанкционированных и
непреднамеренных воздействий на защищаемую информацию.

Характеристики защищенности информации

Конфиденциальность (известность содержания информации только имеющим соответствующие полномочия субъектам).
Целостность

Утечка (копирование) информации

Неконтролируемое распространение защищаемой информации.
Разглашение.
Несанкционированный доступ.
Вследствие использования средств разведки.

Воздействие на информацию (модификация, подмена, уничтожение)

Несанкционированное.
Непреднамеренное.

Цель и объекты защиты

Целью защиты информации - предотвращение ущерба обладателю или

Информационная безопасность

Совокупность информационных ресурсов и системы формирования, распространения и использования информации

Политика (концепция) информационной безопасности

Набор документированных норм, правил и практических приемов, регулирующих

Угрозы безопасности

Событие или действие, которое может вызвать изменение функционирования КС, связанное

Атака на компьютерную систему

Действие, предпринимаемое нарушителем, которое заключается в поиске и

Цели угроз безопасности информации

Нарушение конфиденциальности (перехват, утечка или копирование информации).
Нарушение целостности

Естественные и искусственные угрозы

Угрозы, не зависящие от деятельности человека (естественные угрозы

Случайные искусственные угрозы

ошибки в проектировании КС;
ошибки в разработке программных средств КС;
случайные

Умышленные искуственные угрозы

несанкционированные действия обслуживающего персонала КС;
несанкционированный доступ к ресурсам КС

Примеры НСД к информации в КС

модификация средств защиты (например, внедрение программных

Основные группы методов и средств защиты информации

методы организационно-правовой защиты информации;
средства инженерно-технической

Основные свойства методов организационной защиты

Обеспечивают полное или частичное перекрытие значительной

Методы организационной защиты информации

ограничение физического доступа к объектам КС и

Методы организационной защиты информации

резервное копирование наиболее важных с точки зрения утраты

Инженерно-технические средства защиты информации

Физические объекты, механические, электрические и электронные устройства,

Назначение инженерно-технических средств защиты информации

защита территории и помещений КС от проникновения

Назначение инженерно-технических средств защиты информации

организация доступа в помещения КС сотрудников;
контроль над

Технические средства охраны

Образуют первый рубеж защиты КС и включают в

СКУД

Карты Proximity, программатор и считыватели для них

СКУД

Охранная сигнализация. Потолочный датчик движения.

Беспроводная IP-камера

Нелинейный локатор

Аппаратные средства защиты информации

Электронные и электронно-механические устройства, включаемые в состав

Аппаратные шифраторы

Элементы и считыватели TouchMemory

Смарт-карты и считыватели для них

Карты Proximity, программатор и считыватели для них

Смарт-карты и считыватели для них

Токены

Генераторы одноразовых паролей

Программные средства защиты информации

Специальные программы, включаемые в состав программного обеспечения

Программные средства защиты информации

программы идентификации и аутентификации пользователей КС;
программы разграничения доступа

Программные средства защиты информации

программы уничтожения остаточной информации;
программы аудита (ведения регистрационных

Идентификация и аутентификация

Под идентификацией, применительно к обеспечению информационной безопасности КС, понимают

Способы аутентификации пользователей в КС

То, что мы знаем (пароль)
То, что у

Парольная защита. Оценка сложности подбора паролей

Сложность подбора пароля определяется мощностью множества

Оценка сложности подбора паролей

Например, если множество символов пароля образуют строчные латинские

Аутентификация по отпечаткам пальцев

Мышь со сканером

Папиллярные узоры
уникальны

Ноутбук со сканером

Аутентификация по геометрической форме руки

Камера и несколько подсвечивающих диодов

Система распознавания по радужной оболочке глаза

Портативный сканер сетчатки глаза

Может поместиться, например, в мобильном телефоне.

3D-сканер лица

Работает в инфракрасном диапазоне.

Термограмма лица, шеи и передней поверхности груди

Динамические биометрические характеристики

Голос.
Рукописная подпись.
Темп работы с клавиатурой (клавиатурный «почерк»).
Темп работы с

Основные требования политики аудита

Ассоциирование пользователя с событием аудита;
обязательность аудита стандартного набора

Межсетевые экраны

Реализуют набор правил, которые определяют условия прохождения пакетов данных из

Сканеры уязвимости

Основные функции:
проверка используемых в системе средств идентификации и аутентификации,

Сканеры уязвимости

Работают на основе сценариев проверки, хранящихся в специальных базах данных,

Классификация сканеров уязвимости

Уровня хоста (анализируют защищенность конкретного компьютера «изнутри»).
Уровня сети (анализируют

Системы обнаружения атак

Уровня хоста (обнаружение признаков атак на основе анализа

Системы обнаружения атак

Используют базы данных с зафиксированными сетевыми событиями и шаблонами

Системы контроля содержания

Предотвращаемые угрозы:
Увеличение расходов на оплату личных Интернет-услуг сотрудников организации.
Снижение

Роль правового обеспечения

Основой проведения организационных мероприятий является использование и подготовка законодательных

Уровни правового обеспечения информационной безопасности

Первый уровень образуют международные договора, к

Первый уровень правового обеспечения информационной безопасности

Гражданский кодекс РФ (в статье 139

Первый уровень правового обеспечения информационной безопасности

Уголовный кодекс РФ (статья 272 устанавливает

Первый уровень правового обеспечения информационной безопасности

федеральный закон «Об информации, информационных технологиях

Уровни правового обеспечения информационной безопасности

Второй уровень правового регулирования защиты информации составляют

Второй уровень правового регулирования

Концепция информационной безопасности Российской Федерации. Утверждена Указом Президента

Уровни правового обеспечения информационной безопасности

Третий уровень правового обеспечения информационной безопасности составляют

Третий уровень правового обеспечения

Государственные стандарты РФ «Защита информации. Основные термины и

Уровни правового обеспечения информационной безопасности

Четвертый уровень правового обеспечения информационной безопасности образуют

Четвертый уровень правового обеспечения

Приказ об утверждении перечня сведений, составляющих коммерческую тайну

Четвертый уровень правового обеспечения

Соглашение о конфиденциальности, заключаемое с каждым сотрудником организации,

Криптографическое обеспечение ИБ

Криптография – наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним), целостности

Современная криптография

Симметричная криптография
Криптография с открытым ключом (асимметричная криптография)
Криптоанализ
Цифровая подпись
Управление ключами
Протоколы

Математические основы криптографии

Простое число – натуральное число, которое не имеет делителей, кроме самого

Математические основы криптографии

Два целых числа a и b сравнимы по модулю натурального числа n, если при делении на n они дают

Симметричное шифрование

Симметричные криптосистемы (также симметричное шифрование, симметричные шифры)— способ шифрования, в котором для шифрования и расшифровывания применяется один

Способы симметричного шифрования

Перестановки - шифр, преобразования из которого изменяют только порядок

Виды симметричных криптоалгоритмтов

блочные шифры. Обрабатывают информацию блоками определённой длины (обычно 64,

Применяемы алгоритмы симметричного шифрования

Асимметричная криптография

Криптографическая система с открытым ключом (или асимметричное шифрование, асимметричный шифр) — система шифрования и/или электронной подписи (ЭП),

Принципы построения асимметричных криптосистем

В основе асимметричных криптографических систем лежит понятие однонаправленной

Современные асимметричные криптосистемы

RSA (стойкость основана на вычислительной сложности задачи факторизации произвольного

Схема RSA

Алгоритм генерации ключей
1. Получатель сообщения выбирает два случайных числа Р

Схема RSA

Алгоритм шифрования
Сообщение шифруется следующим образом:
1. Выбирается сессионный ключ – случайное

Электронная цифровая подпись

Угрозы безопасности электронных документов

подготовка документа от имени другого субъекта;
отказ автора

Электронная цифровая подпись

Представляет собой относительно небольшой по объему блок данных,

Хеширование

Процесс преобразования исходного текста M произвольной длины в хеш-значение (хеш-код, дайджест,

Системы ЭЦП

RSA (на основе асимметричной криптосистемы RSA);
DSS (Digital Signature Standard,

Управление ключами

Управление ключами состоит из процедур, обеспечивающих:
включение пользователей в систему;
выработку, распределение и

Стеганография

Стеганография — это наука о скрытой передаче информации путём сохранения в

Цифровые водяные знаки

Из рамок цифровой стеганографии вышло наиболее востребованное легальное направление

Основные понятия стеганографии

Применительно к стеганографии различают сообщение (объект, существование и содержание

Вредоносные программы

К вредоносным программам (иначе называемым разрушающими программными воздействиями, malware) относятся

Компьютерный вирус

Автономно функционирующая программа, обладающая одновременно тремя свойствами:
способностью к включению своего

Классификация компьютерных вирусов

По способу распространения в компьютерной системе:
файловые вирусы, заражающие файлы

Программные закладки

«логические бомбы» − уничтожение или внесение изменений в функционирование программного

Программные закладки

компьютерные «черви» − распространение в распределенных компьютерных системах с целью

Программные закладки

перехватчики паролей пользователей компьютерной системы − имитация приглашения к их

Программные закладки

«ботнеты», предназначенные для рассылки спама, распределенных атак с вызовом отказа

Основные каналы распространения вредоносных программ

электронная почта, сообщения которой могут быть заражены

Основные каналы распространения вредоносных программ

размещенные на общедоступных узлах сети Интернет информационные

Основные каналы распространения вредоносных программ

обмен зараженными файлами на съемных носителях между

Методы обнаружения компьютерных вирусов

Просмотр (сканирование) проверяемых объектов (системных областей дисковой