Основы методики построения системы защиты информации.

Санкт-Петербургский государственный университет

Аэрокосмического приборостроения

Кафедра безопасности информационных систем

К.т.н. Воронов А.В.

«Основы защиты информации»

Учебное пособие.

Санкт-Петербург

2007 г.

Автор: к.т.н. Воронов А.В.

Основы защиты информации. Учебное пособие. Санкт-Петербургский государственный университет аэрокосмического приборостроения. Кафедра безопасности информационных систем. Санкт-Петербург, 53 стр.

Краткая аннотация на учебное пособие.

Учебное пособие «Основы защиты информации» содержит базовый курс, по основам организации защиты информации для противодействия промышленному шпионажу, а так же обеспечения защищенности информационного ресурса организации, используемого в ее повседневной деятельности. Пособие предназначено для изучения методики создания системы защиты информации в организации на основе системного анализа, и комплексного подхода к оценке параметров, связанных с информационной безопасностью. Рекомендуется для студентов технических и гуманитарных направлений.

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ 4

1. Основы методики построения системы защиты информации. 5

2. Определение защищаемого объекта. 8

3. Определение множества угроз. 11

4. Построение модели источников угроз. 17

5. Построение модели системы защиты информации. 27

5.1. Политика безопасности информации. 27

5.2. Модель системы защиты информации.. 32

6. Реализация системы защиты информации. 36

7. Эксплуатация системы защиты информации. 39

7.1. Общие вопросы. 39

7.2. Специальный эксперимент. 39

7.3. Методика проведения специального эксперимента. 40

ПРИЛОЖЕНИЕ 44

ЛИТЕРАТУРА. 56

ВВЕДЕНИЕ

В условиях повсеместной информатизации основных процессов жизнедеятельности страны, информационная сфера становится не только неотъемлемой частью общественной жизни, но и во многом определяет направления социально-политического и экономического развития государства. С развитием технологий обработки информации, возрастает актуальность обеспечения безопасности информационных ресурсов. Поскольку состояние защищенности информационной среды в ключевых областях экономической деятельности в целом, является в значительной степени определяющим фактором безопасности как государства, так и отдельных организаций, то в этом случае информационная безопасность выходит на передний план и становится важной и неотъемлемой составной частью общей стратегии национальной безопасности Российской Федерации, и соответственно – вопросов безопасности в конкретных организациях.

С развитием информационных технологий, и усилением их воздействия на экономику, возрастает актуальность по противодействию промышленному шпионажу со стороны конкурирующих организаций и отдельных лиц. Кроме того, электронная информация с каждым годом определяет действия все большего числа людей, и все большего числа технических систем, созданных человеком. Отсюда становится понятно, что нарушение безопасности хранения, обработки и передачи информации приводит к ущербу, степень и масштабы которого определяются целевым назначением этой информации и в иных случаях могут быть соизмеримы с трагическими последствиями. Кроме того, сегодня информация считается таким же товаром, как и материальные ресурсы. Ее можно продать, купить, украсть, и получить при этом выгоду или убыток.

Несмотря на возрастающие усилия в области информационной безопасности, уязвимость современных информационных систем не уменьшается. Основными причинами этого являются:

- отсутствие или недостаточная эффективность функций защиты в используемых технологиях обработки данных и протоколах информационного обмена;

- наличие ошибок в программном обеспечении;

- сложность управления современными информационными системами;

- отсутствие требуемого количества квалифицированных специалистов в области защиты информации;

- слабая осведомленность и халатное отношение некоторых сотрудников и руководителей к данному вопросу

- высокая стоимость некоторых проектов ИБ.

Таким образом, в сложившихся условиях невозможно достигнуть требуемого уровня развития систем информационной безопасности без знания и применения современных технологий, стандартов, протоколов и средств защиты информации, используемых в информационных системах.

Основы методики построения системы защиты информации.

Авторы пособия «Безопасность граждан и организаций» Теплов Э.П., Янин Ю.П. [30] вводят принцип: «равнопрочность границ зон безопасности», который определяет, что все границы охраняемых зон, все пути доступа в эти зоны должны быть одинаково надежно контролируемы. Не должно быть ситуации, когда, например, входы и помещения здания таможни оборудованы современными системами безопасности и контроля, но при этом - закрытые совещания в кабинете начальника таможни на втором этаже проходят при открытых окнах, выходящих на неконтролируемую территорию.

Что же такое система информационной безопасности? Для начала определим – термин «безопасность». Закон Российской Федерации «О безопасности» от 5 марта 1992 г. определяет безопасность как «состояние защищенности … от … угроз». Согласно [27], «Безопасность информации – состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, целостность и доступность информации при ее обработке техническими средствами». То есть, любая структура, решающая вопросы безопасности информации, по своей сути может являться системой защиты информации. А что попадает под понятие «система»? По определению академика П.К. Анохина «система» - (systema - греч. целое, составленное из частей) - это особая целостность, состоящая из избирательно вовлеченных в нее элементов (частей), соединенных между собой определенными взаимосвязями (взаимоотношениями) так, что это соединение обеспечивает взаимосодействие элементов. В соответствии с определением, приведенным в ГОСТ Р ИСО/МЭК 12207-99, «система — это комплекс, состоящий из процессов, технических и программных средств, устройств и персонала, обладающий возможностью удовлетворять установленным потребностям или целям».

Систему всегда характеризует качественная определенность, отличающая данную систему от остальных. Это особое качество называется системным, и является тем новым качеством, которого не имели ранее (до образования системы) отдельно взятые элементы, и которое теперь принадлежит всем ее элементам.

Система, также, качественно характеризуется взаимосвязями (отношениями) с внешней средой, с другими системами. «Взаимосвязи» понимаются нами как отношения между элементами системы, и взаимоотношения с другими (внешними) системами и объектами, имеющие прямые и обратные связи.

Более того, система должна быть динамичной и своевременно реагировать на изменения окружающей обстановки, на дестабилизирующие факторы, то есть, система должна развиваться. Это подтверждает следующее утверждение: Любая система может функционировать и развиваться только за счет использования материально-энергетических и информационных поступлений (дотаций) из окружающей внешней среды; абсолютно изолированное саморазвитие невозможно.

Говоря о безопасности, можно сказать, что система защиты должна не просто состоять из набора каких-либо защищающих элементов, а эти элементы должны быть взаимосвязаны, должны образовывать единую защитную структуру, и чем лучше определены взаимосвязи, тем качественнее будет система. Плюс – обязательное вложение средств, направленных на обеспечение работоспособности системы и ее развитие.

Кроме того, необходимо помнить, что любая система имеет свой жизненный цикл, и для обеспечения безопасного состояния объекта его необходимо учитывать. Жизненный цикл системы безопасности будет состоять из следующих этапов:

1) Исследование защищаемого объекта и его среды, моделирование системы защиты (рождение системы).

2) Реализация модели системы защиты (развитие системы).

3) Эксплуатация системы защиты (существование системы).

4) Утилизация системы защиты (разрушение системы).

Рассматриваемая методика, описанная в работах [5, 6, 7], в своем основном объеме будет касаться первого, второго и третьего этапов жизненного цикла.

Для создания системы защиты необходимо провести всесторонний анализ ситуации: конкретизировать объект защиты, определить его взаимоотношения с окружающим миром, выделить их опасную составляющую, и определить способы нейтрализации или уменьшения уровня воздействия. Иными словами, необходимо ответить на три основных вопроса:

- Что защищать?

- От кого защищать?

- Как защищать?

При этом, необходимо учитывать объемы возможных затрат на построение и эксплуатацию системы, и не забывать, что основная задача системы защиты – минимизация ущерба для защищаемого объекта.

Методика построения системы защиты информации, которую мы рассмотрим ниже, состоит из пяти основных этапов:

- определение защищаемого объекта;

- описание окружающей обстановки (среды, в которой находится защищаемый объект, отражающей совокупность условий, прямо или косвенно влияющих на процесс обеспечения безопасности);

- описание системы защиты информации;

- реализация системы защиты информации;

- эксплуатация системы защиты информации.

Перед началом рассмотрения методики предлагаю несколько ключевых определений:

Угроза – это возможное происшествие или деяние, преднамеренное или нет, которое может оказать отрицательное воздействие на среду, в которой обрабатывается информация, а также на саму информацию, подвергаемую обработке. Иначе говоря, угроза - это возможное событие, в результате наступления которого возникает какой-либо ущерб, убыток.

Под обработкой информации подразумевается ее прием, передача, хранение и собственно обработка, как таковая.

Уязвимость – характеристика защищаемого объекта, которая делает возможным появление угрозы для него. Т.е. уязвимость - нежелательная реакция защищаемого объекта на некоторые внешние воздействия производимые источниками угроз.

Источники угроз – перечень лиц (субъектов), а так же природных и техногенных факторов, которые могут реализовать каждую из угроз с определенной вероятностью. Иными словами, источник угроз – это лицо, имеющее возможность осознанно, по ошибке или незнанию, предпринять попытку реализации угрозы по отношению к объекту защиты и использовать при этом различные возможности, методы и средства, либо фактор, который может оказать на объект защиты воздействие, влекущее за собой определенный ущерб.

Модель – некое обобщенное описание исследуемого объекта, сделанное на основе интересующих нас признаков.

Рассмотрим последовательно этапы построения системы защиты:

Определение защищаемого объекта

I этап

II этап

III этап

Анализ обстановки, и модификация политики ИБ

IV этап

Эксплуатация системы защиты информации

V этап

Рис. 1.1. Этапы построения системы защиты.

Первый этап – выделение наиболее важных защищаемых информационных массивов (либо составляющих этих массивов), исходя из особенностей конкретной организации. Второй этап – определение множества угроз для защищаемой информации, и создание модели источников угроз, исходя из условий расположения организации и окружающей обстановки. Третий этап – разработка политики обеспечения информационной безопасности в организации, и построение модели системы защиты на основе полученных данных [5, 6]. Четвертый этап – создание системы защиты на основе утвержденной модели, включая требуемые положения и инструкции. Пятый этап – эксплуатация системы защиты информации [7]. Так как система защиты должна находиться в состоянии динамического равновесия, и быть готовой к противодействию любым угрозам, то необходима периодическая адаптация системы к новым условиям. Для этого необходимы: периодический анализ окружающей обстановки, и, при необходимости, модификация политики информационной безопасности организации.