страница 1 страница 2
Раздаточный материал: Информационная и компьютерная безопасность
Подготовлено: Рогожин Михаил по материалам Ассоциации Прогрессивных Коммуникаций и интернет-публикациям для общественного фонда «Информ-Культура».
Раздаточный материал: Информационная и компьютерная безопасность 1
Введение 1
Основные понятия компьютерной безопасности 2
Типичные угрозы в интернете: 3
Классификация данных 4
Барьеры доступа 5
Уровень первый 6
Второй Уровень: Безопасность комнаты 8
Третий Уровень: Аппаратное обеспечение компьютера 9
Четвертый Уровень: Операционная Система 10
Пятый Уровень; Прикладные программы 11
Устойчивость 13
Тщательное избавление 13
Электронная почта и Интернет 14
Введение
Информационная безопасность (IT Security, Infosec) – это теория и практика использования компьютеров и информационных систем таким образом, чтобы:
-
Предотвратить случайную потерю или повреждение информации и компьютерных систем людьми, использующими их.
-
Разработать/настроить системы так, чтобы достичь максимального уровня их надежности и безопасности.
-
Предотвратить случайную потерю или преднамеренную потерю или повреждение данных и оборудования другими людьми.
Начнем с того, что безопасность вообще, и информационная безопасность в частности, это не данность, не комплекс разовых мероприятий, который может обеспечить требуемый уровень защиты. Безопасность это процесс, это непрерывное и взаимозависимое изменение систем нападения и защиты. Безопасность - это не только технические методы, проблема значительно шире, это - совокупность организационных, законодательных и технических мероприятий
Говоря о безопасности, нужно иметь в виду, что основным сдерживающим фактором для доступа к какой-то конкретной информации являются финансы. Чем важнее и дороже информация, тем больше сил и средств расходуется для обеспечения ее получения, с одной стороны и для ее защиты - с другой. Основной вопрос в том, какая сторона обладает большими финансовыми возможностями. Конечно, нельзя полностью сбрасывать со счетов влияние таких факторов как случайность или некомпетентность, но это по большому счету частности, а не тенденции. Одна из основных задач информационной безопасности была сформулирована экспертами таким образом:
Свести возможность утечки информации к приемлемому минимуму вероятности для скрывающих и неприемлемому максимуму расходов для любопытных, на некоторый период времени, по истечении которого, полученные сведения уже не будут представлять практической ценности.
Основные понятия компьютерной безопасности
Базовые понятия компьютерной безопасности:
-
Угрозы
-
Уязвимости
-
Атаки.
Угроза безопасности компьютерной системы – любое преднамеренное или не преднамеренное возможное происшествие, которое может оказать нежелательное воздействие на компьютерную систему или информацию, хранящуюся в ней. Угрозы могут быть неумышленными: ошибки пользователей, сбои оборудования программ или стихийные бедствия. Умышленные можно разделить на ряд групп от логичных – получение каких-либо незаслуженных выгод, до иррациональных – разрушение информации.
Исследователи выделяют следующие виды угроз
а) угроза отказа в обслуживании – любой файл или ресурс системы должен быть доступен в любое время при соблюдении прав доступа. Если что-то становится недоступным, то оно – бесполезно.
б) угроза целостности (умышленное изменение, искажение, уничтожение). Обеспечение неизменности информации во время ее хранения и передачи.
в) угроза раскрытия (кража, утечка)
Причины этих угроз можно свести к следующим категориям:
-
Ошибки пользователей (по оценкам разных экспертов это от 75% до 90% всех сбоев, удалений и повреждений)
-
Ошибки программного обеспечения
-
Аппаратные поломки
-
Преднамеренное повреждение (вирусы, мотивированное повреждение)
-
Кражи
-
Броски электропитания и форс-мажорные обстоятельства (наводнение, пожар)
Уязвимость компьютерной системы – это некая неудачная ее характеристика, которая делает возможным возникновение угрозы.
Имеется два фактора определяющих уязвимость организации. Первый фактор - последствия инцидента с безопасностью. Почти все организации уязвимы к финансовым потерям – устранение последствий инцидентов с безопасностью может потребовать значительных вложений, даже если пострадали некритические сервисы. Тем не менее, средства переноса рисков (страхование или пункты в договорах) могут гарантировать, что даже финансовые потери не приведут к кризису организации.
Более серьезные последствия возникают, когда нарушается внутренняя работа организации, что приводит к убытками из-за упущенных возможностей, потерь рабочего времени и работ по восстановлению.
Второй фактор – это учет политических или организационных последствий.
Одним из важных шагов при определении возможных последствий является ведение реестра информационных ценностей. Для каждой информационной ценности должно быть составлено следующее описание
Тип: оборудование, программа, данные
Используется в системе общего назначения или критическом приложении
Ответственный за данную информационную ценность.
Физическое или логическое местоположение
ID или учетный номер – где это возможно.
Атака на компьютерную систему (риск) – это действие, по поиску и использованию уязвимости. Атака – реализация угрозы.
Политика безопасности обеспечивает основу для внедрения средств обеспечения безопасности путем уменьшения числа уязвимых мест и - как следствие - уменьшает риски.
Типичные угрозы в интернете:
Сбой в работе одного из компонентов сети – сбой из-за ошибок при проектировании или ошибок оборудования или программ может привести к отказу в обслуживании или компрометации безопасности из-за неправильного функционирования какого-либо компонента сети. Выход из строя брандмауэра или ложные отказы в авторизации серверами аутентификации являются примерами сбоев, которые оказываю влияние на безопасность.
Сканирование информации – неавторизированные просмотр критической информации злоумышленниками или авторизованными пользователями может происходить, используя различные механизмы – электронное письмо с неверным адресатом, распечатка принтера, неправильно сконфигурированные списки управления доступом, совместное использование несколькими людьми одного идентификатора и т.д.
Использование информации не по назначению – для целее отличных от авторизованных, может привести к отказу в обслуживании, излишним затратам, потере репутации. Виновниками этого могут быть как внутренние, так и внешние пользователи.
Неавторизованное удаление, модификация или раскрытие информации - специально искажение информационных ценностей, которое может привести к потере целостности или конфиденциальности информации.
Проникновение – атака неавторизованных людей или систем, которая может привести к отказу в облуживании или значительным затратам на восстановление после инцидента.
Маскарад – попытки замаскироваться под авторизованного пользователя для кражи сервисов или информации, или для инициации финансовых транзакций, которые приведу к финансовым потерям или проблемам для организации.
Классификация данных
Для того чтобы разработать эффективную политику безопасности, информация, хранимая или обрабатываемая в организации, должна быть классифицирована в соответствии с ее критичностью к потере конфиденциальности. На основе этой классификации потом можно легко разработать политику для разрешения (или запрещения) доступа к Интернету или для передачи информации по Интернету.
Большинство организаций используют такие классы, как "Коммерческая тайна" и "Для служебного пользования" . Классы, используемые в политике информационной безопасности, должны быть согласованы с другими существующими классами.
Данные должны быть разбиты на 4 класса безопасности, каждый из которых имеет свои требования по обеспечению безопасности - критическая информация, коммерческая тайна, персональная информация и для внутреннего пользования. Эта система классификации должна использоваться во всей организации. Лица, ответственные за информационные ценности, отвечают за назначение им класса, и этот процесс должен контролироваться руководством организации. Классы определяются следующим образом:
Критическая информация: Этот класс применяется к информации, требующей специальных мер безопасности для обеспечения гарантий ее целостности, чтобы защитить ее от неавторизованной модификации или удаления. Это - информация, которая требует более высоких гарантий чем обычно в отношении ее точности и полноты. Примерами информации этого класса может служить информация о финансовых операциях или распоряжения руководства.
Коммерческая тайна: Этот класс применяется к наиболее критической коммерческой информации, которая предназначена для использования ТОЛЬКО внутри организации, если только ее разглашение не требуется различными законодательными актами. Ее неавторизованное разглашение может нанести серьезный вред организации, ее акционерам, деловым партнерам, и/ или клиентам.
Персональная информация: этот класс применяется к информации о человеке, использование которой разрешено только внутри организации. Ее неавторизованное раскрытие может нанести серьезный вред организации и/или ее служащим.
Для внутреннего пользования: Этот класс применяется ко всей остальной информации, которая не попадает ни в один из указанных выше классов. Хотя ее неавторизованное раскрытие нарушает политику, оно не может нанести какого-либо вреда организации, ее служащим и/или клиентам.
страница 1 страница 2
|