Защита информации в информационных технологиях управления

Министерство РФ по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий

 

Главное управление МЧС России по Тюменской области

 

 

 

 

 

 

«ЗАЩИТА ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ УПРАВЛЕНИЯ»

 

 

Выполнил начальник отдела связи,

оповещения и АСУ  – начальник связи 

полковник Калякин А.Н.

«21» июня 2013 г.

 

             

 

 

 

 

 

 

Тюмень - 2013

 

Содержание

 

Перечень условных обозначений                                                          3

 

Введение                                                                                                 4

 

I      Защита информации в информационных системах                      6

1. Основные понятия защиты информации                                       6
2. Угрозы безопасности                                                                      8

 

II     Методы и средства защиты                                                           12

 

III   Принципы проектирования систем защиты                                   17

 

        IV  Практическая реализация системы защиты информации             18

               на примере Системы-112 Тюменской области

 

Заключение                                                                                              21

 

Список использованной литературы                                                   22

 

 

 

 

 

 

 

 

 

 

 

 

Перечень условных обозначений

 

АС -  автоматизированная система

ИС - информационная система

КТС – комплекс технических средств

НСД – несанкционированный доступ

ПСИБ – подсистема информационной безопасности

СЗИ – система защиты информации

Система-112 ТМН – Система вызова экстренных оперативных служб на базе единого номера 112 в Тюменской области

ФСБ РФ – Федеральная служба безопасности Российской Федерации

ФСТЭК – Федеральная служба по техническому и экспертному контролю

ЭВМ – электронно-вычислительная машина

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

        Данная работа посвящена одной из наиболее актуальных на сегодняшний день тем – защите информации в информационных системах. Жизнь современного общества немыслима без современных информационных технологий. Компьютеры обслуживают банковские системы, контролируют работу атомных реакторов, распределяют энергию, следят за расписанием поездов, управляют самолетами, космическими кораблями. Компьютерные сети и телекоммуникации предопределяют надежность и мощность систем обороны и безопасности страны. Компьютеры обеспечивают хранение информации, ее обработку и предоставление потребителям, реализуя, таким образом, информационные технологии.

Однако именно высокая степень автоматизации порождает риск снижения безопасности (личной, информационной, государственной и т.п.). Доступность и широкое распространение информационных технологий ЭВМ делает их чрезвычайно уязвимыми по отношению к деструктивным воздействиям.

Субъекты  производственно-хозяйственных отношений  вступают друг с другом в информационные отношения (отношения по поводу получения, хранения, обработки, распределения и использования информации) для выполнения своих производственно-хозяйственных и экономических задач[1] . Поэтому обеспечение информационной безопасности — это гарантия удовлетворения законных прав и интересов субъектов информационных отношений.

Различные субъекты по отношению  к определенной информации могут выступать в качестве:

• источников (поставщиков) информации;
• пользователей (потребителей) информации;
• собственников (владельцев, распорядителей) информации;
• физических и юридических лиц, о которых собирается информация;
• владельцев систем сбора и обработки информации и участников процессов обработки и передачи информации и т.д.

Для успешного осуществления  деятельности по управлению объектами  некоторой предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении:

• своевременного доступа к необходимой информации;
• конфиденциальности (сохранения в тайне) определенной части информации;
• достоверности (полноты, точности, адекватности, целостности) информации;
• защиты от навязывания ложной (недостоверной, искаженной) информации;
• защиты части информации от незаконного ее тиражирования;
• разграничения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;
• контроля и управления процессами обработки и передачи информации.

Будучи заинтересованным в обеспечении хотя бы одного из вышеназванных требований, субъект информационных отношений является уязвимым, т.е. потенциально подверженным нанесению ему ущерба (прямого или косвенного, материального или морального). Поэтому все субъекты информационных отношений заинтересованы в обеспечении своей информационной безопасности.

 

 

 

 

 

 

 

 

 

 

 

 

1. Защита информации в информационных системах

 

1.1 Основные  понятия защиты информации

 

Цель защиты информации — противодействие угрозам безопасности информации[3] .

Угроза безопасности информации — действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов (т.е. к утечке, модификации и утрате), включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Поэтому для обеспечения безопасности информации необходима защита всех сопутствующих компонентов информационных отношений:

• оборудования (технических средств);
• программ (программных средств);
• данных (информации);
• персонала.

С этой целью в соответствующих организациях и на соответствующих объектах строится система защиты информации.

Система защиты информации — это комплекс специальных мер правового и административного характера, организационных мероприятий, физических и технических, программно-аппаратных средств защиты, а также специального персонала, предназначенных для обеспечения безопасности информации, информационных технологий и АС в целом.

Для построения эффективной СЗИ необходимо провести следующие работы[3]:

• определить угрозы безопасности информации;
• выявить возможные каналы утечки информации и НСД к защищаемым данным;
• построить модель потенциального нарушителя;
• выбрать соответствующие меры, методы, механизмы и средства защиты;
• построить замкнутую, комплексную, эффективную СЗИ, проектирование которой начинается с проектирования самих АС и технологий.

При проектировании существенное значение придается предпроектному обследованию объекта. На этой стадии[3]:

• устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой СЗИ, оценивается уровень ее конфиденциальности и объем;
• определяются режимы обработки информации (диалоговый, телеобработка и режим реального времени), состав КТС и т.д.;
• анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;
• определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;
• определяются мероприятия по обеспечению режима секретности на стадии разработки.

Для создания эффективной СЗИ разработан ряд стандартов. Главная задача стандартов информационной безопасности — создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из этих групп имеет свои интересы и взгляды на проблему информационной безопасности.

Наиболее значимыми  стандартами информационной безопасности являются:

• Критерии безопасности компьютерных систем ФСБ РФ;
• Руководящие документы Гостехкомиссии и ФСТЭК России;
• Европейские критерии безопасности информационных технологий (Евросоюза);
• Единые критерии безопасности информационных технологий (Международный союз электросвязи).

 

 

 

 

1.2 Угрозы безопасности

 

Основными видами угроз  безопасности информационных технологий и информации являются[2]:

• стихийные бедствия и социально-значимые происшествия (наводнение, ураган, землетрясение, пожар и т.п.);
• сбои и отказы оборудования (технических средств);
• последствия ошибок проектирования и разработки компонентов аппаратных средств, технологии обработки информации, программ, структур данных и т.п.;
• ошибки эксплуатации (пользователей, операторов и другого персонала);
• преднамеренные действия нарушителей и злоумышленников.

Угрозы безопасности можно классифицировать по различным признакам.

По результатам акции:

1) угроза утечки;

2) угроза модификации;

3) угроза утраты.

По нарушению свойств  информации:

а) угроза нарушения конфиденциальности обрабатываемой информации;

б) угроза нарушения целостности  обрабатываемой информации;

в) угроза нарушения работоспособности  системы (отказ в обслуживании).

По природе возникновения:

1) естественные;

2) искусственные.

Естественные  угрозы — это угрозы, вызванные воздействиями на КТС объективных физических процессов или стихийных природных явлений.

Искусственные угрозы — это угрозы КТС, вызванные деятельностью человека. Среди них можно выделить:

а) непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании КТС, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

 б) преднамеренные (умышленные) угрозы, связанные с  корыстными устремлениями людей (злоумышленников).

Источники угроз по отношению  к информационной технологии могут быть внешними или внутренними (компоненты КТС — аппаратура, программы, персонал).

Основные непреднамеренные искусственные угрозы КТС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):

• неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы;
• неправомерное включение оборудования или изменение режимов работы устройств и программ;
• неумышленная порча носителей информации;
• запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);
• нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
• заражение компьютера вирусами;
• неосторожные действия, приводящие к разглашению конфиденциальной информации или делающие ее общедоступной;
• разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);
• проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ с возможностями, представляющими угрозу для работоспособности системы и безопасности информации;
• вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);
• некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;
• пересылка данных по ошибочному адресу абонента (устройства);
• ввод ошибочных данных;
• неумышленное повреждение каналов связи.

Основные преднамеренные искусственные угрозы характеризуются возможными путями умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и НСД к информации[2]:

а) физическое разрушение системы (путем взрыва, поджога и  т.п.) или вывод из строя всех или  отдельных наиболее важных компонентов  компьютерной системы (устройств, носителей  важной системной информации, лиц из числа персонала и т.п.);

б) отключение или вывод  из строя подсистем обеспечения  функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.);

в) действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);

г) внедрение агентов  в число персонала системы (в  том числе, возможно, и в административную группу, отвечающую за безопасность);

д) вербовка (путем подкупа, шантажа и т.п.) персонала или  отдельных пользователей, имеющих  определенные полномочия;

е) применение подслушивающих устройств, дистанционная фото- и  видеосъемка и т.п.;

ж) перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводка активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.);

з) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;

и) хищение носителей  информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и персональных ЭВМ);

к) несанкционированное копирование носителей информации;

л) хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);

м) чтение остатков информации из оперативной памяти и с внешних запоминающих устройств;

н) чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме, используя недостатки мультизадачных операционных систем и систем программирования;

о) незаконное получение  паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, имитации интерфейса системы и т.п.) с последующей маскировкой под зарегистрированного пользователей;

п) несанкционированное  использование терминалов пользователей, имеющих уникальные физические характеристики, такие, как номер рабочей станции в сети, физический адрес, адрес в системе, аппаратный блок кодирования и т.п.;