Лекция 3. Методы и средства защиты информации.
Системный и концептуальный подход
Системный и концептуальный подход
Правовое обеспечение защиты информации
Правовое обеспечение защиты информации
Правовое обеспечение защиты информации
Правовое обеспечение защиты информации
Правовое обеспечение защиты информации
Организационная защита информации
Организационная защита информации
Основные мероприятия различных этапов жизненного цикла компьютерной системы
Инженерно-технические методы защиты
Методы и средства защиты информации от утечки по каналам ПЭМИН
Программно-аппаратная защита
133.67K
Category: lawlaw

Методы и средства защиты информации. (Лекция 3)

1. Лекция 3. Методы и средства защиты информации.

Защита информации
Защита информации
Лекция 3. Методы и средства защиты
информации.
Автор
Ст. преподаватель кафедры ФИОУ
Васильченко А.А.

2. Системный и концептуальный подход

Проблема защиты информации относится к формально не
определенным и слабо предсказуемым проблемам.
Отсюда следуют два основных вывода:
надежная защита информации в компьютерной системе не
может быть обеспечена только формальными методами;
защита информации в компьютерной системе не может быть
абсолютной.
При решении задачи защиты информации в
компьютерной системе необходимо применять
системно-концептуальный подход.
системность целевая (защищенность информации является
неотъемлемой часть ее качества;
системность пространственная (взаимосвязанность защиты
информации во всех элементах компьютерной системы)
системность временная (непрерывность защиты информации);
системность организационная (единство организации всех
работ по защите информации в компьютерной системе и
управления ими.

3. Системный и концептуальный подход

Концептуальность подхода к решению задачи защиты
информации в компьютерной системе предусматривает ее
решение на основе единой концепции, представляющей собой
совокупность научно обоснованных решений, необходимых и
достаточных для оптимальной организации защиты информации
в компьютерной системе.
Обеспечение информационной безопасности компьютерной
системы является непрерывным процессом, целенаправленно
проводимым на всех этапах ее жизненного цикла с комплексным
применением всех имеющихся методов и средств, которые
можно подразделить на четыре основные группы:
методы и средства организационно-правовой защиты
информации;
методы и средства инженерно-технической защиты
информации;
криптографические методы и средства защиты информации;
программно-аппаратные методы и средства защиты
информации.

4. Правовое обеспечение защиты информации

На правовом уровне доступ к информационным системам
регулируется законодательными и нормативными
документами в области информационной безопасности.
Можно выделить четыре уровня правового обеспечения
информационной безопасности.
1
1 уровень
уровень
2 уровень
России:
Международн
Международн
ые
ые договоры,
договоры, кк
которым
которым
присоединила
присоединила
сь
сь РФ
РФ ии
федеральные
федеральные
законы
законы
России
России::
Указы
Президента РФ и
постановления
Правительства
РФ, письма
Высшего
Арбитражного
Суда
3 уровень
4 уровень
ГОСТы,
руководящие
документы,
нормы,
методики,
классификатор
ы,
разработанные
гос. органами
Локальные
нормативны
е акты,
положения,
инструкции

5. Правовое обеспечение защиты информации

Международные конвенции об охране промышленной
На правовом
уровне доступ к информационным системам
собственности, охране интеллектуальной
регулируется
законодательными и нормативными
собственности,
документами
области информационной безопасности.
авторском в
праве;
Можно
выделитьРФ;
четыре уровня правового обеспечения
Конституция
информационной
безопасности.
Гражданский кодекс
РФ;
Уголовный кодекс
1
1 уровень
уровень
2 уровень
РФ
3 уровень
4 уровень
России:
Федеральный закон «Об информации,
ГОСТы,информатизации
Локальные
Международн
Международн
Указы
руководящие
и
нормативны
Президента
РФ
и
ые
ые договоры,
договоры,
к
к
документы,
защите информации» от 20.02.95 № 24-ФЗ
е акты,
постановления
нормы,
которым
которым
положения,
Федеральный закон «О государственной
тайне»
от
методики,
Правительства
инструкции
присоединила
присоединила
21.07.93
классификатор
РФ, письма
сь
сь РФ
РФ№
ии 5485-1
ы,
Высшего
федеральные
федеральные
разработанные
ФедеральныеАрбитражного
законы «О лицензировании
отдельных
гос.
органами
законы
законы
видов деятельности»
от 08.08.2001 № 128-ФЗ, «О
Суда
связи»
от 16.02.95 № 15-ФЗ, «Об электронной цифровой
России
России
::
подписи» от 10.01.02 № 1-ФЗ, «Об авторском праве и
смежных правах» от 09.07.93 № 5351-1, «О правовой
охране программ для электронных вычислительных
машин и баз данных» от 23.09.92 № 3523-1

6. Правовое обеспечение защиты информации

На правовом уровне доступ к информационным системам
регулируется законодательными и нормативными
документами в области информационной безопасности.
Можно выделить четыре уровня правового обеспечения
информационной безопасности.
Указы Президента
РФ
1
1 уровень
уровень
2 уровень
3 уровень
4 уровень
Постановления Правительства РФ
России:
ГОСТы,
Локальные
Международн
Международн
Подзаконны
Письма Высшего Арбитражного руководящие
Суда
нормативны
ые
ые договоры
договоры
и
и
е
акты
документы,
Постановления пленумов Верховного Суда РФ е акты,
нормы,
федеральные
федеральные государстве
положения,
Например:
методики,
инструкции
законы
законы России
России нных
классификатор
Указ Президента
РФ «Об утверждении
перечня
субъектов
ы гос. органов
сведений конфиденциального характера» от
06.03.97 № 188
Постановление Правительства РФ «О перечне
сведений, которые не могут составлять
коммерческую тайну» от 05.12.91 № 35.

7. Правовое обеспечение защиты информации

На правовом уровне доступ к информационным системам
регулируется
законодательными и нормативными
ГОСТ Р 50922—96 «Защита информации. Основные
документами
в области информационной безопасности.
термины
и определения»
Можно
выделить четыре уровня правового обеспечения
информационной
безопасности.
ГОСТ Р 50739—95 «Средства
вычислительной
техники. Защита от несанкционированного доступа к
3 уровень
4 уровень
2 уровень
информации. Общие технические требования»,
России:
ГОСТы,
ГОСТ 28147—89 «Системы
обработки информации. Локальные
Защита
Международн
Международн
Подзаконны
руководящие
нормативны
Алгоритм криптографического
ые
ыекриптографическая.
договоры
договоры и
и е акты
документы,
е акты,
преобразования» и др.;
нормы,
федеральные
федеральные государстве
положения,
методики,
инструкции
Руководящие
документы
технической
законы
законы
России
России
нных Государственной
классификатор
комиссии при Президенте
Российской
Федерации
субъектов
ы гос. органов
(Гостехкомиссии России)
«Концепция защиты средств вычислительной техники и
автоматизированных систем от несанкционированного
доступа к информации»,
«Автоматизированные системы. Защита от
несанкционированного доступа к информации.
Классификация автоматизированных систем и требования
1
1 уровень
уровень

8. Правовое обеспечение защиты информации

На правовом уровне доступ к информационным системам
регулируется законодательными и нормативными
документами в области информационной безопасности.
Можно выделить четыре уровня правового обеспечения
информационной безопасности.
приказ об утверждении перечня сведений, составляющих
4 уровень
1
1 уровень
уровень
2 уровень
коммерческую тайну
предприятия;3 уровень
России:
ГОСТы,
Локальные
трудовые и гражданско-правовые
договоры подряда,
Международн
Международн
Подзаконны
руководящие
нормативны
поручения,
комиссии
и
т.п.,
в
которые
включены пункты
ые
ые договоры
договоры и
и е акты
документы,
е акты,
об обязанности возмещения ущерба
за разглашение
нормы,
федеральные
федеральные государстве
положения,
сведений, составляющих коммерческую
тайну
методики,
инструкции
законы
законы России
России нных
классификатор
предприятия, и др.
субъектов
ы гос. органов

9. Организационная защита информации

К методам и средствам организационной защиты информации
относятся организационно-технические и организационноправовые мероприятия, проводимые в процессе создания и
эксплуатации компьютерной системы для обеспечения защиты
информации. Эти мероприятия должны проводиться при
строительстве или ремонте помещений, в которых будет
размещаться компьютерная система; проектировании системы,
монтаже и наладке ее технических и программных средств;
испытаниях и проверке работоспособности компьютерной
системы.
- обеспечение полного или частичного перекрытия
Взначительной
задачи организационных
входит: информации
частимероприятий
каналов утечки
(например, хищения или копирования носителей
информации);
- объединение всех используемых в КС средств в
целостный механизм защиты информации.
Методы и средства организационной защиты
информации включают в себя комплекс мер для
обеспечения целостного механизма защиты
информации

10. Организационная защита информации

К методам и средствам организационной защиты информации
относятся организационно-технические и организационноправовые мероприятия, проводимые в процессе создания и
эксплуатации компьютерной системы для обеспечения защиты
информации. Эти мероприятия должны проводиться при
строительстве или ремонте помещений, в которых будет
размещаться компьютерная система; проектировании системы,
ограничение физического доступа к объектам КС и
монтаже и наладке ее технических и программных средств;
реализация
режимных
мер;
испытаниях
и проверке
работоспособности
компьютерной
системы.
ограничение возможности перехвата ПЭМИН;
- обеспечение
полного
или частичного
перекрытия ресурсам
разграничение
доступа
к информационным
В задачи организационных
мероприятий
входит:информации (например,
значительной
части
каналов
утечки
и процессам компьютерной системы:
хищения или копирования носителей информации);
- установка
прав
или разграничения
доступа,
- объединение
всех
используемых
в КС средств
в целостный
-шифрование
информации при ее хранении и
механизм
защиты информации.
передаче,
- обнаружение и уничтожение аппаратных и
программных закладок;
резервное копирование наиболее важных с точки
зрения утраты массивов документов;
профилактику заражения компьютерными вирусами.

11. Основные мероприятия различных этапов жизненного цикла компьютерной системы

Основные мероприятия различных
этапов жизненного цикла
Разработка проектов — анализ возможных угроз и методов их
компьютерной
системы
Этап создания
компьютерной
нейтрализации;
Этап создания компьютерной
системы — приобретение
Строительство и переоборудование помещений
системы
сертифицированного оборудования, выбор
лицензированных организаций;
Разработка математического, программного, информационного и
лингвистического обеспечения — использование сертифицированных
программных и инструментальных средств;
Монтаж и наладка оборудования — контроль за работой технического
персонала;
Испытания и приемка в эксплуатацию — включение в состав
аттестационных комиссий сертифицированных специалистов;
организация пропускного режима,
определение
технологии
Этап
эксплуатации
компьютерной
автоматизированной обработки системы
документов, организация работы
обслуживающего персонала, распределение реквизитов разграничения
доступа пользователей к элементам компьютерной системы (паролей,
ключей, карт и т.п.), организация ведения протоколов работы
компьютерной системы, контроль выполнения требований служебных
инструкций и т.п.
Мероприятия
подбор и подготовка кадров, организация
плановых общего
и
предупреждающих проверок средств характера
защиты информации,
планирование мероприятий по защите информации, обучение
персонала, участие в семинарах, конференциях и выставках по
проблемам безопасности информации и т. п.

12. Инженерно-технические методы защиты

защиты
Под инженерно-техническими средствами защиты информации
понимают физические объекты, механические, электрические и
электронные устройства, элементы конструкции зданий, средства
пожаротушения и другие средства, обеспечивающие:
защиту территории и помещений компьютерной системы от
проникновения нарушителей;
защиту аппаратных средств компьютерной системы и носителей
информации от хищения;
предотвращение возможности удаленного (из-за пределов
охраняемой территории) видеонаблюдения (подслушивания) за
работой персонала и функционированием технических средств
компьютерной системы;
предотвращение возможности перехвата ПЭМИН, вызванных
работающими техническими средствами компьютерной системы
и линиями передачи данных;
организацию доступа в помещения компьютерной системы
сотрудников;
контроль над режимом работы персонала компьютерной системы
;
контроль над перемещением сотрудников компьютерной системы
в различных производственных зонах;
противопожарную защиту помещений компьютерной системы;
минимизацию материального ущерба от потерь информации,
возникших в результате стихийных бедствий и техногенных

13. Методы и средства защиты информации от утечки по каналам ПЭМИН

ПЭМИН - перехват побочных электромагнитных излучений и
наводок
снижение уровня излучений сигналов в аппаратных
средствах компьютерной системы:
выбор системно-технических и конструкторских
решений при создании технических средств
компьютерной системы в защищенном исполнении;
рациональный выбор места размещения этих средств
относительно мест возможного перехвата ПЭМИН
увеличение мощности помех в соответствующих этим
сигналам частотных диапазонах:
применения активных средств защиты в виде
генераторов сигналоподобных помех или шума
включение в состав информационных каналов
компьютерной системы устройств предварительного
шифрования обрабатываемой информации

14. Программно-аппаратная защита

К аппаратным средствам защиты информации относятся электронные и
электронно-механические устройства, включаемые в состав
технических средств компьютерной системы и выполняющие
(самостоятельно или в едином комплексе с программными средствами)
некоторые функции обеспечения информационной безопасности.
К основным аппаратным средствам защиты информации относятся:
устройства для ввода идентифицирующей пользователя информации
(магнитных и пластиковых карт, отпечатков пальцев и др.
устройства для шифрования информации;
устройства для воспрепятствования несанкционированному
включению рабочих станций и серверов (электронные замки и
блокираторы).
Под программными средствами защиты информации понимают
специальные программы, включаемые в состав программного
обеспечения компьютерной системы исключительно для выполнения
защитных функций.
К основным программным средствам защиты информации относятся:
программы идентификации и аутентификации пользователей КС;
программы разграничения доступа пользователей к ресурсам КС;
программы шифрования информации;
программы защиты информационных ресурсов (системного и
English     Русский Rules