[ Министерство образования и науки Российской Федерации
Федеральное государственное бюджетное образовательное учреждение
высшего профессионального образования
«Томский государственный архитектурно-строительный университет»
ЗАЩИТА ИНФОРМАЦИИ
Методические указания
к самостоятельной работе
Составители: А.Е. Петелин, Ю.П. Еремина
Томск 2012 Защита информации: методические указания к самостоятельной работе / Сост. А.Е. Петелин, Ю.П. Еремина. – Томск:
Изд-во Том. гос. архит.-строит. ун-та, 2012. – 50 с.
Рецензент к.ф.-м.н., доцент Н.А. Вихорь Редактор Е.Ю. Глотова Методические указания к самостоятельной работе по дисциплине «Защита информации» предназначены для бакалавров всех направлений и форм обучения. Может быть использована и при подготовке специалистов.
Печатаются по решению методического семинара кафедры прикладной математики № 6 от 14 марта 2012 г.
Утверждены и введены в действие проректором по учебной работе В.В. Дзюбо с 01.09. до 01.09. Оригинал-макет подготовлен авторами.
Подписано в печать 26.04. Формат 6084. Бумага офсет. Гарнитура Таймс.
Уч.-изд. л. 2,52. Тираж 150 экз. Заказ № Изд-во ТГАСУ, 634003, г. Томск, пл. Соляная, 2.
Отпечатано с оригинал-макета в ООП ТГАСУ.
634003, г. Томск, ул. Партизанская, 15.
ОГЛАВЛЕНИЕ
Введение1. Угрозы информационной безопасности и каналы утечки информации
2. Механизмы государственного регулирования средств защиты информации
3. Безопасность компьютерных систем
3.1. Модели безопасности компьютерных систем............... 3.2. Классификация программно-технических методов и средств защиты информации
3.3. Безопасность на уровне операционных систем............ 4. Аудит информационной безопасности
5. Управление рисками
6. Контрольные вопросы
7. Выбор варианта контрольной работы
8. Правила оформления контрольной работы
9. Варианты заданий к контрольной работе
10. Рекомендации к выполнению контрольной работы........... Список рекомендуемых источников информации
ВВЕДЕНИЕ
Роль информации в современном мире крайне велика. В настоящий исторический период осуществляется переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергетические ресурсы [1, 2]. Появилось много отраслей производства, которые практически не имеют материальной составляющей и состоят из одной информации (например, дизайн, создание программного обеспечения, реклама). В связи с постоянным ростом роли информационных систем в деятельности предприятий, учреждений, органов власти, а также в связи с постоянным ростом правонарушений в области безопасности информационных систем, специалистам во всех областях человеческой деятельности необходимо уделять значительное внимание вопросам защиты информации.Настоящие методические указания предназначены для студентов всех специальностей и направлений подготовки при изучении дисциплины «Защита информации». Для тех специальностей и направлений подготовки, для которых «Защита информации» не предусмотрена, методические указания могут быть использованы при изучении дисциплины «Информатика».
Методические указания содержат краткие теоретические сведения об угрозах и каналах утечки информации (раздел 1), информационно-законодательного обеспечения Российской Федерации (раздел 2), способах обеспечения безопасности компьютерных систем (раздел 3) и аудита информационной безопасности (раздел 4). В каждом разделе приводятся ссылки на рекомендуемую литературу, где тема соответствующего раздела освещена более обстоятельно. Приводится список вопросов по материалам из первых четырех разделов (раздел 5).
В разделе 6 описано, как выбрать номер варианта контрольной работы, а в разделе 7 – пояснения к контрольной работе. В разделе 8 приведены варианты контрольных работ. В методических указаниях содержится тридцать вариантов контрольных работ по шести заданий в каждом и даны примеры их решения (раздел 9).
1. УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
И КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ
Под угрозой безопасности информации понимают потенциальное нарушение безопасности, любое обстоятельство, которое может явиться причиной нанесения ущерба государству, юридическому или физическому лицу. Выделяют три типа угроз: 1) нарушения конфиденциальности (информация становится известной не уполномоченному на это лицу); 2) нарушения целостности (несанкционированное изменение информации, в том числе её удаление); 3) нарушения доступности (блокирование доступа к информации).При передаче информации по любому каналу используются: источник сигнала, среда распространения и приемник информации (рис. 1).
Рис. 1. Структура канала утечки информации [1] На вход канала поступает информация от ее источника.
Среда распространения – часть пространства, в которой перемещается носитель. Она характеризуется набором физических параметров, определяющих условия перемещения носителя с информацией: 1) физические препятствия для субъектов и материальных тел; 2) мера ослабления (или пропускания энергии) сигнала на единицу длины; 3) частотная характеристика (неравномерность ослабления частотных составляющих спектра сигнала); 4) вид и мощность помех для сигнала. Приемник сигнала выполняет функцию, обратную функции передатчика.
Если получатель информации санкционированный, то канал передачи информации называется функциональным, в противном случае – каналом утечки информации.
Обычно технические каналы утечки информации классифицируют по [1, 3]: 1) физической природе носителя информации (оптические, акустические, радиоэлектронные и материально-вещественные); 2) информативности (информативные, малоинформативные и неинформативные); 3) времени функционирования (постоянные, эпизодические и случайные) и 4) структуре (одноканальные и составные). Основным классификационным признаком технических каналов утечки информации является физическая природа носителя информации.
Носителем информации в оптическом канале является электромагнитное поле в диапазоне 0,46–0,76 мкм (видимый свет) и 0,76–13 мкм (инфракрасные излучения). Среда распространения в оптическом канале информации возможна трех видов: безвоздушное (космическое) пространство, атмосфера и оптические световоды.
Визуальное наблюдение является самым древним и очень эффективным методом сбора информации. Так, фотографировать можно на относительно большом расстоянии (в сотни километров от объекта наблюдения, например, из космоса) и при этом фотография обладает большой информационной емкостью.
Примерно в 99 % случаев для получения информации применяется разнообразная оптика.
Спецслужбы давно и широко применяют различные оптические приборы для скрытного наблюдения и регистрации информации в дневных и ночных условиях при любой погоде. Для видеонаблюдения в дневное время применяются традиционные оптические приборы: бинокли, монокуляры, подзорные трубы, телескопы и др. Для ведения разведки ночью находят применение специальные телевизионные камеры, работающие при низком уровне освещённости, и приборы ночного видения.
В последнее время наблюдается значительный рост применения подвижных видеозаписывающих систем в основном двух типов [4]: 1) на основе камкодеров (видеокамеры со встроенным портативным видеомагнитофоном); 2) на основе кассетных видеомагнитофонов настольного типа и миниатюрных видеокамер. Для передачи видеоинформации она, как правило, кодируется кодером, передается по проводным или беспроводным каналам связи, а затем раскодируется декодером и показывается на экране телевизора, монитора и пр. (рис. 2).
До недавнего времени атмосфера и безвоздушное пространство были единственной средой распространения световых волн. Но с разработкой волоконно-оптической технологии появились оптоволоконные линии связи, которые устойчивы к внешним помехам, имеют малое затухание и долговечны. Хотя возможность утечки информации из волоконно-оптического кабеля существенно ниже, чем из электрического, но при определенных условиях такая утечка возможна. Для съема информации в месте доступа к кабелю разрушают его защитную оболочку, прижимают фотодетектор приемника к очищенной площадке и изгибают кабель на угол, при котором часть световой энергии направляется на фотодетектор приемника.
Рис. 2. Схема работы стандартного видеокомплекта Дальность акустического канала утечки информации мала. Так, речь человека при обычной громкости может быть непосредственно подслушана злоумышленником на удалении единиц, в редких случаях – десятков метров. Для повышения дальности добывания речевой информации применяются два вида составного акустического канала утечки информации: акусторадиоэлектронной и акустооптический [5].
Акусторадиоэлектронный канал утечки информации состоит из акустического приемника, размещаемого злоумышленником в помещении с конфиденциальной информацией, и радиоэлектронного ретранслятора, обеспечивающего достаточную дальность для съема информации злоумышленником за пределами контролируемой зоны. Частным случаем акусторадиоэлектронного является акустоэлектрический канал утечки информации, который возникает вследствие преобразования информативного сигнала из акустического в электрический за счет «микрофонного» эффекта в электрических элементах вспомогательных технических средств и систем (звонков телефонных аппаратов, трансформаторов, катушек индуктивности и т. д.).
Акустоэлектрический канал утечки информации можно создать или непосредственным (гальваническим) подключением к линиям связи или с использованием «высокочастотного навязывания». В первом случае для подслушивания, например, телефонных разговоров используются специальные высокочувствительные низкочастотные усилители, подключенные к линиям связи (в этом случае дальность перехвата речевой информации, как правило, не превышает нескольких десятков метров). Метод «высокочастотного навязывания» в основном используется для перехвата разговоров, ведущихся в помещении, путем подключения к линии телефонного аппарата при положенной микротелефонной трубке, т. е. в ситуации, когда телефонный разговор не ведется и цепь питания микрофона разомкнута (дальность перехвата информации может достигать нескольких сот метров).
Несмотря на то, что цепь микрофона телефонного аппарата разомкнута рычажным переключателем, между цепью микрофона и выходом линии существует паразитная емкость Сп порядка 5–15 пФ (рис. 3). На достаточно высоких частотах емкостное сопротивление этого сительно невысоким, поэтому ные колебания через емкость Сп будут приложены к мик- Рис. 3. Принцип реализации высокорофону. Если в это время на частотного навязывания в телефонном аппарате микрофон действует достаточное звуковое давление опасного сигнала, обусловленное ведением разговоров в помещении, где расположен телефонный аппарат, то на выходе микрофона появится напряжение опасного сигнала. Происходит модуляция высокочастотных колебаний опасным речевым сигналом, которые перехватываются злоумышленником [6].
формации с плоской поверхности, колеблющейся под действием акустической волны с информацией, лазерным пазоне. В качестве такой по- Рис. 4. Схема акустооптического верхности, как правило, используется внешнее стекло закрытого окна в помещении, в котором циркулирует конфиденциальная информация (рис. 4). В месте соприкосновения лазерного луча со стеклом происходит акустооптическое преобразование, т. е. модуляция лазерного луча акустическими сигналами от разговаривающих в помещении людей. Модулированный лазерный луч принимается оптическим приемником аппаратуры лазерного подслушивания, преобразуется в электрический сигнал, усиливается, фильтруется и демодулируется.
В радиоэлектронном канале утечки информации в качестве носителей используются электрические, магнитные и электромагнитные поля в радиодиапазоне, а также электрический ток. Вариантов условий для возникновения опасных сигналов очень много. Например, в усилительных каскадах любого радиоэлектронного средства (радиоприемника, телевизора, радиотелефона и др.) могут возникнуть условия для генерации сигналов на частотах вне звукового диапазона, которые модулируются электрическими сигналами акустоэлектрических преобразователей. Функции акустоэлектрических преобразователей могут выполнять элементы генераторов (катушки индуктивности, конденсаторы), являющиеся функциональными устройствами.
При обработке информации техническими средствами создаются побочные электромагнитные излучения, которые могут распространять обрабатываемую информацию с дальностью до 1 км [7, 8]. Наиболее опасными с этой точки зрения являются работающие ЭВМ, в особенности в пластмассовых неметаллизированных корпусах. Ориентировочные дальности обнаружения радиоизлучений элементов ЭВМ приведены в табл. 1.
Элемент ЭВМ Печатающее Излучения элементов ЭВМ, конечно, уменьшаются при преодолении препятствий различной природы (квартирные перегородки, стены, окна и др.), но этого бывает недостаточно, и злоумышленник, находясь, допустим, в соседнем помещении, может считывать закрытую информацию с работающего ЭВМ.
Источниками и носителями информации в материальновещественном канале являются субъекты (люди) и материальные объекты (макро- и микрочастицы), которые имеют четкие пространственные границы локализации. Утечка информации в этих каналах сопровождается физическим перемещением людей и материальных тел с информацией за пределы контролируемой зоны.
К основным источникам материально-вещественного канала утечки информации относятся: 1) черновики различных документов и макеты материалов, узлов, блоков, устройств, разрабатываемых в ходе научно-исследовательских и опытно-конструкторских работ, ведущихся в организации; 2) отходы делопроизводства и издательской деятельности на предприятии (организации), в том числе использованная копировальная бумага, забракованные листы при оформлении документов и их размножении; 3) нечитаемые дискеты ЭВМ из-за их физических дефектов и искажений загрузочных или других кодов; 4) бракованная продукция и ее элементы; 5) отходы производства в газообразном, жидком и твердом виде.
Перенос информации в материально-вещественном канале за пределы контролируемой зоны осуществляется: 1) сотрудниками организации и предприятия; 2) воздушными массами атмосферы; 3) жидкой средой; 4) излучениями радиоактивных веществ.
Потери носителей с ценной информацией возможны при отсутствии четкой системы учета носителей с закрытой информацией. Например, испорченный машинисткой лист отчета может быть выброшен ею в корзину, из которой он будет перенесен в бак для мусора, а далее при перегрузке бака или транспортировки мусора на свалку лист может быть унесен ветром и поднят злоумышленником.
Для предприятий химической, парфюмерной, фармацевтической и других сфер разработки и производства продукции, технологические процессы которых сопровождаются использованием или получением различных газообразных или жидких веществ (материалов), возможны выбросы отходов, по свойствам которых злоумышленник может определить состав и другие характеристики продукции.
Многообразие рассмотренных каналов утечки информации предоставляет злоумышленнику большой выбор возможностей для добывания информации. При этом злоумышленник, как правило, использует несколько каналов утечки информации, что позволяет увеличить вероятность обнаружения и распознавания информации и повысить ее достоверность.
Заметим, что в настоящих методических указаниях приведено краткое описание каналов утечки информации. Более детально эта тема изложена в [1]. Там же, а также в [9], приводится довольно подробное описание технических средств предотвращения утечки информации.
2. МЕХАНИЗМЫ ГОСУДАРСТВЕННОГО РЕГУЛИРОВАНИЯ
СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
Основными механизмами государственного регулирования средств защиты информации являются нормативно-правовые акты в области информационной безопасности: акты федерального законодательства и нормативно-методические документы [10].К актам федерального законодательства в РФ относятся [1]:
1) Конституция РФ; 2) законы федерального уровня (включая федеральные конституционные законы и кодексы); 3) указы Президента РФ; 4) постановления Правительства РФ; 5) нормативные правовые акты федеральных министерств и ведомств;
6) нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
Основным актом федерального законодательства в РФ является Конституция РФ, согласно которой [9]: а) каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (статья 23); б) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (статья 24); в) каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом, перечень сведений, составляющих государственную тайну, определяется федеральным законом (статья 29); г) каждый имеет право на достоверную информацию о состоянии окружающей среды (статья 42).
Основополагающим федеральным законом является Закон «Об информации, информатизации и защите информации», предметом регулирования которого являются общественные отношения, возникающие в трех взаимосвязанных направлениях:
1) формирование и использование информационных ресурсов;
2) создание и использование информационных технологий и средств их обеспечения; 3) защита информации, прав субъектов, участвующих в информационных процессах и информатизации.
В законе дан перечень сведений, которые запрещено относить к информации с ограниченным доступом. Это, прежде всего, законодательные и другие нормативные правовые акты, устанавливающие правовой статус органов государственной власти, органов местного самоуправления, организаций и общественных объединений; документы, содержащие информацию о чрезвычайных ситуациях, экологическую, демографическую, санитарно-эпидемиологическую, метеорологическую и другую подобную информацию; документы, содержащие информацию о деятельности органов государственной власти и органов местного самоуправления, об использовании бюджетных средств, о состоянии экономики и потребностях населения (за исключением сведений, отнесенных к государственной тайне). В законе также отражены вопросы, связанные с порядком обращения с персональными данными, сертификацией информационных систем, технологий, средств их обеспечения и лицензированием деятельности по формированию и использованию информационных ресурсов.
Не менее важными законами федерального уровня являются: Закон «О государственной тайне», согласно которому регулируются отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой и Закон «О персональных данных» (№ 152-ФЗ), регулирующий деятельность по обработке (использованию) персональных данных. Согласно этому закону, в любой организации операторы персональных данных должны выполнить ряд требований по защите обрабатываемых в информационных системах организации персональных данных физических лиц (своих сотрудников, клиентов, посетителей и т. д.) и предпринять ряд действий: 1) направить уведомление об обработке персональных данных (ст. 22, п. 3); 2) получить письменное согласие субъекта на обработку его персональных данных (ст. 9, п. 4); 3) уведомить субъекта о прекращении обработки и об уничтожении его персональных данных (ст. 21, п. 4).
К нормативно-методическим документам относятся [11]:
1. Методические документы государственных органов России: доктрина информационной безопасности РФ; руководящие документы ФСТЭК (Гостехкомиссии России); приказы ФСБ.
2. Стандарты информационной безопасности, из которых выделяют: международные стандарты; государственные (национальные) стандарты РФ; рекомендации по стандартизации; методические указания.
Основную роль в создании правовых механизмов защиты информации играют органы государственной власти РФ:
1. Комитет Государственной Думы по безопасности – структура в Государственной Думе Федерального собрания России, в ведении которой находятся рассмотрение и подготовка законопроектов по вопросам безопасности государства и граждан.
2. Совет безопасности России (Совбез России) – совещательный орган, осуществляющий подготовку решений Президента Российской Федерации по вопросам обеспечения защищённости жизненно важных интересов личности, общества и государства от внутренних и внешних угроз, проведения единой государственной политики по обеспечению национальной безопасности.
3. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) – федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.
4. Федеральная служба безопасности Российской Федерации (ФСБ России) – единая централизованная система органов федеральной службы безопасности, осуществляющая в пределах своих полномочий решение задач по обеспечению безопасности РФ.
5. Служба внешней разведки РФ (СВР России) – основной орган внешней разведки РФ.
6. Министерство обороны РФ (Минобороны России) – федеральный орган исполнительной власти (федеральное министерство), проводящий государственную политику и осуществляющий государственное управление в области обороны, а также координирующий деятельность федеральных министерств, иных федеральных органов исполнительной власти и органов исполнительной власти субъектов РФ по вопросам обороны.
7. Министерство внутренних дел РФ (МВД России) – федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, а также по выработке государственной политики в сфере миграции.
8. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – федеральный орган исполнительной власти России в ведении Минкомсвязи России.
3. БЕЗОПАСНОСТЬ КОМПЬЮТЕРНЫХ СИСТЕМ
Несмотря на наличие технических каналов утечки информации, прежде всего нужно позаботиться об обеспечении безопасности на уровне компьютерных систем [12]. К примеру, бессмысленно обеспечивать контроль над излучением элементов ЭВМ, если компьютер может использовать любой желающий.3.1. Модели безопасности компьютерных систем Создание безопасности компьютерных систем сводится к разработке набора правил, определяющих множество допустимых действий в системе (политики безопасности). Системы, функционирующие в соответствии со строго определенным набором формализованных правил и реализующие какую-либо политику безопасности, называются моделями безопасности. К наиболее эффективным и используемым в настоящее время моделям безопасности относятся модели систем: 1) дискреционного;
2) мандатного; 3) ролевого разграничения доступа [12, 13]. При описании моделей безопасности используют понятия субъект и объект. Под субъектом понимается индивид или группа индивидов, объект – защищаемая информация, чаще всего представленная в виде файлов, реже – в виде настроек различных систем и пр.
Модель систем дискреционного разграничения доступа.
Данная модель характеризуется разграничением доступа между поименованными субъектами и объектами. Для каждого субъекта должно быть задано явное и недвусмысленное перечисление допустимых операций (читать, писать и т. д.) над конкретным объектом. Субъект с определенным правом доступа к объекту может передать это право любому другому субъекту.
Возможны, по меньшей мере, два подхода к построению дискреционного управления доступом [13]: 1) каждый объект системы имеет привязанного к нему субъекта (владельца), который устанавливает права доступа к данному объекту; 2) система имеет одного выделенного субъекта – суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.
Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и/или изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем (UNIX или Windows семейства NT), он же в основном используется и в Интернете, в частности, в социальных сетях. Если в социальной сети пользователь загрузил какую-либо информацию (фото, документы и пр.), то что бы он с ней ни делал, как бы ни скрывал, существует суперпользователь (администратор социальной сети), который может этой информацией воспользоваться. При этом удаление пользователем информации ничего не изменит, поскольку удаляемая информация, как правило, по умолчанию сохраняется в резервной базе данных, доступ к которой также имеет суперпользователь.
Модель систем мандатного разграничения доступа.
В данной модели каждому субъекту и объекту присваиваются классификационные метки, отражающие место данного субъекта (объекта) в соответствующей иерархии. Посредством этих меток субъектам и объектам назначаются классификационные уровни (уровни уязвимости, категории секретности и т. п.), являющиеся комбинациями иерархических и неиерархических категорий. Для доступа субъекта к объекту первый должен предоставить системе классификационные метки этого объекта. При санкционированном занесении в список пользователей нового субъекта осуществляется присвоение ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам. Мандатный принцип контроля доступа должен быть применен ко всем объектам при явном и скрытом доступе со стороны любого из субъектов. При организации мандатного принципа контроля возможны следующие подходы [13]:
1) субъект может читать объект, только если иерархическая классификация субъекта не меньше, чем иерархическая классификация объекта, и неиерархические категории субъекта включают в себя все иерархические категории объекта;
2) субъект осуществляет запись в объект, только если классификационный уровень субъекта не больше, чем классификационный уровень объекта, и все иерархические категории субъекта включаются в неиерархические категории объекта.
При реализации мандатных правил создается диспетчер доступа – средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа.
При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном его разрешении и дискреционными, и мандатными правилами разграничения доступа.
Модель систем ролевого разграничения доступа. Ролевое разграничение доступа представляет собой развитие политики дискреционного разграничения доступа, при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли – совокупность прав доступа на объекты компьютерной системы. Задание ролей позволяет определить более четкие и понятные для пользователей компьютерной системы правила разграничения доступа. Такой подход часто используется в системах, для пользователей которых четко определен круг их должностных полномочий и обязанностей.
Ролевое разграничение доступа отличается от дискреционного разграничения доступа также тем, что его правила определяют порядок предоставления прав доступа субъектам компьютерной системы не статически, а в зависимости от сессии его работы и от имеющихся (или отсутствующих) у него ролей в каждый момент времени.
3.2. Классификация программно-технических методов и средств защиты информации Хорошая защита информации обходится дорого, плохая же защита никому не нужна (принцип сплошной защиты), ибо наличие в ней лишь одной уязвимости означает полную бесполезность всей защиты в целом.
Для того чтобы создать на предприятии (организации и пр.) безопасную информационную систему, необходимо, прежде всего, обеспечить работоспособность всех классов программнотехнических методов и средств защиты информации [11]:
1) средства защиты от несанкционированного доступа (средства авторизации, мандатное управление доступом, избирательное управление доступом, управление доступом на основе ролей, аудит); 2) системы анализа и моделирования информационных потоков; 3) системы мониторинга сетей (системы обнаружения и предотвращения вторжений, системы предотвращения утечек конфиденциальной информации); 4) анализаторы протоколов;
5) антивирусные средства; 6) межсетевые экраны; 7) криптографические средства (шифрование, цифровая подпись);
8) системы резервного копирования; 9) системы бесперебойного питания (источники бесперебойного питания, резервирование нагрузки, генераторы напряжения); 10) системы аутентификации (пароль, ключ доступа (физический или электронный), сертификат, биометрия); 11) средства предотвращения взлома корпусов и краж оборудования; 12) средства контроля доступа в помещение; 13) инструментальные средства анализа систем защиты (мониторинговый программный продукт).
3.3. Безопасность на уровне операционных систем Несомненно, для защиты компьютерных систем необходима и антивирусная защита, и усиленные меры идентификации и аутентификации пользователей, но в первую очередь необходимо все же обеспечить защиту с помощью встроенных средств операционной системы (ОС). Рассмотрим настройку средств безопасности одной из распространенных ОС Windows XP.
Настройка средств безопасности осуществляется в соответствии с политикой безопасности – шаблоном, по которому можно выбирать и конфигурировать различные типы механизмов защиты, поддерживаемых операционной системой или ее приложениями, в соответствии с некоторой моделью разграничения доступа (раздел 3.1). В политике безопасности предписано каждого пользователя системы классифицировать по группам, что осуществляется посредством создания учетных записей пользователей – записей, содержащих все сведения, определяющие пользователей в ОС. К этим сведениям относятся: имя пользователя и пароль, требуемые для входа пользователя в систему, имена групп, членом которых пользователь является, а также права и разрешения, которые он имеет при работе в системе и доступе к ее ресурсам.
Существует как минимум пять групп пользователей: 1) администраторы (имеют полный доступ на управление компьютером), 2) операторы архива (могут архивировать и восстанавливать файлы на компьютере, независимо от всех разрешений, которыми защищены эти файлы, не могут изменять параметры безопасности); 3) опытные пользователи (могут создавать учетные записи и группы пользователей, изменять и удалять созданные ими учетные записи и группы пользователей, создавать локальные группы и удалять пользователей из локальных групп, которые они создали, удалять пользователей из групп «Опытные пользователи», «Пользователи» и «Гости»); 4) пользователи (могут выполнять наиболее распространенные задачи, например, запуск приложений, использование локальных и сетевых принтеров и т. д.); 5) гости (для пользователей, не имеющих собственных учетных записей на компьютере).
При добавлении учетной записи пользователя его, как правило, относят к некоторой группе, тем самым пользователю предоставляются все разрешения и права, назначенные этой группе.
На одном компьютере может быть создано неограниченное число учетных записей. Для добавления на компьютер нового пользователя или изменения учетной записи существующего пользователя необходимо войти в систему с учетной записью «Администратор» (или члена группы «Администраторы»), зайти в Пуск Панель управления Администрирование Управление компьютером Служебные программы Локальные пользователи и группы Пользователи и в окне со списком пользователей осуществить нужную операцию.
Средствами реализации учетных записей пользователей обеспечивается защита от несанкционированного доступа к информации злоумышленника при его непосредственном контакте с системой. Но существуют угрозы, связанные с несанкционированным доступом к информации по сети. Такой доступ, как правило, осуществляется посредством: вирусов, кейлогеров (программа, считывающая нажатие клавиш) и радминов (программа, предназначенная для удаленного администрирования, но при этом может использоваться для доступа к скрытой информации).
Важно помнить, что как бы хорошо ни была защищена ОС, в ней периодически находятся уязвимые места, которыми может воспользоваться злоумышленник. Но разработчики ОС довольно часто выпускают «заплатки» – исправления выявленных недостатков ОС, которые устанавливаются на систему пользователя путем обновления ОС. В ОС Windows существует средство автоматического обновления, которое позволяет в автоматическом режиме устанавливать самые «свежие» обновления. Для включения автоматического обновления необходимо перейти к Пуск Панель управления Центр обеспечения безопасности Windows Автоматическое обновление и выбрать пункт «Автоматически (рекомендуется)», выбрать день недели и время выполнения обновления.
Для обеспечения защиты от вредоносных программ используется специальное антивирусное программное обеспечение: Dr. Web, Kaspersky, McAfee, AVZ, Agnitum, Avast, Avira, BitDefender, Emsisoft, Eset, F-Secure, Panda, Sophos, Symantec и др. Каждый из них обладает своими достоинствами и недостатками, выбор конкретного антивирусного программного обеспечения остается за пользователем. Если опыта работы с антивирусными программами у пользователя недостаточно, рекомендуется выбор осуществить исходя из рейтинга антивирусных программ, например, здесь [14]. Существует ряд ресурсов (virustotal.com, virscan.org, urlvoid.com, vms.drweb.com/ online и пр.), на которых можно выполнить проверку файлов или других ресурсов на наличие вредоносных программ с помощью нескольких антивирусных программ.
В стратегии защиты от несанкционированного доступа к информационным ресурсам компьютерной сети особое внимание уделяется обеспечению безопасности ее границ. Целостность периметра компьютерной сети обеспечивается использованием тех или иных базовых технологий межсетевого экранирования в точке подключения защищаемой сети к внешней неконтролируемой сети. В качестве внешней сети чаще всего выступает Интернет, точки доступа – сервер сети. Систему разграничения компьютерных сетей с различными политиками безопасности, реализующую правила информационного обмена между ними, называют межсетевым экраном (встречаются также термины фаервол или брандмауэр).
Межсетевой экран повышает безопасность объектов внутренней сети за счет игнорирования несанкционированных запросов из внешней среды [15]. Кроме того, экранирование позволяет контролировать информационные потоки, исходящие во внешнюю среду, что способствует поддержанию во внутренней области режима конфиденциальности. Кроме функций разграничения доступа, брандмауэр может обеспечивать выполнение дополнительных функций безопасности: аутентификацию, контроль целостности, фильтрацию содержимого, обнаружение атак, регистрацию событий. Если говорить просто, брандмауэр нужен для того, чтобы «не пропустить» вредоносные программы, тогда как антивирусные системы служат, прежде всего, для выявления уже имеющихся вредоносных программ [16].
В ОС Windows существует встроенный брандмауэр, который можно включить в Пуск Панель управления Центр обеспечения безопасности Windows Брандмауэр Windows.
Данный брандмауэр можно использовать, если на компьютере нет особо важной информации (паролей кредитных карт и пр.), в противном случае все же рекомендуется установить брандмауэр внешних производителей, например [17, 18, 19]: COMODO, Zone Alarm, Agnitum Outpost.
Очень часто вредоносные программы выдаются под видом полезных программ. В этом случае брандмауэры оказываются бесполезными, поскольку пользователь (с правами администратора), устанавливая потенциально опасную программу, игнорирует всякие предупреждения межсетевого экрана. Заметим, что устанавливаемые программы проверяет также антивирусное программное обеспечение, но и оно может оказаться бесполезным. Как показывает практика, антивирусам свойственно «пропускать» некоторые вредоносные программы, особенно рекламные вставки и программы-шпионы (программы, которые скрытным образом устанавливаются на компьютер с целью сбора информации о конфигурации компьютера, пользователе, пользовательской активности без согласия последнего). Поэтому для обеспечения комплексной защиты просто необходима программа, специально предназначенная для выявления рекламных вставок и программ-шпионов (программа-антишпион).
К наиболее известным программам-антишпионам относятся: Spybot Search&Destroy, Ad-Aware, Spyware Terminator, SyperAntiSpyware (программы можно найти на soft.oszone.net и biblprog.org.ua). Антишпионы не конфликтуют с антивирусами, поэтому их можно и нужно устанавливать вместе, но при этом конфликтуют между собой, поэтому необходимо остановиться на какой-то конкретной программе-антишпионе [15]. Выполнять сканирование системы как программой-антишпионом, так и антивирусным программным обеспечением рекомендуется не реже одного раза в месяц.
Для работы любой вредоносной программы требуется её запустить, как правило, это делает сам пользователь (например, по невнимательности), или программа может быть прописана в автозагрузку ОС, тогда она будет автоматически запускаться при загрузке ОС. Как правило, для работы вредоносных программ используется второй подход. Поэтому следует периодически проверять и настраивать автозагрузку, для этого на вкладке Автозагрузка утилиты Настройка системы (Пуск Выполнить…, ввести msconfig, нажать OK), необходимо убрать все подозрительные программы, а также программы, в автозапуске которых нет необходимости (рис. 5). В любом случае, загружается ли вредоносная программа с помощью автозагрузки или каким-либо другим способом, при её работе она интерпретируется ОС как процесс и, соответственно, отображается во вкладке Процессы утилиты Диспетчер задач Windows (рис. 6), которая вызывается нажатием сочетания клавиш Alt+Ctrl+ +Del. C ее помощью можно в режиме реального времени отслеживать Рис. 5. Утилита Настройка системы программу, но необходимо четко понимать и уметь отличать легальные процессы (например, системные или запущенные программы) от подозрительных, для чего можно поискать информацию о выполняемом процессе в Интернете (twirpx.
com/file/40641/, http://wiki.
compowiki.info/ProcessyWin dows и пр.).
Вся информация о конфигурации системы, настройках приложений и пр. в ОС Windows хранится в одном месте – в реестре ОС (Пуск Выполнить…, ввести regedit, нажать OK), поэтому большинство вредоносных программ в той или иной степени пытаются заполучить доступ к реестру. Одно из потенциально опасных мест в реестре – это ключ Userinit из раздела HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Current Version\Winlogon. По умолчанию этот ключ содержит запись C:\WINDOWS\system32\userinit.exe (рис. 7). Если в указанном ключе содержатся дополнительные записи, то это могут быть вредоносные программы, и их необходимо удалить.
Существует множество других потенциально опасных мест в реестре, выявить которые без средств автоматизации очень сложно. Для выявления в реестре опасных записей, ошибок реестра и пр. используются такие программы как: Spybot Search&Destroy, Ad-Aware, Reg Organizer и др. Программа Reg Organizer помимо очистки реестра также может выполнять очистку и исправление ошибок на жестком диске [15]. Данную операцию необходимо выполнять, поскольку излишняя «замусоренность» диска и наличие ошибок могут приводить к возникновению потенциально опасных ситуаций (периодическому зависанию компьютера, появлению сообщений об ошибках и пр.).
В случае сбоя системы (вследствие проникновения вредоносной программы или других действий) можно восстановить её работоспособность, загрузив работоспособную версию реестра, но для этого необходимо заблаговременно создать рабочую копию реестра путем его экспорта (меню Файл\Экспорт…) в редакторе реестра. Создавать рабочую копию реестра рекомендуется перед каждой проверкой реестра и не реже одного раза в месяц. Для устранения сбоя системы также можно использовать процедуру Восстановление системы (Пуск Все программы Стандартные Служебные Восстановление системы), которая должна быть включена до момента сбоя. Для настройки процедуры восстановления необходимо воспользоваться вкладкой Восстановление системы в свойствах системы (Пуск Панель управления Система).
Вредоносные программы как правило проникают в систему двумя способами: через внешние носители информации (флеш-накопители, CD, DVD и пр.) и через сеть Интернет. Первый способ заражения в основном осуществляется за счет автозагрузки носителя (используются файлы autorun.inf и autorun.ini на внешнем носителе), поэтому автозагрузку внешних носителей необходимо отключить (Пуск Выполнить… gpedit.msc Конфигурация компьютера Административные шаблоны Система Отключить автозапуск Включен на всех дисководах), и перед каждым использованием носителя информации сканировать его антивирусным программным обеспечением.
Вероятность проникновения вредоносных программ в систему из сети Интернет во многом зависит от выбора браузера (Internet Explorer, Mozilla Firefox, Opera, Google Chrome, Apple Safari и пр.), его настроек и расширений (дополнений, плагинов). Статистика используемости браузеров разнится, но в основном лидируют браузеры Mozilla Firefox и Opera.
Все расширения браузера Mozilla Firefox касательно безопасности можно найти здесь [20], браузера Opera здесь [21].
Наиболее важные расширения в области безопасности для Mozilla Firefox: Adblock Plus – блокирует ненужную рекламу, NoScript – блокирует исполнение JavaScript, апплетов Java, Flash и других потенциально опасных компонент HTML-страниц до тех пор, пока пользователь не разрешит их исполнение, WOT – определяет степень опасности ресурсов (репутацию) в сети Internet; для Opera: Opera AdBlock – блокирует ненужную рекламу, VirusTotal – интегрирует браузер с известным одноимённым веб-сервисом, способным провести проверку просматриваемого в данный момент сайта (а также любого файла с компьютера пользователя) на наличие каких-либо угроз, WOT – аналогичен одноименному плагину для Mozilla Firefox.
Одним из часто встречаемых типов вредоносных программ являются макровирусы – вредоносные программы, написанные на макросах (используемых для автоматического выполнения операций в некоторых прикладных программах обработки данных: текстовых редакторах, электронных таблицах и т. д.). Макровирусы наиболее распространены в приложениях Microsoft Office: World, Excel и пр. Для борьбы с макровирусами в Microsoft Office необходимо в настройках (Сервис Параметры Безопасность Защита от макросов) установить уровень безопасности не ниже высокого (высокий или очень высокий). Данная настройка позволяет избежать автоматического запуска (например, при открытии файла приложения) потенциально опасного макроса.
Количество вредоносных программ с каждым годом растет, они становятся все более изощренными. Уже сейчас для обеспечения безопасности недостаточно только антивирусных программ, необходима комплексная организация мер безопасности, включающая установку межсетевых экранов, создание и настройку учетных записей пользователей, настройку автозагрузки и многое другое. Меры обеспечения безопасности, описанные выше, являются основными и должны быть использованы каждым, кто хочет обезопасить себя от компьютерных угроз. Для защиты особо ценной информации (файл паролей и пр.) применяются дополнительные меры предосторожности:
1. Отдельным пользователям или группе пользователей запретить выполнять некоторые действия (читать, изменять, записывать и пр.) с закрытой информацией. Для этого нужно открыть произвольную папку в Проводнике, выбрать Сервис Свойства папки, перейти на вкладку Вид и убрать выделение напротив строки Использовать простой общий доступ к файлам (рекомендуется), после чего в диалоговом окне свойств любой папки появляется вкладка Безопасность, которая и предназначена для создания пароля.
2. Для доступа на определенный диск или папку, в которой находится информация, с помощью специальных программ (Folder Crypt, Folder Password Protect, extCryptor, File and Folder Privacy, FFGuard, DAFFTIN Cryppie и др.) наложить пароль.
Функция защиты информации паролем имеется не только в специальных программах, но и во многих стандартных архиваторах, например, в архиваторе WinRar. Для того, чтобы наложить на файл архива пароль, необходимо в настройках архивации на вкладке Дополнительно нажать Установить пароль. Пароль должен быть сложным – в него должны быть включены буквы, цифры и спецсимволы («.№;%:?*() +/, и т. д.), но при этом он должен быть запоминающимся.
3. Хранить информацию на специальных флэшустройствах, используемых для защиты конфиденциальной информации. Среди таких устройств можно выделить: флэшнакопители Cruzer Enterprise от SanDisk, на которых используется одновременно и шифрование и парольная защита (на программном уровне); флэш-накопители Elecom с системой идентификации паролем PASS, использующие парольную защиту (на программном уровне) и позволяющие владельцу определять, на каких компьютерах разрешено просматривать данные; флэшнакопители Samurai, на которых также используется парольная защита (на аппаратном уровне) и активирующаяся при попытке несанкционированного доступа система уничтожения записанной информации. Устанавливаемый на флэш-накопители пароль должен быть сложным (см. п. 2).
4. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Аудит информационной безопасности – независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций.Целью аудита информационной безопасности является проведение экспертизы соответствия системы информационной безопасности определенным требованиям и оценки системы управления безопасностью.
Аудитом информационной безопасности занимаются специальные организации аудиторов в области информационной безопасности, например, подразделения государственной технической комиссии при Президенте РФ или независимые негосударственные организации.
В области аудита безопасности информации выделяют следующие основные направления деятельности:
1. Аттестация объектов информатизации по требованиям безопасности информации, к которой относятся: а) аттестация автоматизированных систем, средств связи, обработки и передачи информации; б) аттестация помещений, предназначенных для ведения конфиденциальных переговоров; в) аттестация технических средств, установленных в выделенных помещениях.
2. Контроль защищенности информации ограниченного доступа – выявление технических каналов утечки информации и способов несанкционированного доступа к ней, а также контроль эффективности применяемых средств защиты информации.
3. Специальные исследования технических средств (персональные ЭВМ, средства связи и обработки информации, локальные вычислительные системы и пр.) на наличие побочных электромагнитных излучений и наводок.
В зависимости от направления деятельности в области аудита информационной безопасности выделяют активный аудит, экспертный аудит и аудит на соответствие стандартам.
Активный аудит представляет собой исследование состояния защищенности информационной системы с точки зрения злоумышленника, обладающего высокой квалификацией в области информационных технологий [9]. Суть активного аудита состоит в том, что бы, используя специальное программное обеспечение (в том числе системы анализа защищенности [8]) и специальные методы, смоделировать как можно большее количество сетевых атак, которые может выполнить злоумышленник, и осуществить сбор информации обо всех уязвимостях системы, степени их критичности и методах устранения, сведений о широкодоступной информации (доступной любому потенциальному нарушителю). По окончании активного аудита выдаются рекомендации по модернизации системы сетевой защиты, которые позволяют устранить опасные уязвимости.
Активный аудит делится на «внешний» активный аудит и «внутренний» активный аудит. При «внешнем» активном аудите специалисты моделируют действия «внешнего» злоумышленника: определение доступных из внешних сетей IP-адресов; сканирование данных адресов с целью определения работающих сервисов и служб, определение назначения отсканированных хостов; определение версий сервисов и служб сканируемых хостов; изучение маршрутов прохождения трафика к хостам и др.
«внутренний» активный аудит по составу работ аналогичен «внешнему», однако при его проведении с помощью специальных программных средств моделируются действия «внутреннего» злоумышленника (невнимательного рабочего, уволенного сотрудника и пр.).
Экспертный аудит представляет сравнение состояния информационной безопасности с «идеальным» описанием, которое базируется на требованиях, предъявленных руководством в процессе проведения аудита и на описании «идеальной» системы безопасности, основанной на аккумулированном мировом и частном опыте. Экспертный аудит состоит: 1) из сбора исходных данных об информационной системе, об её функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных (с учетом ближайших перспектив развития); 2) сбора информации об имеющихся организационнораспорядительных документах по обеспечению информационной безопасности и их анализа; 3) определения точек ответственности систем, устройств и серверов информационной системы; 4) формирования перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков. Выделяют три этапа экспертного аудита:
1. Анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе которого выявляются, например, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы.
2. Анализ информационных потоков организации. На данном этапе определяются типы информационных потоков информационной системы организации и составляется их диаграмма, где для каждого информационного потока указывается его ценность (в том числе, ценность передаваемой информации) и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока.
3. Анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции, которые оцениваются на предмет достаточности и непротиворечивости декларируемым целям и мерам информационной безопасности.
Аудит на соответствие стандартам – это деятельность, при которой информационная безопасность сравнивается с неким абстрактным описанием, приводимым в стандартах. К основным стандартам, на соответствие которым проводится аудит, относятся: 1) руководящие документы Гостехкомиссии РФ: «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408-2002 или «Общие критерии»), «Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство» (ГОСТ Р 51188–98), «Информационные технологии. Практические правила управления информационной безопасностью» (ГОСТ Р ИСО/МЭК 17799) и др.; 2) зарубежные и международные стандарты: «Информационные технологии – Технологии безопасности – Практические правила менеджмента информационной безопасности» (ISO/IEC 17799:2005), «Информационные технологии – Технологии безопасности – Практические правила менеджмента информационной безопасности»
(ISO/IEC 27002), Руководство по менеджменту рисков ИБ (ISO/IEC 27005), WebTrust и др.
Проведение аудита разделяется на следующие этапы:
1) cбор исходных данных об информационной системе предприятия, функциях и особенностях, об используемых технологиях автоматизированной обработки и передачи данных (с учетом ближайших перспектив развития); 2) сбор информации об имеющихся организационно-распорядительных документах по обеспечению информационной безопасности и их анализ; 3) выявление критичных информационных потоков и свойств циркулирующей информации в информационной системе с точки зрения обеспечения ее конфиденциальности, целостности и доступности; 4) формирование перечня подсистем каждого подразделения предприятия с категорированием критичной информации и схемами информационных потоков; 5) подготовка предложений по совершенствованию системы обеспечения информационной безопасности.
Официальный отчет, подготовленный в результате проведения аудита на соответствие стандарту, включает: 1) степень соответствия проверяемой информационной системы выбранным стандартам; 2) степень соответствия собственным внутренним требованиям компании в области информационной безопасности; 3) количество и категории полученных несоответствий и замечаний; 4) рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести её в соответствие с рассматриваемым стандартом; 5) подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.
5. УПРАВЛЕНИЕ РИСКАМИ
В случае, когда обрабатываемые данные или используемые информационные системы являются нестандартными, использование стандартов безопасности не представляется возможным. В этом случае для обеспечения безопасности необходимо организовать работу по управлению рисками потери информации.С количественной точки зрения размер риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимости), а также величины возможного ущерба. Суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки.
Управление рисками включает в себя два вида деятельности, которые чередуются циклически: 1) (пере)оценку (измерение) рисков; 2) выбор эффективных и экономичных защитных средств (нейтрализация рисков).
По отношению к выявленным рискам возможны следующие действия: 1) ликвидация риска (например, за счет устранения причины); 2) уменьшение риска (например, за счет использования дополнительных защитных средств); 3) принятие риска (и выработка плана действия в соответствующих условиях);
4) переадресация риска (например, путем заключения страхового соглашения).
Процесс управления рисками можно подразделить на следующие этапы: 1) выбор анализируемых объектов и уровня детализации их рассмотрения; 2) выбор методологии оценки рисков;
3) идентификация активов; 4) анализ угроз и их последствий, определение уязвимостей в защите; 5) оценка рисков; 6) выбор защитных мер; 7) реализация и проверка выбранных мер; 8) оценка остаточного риска. Этапы 6 и 7 относятся к выбору защитных средств (нейтрализации рисков), остальные – к оценке рисков.
Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл информационной системы. В таком случае эффект оказывается наибольшим, а затраты минимальными.
На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности. На этапе закупки (разработки) выявленные риски способны помочь при выборе архитектурных решений, играющих ключевую роль в обеспечении безопасности. На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию. На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе. При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.
Управление рисками процесс повторяющийся. Все этапы управления рисков связаны между собой, по завершении любого из них может выявиться необходимость возврата к предыдущему.
Первый шаг в анализе угроз их идентификация. Анализируемые виды угроз следует выбрать из соображений здравого смысла, но в пределах выбранных видов провести максимально полное рассмотрение. Целесообразно выявлять не только сами угрозы, но и источники их возникновения это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования.
После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность). Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.
Оценивая вероятность осуществления угроз, целесообразно исходить не только из среднестатистических данных, но учитывать также специфику конкретных информационных систем. Если в подвале дома, занимаемого организацией, располагается сауна, а сам дом имеет деревянные перекрытия, то вероятность пожара, к сожалению, оказывается существенно выше средней.
После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб.
Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные защитные меры. Как правило, для ликвидации или нейтрализации уязвимости, сделавшей реальной опасную угрозу, существует несколько механизмов безопасности, отличающихся эффективностью и стоимостью. Например, если велика вероятность нелегального входа в систему, можно приказать пользователям выбирать длинные пароли и пр.
Оценивая стоимость защитных мер, приходится, разумеется, учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, на обучение и переподготовку персонала. Эту стоимость также можно выразить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и приемлемым риском.
6. КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Структура каналов передачи информации.2. Классификация технических каналов информации.
3. Оптический канал утечки информации.
4. Акустический канал утечки информации.
5. Радиоэлектронный канал утечки информации.
6. Материально-вещественный канал утечки информации.
7. Классификация моделей безопасности информационных систем.
8. Классификация программно-технических методов и средств защиты информации 9. Применение принципа сплошной защиты.
10. Модель систем дискреционного разграничения доступа.
11. Модель систем мандатного разграничения доступа.
12. Модель систем ролевого разграничения доступа.
13. Политика безопасности в защите информации на уровне операционных систем.
14. Структурные уровни политики безопасности.
15. Учетные записи.
16. Антивирусное программное обеспечение.
17. Брандмауэр как способ защиты сети от угроз безопасности.
18. Средства «Автозагрузка» и «Диспетчер задач» в ОС Windows.
19. Реестр ОС Windows.
20. Средство «Восстановление» системы ОС Windows.
21. Макровирусы.
22. Способы установки паролей.
23. Аудит информационной безопасности. Цели аудита информационной безопасности.
24. Основные направления деятельности аудита информационной безопасности.
25. Активный аудит информационной безопасности.
26. Экспертный аудит информационной безопасности.
27. Аудит на соответствие стандартам.
28. Акты федерального законодательства РФ.
29. Нормативно-методические документы в области информационной безопасности.
30. Органы государственной власти РФ, обеспечивающие создание, изменение и исполнение механизмов защиты информации.
31. Управление рисками.
7. ВЫБОР ВАРИАНТА КОНТРОЛЬНОЙ РАБОТЫ
Пусть М – число, состоящее из трех последних цифр шифра. Тогда номер вашего варианта N определяется по формуле Например, шифру 461-078 (M = 78) соответствует 18-й вариант; шифру 462-034 (М = 34) соответствует 4-й вариант.
8. ПРАВИЛА ОФОРМЛЕНИЯ КОНТРОЛЬНОЙ РАБОТЫ
Контрольная работа включает шесть заданий. В ответе на каждое из первых пяти заданий указывается наименование программного обеспечения (ПО). В первом задании рассматривается ПО архивации данных, во втором – разнообразные утилиты, предназначенные преимущественно для обеспечения наиболее полного контроля над системой, предотвращения повреждения жесткого диска и потери данных, в третьем задании – антивирусное ПО, в четвертом – межсетевые экраны (фаерволы, брандмауэры), в пятом – ПО восстановления данных после удаления или повреждения жесткого диска. В шестом задании требуется ответить на три контрольных вопроса из раздела 5. Для подготовки ответов по этим заданиям можно использовать литературу [22–32].Для выполнения заданий необходимо подготовить в редакторе MS Word или OO Writer документ, содержащий для каждого задания следующие характеристики указанного в задании ПО:
наименование;
описание (назначение, отличия от аналогов: преимущества и недостатки и т. д.);
схема распространения (свободное или платное, если платное, то существует ли бесплатная пробная версия).
Подготовленные документы необходимо представить в отдельном файле, названном Вашей фамилией и номера варианта контрольной работы (например, «Иванов_25.doc»), записанном на дискете или лазерном диске. В случае возникновения сложностей с предоставлением подготовленных документов в электронном виде, решение заданий контрольной работы можно предоставить в отдельной тетради, предварительно зарегистрированной в деканате.
9. ВАРИАНТЫ ЗАДАНИЙ К КОНТРОЛЬНОЙ РАБОТЕ
Вариант 2. TrojanKiller. 5. Advanced rar repair.Вариант 3. Trend Micro. 6. Контрольные вопросы 2, 12, 28.
Вариант 2. File Folder Protector. 5. BadCopy Pro.
Вариант 2. XenAntiSpyware. 5. ZeroAssumptionRecovery.
Вариант 2. Folder Guard Pro. 5. R.saver.
3. BitDefender. 6. Контрольные вопросы 5, 14, 21.
Вариант 2. Anti-keylogger. 5. Pandora Recovery.
Вариант 2. Spybot – Search&Destroy. 5. MjM Free Photo Recovery.
Вариант Вариант 2. Odin HDD Encryption. 5. CardRecovery.
Вариант 2. AVG antispyware. 5. PC Inspector File Recovery.
3. Panda Security. 6. Контрольные вопросы 5, 13, 22.
Вариант 2. Superantispyware. 5. Recover My Files.
Вариант 2. Ultima Steganography. 5. O&O UnErase.
Вариант 3. Norton Antivirus. 6. Контрольные вопросы 4, 15, 21.
Вариант Вариант 2. ChildWebGuardian. 5. R-Studio.
3. BullGuard Internet Security. 6. Контрольные вопросы 3, 12, 26.
Вариант 2. Spyware Terminator. 5. EasyRecovery.
3. ZoneAlarm Antivirus. 6. Контрольные вопросы 7, 16, 28.
Вариант 3. G Data AntiVirus. 6. Контрольные вопросы 8, 17, 23.
Вариант 2. Access Administrator Pro. 5. Power Quest Lost & Found.
Вариант Вариант 2. Passware RARkey. 5. Stellar Phoenix Digital Media Recovery.
3. Rising Internet Security. 6. Контрольные вопросы 2, 13, 24.
Вариант 1. UltimateZip. 4. Webroot Desktop Firewall.
2. Windows Firewall Control. 5. SoftPerfect File Recovery.
3. Simple Antivirus. 6. Контрольные вопросы 7, 21, 30.
Вариант 1. StuffIt Deluxe. 4. Look'n'Stop Personal Firewall.
2. SUPERAntiSpyware. 5. Acronis Recovery Expert.
3. eScan AntiVirus. 6. Контрольные вопросы 3, 14, 25.
Вариант 3. Webroot AntiVirus. 6. Контрольные вопросы 6, 10, 20.
Вариант 2. Notebak Alarm. 5. Avira UnErase Personal.
Вариант 2. RogueRemover. 5. ADRC Data Recovery Software Tools.
Вариант 2. Emsisoft Anti-Malware. 5. DiskInternals Uneraser.
Вариант 3. Comodo AntiVirus. 6. Контрольные вопросы 6, 17, 25.
Вариант Вариант Вариант 2. Ad-Aware SE Personal. 5. R-Undelete.
10. РЕКОМЕНДАЦИИ К ВЫПОЛНЕНИЮ
КОНТРОЛЬНОЙ РАБОТЫ
Приведем пример, как может выглядеть документ для заданий 1–5 контрольной работы (ответы на вопросы из шестого задания рассматривать не будем, т. к. они кратко были изложены в первых четырех разделах). Предположим, мы имели следующие задания.Вариант 3. Microsoft Security Essentials.
1. Наименование: PowerArchiver (рис. 8).
Рис. 8. Интерфейс программы PowerArchiver Описание: Архиватор для Microsoft Windows. Имеет встроенную поддержку создания/извлечения множества различных типов архивов, в том числе ZIP, CAB, LHA (LZH), TAR, TAR.GZ, TAR.BZ2, BH (BlakHole), RAR, ARJ, ARC, ACE, ZOO, GZ, BZIP2 и т. д. Имеется возможность открывать различные форматы образов дисков:
ISO, BIN, IMG и NRG. Существует встроенная утилита для просмотра файлов TXT, RTF, BMP, ICO, WMF, EMF, GIF, JPG (JPEG), Adobe Photoshop, Autodesk и др. Размеры файлов ограничены только возможностями ОС. Имеется возможность производить восстановление поврежденных ZIP архивов и выполнять проверку их на наличие вирусов, шифровать файлы и архивы, создавать самораспаковывающиеся и многотомные архивы и конвертировать архивы из одного формата в другой. Существует поддержка с FTP, длинных имен файлов, Drag-n-Drop, интеграция в Windows shell, развитая система помощи, удобный интерфейс с поддержкой скинов, интеграция с проводником Windows для быстрого создания и распаковывания архивов, мощная функция поиска по архивам, поддержка 15 языков. Первоначальное название программы было EasyZip.
Схема распространения: PowerArchiver является платным ПО с 30дневной бесплатной пробной версией. При покупке персональной лицензии предоставляется доступ ко всем обновлениям последующих версий программы, при бизнес-лицензии – только двух последующих стабильных релизов.
2. Наименование: CloseFolder (рис. 9).
Описание: Программа, которая позволяет блокировать доступ к папкам. Преимуществом CloseFolder является то, что после удаления этой программы или после переноса папки на другой компьютер она все равно будет закрыта. Имеется возможность установки пароля на запуск программы, блокировки папки из контекстного меню и блокировки папок по списку.
Схема распространения: программа CloseFolder является платным ПО, имеется тридцаРис. 9. Интерфейс программы тидневная бесплатная пробная версия.
3. Наименование: Microsoft Security Essentials (рис. 10).
Рис. 10. Интерфейс программы Microsoft Security Essentials Описание: Пакет антивирусных приложений от компании Microsoft, предназначенный обеспечивать борьбу с различными вирусами, шпионскими программами, руткитами и троянскими программами. Антивирус Microsoft Security Essentials пришёл на замену Windows Live OneCare (коммерческая антивирусная программа от Microsoft), а также бесплатному Windows Defender, который защищал пользователей от рекламного и шпионского программного обеспечения. Microsoft Security Essentials включает защиту в реальном времени. Является экономной по отношению к оперативной памяти, имеет простой в использовании пользовательский интерфейс. Существует интеграция с брандмауэром Windows.
Поддерживается служба динамических подписей, которая дает возможность проверки, несет ли угрозу подозрительная программа (перед запуском подозрительной программы Microsoft Security Essentials эмулирует ее поведение, чтобы выяснить ее дальнейшие действия). В версию Microsoft Security Essentials 2011 года включена функция защиты сети. К достоинствам также можно отнести маленький установочный пакет (около 7 Мб) и быструю скорость установки, к недостаткам – достаточно продолжительное первое обновление (от 5 до 15 минут). В Microsoft Security Essentials включен ряд новых и усовершенствованных технологий для обнаружения пакетов программ rootkit, от которых особенно сложно защититься. В 2011 году журнал PC Advisor антивирус Microsoft Security Essentials 2.0 включил в список «Пять лучших бесплатных пакетов безопасности», который также содержал: Avast! 6 Free Edition, Comodo Antivirus 5.4, AVG Antivirus 2011 и BitDefender Total Security 2012 Beta.
Схема распространения: Microsoft Security Essentials является бесплатным ПО для домашнего использования при условии легальной копии Windows. Лицензия предусматривает, что в случае нелегальности версии операционной системы, последняя будет заблокирована. Малые предприятия также имеют право устанавливать Microsoft Security Essentials для бесплатного использования, но только на 10 компьютерах. Однако лицензионное соглашение отрицает использование антивируса в учебных заведениях, предприятиях и правительственных органах. Лицензия запрещает пользователям производить реверс-инжиниринг, взлом, декомпиляцию и дизассемблирование Microsoft Security Essentials или публиковать, а также раскрывать результаты тестирования и любые другие оценочные испытания программного продукта третьим лицам без предварительного письменного согласия с корпорацией Microsoft.
4. Наименование: Comodo Firewall (рис. 11).
Рис. 11. Интерфейс программы Comodo Firewall Описание: Персональный файервол (или межсетевой экран, или брандмауер) компании Comodo для Microsoft Windows. Comodo Firewall входит в состав набора инструментов Comodo Internet Security для защиты компьютера. Comodo Firewall проверяет обширный список из более чем двух миллионов безопасных приложений. Если приложения нет в безопасном списке, то Comodo Firewall сообщает о возможной угрозе, прежде чем разрешить приложению доступ к вашему ПК, что позволяет предотвратить проникновение и распространение на компьютере вредоносных программ. Список безопасных программ может быть настроен пользователем. Существует автоматическое обновление фаервола. Позволяет осуществлять проактивную защиту (систему отражения локальных угроз), защиту от интернет-атак, защиту от переполнения буфера, защиту от несанкционированного доступа, защиту важных системных файлов и записей реестра от внутренних атак, обнаружение переполнения буфера. В течение 2010 года Comodo Firewall был на первом месте во множествах тестов, посвящённых проблемам защиты персонального компьютера программами класса Firewall, и признан лучшим фаерволом.
Схема распространения: Comodo Firewall является бесплатным ПО (не путать с пакетом Comodo Internet Security, который является коммерческим продуктом с бесплатной 30-дневной версией).
5. Наименование: Recuva (рис. 12).
Описание: Специальная утилита, которая предназначена для восстановления удаленных или потерянных данных. Существует возможность восстановления данных с поврежденных и отформатированных носителей информации, восстановления удалённых сообщений из почтового ящика (поддерживает Microsoft Outlook Express, Mozilla Thunderbird и Windows Live Mail), удалённой музыки с iPod или MP3 плееров, структуры папок, несохранённых документов Microsoft Word. Recuva позволяет надежно удалить файлы, которые пользователи хотят стереть навсегда (без возможности восстановления), искать неудаленные файлы с поврежденных носителей. В Recuva поддерживается многоязычность интерфейса (в том числе, русская версия) и поддержка всех операционных систем Windows.
Схема распространения: Recuva является бесплатным ПО.
СПИСОК РЕКОМЕНДУЕМЫХ ИСТОЧНИКОВ
ИНФОРМАЦИИ
1. Ярочкин, В.И. Информационная безопасность: учебник для вузов по гуманит. и социал.-экон. спец. / В.И. Ярочкин – М.: Академический Проект: Трикста, 2005. – 543 c. (шифр: 004 Я805).2. Башлы, П.Н. Информатика: учебное пособие / П.Н. Башлы. – Ростов-н/Д.: Феникс, 2006. – 250 c. (шифр: 004 Б335).
3. Торокин, А.А. Инженерно-техническая защита информации:
учебн. пособие для студентов, обучающихся по специальности в области информ. безопасности / А.А. Торокин. – М.: Гелиос АРВ, 2005. – 960 с.
4. Зайцев, А.П. Техническая защита информации: учебн. пособие / А.П. Зайцев, А.А. Шелупанов. – М.: Горячая линия-Телеком, 2007. – 616 с.
5. Хореев, А.А. Техническая защита информации: учеб. пособие для студентов вузов. В 3 т. Том 1. Технические каналы утечки информации / А.А. Хореев. – М.: НПЦ «Аналитика», 2008. – 436 с.
6. Несанкционированный доступ в электромагнитных каналах [электронный ресурс] / URL: http://www.twirpx.com/file/4269/.
7. Хорев, П.Б. Методы и средства защиты информации в компьютерных системах: учебное пособие для вузов по направлению (654600) «Информатика и вычислительная техника» / П.Б. Хорев – М.: Академия, 2007 – 255 c. (шифр: 004 Р245).
8. Расторгуев, С.П. Основы информационной безопасности: учебное пособие для вузов по спец. «Компьютер. Безопасность», «Комплекс.
обеспечение информ. безопасности автоматиз. cистем» и «Информ.
безопасность телекоммуникац. cистем» / С.П. Расторгуев. – М.:
Академия, 2007 – 186 c. (шифр: 004 Х792).
9. Партыка, Т.Л. Информационная безопасность : учебное пособие для средн. проф. образования по спец. информатики и вычислительной техники / Т.Л. Партыка, И.И. Попов. – М.: ФОРУМ, 2011. – 431 c.
(шифр: 004 П187).
10. Правовое регулирование защиты информации в России [электронный ресурс] / URL: http://www.e-nigma.ru/stat/dip_1/ 11. Информационная безопасность [электронный ресурс] / URL:
http://ru.wikipedia.org/wiki/Информационная_безопасность.
12. Девянин, П.Н. Модели безопасности компьютерных систем:
учебн. пособие для студ. высш. учеб. заведений / П.Н. Девянин. – М.: Академия, 2005. – 144 с. (шифр: 681.3 Д259).
13. Макашов, Д. Модели безопасности компьютерных систем [электронный ресурс] / Д. Макашов // URL: itsec.ru/articles2/Inf_security/models.
14. Информационно-аналитический центр Anti-Malware [электронный ресурс] / URL: anti-malware.ru/tests_history 15. Мельников, В.П. Информационная безопасность и защита информации: учебное пособие для вузов по спец. 230201 «Информационные системы и технологии» / В.П. Мельников, С.А. Клейменов, А.М. Петраков. – М.: Академия, 2007. – 331 c. (шифр: 004 М482).
16. Защита информации в компьютерных сетях. Практический курс:
учебное пособие / А.Н. Андрончик, В.В. Богданов, Н.А. Домуховский [и др.]. – Екатеринбург: УГТУ-УПИ, 2008. – 248 с.
17. Alexfedoruk Комплексная защита от вирусов [электронный ресурс] / URL:http://litvik.ru/2/13/uchebniki_manuals/18118-alex-fedoruk-kom pleksnaya-zaschita-ot-virusov.html 18. IP [электронный ресурс] / URL: 2ip.ru/article/ 19. WindowsFAQ [электронный ресурс] / URL: windowsfaq.ru/content/ view/328/46/1/ 20. Mozilla Corporations [электронный ресурс] / URL: https://addons.
mozilla.org/ru/firefox/search/?q=&cat=1%2C 21. Расширения Opera [электронный ресурс] / URL: https://addons.
opera.com/addons/extensions/ 22. Ватолин, Д. Методы сжатия данных. Устройство архиваторов, сжатие изображений и видео / Д. Ватолин, А. Ратушняк, М. Смирнов [и др.]. – М.: ДИАЛОГ-МИФИ, 2002. – 384 с.
23. Гультяев, А.К. Восстановление данных / А.К. Гультяев. – СПб.:
Питер, 2006. – 379 с.
24. Ведеев, Д. Защита данных в компьютерных сетях. Открытые системы / Д. Ведеев. – М.: Спартак, 2004. – 120 с.
25. Архиваторы [электронный ресурс] / URL: www.compress.ru/ article.aspx?id=9776&iid= 26. Всё о сжатии данных, изображений и видео [электронный ресурс] / URL: http://compression.ru/ 27. Всё для Windows, мобил, КПК, смартфонов [электронный ресурс] / URL: http://panlom.hut.ru/ 28. Подробная документация по настройке Windows XP, Windows Vista, Windows 7 и Windows 8 [электронный ресурс] / URL:
http://windxp.com.ru/secret.htm 29. WOZZ.RU сайт о безопасности в сети [электронный ресурс] / URL: http://wozz.ru/ 30. Комплексная защита от вредоносных программ [электронный ресурс] / URL: http://www.comss.ru/ 31. Antivirus-Software [электронный ресурс] / URL: http://www.antivirussoftware.ru/ 32. Информационная безопасность [электронный ресурс] / URL: http:// www.securrity.ru/
«