Исследование нормативно-правовой базы информационной безопасности предприятия (организации)

Лабораторная работа № 1

Исследование  нормативно-правовой базы информационной безопасности предприятия (организации)

 

 

Цель: На основе оценки возможных угроз информационной безопасности и с учетом существующей отечественной и международной нормативно-правовой базы построить модель угроз, дать  сравнительный анализ нормативных и правовых документов по организации защиты информации на предприятии и разработать рабочую документацию по информационной безопасности.

Структура отчета

1. Краткие теоретические сведения о нормативно- правовой базе и классификации угроз информационной безопасности

2. Постановка задачи исследования в соответствии с индивидуальным заданием

3. Модель угроз ИБ на заданном предприятии

4. Сравнительный анализ отдельных вопросов защиты информации в зарубежных и отечественных документах (по индивидуальному заданию)

5. Разработка документов по обеспечению информационной безопасности на предприятии

6. Выводы по результатам исследований

 

1. Краткие теоретические сведения о нормативно- правовой базе и классификации угроз информационной безопасности

 

Нормативное обеспечение — документы, которые создают правовое пространство для функционирования информационной безопасности

   "Критерии безопасности  компьютерных систем" МО США  явились первой попыткой создать  единый стандарт безопасности, рассчитанный  на разработчиков, потребителей  и специалистов по сертификации  компьютерных систем. "Оранжевая  книга" послужила основой для  разработчиков всех остальных  стандартов информационной безопасности  и до сих пор, с учетом  дополнений и пояснений, используется  в США в качестве руководящего  документа при сертификации компьютерных  систем обработки информации. Слабым  местом "Оранжевой книги" является  недостаточное внимание требованиям  гарантии оценки.

   В "Европейских критериях"  впервые вводится понятие гарантированности  и шкала для критериев гарантированности  - уровни гарантии. "Европейские  критерии" придают требованиям  гарантированности даже большее  значение, чем функциональным требованиям. "Европейские критерии" полностью  принимают классы безопасности "Оранжевой  книги" и вводят еще пять  дополнительных классов.

   "Канадские критерии оценки  безопасности компьютерных систем" явились первым стандартом информационной  безопасности, в котором на уровне  структуры документа функциональные  требования к средствам защиты  отделены от требований гарантии  оценки (адекватности реализации). В  "Канадских критериях" отвергается  подход к оценке уровня безопасности  с помощью универсальной шкалы  и используется независимое ранжирование  требований по каждому разделу,  обеспечивающее гибкость в подходе  к оценке безопасности различных  типов изделий и систем.

   "Федеральные критерии  безопасности информационных технологий" являются по сравнению с "Оранжевой  книгой" стандартом нового поколения. "Федеральные критерии" являются  первым стандартом информационной  безопасности, в котором определяются  три независимые группы требований: функциональные требования к  средствам защиты, требования к  технологии разработки и к  процессу квалификационного анализа(сертификации). Авторами стандарта впервые предложена концепция Профиля защиты - документа, содержащего описание всех требований безопасности как к самому продукту информационной технологии, так и к процессу его проектирования, разработки, тестирования и квалификационного анализа. Разработчики "Федеральных критериев" также отказались от используемого в "Оранжевой книге" подхода к оценке уровня безопасности изделия ИТ на основе обобщенной универсальной шкалы классов безопасности. Вместо этого предлагается независимое ранжирование требований каждой группы, т.е. используется множество частных шкал-критериев, характеризующих обеспечиваемый уровень безопасности. Такой подход позволяет разработчикам и потребителям изделия ИТ выбрать наиболее приемлемое решение и определить необходимый и достаточный набор требований для каждого конкретного продукта ИТ и среды его эксплуатации.

   "Общие критерии оценки  безопасности информационных технологий" представляют собой результат  обобщения всех достижений в  области информационной безопасности. Они согласованы с существующими  стандартами и развивают их  путем введения новых концепций,  соответствующих современному уровню  развития информационных технологий. "Общие критерии" продолжили  подход "Федеральных критериев", направленный на отказ от единой  шкалы классов безопасности, и  повысили гибкость и удобство  применения критериев путем введения  частично упорядоченных шкал. Предложенные в "Общих критериях" структуры Профиля защиты и Задания по безопасности позволяют потребителям и производителям (разработчикам) в полной мере выразить свой взгляд на требования безопасности и задачи защиты, а с другой стороны дают возможность оценщикам проанализировать взаимное соответствие между требованиями потребителей, задачами и средствами защиты продукта ИТ. По уровню систематизации, полноте и степени детализации требований "Общие критерии" оставили далеко позади все существующие стандарты безопасности информационных технологий. При сравнительном анализе всех основных стандартов безопасности ИТ по пяти показателям (универсальность, гибкость, гарантированность, реализуемость, актуальность) "Общие критерии" получили наивысшую оценку. "Общие критерии" разрабатываются как проект международного стандарта ИСО и должны позволить осуществлять сертификацию продуктов ИТ на глобальном уровне.

Классификация угроз информационной безопасности:

 

   Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными.

   Стихийные бедствия  и аварии чреваты наиболее разрушительными последствиями для КС, т.к. последние подвергаются физическому разрушению, информация утрачивается или доступ к ней становится невозможен.

   Сбои и отказы сложных систем неизбежны. В результате сбоев и отказов нарушается работоспособность технических средств, уничтожаются и искажаются данные и программы, нарушается алгоритм работы устройств.

   Ошибки при разработке  КС, алгоритмические и программные ошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств. Кроме того, такие ошибки могут быть использованы злоумышленниками для воздействия на ресурсы КС. Особую опасность представляют ошибки в операционных системах (ОС) и в программных средствах защиты информации.

   Согласно данным Национального  Института Стандартов и Технологий  США (NIST) 65% случаев нарушения безопасности информации происходит в результате ошибок пользователей и обслуживающего персонала. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками приводят к уничтожению, нарушению целостности и конфиденциальности информации, а также компрометации механизмов защиты.

К методам  шпионажа и диверсий относятся:

* подслушивание;

* визуальное наблюдение;

* хищение документов и машинных  носителей информации;

* хищение программ и атрибутов  системы защиты;

* подкуп и шантаж сотрудников;

* сбор и анализ отходов машинных  носителей информации;

* поджоги;

* взрывы.

   «Несанкционированный  доступ (НСД) к информации» это доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств вычислительной техники или автоматизированных систем.

   Процесс обработки и передачи  информации техническими средствами  КС сопровождается электромагнитными  излучениями в окружающее пространство  и наведением электрических сигналов  в линиях связи, сигнализации, заземлении и других проводниках.  Они получили названия побочных электромагнитных излучений и наводок (ПЭМИН). С помощью специального оборудования сигналы принимаются, выделяются, усиливаются и могут либо просматриваться, либо записываться в запоминающих устройствах. Наибольший уровень электромагнитного излучения в КС присущ работающим устройствам отображения информации на электронно-лучевых трубках.

   Большую угрозу безопасности  информации в КС представляет несанкционированная модификация алгоритмической, программной и технической структур системы.

Несанкционированная модификация  структур может осуществляться на любом  этапе жизненном цикле КС. Несанкционированное  изменение структуры КС на этапах разработки и модернизации получило название «закладка». В процессе разработки КС «закладки» внедряются, как правило, в специализированные системы, предназначенные  для эксплуатации в какой-либо фирме  или государственных учреждениях. В универсальные КС «закладки» внедряются реже, в основном для дискредитации  таких систем конкурентом или  на государственном уровне, если предполагаются поставки КС во враждебное государство.

   Одним из основных источников  угроз безопасности информации  в КС является использование  специальных программ, получивших  общее название «вредительские программы (ВП)»

   В зависимости от механизма  действия вредительские программы  делятся на четыре класса:    

* «логические бомбы»;

* «черви»;

* «троянские кони»;

* «компьютерные вирусы».

   «Логические бомбы» - это программы или их части, постоянно находящиеся в ЭВМ или вычислительных системах (ВС) и выполняемые только при соблюдении определенных условий.

   «Червями» называются программы, которые выполняются каждый раз при загрузке системы, обладают способностью перемещаться в ВС или сети и самовоспроизводить копии. Лавинообразное размножение программ приводит к перегрузке каналов связи, памяти и, в конечном итоге, к блокировке системы.

   Троянские кони» - это программы, полученные путем явного изменения или добавления команд в пользовательские программы. При последующем выполнении пользовательских программ наряду с заданными функциями выполняются несанкционированные, измененные или какие-то новые функции.

   «Компьютерные вирусы» - это небольшие программы, которые после внедрения в ЭВМ самостоятельно распространяются путем создания своих копий, а при выполнении определенных условий оказывают негативное воздействие на КС.

 

2. Постановка задачи исследования в соответствии с индивидуальным заданием

 

1. Построить модель угроз на заданном объекте, в данном случае объект – банк  в отдельном здании
2. Изучить и провести анализ следующих критериев ИБ:

Б1 Европейские критерии (ITSEC)

Б2 Типовое положение об органе по аттестации объектов информации по требованиям безопасности информации

Б2 Общие положения

Б2 Общие положения 

 

3. Модель угроз ИБ в банке.

 

 

4. Сравнительный анализ отдельных вопросов защиты информации в зарубежных и отечественных документах

 

№	Виды информации	Класс защищенности			Примечание
		Отечественный	Зарубежный
1	О персональных данных клиентов	УГО1		2 уровень	УГО1
2	О валютных операциях банка	УГО1		2 уровень	УГО1
3	О вкладах клиента	УГО1		2 уровень	УГО1
4	О лицензии программного обеспечения	УГО5		1 уровень	УГО5

 

 

 

Б1  Международные требования по информационной безопасности

Европейские критерии (ITSEC)

Следуя по пути интеграции, Европейские  страны (Франция, Германия, Англия и  Голландия) в 1991 году приняли согласованные  критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC).

Европейские критерии [13] расссматривают следующие составляющие информационной безопасности:

- конфиденциальность, то есть защиту  от несанкционированного получения  информации;

- целостность, то есть защиту  от несанкционированного изменения  информации;

- доступность, то есть защиту  от несанкционированного отказа  в информации или ресурсах.

В отличие от "Оранжевой книги" основным содержанием Европейских  критериев является гарантированность  безопасности.

Гарантированность затрагивает два  аспекта - эффективность и корректность средств обеспечения безопасности.