Комплексный подход к обеспечению безопасности

Вопросы:

Все методы защиты информации по характеру проводимых действий принято делить на уровни:

1. Законодательный уровень
2. Административный уровень
3. Процедурный уровень
4. Программно-технический уровень

Вопрос 1: Уровни информационной безопасности. Законодательные меры обеспечения ИБ.

Каждая конкретная технология занимает свое важное место в общей концепции безопасности системы.
Успех в обеспечении информационной безопасности может принести только комплексный системный подход, при котором средства защиты разных типов применяются совместно и под централизованным управлением.
На законодательном уровне осуществляется защита информации правовыми методами:

• Разработка законодательных документов
• Применение
• Контроль за исполнением

К законодательному уровню относятся:

1. Законодательство в области безопасности информации;
2. Стандарты и спецификации;
3. Лицензирование и сертификации;
4. Морально-этические нормы.

На законодательном уровне различают 2 группы мер:

• меры ограничительной направленности - направленные на создание и поддержание в обществе негативного (в том числе и с применением наказаний) отношения к нарушениям ИБ
• меры созидательной направленности - направляющие и координирующие меры, способствующие повышению образованности общества в области ИБ, помогающие в разработке и распространении средств обеспечения ИБ.

Компьютерная преступность

В 1983 году Международная организация экономического сотрудничества и развития определила термин "компьютерная преступность" как любые незаконные, неэтичные или неправомерные действия, связанные с автоматической обработкой данных и/или их передачей.
В настоящее время компьютерные преступления - самостоятельный вид преступности.

Законодательство в сфере компьютерной безопасности

Существуют международные соглашения и стандарты в области компьютерной безопасности.

• В 2001 г. принята Европейская конвенция о компьютерной преступности.
• В 2018 г. Европейским союзом принят Общий регламент по защите данных (General Data Protection Regulation, GDRR). Охватывает защиту данных и конфиденциальность всех лиц в Европейском союзе.
  В каждом государстве существует свое законодательство в сфере компьютерных преступлений.
  До сих пор отмечается неадекватность компьютерных преступлений и соответствующих наказаний.

США: Федеральный закон об управлении информационной безопасностью (Federal Information Security Management Act, FISMA).
Уголовное право США, закон 1030 (дается определение компьютерного преступления и типов компьютерных преступлений).

РФ: Глава 28 - "Преступления в сфере компьютерной информации"

Концепция национальной безопасности РБ

"Об утверждении Концепции национальной безопасности Республики Беларусь", Указ Президента №575 от 9.11.2010г.

Информационная безопасность - состояния защищенности сбалансированных интересов личности, общества и государства от внешних и внутренних угроз в информационной сфере.

Основные правовые акты, регламентирующие защиту информации в РБ:

1. Конституция РБ
2. Гражданский кодекс РБ
3. Уголовный кодекс РБ
4. Законы РБ
5. Указы президента
6. Постановления и приказы

Конституция РБ

Статья 28. "Каждый имеет право на защиту от незаконного вмешательства в его личную жизнь, в том числе от посягательства на тайну его корреспонденции, телефонных и иных сообщений, на его честь и достоинство"
Статья 34. "... Пользование информацией может быть ограничено законодательством в целях защиты чести, достоинства, частной и семейной жизни граждан и полного осуществления ими своих прав"

Гражданский кодекс РБ (28 декабря 2009 г. №114-3)

(Административно-правовые санкции, связанные с информацией)
Статья 9.6 Отказ госоргана в предоставлении гражданину информации.
Статья 22.6 Несанкционированный доступ к компьютерной информации
Статья 22.7 Нарушение правил защиты информации
Статья 22.10 Незаконный отказ в доступе к архивному документу
Статья 22.13 Незаконное разглашение коммерческой или иной тайны

Уголовный кодекс РБ

Глава 31. Преступления против информационной безопасности. Статьи 349-355
Статья 349. Несанкционированный доступ к компьютерной информации
Статья 350. Модификация компьютерной информации
Статья 351. Компьютерный саботаж
Статья 352. Неправомерное завладение компьютерной информацией
Статья 353. Изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети
Статья 354. Разработка, использование либо распространение вредоносных программ
Статья 355. Нарушение правил эксплуатации компьютерной системы или сети

Законы РБ

Закон РБ "Об информации, информатизации и защите информации" 2008г., №455-3
Закон РБ "Об электронном документе" 2006г., №357-3
Закон РБ "Об электронном документе и ЭЦП" 2009г., №113-3
Закон РБ "О государственных секретах" 2010г., №170-3

Указы президента

О мерах по совершенствованию использования национального сегмента сети Интернет: Указ Президента РБ, 01.02.2010г., №60
О некоторых вопросах в сфере государственных секретов: Указ Президента РБ, 25.02.2011г., №68

Постановления и приказы

Об утверждении положения о лицензировании деятельности по технической защите информации, в том числе криптографическими методами, включая применение электронной информации, в том числе криптографическими методами, включая применение электронной цифровой подписи: постановление Совета Министров РБ, 12.07.2008г., №1012
Об утверждении положения о порядке выполнения работ (оказании услуг) по технической защите информации: Приказ Государственного центра безопасности информации при Президенте РБ, 26.07.2007г., №80

Лицензирование

Деятельность юридических и физических лиц по защите информации лицензируется.
Закон РБ "О лицензировании" от 14.10.2022г.
К организациям, претендующим на право получения лицензии на работы по защите информации, предъявляются требования по:

• уровню квалификации специалистов;
• наличию и качеству измерительной базы;
• наличию и качеству производственных помещений;
• наличию режимного органа и обеспечению охраны материальных ценностей и секретов заказчика;
• наличию нормативно-технической и методической документации в лицензируемой области деятельности.

Вопрос 2: Стандарты и спецификации в области ИБ

Знание стандартов и спецификации важно для специалистов в области информационной безопасности по ряду причин:

• необходимость следования некоторым стандартам (например: криптографическим) закреплена законодательно;
• стандарты регулируют требования к программным и аппаратным средствам, методики оценки и сертификации систем;
• стандарты и спецификации - одна из форм накопления знаний, в них зафиксированы апробированные, высококачественные решения, разработанные наиболее квалифицированными специалистами;
• стандарты и спецификации являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов.

Различают две группы стандартов и спецификаций:

• Оценочные стандарты - предназначены для оценки систем и классификации информационных систем и средств защиты по требованиям безопасности. На основании оценки может выполняться сертификация систем;
• Технические спецификации - регламентируют различные аспекты реализации и использования средств защиты.

Самые известные оценочные стандарты**

• "Критерии оценки доверенных компьютерных систем" ("Оранжевая книга") - стандарт Министерства обороны США (1983г.). "Красная книга" (1987г.) - интерпретация для сетевых конфигураций. Это стандарты "радужной" серии. Все 37 книг серии имеют обложки разных цветов.
• "Гармонизированные критерии Европейских стран" (Великобритания, Франция, Германия, Нидерланды)
• "Критерии оценки безопасности информационных технологий" ("Общие критерии") - международный стандарт ISO/IEC 15408. Принят в России как ГОСТ Р ИСО/МЭК 15408-2008 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий"
• Федеральный стандарт США "Требования безопасности для криптографических модулей"

Технические спецификации

Основным источником технических спецификаций является Инженерный Совет Интернета (IETF, Internet Engineering Task Force) и его рабочая группа безопасности.
Например: стандарты по безопасности на сетевом уровне (IPsec), на транспортном уровне (Transport Layer Security, TLS), на прикладном уровне (S/MIME, Kerberos).
Стандарты и спецификации протоколов Internet публикуются в виде RFC-документов.

Международные стандарты

• Серия стандартов ISO 27000, касающаяся информационной безопасности:
  ISO/IEC 27000, ГОСТ Р ИСО/МЭК 27000-2021 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента ИБ. Общий обзор и терминология".
• ISO/IEC 27001, ГОСТ Р ИСО/МЭК 27001-2021 "... Требования".
• ISO/IEC 27002, ГОСТ Р ИСО/МЭК 27002-2021 "... Свод норм и правил применения мер обеспечения информационной безопасности".

Белорусские государственные стандарты в области ИБ

• СТБ ГОСТ Р 50922-2000 "Защита информации. Основные термины и определения"
• СТБ 34.101.27-2022 "Информационные технологии и безопасность. Средства криптографической защиты информации. Требования безопасности".
• СТБ 34.101.31.2020 "Информационные технологии и безопасность. Алгоритмы шифрования и контроля целостности".
• СТБ 34.101.45-2013 "Информационные технологии и безопасность. Алгоритмы электронной цифровой подписи и транспорта ключа на основе эллиптических кривых".
• СТБ 34.101.47-2017 "Информационные технологии и безопасность. Алгоритмы генерации псевдослучайных чисел".
• СТБ 34.101.60-2014 "Информационные технологии и безопасность. Алгоритмы разделения секрета".
• СТБ 34.101.65-2014 "Информационные технологии и безопасность. Протокол защиты транспортного уровня (TLS)".
• СТБ 34.101.66-2014 "Информационные технологии и безопасность. Протоколы формирования общего ключа на основе эллиптических кривых".
• СТБ 34.101.77-2020 "Информационные технологии и безопасность. Криптографические алгоритмы на основе sponge-функции". (Стандарт хеширования)
• СТБ 34.101.87-2022 "Информационные технологии и безопасность. Инфраструктуры аутентификации".

Алгоритмы и протоколы СТБ 34.101, 31, 45, 47, 60, 66, 77, 87 и др. реализованы в открытой криптографической библиотеке Bee2
Официальные редакции стандартов можно найти на сайте www.tnpa.by
На сайте www.apmi.bsu.by размещены авторские редакции криптографических стандартов Республики Беларусь (Разработчик - НИИ Прикладных проблем математики и информатики БГУ).

Вопрос 3: Административный уровень. Политика безопасности

К административному уровню ИБ относятся действия общего характера, предпринимаемые руководством организации для обеспечения ИБ.
Главная цель мер административного уровня - сформировать политику ИБ и обеспечить ее выполнение.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации.
Политика безопасности может быть определена на уровне предприятия, сети, компьютера, пользователя, приложения.

Политика безопасности

Политика безопасности - это набор правил, используемых для принятия решений, касающихся вопросов безопасности.

Политика безопасности (на уровне предприятия) - это совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации от заданного множества угроз безопасности.

Существует три основных модели политики безопасности:

• Дискреционная
• Мандатная
• Ролевая

Политика безопасности устанавливает правила, которые определяют:

• источники угроз, виды атак;
• какой ущерб принесет предприятию потеря или раскрытие определенных данных (анализ рисков);
• какую информацию защищать и от кого;
• какие средства использовать для защиты каждого вида информации;
• настройку компьютерных систем и сетей;
• кто и когда имеет доступ к системе;
• действия служащих в обычных условиях и в случае непредвиденных обстоятельств и т.д...

При выработке политики безопасности возможны два подхода:

• запрещать все, что не разрешено в явной форме
• разрешать все, что не запрещено в явной форме

Политику безопасности целесообразно рассматривать на трех уровнях детализации:

• верхний уровень - решения, затрагивающие организацию в целом
• средний уровень - вопросы, касающиеся отдельных аспектов ИБ (отношение к передовым технологиям, доступ в Интернет, использование домашних компьютеров, применение пользователями неофициального ПО, использование антивирусов)
• нижний уровень - цели, правила достижения, ответственность при работе с конкретными сервисами (политика аутентификации; управление доступом; политика аудита; резервное копирование)

Верхний уровень политики безопасности

Как стартовая точка при разработке политики безопасности предприятия используется Британский стандарт BS 7799 (1995г., 2005г.) и разработанный на его основе стандарт ISO/IEC 17799 (2000г., 2005г.).

Стандарт одинаково применим к любым организациям и всем структурным подразделениям внутри компании.

Определяет разработку, внедрение, поддержание и усовершенствование документированной СУИБ (Системы управления информационной безопасностью) в соответствии с определенными бизнес-рисками.

Стандарт ISO/IEC 17799

Согласно стандарту СУИБ предприятия должна включать следующие разделы:

• Вводный
• Организация защиты (описание подразделений, комиссий, групп, отвечающих за работы в области ИБ)
• Классификация ресурсов (описание имеющихся в организации материальных и информационных ресурсов и необходимый уровень защиты).
• Управление персоналом (характеризует меры безопасности, применяемые к персоналу - процедурные меры).
• Физическая безопасность (освещает вопросы физической защиты).
• Администрирование компьютерных систем и сетей
• Управление доступом к системам
• Разработка и сопровождение систем
• Планирование бесперебойной работы организации
• Проверка системы на соответствие требованиям ИБ действующего законодательства

Вопрос 4: Процедурные и физические меры обеспечения ИБ

На процедурном уровне регламентируются действия сотрудников

Выделяют следующие классы мер:

• управлением персоналом;
• поддержание работоспособности;
• реагирование на нарушения режима безопасности;
• планирование восстановительных работ.

Принципы, используемые на процедурном уровне:

• разделение обязанностей
• обязательный отпуск
• минимизация привилегий
• принцип непрерывного обучения правилам безопасности

Физическая защита

Физическая защита информации - защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

Основной принцип физической защиты - непрерывность защиты в пространстве и времени.

Основные направления физической защиты:

• физическое управление доступом;
• противопожарные меры;
• защита поддерживающей инфраструктуры;
• защита от перехвата данных;
• защита мобильных сетей;

К средствам физической защиты относятся: охрана, замки, сейфы, перегородки, телекамеры, датчики движения и многое другое.

Вопрос 5: Программно-технические меры

Программно-технические меры - это меры, направленные на контроль компьютерных сущностей - оборудования, программ и данных.
Реализуются программным и аппаратным обеспечением узлов и сети.
К основным сервисам безопасности (методам программно-технической защиты) относятся:

• идентификация и аутентификация;
• авторизация (управление доступом);
• аудит;
• защита от несанкционированного доступа (обеспечение конфиденциальности);
• контроль целостности;
• экранирование

Базовые принципы архитектурной безопасности

Базовые принципы архитектурной безопасности:

• подход сверху вниз;
• защита как процесс;
• эшелонированность обороны;
• принцип единого контрольно-пропускного пункта;
• следование признанным стандартам, использование апробированных решений;
• усиление самого слабого звена;
• невозможность перехода в небезопасное состояние;
• разнообразие защитных средств или использование комплексного подхода к обеспечению безопасности;
• простота и управляемость ИС;
• принцип баланса потенциального ущерба от реализации угрозы и затрат на обеспечение безопасности.