Основи інформаційної безпеки

Контрольна робота З дисципліни Основи інформаційної безпеки 19. инвентаризация автоматизированных информационно- телекоммуникационных систем (ИТС) - цели, задачи, этапы и общий алгоритм действий. Контроль поведения.Изучив нормативную документацию, владея терминологией и представляя общие принципы обеспечения безопасности в информационной среде, необходимо ответить на 3 вопроса - что (кого) защищать - от чего (кого) защищать - как защищать Инвентаризация ИТС (аудит информационной безопасности) Под термином инвентаризация в данном случае будем понимать составление списка систем, т.е. объектов, которые будут подлежать защите и субъектов, задействованных в данном процессе и которые оказывают влияние на информационную безопасность ИТС. Процесс создания списка систем изучает не только перечисление, но и выявление взаимосвязи между отдельными компонентами, а также выявление особенностей, которые в большей или меньшей степени влияют. Планы инвентаризации и общий алгоритм действия 1. составление общего списка объектов и связей между ними 2. определение первичных характеристик объектов 3. работа с субъектами (администраторы, пользователи, бизнес-менеджеры) с целью выявления взаимосвязей между отдельными компонентами ИТС и определение возможных источников угроз информационной безопасности.

Алгоритм действия 1. общие знакомства с системой (визуализация физического расположения объектов, отдельных компонентов и выявление условий персонала 2. изучение первичной документации 3. собеседование с персоналом Виды аудита Аудит безопасности информационных систем обычно подразделяют на внешний и внутренний.

Внешний аудит проводится в основном вне организаций и как правило, специализированными организациями, занимающимися аудитом информационной безопасности.

В этом случае анализируются меры риска от внешних атак и атак со стороны. При проведении внешнего аудита осуществляется сканирование портов, поиск уязвимостей в сетевом и прикладном программного обеспечении.По желанию руководства организации может проводиться специальный вид внешнего аудита – Ethical Hacking.

В этом случае специальная организация осуществляет избранные атаки на серверы, сайты и хосты организации. Такие атаки могут продемонстрировать уязвимости ИС организации.Внутренний аудит, как правило, проводится специальной командой из числа персонала организации. Его задачей является оценка риска существующей технологии применения ИС. Этот вид аудита выполняется с привлечением средств автоматизации аудита, реализующих какой-либо стандарт.

Внутренний аудит проводится внутри сетевого пространства, ограниченного межсетевым экраном организации. От также включает в себя сканирование портов и уязвимостей внутренних хостов организации.Также некоторые авторы выделяют такую классификацию аудита АКТИВНЫЙ АУДИТ Суть активного аудита состоит в том, что с помощью специального программного обеспечения (в том числе систем анализа защищенности) и специальных методов осуществляется сбор информации о состоянии системы сетевой защиты.

Под состоянием системы сетевой защиты понимаются лишь те параметры и настройки, использование которых помогает хакеру проникнуть в сети и нанести урон компании. При осуществлении данного вида аудита на систему сетевой защиты моделируется как можно большее количество сетевых атак, которые может выполнить хакер.При этом аудитор искусственно ставится именно в те условия, в которых работает хакер, – ему предоставляется минимум информации, только та, которую можно раздобыть в открытых источниках.

ЭКСПЕРТНЫЙ АУДИТ Экспертный аудит можно условно представить как сравнение состояния информационной безопасности с «идеальным» описанием, которое базируется на следующем: • требования, которые были предъявлены руководством в процессе проведения аудита; • описание «идеальной» системы безопасности, основанное на аккумулированном в компании-аудиторе мировом и частном опыте.АУДИТ НА СООТВЕТСТВИЕ СТАНДАРТАМ Суть данного вида аудита наиболее приближена к тем формулировкам и целям, которые существуют в финансовой сфере.

При проведении данного вида аудита состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в стандартах.Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию: • степень соответствия проверяемой информационной системы выбранным стандартам; • степень соответствия собственным внутренним требованиям компании в области информационной безопасности; • количество и категории полученных несоответствий и замечаний; • рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести ее в соответствие с рассматриваемым стандартом; • подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.

Составление первичного или сводного варианта состояния форм безопасности ИТС Как правило, наибольшая сложность возникает при проведении информационного аудита в небольших организациях.

Отсюда меньшая структурированность и осуществляется часть личностных отношений. Инвентаризацию ИТС проводят либо силами служб информационной безопасности, либо бригадами, приглашенными внешних независимых экспертов.Перед началом проведения информационного аудита отдается распоряжение по организации, в которой указывается цель проведения, задача, сроки проведения, определяется персональный состав аудитора.

Также должны быть прописаны права и обязанности аудиторов, права и обязанности, а также ответственность субъектов ИТС. 29. социальный мониторинг (социальная инженерия):общие положения, работа с персоналом Социальная инженерия – это комплекс мероприятий по сбору сведения об ИТС (включая информационные ресурсы), напрямую не связанных анализом с техническими или технологическими подробностями ИТС. Это комплекс мероприятий базируется на человеческом факторе.

Общий смысл социальной инженерии, методов социальной инженерии основан на психологических и психофизиологических методах и использовании знаний о качествах личности (слабостях, порочных наклонностях, моральной и финансовой зависимости и т.п.) при переходе общества от индустриального к информационному возрастает роль и значимость информационных ресурсов, а соответственно возрастает роль и значимость систем и методов защиты информации от несанкционированного съема данных.

На этом этапе развития общества информация стала товаром, соответственно она имеет своего владельца, свою ценность, свои каналы сбыта и распространения. Особое значение это приобретает в условиях бизнес конкуренции. При этом, по экспертным оценкам, около 90 % информации можно получить из открытых источников. Основная часть добывается либо с использованием методов НСД, либо с использованием методов или приемов социальной инженерии.Конфликтность 2-х сторон владельца (работодателя) и работника обусловлено следующими факторами - владелец стремится получить как можно больше информации о своих сотрудниках и кандидатах на вакантных места с целью защитить свой бизнес, инвестиции и интеллектуальную собственность. Сведения о работниках в определенной степени помогут уменьшить риск утечки информации.

В свою очередь работник вправе знать условия труда, размер материального вознаграждения за работу, а также существующие правила и ограничения в данной структуре, которые он обязан подчиняться.

Обычно, проверку или тестирование кандидатов на работу или периодические тестовые проверки сотрудников возлагаются на информационно-технические службы (службы информационной безопасности) При этом используются традиционные методы тестирования – изучения документов, собеседование, анализ деятельности сотрудника или кандидата на прежнем месте работы и др. Кроме этого, в последнее время более широкое распространение получают методы и средства психологического и психофизиологического тестирования.

По материалам зарубежных источников, применение этих методов позволяет выявить либо предотвратить около 40-45 % нарушений. Данные методы основаны на анализе реакции человека на то, верит он или нет в правдивость своих ответов на вопросы психофизиолога. Эта реакция человека исследуется с помощью анализа некоторых объективных параметров и характеристик.С целью анализа реакций человека во всем мире используются приборы Полиграф, который называют еще детектором лжи. Полиграф используется США со времен 1-й мировой войны и на сегодняшний день с помощью полиграфа проводится около миллиона обследований в год, в Украине пока только несколько тысяч в год, в связи, с чем наиболее развито производство полиграфов именно в США. Наилучшим на данный момент является полиграф LX4000-SW, производства США. Принцип работы полиграфа заключается в прохождении человеком психологических тестов, при ответах на вопросы которого, к нему подключаются датчики, которые измеряют физиологические изменения кожных покров, (например увлажнении кожи), учащение сердцебиения и активности мозга. Поэтому с целью более эффективного вычисления реакции человека вопросы в тестах строятся так, что бы часть вопросов была общего плана, отвечая на которые обследуемый успокаивается, а после них идут специальные вопросы, реакция на которые проверяется.

Не рекомендуется применять полиграф к несовершеннолетним, беременным, людям преклонного возраста, а также к лицам имеющим психические отклонения, так как у них реакция в силу различных обстоятельств и состояний организма и нервной системы может помешать в объективности проводимого обследования.

В определенной степени, уменьшить влияние человеческого фактора на защиту от НСД можно обеспечив комплексное эшелонированные системы защиты информации, с выделением или классификацией информационных ресурсов по степени своей значимости и обеспечением соответствующего режима защиты.

Но в некоторых случае, необходимо руководствоваться правилам оценки соотношения стоимости информационных ресурсов и стоимости системы информационных ресурсов (+ иногда производительности ИТС) Одним из важных аспектов социального мониторинга является изучение угроз направленных в отношении сотрудников предприятия.

Рассмотрим угрозы организационного характера и способы их реализации.Под угрозами организационного характера понимаются действия, направленные на сотрудников компании или осуществляемые сотрудниками компании с целью получения конфиденциальной информации или нарушения функционирования бизнес-процессов.

Большинство существующих классификаций угроз информационной безопасности описывают только угрозы технологического характера; организационные угрозы в них представлены недостаточно полно или отсутствуют вообще.Однако, учитывая тот факт, что организационные угрозы существенно влияют на безопасность информационной системы, специалистами компании Digital Security была разработана классификация угроз информационной безопасности DSECCT ( Digital Security Classification of Threats ), описывающая как технологические, так и организационные угрозы.

Воспользуемся ей для анализа организационных угроз. Как следует из классификации DSECCT, все организационные угрозы по характеру воздействия подразделяются на угрозы воздействия на персонал и действия самого персонала. Воздействие на персонал может быть физическим или психологическим.Причины действий персонала, способных вызвать угрозы информационной безопасности, могут быть умышленного или неумышленного характера.

Таким образом, угрозы организационного характера либо направлены на сотрудников компании, либо реализуются через сотрудников компании, то есть источниками угроз организационного характера являются сами сотрудники компании.Угрозы организационного характера Физическое воздействие на персонал заключается в том, что злоумышленник прибегает к силовому воздействию на сотрудника компании или его друзей и родственников с целью получить конфиденциальную информацию или нарушить функционирование каких-либо бизнес-процессов компании.

Такие инциденты расследуются отделом физической безопасности компании и правоохранительными органами.В рамках психологического воздействия классификация DSECСT рассматривает такие распространенные методы психологического воздействия в области информационной безопасности как: шантаж, подкуп, социальная инженерия и многие другие. Способы реализации шантажа и подкупа всем известны и в данной статье рассматриваться не будут.

Речь пойдет о социальной инженерии – наиболее интересном методе психологического воздействия с точки зрения реализации и способов защиты. В научной литературе психологическое воздействие часто называется манипуляцией или манипулятивным воздействием.Манипуляция – это вид психологического воздействия, искусное исполнение которого ведет к скрытому возбуждению у другого человека намерений, не совпадающих с его актуально существующими желаниями (Доценко Е.Л. Психология манипуляции М 1996). Существует большое количество видов и методов манипулирования; разработать общую классификацию методов психологического воздействия (манипулирования) достаточно сложно, так как манипуляция используется во многих коммуникативных областях в различных проявлениях и формах.

Психологическая атака - метод активного воздействия на психику человека с целью отключения логического мышления: произведения положительного (отрицательного) впечатления или введения в состояние растерянности с последующим побуждением человека к нужной реакции.

Например, злоумышленник отправляет письмо сотруднику компании ("жертве") на адрес электронной почты, в котором с помощью психологического воздействия заставляет его выполнить определенные действия (открыть веб-страницу, запустить прикрепленный файл и т.п.). Адрес электронной почты может быть получен из открытых источников, таких как поисковые системы, личные электронные дневники (блоги), форумы и др. Далее приведены легенды атак на сотрудников компании и детали текста писем.

Пример GenoTree : Письмо-просьба, в котором отправитель (злоумышленник) рассказывает, что составляет генеалогическое дерево своего рода, причем у получателя (сотрудник компании, "жертва") и отправителя совпадают фамилии.Отправитель просит "жертву" посмотреть уже составленное им генеалогическое дерево; для просмотра дерева якобы используется специальная программа, которая также прикреплена к письму.

На самом же деле к письму прикреплено троянское программное обеспечение. Психологическое программирование - метод однообразного или настойчивого воздействия на психику человека с целью выработки алгоритмов его поведения и образов мышления.Пример "Денежная пирамида": Примером психологического программирования может быть регулярная рассылка различных сообщений одной и той же тематики (например, с предложением участия в традиционных денежных пирамидах). Сотрудник компании, получив сообщение с предложением легкого заработка и проигнорировав его, в следующий раз, получив подряд несколько аналогичных сообщений, возможно, задумается и через некоторое время выполнит указанные злоумышленником в инструкции действия.

Психологическое манипулирование - метод двойственного воздействия на психику человека, целью которого является поставить человека в положение выбора линии поведения между двумя альтернативами (между хорошим и плохим, добром и злом). Пример "Электронный платеж": Письмо представляет собой фрагмент переписки двух человек, который якобы ошибочно был прислан сотруднику компании ("жертве"). В переписке обсуждается возможность оплаты каких-либо услуг с помощью электронных денежных средств.

Один из адресатов предлагает другому оплатить услуги с помощью электронного кошелька, при этом в письме приводятся номер электронного кошелька, пароль, инструкция по использованию.К письму прикреплен "плагин для совершения денежных операций" – троянское программное обеспечение.

Таким образом, получатель попадает в положение выбора, находясь между двумя альтернативами: украсть или нет, воспользоваться чужими денежными средствами или нет. Психологическое давление - метод внушительного воздействия на психику человека с целью принуждения его к определенным действиям.Пример "Критичное обновление": Сотрудник компании ("жертва") получает письмо якобы от имени другого сотрудника компании, обладающего более высоким статусом (большими полномочиями). Письмо представляет собой перечень действий (инструкцию), которые должен выполнить сотрудник компании.

Для усиления психологического давления в письме могут быть приведены: • основание для выполнения указанных в инструкции действий сотрудником, (например, вымышленный номер приказа); • точные сроки выполнения указанных действий; • пояснения к инструкции, ссылки на дополнительные источники информации; o прочие атрибуты, усиливающие эффект доверия и подчинения.Например, сотрудникам компании может быть разослано письмо якобы от имени руководителя отдела информационной безопасности компании, в котором сообщается о необходимости незамедлительно установить критичное обновление операционной системы, которое не вошло в репозитарий системы автоматического обновления по определенным причинам.

К письму прикладывается детальная инструкция по установке обновления и само обновление (являющееся, естественно, троянским программным обеспечением). Следует отметить, что рассмотренные методы психологического воздействия могут комбинироваться, образуя тем самым новые проявления воздействия на человека. Часто случается так, что "жертвы" психологической манипуляции не подозревают, что стали объектом атаки.

В частности, это обстоятельство значительно затрудняет установление факта инцидента и его последующее расследование.Кроме этого, не всегда удается точно определить, были ли действия сотрудника умышленными или нет, и определить степень ответственности и меру взыскания, накладываемую на сотрудника.

Угрозы организационного характера легко реализуемы на практике; специалистам по информационной безопасности необходимо уделять им серьезное внимание.Для защиты информационной системы компании от угроз организационного характера следует: • Разработать, утвердить на уровне руководства и довести до сведения пользователей нормативные документы по информационной безопасности: политику безопасности, инструкции и регламенты по использованию средств обработки информации, правила предоставления доступа к информационным ресурсам.

Должна быть предусмотрена ответственность за невыполнение требований данных нормативных документов. • Обязать каждого сотрудника подписать соглашение о конфиденциальности (о неразглашении конфиденциальной информации, обрабатываемой в компании), которое разрабатывается в соответствии с действующим законодательством и политикой безопасности компании.Предупредить сотрудников о последствиях нарушения соглашения о конфиденциальности. • Периодически проводить психологические тестирования сотрудников; предусмотреть возможность оказания психологической помощи (консультаций) сотрудникам компании. • Периодически проводить обучение пользователей по вопросам информационной безопасности, в частности, детализируя методы, используемые злоумышленниками – социальными инженерами.

Обучение пользователей рекомендуется завершать практическим тренингом и зачетом. • Использовать различные программные средства защиты информации, минимизирующие возможное влияние угроз организационного характера. 39. основные положения, которые относятся к области защиты информации, НД ТЗИ 2.5 0050-99 “Классификация автоматизированных систем и стандартные функциональные профили защищенности обрабатываемой информации от НСД” НД ТЗИ 2.5 0050-99 нормативно-правовой документ, который устанавливает принципы классификации автоматизированных систем и создания функциональных профилей защищенности обрабатываемой информации от несанкционированного доступа.

Согласно указанного документа, автоматизированная система – это совокупность вычислительной системы, физической среды, персонала и обрабатываемой информации. В связи с этим, требования к комплексу средств защиты зависят от используемой вычислительной системы, физической среды, персонала и обрабатываемой информации.

Учитывая вышеуказанные категории, автоматизированные системы делятся на классы 1. одномашинный однопользовательский комплекс который обрабатывает информацию одной или нескольких категорий конфиденциальности, при этом технические средства (носители информации, средства вводавывода относятся к одной категории и могут использоваться для хранения иили вводавывода информаций 2. локализированный многомашинный комплекс, который обрабатывает информацию разных категорий конфиденциальности.

Отличается от первого класса тем, что существуют пользователи которые могут осуществлять обработку информации разных категорий конфиденциальности 3. разделенный многомашинный комплекс, который обрабатывает информацию разных категорий конфиденциальности.

Отличается от других классов тем, что информацию необходимо передавать через незащищенную среду.В каждом классе АС по требованиям к обеспечению определенных свойств информации выделяют следующие подклассы - автоматизированная система в которой повышены требования к обеспечению конфиденциальности обрабатываемой информации (подкласс К) - автоматизированная системы в которой повышены требования к целостности обрабатываемой информации (подкласс Ц) - автоматизированная система в которой повышены требования к обеспечению доступности обрабатываемой информации (подкласс Д) - автоматизированная система в которой повышены требования к обеспечению конфиденциальности и целостности обрабатываемой информации (подкласс КЦ) - автоматизированная система в которой повышены требования к обеспечению конфиденциальности и доступности обрабатываемой информации (подкласс КД) - автоматизированная система в которой повышены требования к обеспечению целостности и доступности обрабатываемой информации (подкласс ЦД) - автоматизированная система в которой повышены требования к обеспечению конфиденциальности, целостности и доступности обрабатываемой информации (подкласс КЦД) Функциональные профили защищенности Стандартный функциональный профиль защищенности представляет собой перечень минимально необходимых уровней услуг, которые должен реализовывать комплекс средств защиты вычислительной системы автоматизированной системы, чтобы удовлетворять определенным требованиям защищенности информации, которая обрабатывается в данных автоматизированных системах. Стандартные функциональные профили строятся на основе существующих требований защиты определенной информации от определенных угроз и известных на сегодняшний день функциональных услуг, что разрешает противостоять данным угрозам и обеспечивать выполнение требований, которые предъявляются.

Один и тот же профиль защищенности может использоваться для описания функциональных требований к защите обрабатываемой информации для вычислительных систем и для СУБД, в тоже время как их политика безопасности, к примеру, определение объектов – будет разной.

Единственным требованием при создании новых профилей выступают описанные в НДТЗИ 2.5-004-99 – критерии оценки защищенности информации в компьютерных системах от несанкционированного доступа Семантика профиля Описание профиля состоит из трех частей - 1. буквенно-числового идентификатора 2. знака равности 3. перечня уровней услуг взятых в фигурные скобки Идентификатор включает в себя – - определение класса автоматизированной системы(1,2,3) - буквенную часть, что характеризует виды угроз, от которых обеспечивается защита (К и/или Ц и/или Д) - номер профиля и необязательное буквенное обозначение версии.

При этом все части идентификатора отделяются точкой.

Например – 2.К.4. – функциональный профиль номер четыре, что определяет требования к автоматизированным системам класса 2, предназначенных для обработки информации, основным требованиям к защите которой является обеспечение конфиденциальности.

Стандартные профили Стандартные функциональные профили защищенности для автоматизированных систем класса – 1 - по обеспечению конфиденциальности обрабатываемой информации 1.К.1 = { НР-1, НИ-1, НК-1, НО-1, НЦ-1, НТ-1 } 1.К.2 = { КА-1, КО-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 } - по обеспечению целостности обрабатываемой информации 1.Ц.1 = { НР-1, НИ-1, НК-1, НО-1, НЦ-1, НТ-1 } 1.Ц.2 = { ЦА-2, ЦО-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 } - по обеспечению достпуности обрабатываемой информации 1.Д.1 = { ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 } 1.Д.2 = { ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-2 } 1.Д.3 = { ДР-2, ДС-2, ДЗ-2, ДВ-2, НР-3, НИ-2, НК-1, НО-1, НЦ-2, НТ-2 } 1.Д.4 = { ДР-2, ДС-3, ДЗ-3, ДВ-3, НР-4, НИ-2, НК-1, НО-1, НЦ-2, НТ-2 } - с повышенными требованиями конфидециальности и целостности информации 1.КЦ.1 = { НР-1, НИ-1, НК-1, НО-1, НЦ-1, НТ-1 } 1.КЦ.2 = { КА-1, КО-1, ЦА-2, ЦО-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 } - с повышенными требованиями конфидециальности и достпуности информации 1.КД.1 = { КА-1, КО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 } 1.КД.2 = { КА-1, КО-1, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-2 } 1.КД.3 = { КА-1, КО-1, ДР-2, ДС-2, ДЗ-2, ДВ-2, НР-3, НИ-2, НК-1, НО-1, НЦ-2, НТ-2 } 1.КД.4 = { КА-1, КО-1, ДР-2, ДС-3, ДЗ-3, ДВ-3, НР-4, НИ-2, НК-1, НО-1, НЦ-2, НТ-2 } - - с повышенными требованиями целостности и достпуности информации 1.ЦД.1 = { ЦА-1, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 } 1.ЦД.2 = { ЦА-1, ЦО-1, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-2 } 1.ЦД.3 = { ЦА-1, ЦО-1, ДР-2, ДС-2, ДЗ-2, ДВ-2, НР-3, НИ-2, НК-1, НО-1, НЦ-2, НТ-2 } 1.ЦД.4 = { ЦА-1, ЦО-1, ДР-2, ДС-3, ДЗ-3, ДВ-3, НР-4, НИ-2, НК-1, НО-1, НЦ-2, НТ-2 } - с повышенными требованиями конфидециальности, целостности и достпуности информации 1.КЦД.1 = { КА-1, КО-1, ЦА-1, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 } 1.КЦД.2 = { КА-1, КО-1, ЦА-1, ЦО-1, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-2 } 1.КЦД.3 = { КА-1, КО-1, ЦА-1, ЦО-1, ДР-2, ДС-2, ДЗ-2, ДВ-2, НР-3, НИ-2, НК-1, НО-1, НЦ-2, НТ-2 } 1.КЦД.4 = { КА-1, КО-1, ЦА-1, ЦО-1, ДР-2, ДС-3, ДЗ-3, ДВ-3, НР-4, НИ-2, НК-1, НО-1, НЦ-2, НТ-2 } Стандартные функциональные профили защищенности для автоматизированных систем класса – 2 - по обеспечению конфиденциальности обрабатываемой информации 2.К.1 = { КД-2, НР-2, НИ-2, НК-1, НО-1, НЦ-1 } 2.К.2 = { КД-2, КО-1, НР-2, НИ-2, НК-1, НО-1, НЦ-2, НТ-1 } 2.К.3 = { КД-2, КА-2, КО-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 } 2.К.4 = { КД-2, КА-2, КО-1, КК-1, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2 } 2.К.5 = { КД-3, КА-3, КО-1, КК-1, НР-4, НИ-2, НК-1, НО-3, НЦ-3, НТ-2 } 2.К.6 = { КД-4, КА-4, КО-1, КК-2, НР-5, НИ-2, НК-2, НО-3, НЦ-3, НТ-2 } - по обеспечению целостности обрабатываемой информации 2.Ц.1 = { ЦД-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1 } 2.Ц.2 = { ЦД-1, ЦО-1, НР-2, НИ-2, НК-1, НО-1, НЦ-2, НТ-1 } 2.Ц.3 = { ЦД-1, ЦА-2, ЦО-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 } 2.Ц.4 = { КО-1, ЦД-1, ЦА-3, ЦО-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2 } 2.Ц.5 = { КО-1, ЦД-4, ЦА-4, ЦО-2, НР-4, НИ-2, НК-1, НО-3, НЦ-3, НТ-2 } - по обеспечению достпуности обрабатываемой информации 2.Д.1 = { ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 } 2.Д.2 = { ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-2 } 2.Д.3 = { ДР-3, ДС-2, ДЗ-2, ДВ-2, НР-3, НИ-2, НК-1, НО-1, НЦ-2, НТ-2 } 2.Д.4 = { ДР-3, ДС-3, ДЗ-3, ДВ-3, НР-4, НИ-2, НК-1, НО-1, НЦ-2, НТ-2 } - с повышенными требованиями конфидециальности и целостности информации 2.КЦ.1 = { КД-2, ЦД-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1 } 2.КЦ.2 = { КД-2, КО-1, ЦД-1, ЦО-1, НР-2, НИ-2, НК-1, НО-1, НЦ-2, НТ-1 } 2.КЦ.3 = { КД-2, КА-2, КО-1, ЦД-1, ЦА-2, ЦО-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 } 2.КЦ.4 = { КД-2, КА-2, КО-1, КК-1, ЦД-1, ЦА-2, ЦО-1, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2 } 2.КЦ.5 = { КД-3, КА-3, КО-1, КК-1, ЦД-1, ЦА-3, ЦО-2, НР-4, НИ-2, НК-1, НО-3, НЦ-3, НТ-2 } 2.КЦ.6 = { КД-4, КА-4, КО-1, КК-2, ЦД-4, ЦА-4, ЦО-2, НР-5, НИ-2, НК-2, НО-3, НЦ-3, НТ-2 } - с повышенными требованиями конфидециальности и достпуности информации 2.КД.1 = { КД-2, КА-2, КО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 } 2.КД.2 = { КД-2, КА-2, КО-1, КК-1, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2 } 2.КД.3 = { КД-3, КА-3, КО-1, КК-1, ДР-3, ДС-2, ДЗ-2, ДВ-2, НР-4, НИ-2, НК-1, НО-3, НЦ-3, НТ-2 } 2.КД.4 = { КД-4, КА-4, КО-1, КК-2, ДР-3, ДС-3, ДЗ-3, ДВ-3, НР-5, НИ-2, НК-2, НО-3, НЦ-3, НТ-2 } - - с повышенными требованиями целостности и достпуности информации 2.ЦД.1 = { ЦД-1, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-2, НТ-1 } 2.ЦД.2 = { ЦД-1, ЦА-2, ЦО-1, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 } 2.ЦД.3 = { КО-1, ЦД-1, ЦА-3, ЦО-2, ДР-3, ДС-2, ДЗ-2, ДВ-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2 } 2.ЦД.4 = { КО-1, ЦД-4, ЦА-4, ЦО-2, ДР-3, ДС-3, ДЗ-3, ДВ-3, НР-4, НИ-2, НК-1, НО-3, НЦ-3, НТ-2 } - с повышенными требованиями конфидециальности, целостности и достпуности информации 2.КЦД.1 = { КД-2, КО-1, ЦД-1, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 } 2.КЦД.2 = { КД-2, КА-2, КО-1, ЦД-1, ЦА-2, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 } 2.КЦД.3 = { КД-2, КА-2, КО-1, КК-1, ЦД-1, ЦА-3, ЦО-2, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2 } 2.КЦД.4 = { КД-3, КА-3, КО-1, КК-1, ЦД-1, ЦА-3, ЦО-2, ДР-3, ДС-2, ДЗ-2, ДВ-2, НР-4, НИ-2, НК-1, НО-3, НЦ-3, НТ-2 } 2.КЦД.5 = { КД-4, КА-4, КО-1, КК-2, ЦД-4, ЦА-4, ЦО-2, ДР-3, ДС-3, ДЗ-3, ДВ-3, НР-5, НИ-2, НК-2, НО-3, НЦ-3, НТ-2 } Стандартные функциональные профили защищенности для автоматизированных систем класса – 3 - по обеспечению конфиденциальности обрабатываемой информации 3.К.1 = { КД-2, КВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НВ-1 } 3.К.2 = { КД-2, КО-1, КВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-2, НТ-1, НВ-1 } 3.К.3 = { КД-2, КА-2, КО-1, КВ-2, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2, НВ-1 } 3.К.4 = { КД-2, КА-2, КО-1, КК-1, КВ-3, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2, НВ-2 } 3.К.5 = { КД-3, КА-3, КО-1, КК-1, КВ-4, НР-4, НИ-2, НК-1, НО-3, НЦ-3, НТ-2, НВ-2 } 3.К.6 = { КД-4, КА-4, КО-1, КК-2, КВ-4, НР-5, НИ-2, НК-2, НО-3, НЦ-3, НТ-2, НВ-2, НА-1 } - по обеспечению целостности обрабатываемой информации 3.Ц.1 = { ЦД-1, ЦВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НВ-1 } 3.Ц.2 = { ЦД-1, ЦО-1, ЦВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-2, НТ-1, НВ-1 } 3.Ц.3 = { ЦД-1, ЦА-2, ЦО-1, ЦВ-2, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2, НВ-2, НА-1 } 3.Ц.4 = { КО-1, ЦД-1, ЦА-3, ЦО-2, ЦВ-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2, НВ-2, НА-1, НП-1 } 3.Ц.5 = { КО-1, ЦД-4, ЦА-4, ЦО-2, ЦВ-3, НР-4, НИ-2, НК-1, НО-3, НЦ-3, НТ-2, НВ-3, НА-2, НП-2 } - по обеспечению достпуности обрабатываемой информации 3.Д.1 = { ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1, НВ-1 } 3.Д.2 = { ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-2, НВ-1 } 3.Д.3 = { ДР-3, ДС-2, ДЗ-2, ДВ-2, НР-3, НИ-2, НК-1, НО-1, НЦ-2, НТ-2, НВ-1 } 3.Д.4 = { ДР-3, ДС-3, ДЗ-3, ДВ-3, НР-4, НИ-2, НК-1, НО-1, НЦ-2, НТ-2, НВ-1 } - с повышенными требованиями конфидециальности и целостности информации 3.КЦ.1 = { КД-2, КВ-1, ЦД-1, ЦВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НВ-1 } 3.КЦ.2 = { КД-2, КО-1, КВ-1, ЦД-1, ЦО-1, ЦВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-2, НТ-1, НВ-1 } 3.КЦ.3 = { КД-2, КА-2, КО-1, КВ-2, ЦД-1, ЦА-2, ЦО-1, ЦВ-2, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2, НВ-1 } 3.КЦ.4 = { КД-2, КА-2, КО-1, КК-1, КВ-3, ЦД-1, ЦА-2, ЦО-1, ЦВ-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2, НВ-2 } 3.КЦ.5 = { КД-3, КА-3, КО-1, КК-1, КВ-3, ЦД-1, ЦА-3, ЦО-2, ЦВ-2, НР-4, НИ-2, НК-1, НО-3, НЦ-3, НТ-2, НВ-2, НА-1, НП-1 } 3.КЦ.6 = { КД-4, КА-4, КО-1, КК-2, КВ-4, ЦД-4, ЦА-4, ЦО-2, ЦВ-3, НР-5, НИ-2, НК-2, НО-3, НЦ-3, НТ-2, НВ-2, НА-1, НП-1 } - с повышенными требованиями конфидециальности и достпуности информации 3.КД.1 = { КД-2, КА-2, КО-1, КВ-2, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2, НВ-1 } 3.КД.2 = { КД-2, КА-2, КО-1, КК-1, КВ-3, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2, НВ-2 } 3.КД.3 = { КД-3, КА-3, КО-1, КК-1, КВ-4, ДР-3, ДС-2, ДЗ-2, ДВ-2, НР-4, НИ-2, НК-1, НО-3, НЦ-3, НТ-2, НВ-2 } 3.КД.4 = { КД-4, КА-4, КО-1, КК-2, КВ-4, ДР-3, ДС-3, ДЗ-3, ДВ-3, НР-5, НИ-2, НК-2, НО-3, НЦ-3, НТ-2, НВ-2, НА-1 } - - с повышенными требованиями целостности и достпуности информации 3.ЦД.1 = { ЦД-1, ЦО-1, ЦВ-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-2, НТ-1, НВ-1 } 3.ЦД.2 = { ЦД-1, ЦА-2, ЦО-1, ЦВ-2, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2, НВ-2, НА-1 } 3.ЦД.3 = { КО-1, ЦД-1, ЦА-3, ЦО-2, ЦВ-2, ДР-3, ДС-2, ДЗ-2, ДВ-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2, НВ-2, НА-1, НП-1 } 3.ЦД.4 = { КО-1, ЦД-4, ЦА-4, ЦО-2, ЦВ-3, ДР-3, ДС-3, ДЗ-3, ДВ-3, НР-4, НИ-2, НК-1, НО-3, НЦ-3, НТ-2, НВ-3, НА-2, НП-2 } - с повышенными требованиями конфидециальности, целостности и достпуности информации 3.КЦД.1 = { КД-2, КО-1, КВ-1, ЦД-1, ЦО-1, ЦВ-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2, НВ-1 } 3.КЦД.2 = { КД-2, КА-2, КО-1, КВ-2, ЦД-1, ЦА-2, ЦО-1, ЦВ-2, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2, НВ-1 } 3.КЦД.3 = { КД-2, КА-2, КО-1, КК-1, КВ-3, ЦД-1, ЦА-3, ЦО-2, ЦВ-2, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2, НВ-2 } 3.КЦД.4 = { КД-3, КА-3, КО-1, КК-1, КВ-3, ЦД-1, ЦА-3, ЦО-2, ЦВ-2, ДР-3, ДС-2, ДЗ-2, ДВ-2, НР-4, НИ-2, НК-1, НО-3, НЦ-3, НТ-2, НВ-2, НА-1, НП-1 } 3.КЦД.5 = { КД-4, КА-4, КО-1, КК-2, КВ-4, ЦД-4, ЦА-4, ЦО-2, ЦВ-3, ДР-3, ДС-3, ДЗ-3, ДВ-3, НР-5, НИ-2, НК-2, НО-3, НЦ-3, НТ-2, НА-1, НП-1, НВ-2, НА-1, НП-1 } Выбор профиля защищенности в зависимости от назначения автоматизированных систем . Согласно справочного приложения А, указаного НД ТЗИ рассмотрены следующие назначения автоматизированных систем. 1. Для автоматизации деятельности органов государственной власти В автоматизированных системах, предназначенных для автоматизации деятельности органов гос. власти часто обрабатывается информация с ограниченным доступом.

В святи с чем основними угрозами будут являться угрозы несанкицонированного доступа к информации т.е. угроза нарушения конфидециальности.

Поэтому для таких систем в первую очередь предъявляются требования по обеспечению конфиденциальности обрабатываемой информации, персональной ответственности пользователей по соблюдению режима секретности.

Рекомендуется использовать функциональные профили типа х.К.х. а при дополнительных требования типа х.КЦ.х КД.х х.КЦД.х. 2. Для автоматизации банковской деятельности Основные угрозы для банковской деятельности – угрозы мошенничества и нарушения в технологии работы а во вторую очередь – нарушение доступности и конфиденциальности.

Поэтому предъявляются требования по обеспечению защиты от указанных угроз.

Рекомендуется использовать функциональный профиль – 3.КЦД.х 3. Для управления технологическими процессами.

Основанная угроза – нарушение доступности АС и технологии обработки информации, поэтому основные требования – обеспечение доступности и административного управления доступом относительно информации со стороны объектов процесса.

Рекомендуются профиля – 1.ЦД.х 2.ЦД.х 4. входящие в состав справочно-поисковых систем Основные угрозы – нарушения доступности, поэтому требования – по обеспечению доступности.

Рекомендуемый профиль – х.Д.х х. ЦД.х Список использованных источников 1. НД ТЗИ 2.5 0050-99 “Классификация автоматизированных систем и стандартные функциональные профили защищенности обрабатываемой информации от НСД” 2. “Виды аудита информационной безопасности.” Роман Просянников 17.05.2005 www.bezpeka.com 3. “Сотрудники компании как основной источник организационных угроз информационной безопасности” Леонид Крымский.

Источник: Digital Security 4. “Социальная инженерия.

Профессиональное программирование.

Последовательный взлом.” www.i2r.ru 5. “Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей” В.В. Платонов Учебное пособие.

Издательский центр Академия.2006 6. “Защита компьютерной информации”. Шаньгин В.Ф. Учебное пособие.

ДМК Пресс, 2008.