Слайд 2
![ТЕМА № 3 «Дестабилизирующее воздействие и несанкционированный доступ к информации»](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-1.jpg)
ТЕМА № 3
«Дестабилизирующее воздействие и несанкционированный доступ к информации»
Слайд 3
![Цель занятия: 1. Изучить методы и средства защиты информации и](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-2.jpg)
Цель занятия:
1. Изучить методы и средства защиты информации и требования
к ним.
2. Обучить организационно-правовому обеспечению информационной безопасности.
3. Воспитывать высокие морально-психологические и профессиональные качества, твердую и непоколебимую уверенность в своем оружии и военной технике, чувство превосходства своих ВС.
Слайд 4
![ЗАНЯТИЕ 2/2. Методы и средства защиты информации и требования к ним.](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-3.jpg)
ЗАНЯТИЕ 2/2.
Методы и средства защиты информации и требования к ним.
Слайд 5
![Учебные вопросы. Организационно-правовое обеспечение информационной безопасности. Инженерно-технические методы и средства](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-4.jpg)
Учебные вопросы.
Организационно-правовое обеспечение информационной безопасности.
Инженерно-технические методы и средства защиты
информации.
Программные и программно-аппаратные методы и средства обеспечения информационной безопасности.
Требования к комплексным системам защиты информации.
Слайд 6
![1-й учебный вопрос Организационно-правовое обеспечение информационной безопасности.](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-5.jpg)
1-й учебный вопрос
Организационно-правовое обеспечение информационной безопасности.
Слайд 7
![К методам и средствам организационной защиты информации относятся: - организационно-технические мероприятия; - организационно-правовые мероприятия.](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-6.jpg)
К методам и средствам организационной защиты информации относятся:
- организационно-технические мероприятия;
- организационно-правовые
мероприятия.
Слайд 8
![Проводятся как в процессе создания, так и в процессе эксплуатации](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-7.jpg)
Проводятся как в процессе создания, так и в процессе эксплуатации КС
для обеспечения защиты информации, а именно:
- при строительстве или ремонте помещений, в которых будет размещаться КС;
- проектировании системы;
- монтаже и наладке технических и программных средств КС;
- испытаниях и проверке работоспособности КС.
Слайд 9
![Основные свойства методов и средств организационной защиты: обеспечение полного или](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-8.jpg)
Основные свойства методов и средств организационной защиты:
обеспечение полного или частичного перекрытия
значительной части каналов утечки информации (например, хищения или копирования носителей информации);
объединение всех используемых в КС средств в целостный механизм защиты информации.
Слайд 10
![Методы и средства организационной защиты информации включают в себя: -](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-9.jpg)
Методы и средства организационной защиты информации включают в себя:
- ограничение физического
доступа к объектам КС и реализация режимных мер;
- ограничение возможности перехвата ПЭМИН;
Слайд 11
![- разграничение доступа к информационным ресурсам и процессам КС (установка](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-10.jpg)
- разграничение доступа к информационным ресурсам и процессам КС (установка правил
разграничения доступа', шифрование информации при ее хранении и передаче, обнаружение и уничтожение аппаратных и программных закладок);
- резервное копирование наиболее важных с точки зрения утраты массивов документов;
- профилактику заражения компьютерными вирусами.
Слайд 12
![На этапе создания КС: - при разработке ее общего проекта](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-11.jpg)
На этапе создания КС:
- при разработке ее общего проекта и
проектов отдельных
структурных элементов — анализ возможных
угроз и методов их нейтрализации;
- при строительстве и переоборудовании помещений — приобретение сертифицированного оборудования, выбор лицензированных организаций;
Слайд 13
![- при разработке математического, программного, информационного и лингвистического обеспечения —](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-12.jpg)
- при разработке математического, программного, информационного и лингвистического обеспечения — использование
сертифицированных программных и инструментальных средств;
- при монтаже и наладке оборудования — контроль за работой технического персонала;
- при испытаниях и приемке в эксплуатацию — включение в состав аттестационных комиссий сертифицированных специалистов;
Слайд 14
![В процессе эксплуатации КС: - организация пропускного режима; - определение](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-13.jpg)
В процессе эксплуатации КС:
- организация пропускного режима;
- определение технологии
автоматизированной обработки документов;
- организация работы обслуживающего персонала;
- распределение реквизитов разграничения доступа пользователей к элементам КС (паролей, ключей, карт и т.п.);
- организация ведения протоколов работы КС;
- контроль выполнения требований cлужебных инструкций.
Слайд 15
![Мероприятия общего характера: - подбор и подготовка кадров; - организация](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-14.jpg)
Мероприятия общего характера:
- подбор и подготовка кадров;
- организация плановых
и предупреждающих проверок средств
защиты информации;
- планирование мероприятий по защите информации;
- обучение персонала;
- участие в семинарах, конференциях и выставках по проблемам безопасности информации.
Слайд 16
![Первый уровень образуют международные договоры, к которым присоединилась Республика Казахстан,](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-15.jpg)
Первый уровень образуют международные договоры, к которым присоединилась Республика Казахстан, т.е.международные
(всемирные) конвенции об охране промышленной собственности, охране интеллектуальной собственности, авторском праве.
Слайд 17
![Второй уровень правового обеспечения информационной безопасности составляют подзаконные акты, к](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-16.jpg)
Второй уровень правового обеспечения информационной безопасности составляют подзаконные акты, к которым
относятся указы Президента РК и постановления Правительства РК, а также письма Высшего Арбитражного Суда РК и постановления пленумов Верховного Суда РК.
Слайд 18
![Третий уровень правового обеспечения информационной безопасности составляют государственные стандарты (ГОСТы)](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-17.jpg)
Третий уровень правового обеспечения информационной безопасности составляют государственные стандарты (ГОСТы) в
области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами.
Слайд 19
![Четвертый уровень правового обеспечения информационной безопасности образуют локальные нормативные акты,](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-18.jpg)
Четвертый уровень правового обеспечения информационной безопасности образуют локальные нормативные акты, положения,
инструкции, методические рекомендации и другие документы по комплексной защите информации в КС конкретной организации.
Слайд 20
![К таким нормативным документам относятся: - приказ об утверждении перечня](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-19.jpg)
К таким нормативным документам относятся:
- приказ об утверждении перечня сведений, составляющих
коммерческую тайну предприятия;
- трудовые и гражданско-правовые договоры (подряда, поручения, комиссии и т.п.), в которые включены пункты об обязанности возмещения ущерба за разглашение сведений, составляющих коммерческую тайну предприятия.
Слайд 21
![2-й учебный вопрос Инженерно-технические методы и средства защиты информации.](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-20.jpg)
2-й учебный вопрос
Инженерно-технические методы и средства защиты
информации.
Слайд 22
![Под инженерно-техническими средствами защиты информации понимают физические объекты, механические, электрические](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-21.jpg)
Под инженерно-техническими средствами защиты информации понимают физические объекты, механические, электрические и
электронные устройства, элементы конструкции зданий, средства пожаротушения и другие средства, обеспечивающие:
- защиту территории и помещений КС от проникновения нарушителей;
Слайд 23
![- защиту аппаратных средств КС и носителей информации от хищения;](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-22.jpg)
- защиту аппаратных средств КС и носителей информации от хищения;
-
предотвращение возможности удаленного (из-за пределов охраняемой территории) видеонаблюдения (подслушивания) за
работой персонала и функционированием технических средств КС;
Слайд 24
![- предотвращение возможности перехвата ПЭМИН, вызванных работающими техническими средствами КС](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-23.jpg)
- предотвращение возможности перехвата ПЭМИН, вызванных работающими техническими средствами КС
и линиями передачи данных;
- организацию доступа в помещения КС сотрудников;
- контроль над режимом работы персонала КС;
- контроль за перемещением сотрудников КС в различных производственных зонах;
Слайд 25
![- противопожарную защиту помещений КС; - минимизацию материального ущерба от](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-24.jpg)
- противопожарную защиту помещений КС;
- минимизацию материального ущерба от потерь
информации, возникших в результате стихийных бедствий и техногенных аварий.
Слайд 26
![Основной задачей методов и средств защиты информации от утечки по](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-25.jpg)
Основной задачей методов и средств защиты информации от утечки по каналам
ПЭМИН является уменьшение соотношения сигнал/шум в этих каналах до предела, при котором восстановление информации становится принципиально невозможным.
Слайд 27
![Возможными методами решения этой задачи могут быть: - снижение уровня](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-26.jpg)
Возможными методами решения этой задачи могут быть:
- снижение уровня излучений
сигналов в аппаратных средствах КС;
- увеличение мощности помех в соответствующих этим сигналам частотных диапазонах.
Слайд 28
![Методы и средства защиты информации в КС от утечки по](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-27.jpg)
Методы и средства защиты информации в КС от утечки по каналам
ПЭМИН:
- выбор элементной базы технических средств КС с возможно более малым уровнем информационных сигналов;
- замена в информационных каналах КС электрических цепей волоконно-оптическими линиями;
Слайд 29
![- локальное экранирование узлов технических средств, являющихся первичными источниками информационных](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-28.jpg)
- локальное экранирование узлов технических средств, являющихся первичными источниками информационных сигналов;
-
включение в состав информационных каналов КС устройств предварительного шифрования обрабатываемой информации.
Слайд 30
![3-й учебный вопрос Программные и программно-аппаратные методы и средства обеспечения информационной безопасности](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-29.jpg)
3-й учебный вопрос
Программные и программно-аппаратные методы
и средства обеспечения информационной
безопасности
Слайд 31
![К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства,](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-30.jpg)
К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые
в состав технических средств КС и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения информационной безопасности.
Слайд 32
![К основным аппаратным средствам защиты информации относятся: устройства для ввода](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-31.jpg)
К основным аппаратным средствам защиты информации относятся:
устройства для ввода идентифицирующей пользователя
информации (магнитных и пластиковых карт, отпечатков пальцев и т.п.);
устройства для шифрования информации;
устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).
Слайд 33
![Примеры вспомогательных аппаратных средств защиты информации: устройства уничтожения информации на](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-32.jpg)
Примеры вспомогательных аппаратных средств защиты информации:
устройства уничтожения информации на магнитных носителях;
устройства
сигнализации о попытках несанкционированных действий пользователей КС и др.
Слайд 34
![Под программными средствами защиты информации понимают специальные программы, включаемые в](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-33.jpg)
Под программными средствами защиты информации понимают специальные программы, включаемые в состав
программного обеспечения КС исключительно для выполнения защитных функций.
Слайд 35
![К основным программным средствам защиты информации относятся: программы идентификации и](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-34.jpg)
К основным программным средствам защиты информации относятся:
программы идентификации и аутентификации пользователей
КС;
программы разграничения доступа пользователей к ресурсам КС;
Слайд 36
![программы шифрования информации; программы защиты информационных ресурсов (системного и прикладного](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-35.jpg)
программы шифрования информации;
программы защиты информационных ресурсов (системного и
прикладного программного обеспечения, баз
данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.
Слайд 37
![Примеры вспомогательных программных средств защиты информации: программы уничтожения остаточной информации](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-36.jpg)
Примеры вспомогательных программных средств защиты информации:
программы уничтожения остаточной информации (в блоках
оперативной памяти, временных файлах и т. п.);
программы аудита (ведения регистрационных журналов) событий, связанных с безопасностью КС, для обеспечения возможности восстановления и доказательства факта происшествия этих событий;
Слайд 38
![программы имитации работы с нарушителем (отвлечения его на получение якобы](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-37.jpg)
программы имитации работы с нарушителем (отвлечения его на получение якобы
конфиденциальной информации);
программы тестового контроля защищенности КС и др. формации.
Слайд 39
![К преимуществам программных средств защиты информации относятся: простота тиражирования; гибкость](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-38.jpg)
К преимуществам программных средств защиты информации относятся:
простота тиражирования;
гибкость (возможность настройки на
различные условия применения, учитывающие специфику угроз информационной безопасности конкретных КС);
Слайд 40
![простота применения — одни программные средства, например шифрования, работают в](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-39.jpg)
простота применения — одни программные средства, например шифрования, работают в «прозрачном»
(незаметном для пользователя) режиме, а другие не требуют от пользователя никаких новых (по сравнению с другими программами) навыков;
• практически неограниченные возможности их развития путем внесения изменений для учета новых угроз безопасности информации.
Слайд 41
![К недостаткам программных средств защиты информации относятся: снижение эффективности КС](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-40.jpg)
К недостаткам программных средств защиты информации относятся:
снижение эффективности КС за
счет потребления ее ресурсов, требуемых для функционирование программ защиты;
более низкая производительность (по сравнению с выполняющими аналогичные функции аппаратными средствами защиты, например шифрования);
Слайд 42
![пристыкованность многих программных средств защиты (а не их встроенность в](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-41.jpg)
пристыкованность многих программных средств защиты (а не их встроенность в
программное обеспечение КС), что создает для нарушителя принципиальную возможность их обхода;
возможность злоумышленного изменения программных средств
защиты в процессе эксплуатации КС.
Слайд 43
![4-й учебный вопрос Требования к комплексным системам защиты информации](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-42.jpg)
4-й учебный вопрос
Требования к комплексным системам защиты информации
Слайд 44
![Под комплексной системы защиты информации (КСЗИ) понимается совокупность методов и](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-43.jpg)
Под комплексной системы защиты информации (КСЗИ) понимается совокупность методов и средств,
объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации в КС.
Слайд 45
![Основные требования к комплексной системе защиты информации: разработка на основе](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-44.jpg)
Основные требования к комплексной системе защиты информации:
разработка на основе положений и
требований существующих законов, стандартов и нормативно-методических документов по обеспечению информационной безопасности;
использование комплекса программно-технических средств и организационных мер для защиты КС;
Слайд 46
![надежность, производительность, конфигурируемость; экономическая целесообразность (поскольку стоимость КСЗИ включается в](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-45.jpg)
надежность, производительность, конфигурируемость;
экономическая целесообразность (поскольку стоимость КСЗИ включается в
стоимость КС, стоимость средств защиты не должна быть выше возможного ущерба от потери информации);
выполнение на всех этапах жизненного цикла обработки информации в КС (в том числе при проведении ремонтных и регламентных работ);
возможность совершенствования;
Слайд 47
![обеспечение разграничения доступа к конфиденциальной информации с отвлечением нарушителя на](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-46.jpg)
обеспечение разграничения доступа к конфиденциальной информации с отвлечением нарушителя на
ложную информацию (обеспечение не только пассивной, но и активной защиты);
взаимодействие с незащищенными КС по установленным для этого правилам разграничения доступа;
Слайд 48
![обеспечение проведения учета и расследования случаев нарушения безопасности информации в](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-47.jpg)
обеспечение проведения учета и расследования случаев нарушения безопасности информации в
КС;
не сложная для пользователя (не должна вызывать у него психологического противодействия и стремления обойтись без применения ее средств);
• возможность оценки эффективности ее применения.
Слайд 49
![три основные категории требований «Оранжевой книги» 1. Политика: наличие явной](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-48.jpg)
три основные категории требований «Оранжевой книги»
1. Политика:
наличие явной и хорошо
определенной политики обеспечения безопасности;
использование маркировки объектов КС для управления доступом к ним.
Слайд 50
![2. Подотчетность: индивидуальная идентификация субъектов КС; сохранение и защита информации аудита.](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-49.jpg)
2. Подотчетность:
индивидуальная идентификация субъектов КС;
сохранение и защита информации аудита.
Слайд 51
![3. Гарантии: включение в состав КС программно-аппаратных средств для получения](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/255286/slide-50.jpg)
3. Гарантии:
включение в состав КС программно-аппаратных средств для получения гарантий выполнения
требований категорий 1 и 2;
постоянная защищенность средств обеспечения безопасности информации в КС от их преодоления и (или) несанкционированного изменения.