Протоколирование и аудит

Loading...

Do curso por National Research University Higher School of Economics

Методы и средства защиты информации

9 classificações

National Research University Higher School of Economics

Методы и средства защиты информации

9 classificações

Целью курса является ознакомление слушателей с основными понятиями защиты информации, основными принципами построения систем защиты информации, а также основными категориями мер защиты информации, их возможностями с точки зрения защиты информации, сильными и слабыми сторонами. В процессе освоения курса слушатели получат навыки выбора решений из различных категорий методов и средств защиты информаций, соответствующих требованиям защиты информации в конкретных информационных системах, оценки соответствия существующих решений таким требованиям, разработки предложений по совершенствованию системы обеспечения информационной безопасности. Для освоения материала курса будут полезны основные знания из общего курса физики, высшей алгебры, теории чисел, информационных технологий. Их наличие позволит понять принципы действия криптографических средств защиты информации, средств технической защиты информации, а также цифровых стеганографических систем. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

Na lição

ПРОГРАММНО-ТЕХНИЧЕСКИЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ

Добрый день, уважаемый слушатель! В этом модуле вы познакомитесь с программно-техническими мерами защиты информации. Мы подробно рассмотрим сервисы безопасности, познакомимся и разберем различные виды антивирусной защиты, выберем антивирусное средство, подходящее для конкретных целей и познакомимся с такими понятиями как протоколирование и аудит. Желаем успехов в изучении!

Протоколирование и аудит5:19

Conheça os instrutores

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Еще один сервис безопасности,

который мы рассмотрим, — это сервис протоколирования и аудита.

Прежде всего дадим понятие инцидента информационной безопасности,

или, иными словами, компьютерного инцидента,

как он формулируется в ряде словосочетаний или в литературе.

Например, такое понятие, как расследование компьютерных инцидентов,

широко распространено.

Так вот, под инцидентом информационной безопасности будем понимать любое событие,

не обязательно злоумышленное, заключающееся в нарушении безопасности,

любого ее аспекта, информации или информационной системы.

В отличие от понятия компьютернего преступления понятие

инцидента не предполагает обязательного наличия злого умысла.

Таким образом, это более широкое понятие.

В определенной мере инцидент — это результат реализации угрозы безопасности

информации.

Если вспомнить четырехкомпонентную модель угроз информации, источник,

далее — уязвимость, источник угрозы воздействует на уязвимость с помощью

некоего воздействия, то есть атаки, и в результате наступают некие последствия, то

есть, собственно говоря, реализуется некий инцидент информационной безопасности.

Протоколирование — это фиксирование информации о событиях,

происходящих в информационной системе, а аудит — это дальнейший анализ

зафиксированной информации как раз таки с целью расследования инцидентов

информационной безопасности и повышения защищенности информационной системы.

Именно на этих двух действиях и основано, как следует из его названия,

действие сервиса безопасности, протоколирования и аудита.

При протоколировании в интересах обеспечения безопасности информации

фиксируется информация не о всех событиях, а только о событиях,

касающихся безопасности информации.

Рекомендуется вносить в журналы регистрации следующие события.

Это минимальный набор событий, относящихся к вопросам безопасности:

вход и выход субъектов доступа, то есть начало и завершение сеансов

работы и доступа; запуск и завершение программ; печать документов;

попытка доступа к защищаемым ресурсам; изменение полномочий субъектов доступа.

Большинство из этих событий связаны с действиями субъектов в

системе и к их возможному доступу к конфиденциальной информации,

а печать документов является одним из способов реализации утечки информации.

Если документ нельзя никоим образом скопировать на носитель,

отправить по электронной почте, снять скриншот,

то существует еще одна возможность его напечатать.

Печатный документ тоже может несанкционированно

покинуть пределы контролируемой территории объекта информатизации,

и таким образом будет реализована утечка.

Поэтому при работе с конфиденциальной информацией, тем более с информацией,

составляющей некую охраняемую законом тайну, крайне рекомендуется все действия,

связанные с печатью документов, как минимум протоколировать, а еще лучше вести

специальные журналы регистрации, в которых отмечать факты печати документов,

указывая, кто напечатал, зачем и в скольки экземплярах.

При протоколировании событий рекомендуется записывать следующие их параметры в

журналы регистрации: дату и время события, это позволяет в дальнейшем восстановить

хронологию событий; идентификатор субъекта, инициировавшего событие,

для того чтобы в дальнейшем определять, кто из субъектов ответственен за то или

иное событие; тип события, а также его результат — успех или неудача,

то есть то, что позволит определить, осуществилось ли что-то в системе или нет,

и если да, то что конкретно; источник запроса, то есть, например,

какой конкретный узел сети явился источником запроса; имена затронутых

объектов и описание изменений, внесенных в базы данных средств защиты информации.

Это, собственно, то, что позволяет определять, какие конкретно изменения

были проведены вследствие того или иного события в информационной системе, и

таким образом оценить, несут ли они ту или иную угрозу для информационной системы,

являются ли они частью реализации некоего вредоносного воздействия.

При протоколировании и аудите рекомендуется строить работу данной

системы по следующему четырехэтапному плану.

Во-первых, сбор и хранение данных — собственно, протоколирование.

Далее, защита собранных данных от модификации,

то есть обеспечение целостности собранной информации.

Далее, интеграция, то есть приведение данных к единому формату,

исключение дублирующих записей и так далее.

И, наконец, анализ собранных и интегрированных данных, то есть,

собственно, аудит.

Данный сервис безопасности предназначен для того,

чтобы администратор безопасности мог бы полностью контролировать события,

происходящие в информационной системе, мог бы восстанавливать хронологию событий

в случае тех или иных инцидентов безопасности и на основе их анализа

повышать защищенность всей информационной системы объекта информатизации.

[МУЗЫКА]

Explore nosso catálogo

Registre-se gratuitamente e obtenha recomendações, atualizações e ofertas personalizadas.

O Coursera proporciona acesso universal à melhor educação do mundo fazendo parcerias com as melhores universidades e organizações para oferecer cursos on-line.

© 2018 Coursera Inc. Todos os direitos reservados.

Baixar na App Store

Baixar no Google Play