ВВЕДЕНИЕ В СПЕЦИАЛЬНОСТЬ 090303е7-12

По мнению специалистов, организационные мероприятия играют большую роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты.

Влияние этих аспектов практически невозможно избежать с помощью технических средств, программно-математических методов и физических мер.

К организационным мероприятиям можно отнести:

–мероприятия, осуществляемые при проектировании, строительстве и оборудовании служебных и производственных зданий и помещений. Их цель — исключение возможности тайного проникновения на территорию и в помещения; обеспечение удобства контроля прохода и перемещения людей, проезда транспорта и других средств передвижения; создание отдельных производственных зон по типу конфиденциальности работ с самостоятельными системами доступа и т. п.;

–мероприятия, осуществляемые при подборе персонала, включающие ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

–организация и поддержание надежного пропускного режима и контроля посетителей;

–организация надежной охраны помещений и территории;

–организация хранения и использования документов и носителей конфиденциальной информации, включая порядок учета, выдачи, исполнения и возвращения;

–организация защиты информации: назначение ответственного за защиту информации в конкретных производственных коллективах, проведение систематического контроля за работой персонала с конфиденциальной информацией, порядок учета, хранения и уничтожения документов и т. п.;

–организация регулярного обучения сотрудников.

Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав защищаемой системы и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты.

Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации. К данному классу средств защиты относятся: антивирусные, криптографические средства, системы разграничения доступа, системы аутентификации, межсетевые экраны, системы обнаружения вторжений и т.п.

К аппаратным средствам относятся механические, электромеханические, электронные, оптические, лазерные, радио- и радиотехнические, радиолокационные и другие устройства, системы и сооружения, предназначенные для обеспечения безопасности и защиты информации.

Эти средства применяются для решения следующих задач:

—препятствия визуальному наблюдению и дистанционному подслушиванию;

—нейтрализации паразитных электромагнитных излучений и наводок (ПЭМИН);

—обнаружению технических средств подслушивания и магнитной записи, несанкционированно устанавливаемых или проносимых в организацию;

—защиты информации, передаваемой в средствах связи и системах автоматизированной обработки информации.

По своему предназначению аппаратные средства подразделяются на средства выявления и средства защиты от несанкционированного доступа.

К классу защитной спецтехники относится огромное количество аппаратов, устройств и систем, которые условно можно разделить на несколько групп. Например, на такие как:

—приборы обнаружения и нейтрализации подслушивающих и звукозаписывающих устройств;

—средства защиты абонентской телефонной сети;

—средства защиты съема информации из помещений;

—приборы для обнаружения лазерного и видеонаблюдения и др.

.К специфическим средствам защиты информации относятся криптографические методы защиты информации.

Основные принципы построения систем защиты ИКС

Построение системы защиты должно основываться на следующих основных принципах :

•Системность подхода.

•Комплексности решений.

•Разумная достаточность средств защиты.

•Разумная избыточность средств защиты.

•Непрерывность процесса защиты

•Гибкость управления и применения.

•Открытость алгоритмов и механизмов защиты.

•Простота применения защиты, средств и мер.

•Унификация средств защиты.

Принцип системности

Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности ИКС.

Принцип комплексности

В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

Принцип разумной достаточности

Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

Принцип разумной избыточности

Особенностью функционирования системы защиты является то, что уровень защищенности непрерывно снижается в процессе функционирования системы. Это вызвано тем, что любая атака на систему как успешная, так и нет, дает информацию злоумышленнику. Накопление информации приводит к успешной атаке. Сказанное находится в противоречии с принципом разумной достаточности. Выход здесь в разумном компромиссе – на этапе разработки системы защиты в нее должна закладываться некая избыточность, которая бы позволила увеличить срок ее жизнеспособности.

Принцип непрерывности защиты

Защита информации - это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих

мер на всех этапах жизненного цикла ИКС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.

Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.

Принцип гибкости системы защиты

Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев ИКС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

Принцип открытости алгоритмов и механизмов защиты

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако, это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.

Принцип простоты применения средств защиты

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей.

Принцип унификации средств защиты

Современные системы защиты отличаются высоким уровнем сложности, что требует высокой квалификации обслуживающего персонала. С целью упрощения администрирования систем безопасности целесообразно стремиться к их унификации, по крайней мере, в пределах предприятия. Например, многие фирмы-разработчики СЗИ стремятся к унификации журналов регистрации систем обнаружения атак, межсетевых экранов.

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ МЕЖСЕТЕВОГО ВЗАИМОДЕЙСТВИЯ

Стандарты информационной безопасности