ВВЕДЕНИЕ В СПЕЦИАЛЬНОСТЬ 090303е7-12
.pdfПо мнению специалистов, организационные мероприятия играют большую роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты.
Влияние этих аспектов практически невозможно избежать с помощью технических средств, программно-математических методов и физических мер.
К организационным мероприятиям можно отнести:
–мероприятия, осуществляемые при проектировании, строительстве и оборудовании служебных и производственных зданий и помещений. Их цель — исключение возможности тайного проникновения на территорию и в помещения; обеспечение удобства контроля прохода и перемещения людей, проезда транспорта и других средств передвижения; создание отдельных производственных зон по типу конфиденциальности работ с самостоятельными системами доступа и т. п.;
–мероприятия, осуществляемые при подборе персонала, включающие ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
–организация и поддержание надежного пропускного режима и контроля посетителей;
–организация надежной охраны помещений и территории;
–организация хранения и использования документов и носителей конфиденциальной информации, включая порядок учета, выдачи, исполнения и возвращения;
–организация защиты информации: назначение ответственного за защиту информации в конкретных производственных коллективах, проведение систематического контроля за работой персонала с конфиденциальной информацией, порядок учета, хранения и уничтожения документов и т. п.;
–организация регулярного обучения сотрудников.
Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав защищаемой системы и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты.
Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации. К данному классу средств защиты относятся: антивирусные, криптографические средства, системы разграничения доступа, системы аутентификации, межсетевые экраны, системы обнаружения вторжений и т.п.
К аппаратным средствам относятся механические, электромеханические, электронные, оптические, лазерные, радио- и радиотехнические, радиолокационные и другие устройства, системы и сооружения, предназначенные для обеспечения безопасности и защиты информации.
Эти средства применяются для решения следующих задач:
—препятствия визуальному наблюдению и дистанционному подслушиванию;
—нейтрализации паразитных электромагнитных излучений и наводок (ПЭМИН);
—обнаружению технических средств подслушивания и магнитной записи, несанкционированно устанавливаемых или проносимых в организацию;
—защиты информации, передаваемой в средствах связи и системах автоматизированной обработки информации.
По своему предназначению аппаратные средства подразделяются на средства выявления и средства защиты от несанкционированного доступа.
К классу защитной спецтехники относится огромное количество аппаратов, устройств и систем, которые условно можно разделить на несколько групп. Например, на такие как:
—приборы обнаружения и нейтрализации подслушивающих и звукозаписывающих устройств;
—средства защиты абонентской телефонной сети;
—средства защиты съема информации из помещений;
—приборы для обнаружения лазерного и видеонаблюдения и др.
.К специфическим средствам защиты информации относятся криптографические методы защиты информации.
Основные принципы построения систем защиты ИКС
Построение системы защиты должно основываться на следующих основных принципах :
•Системность подхода.
•Комплексности решений.
•Разумная достаточность средств защиты.
•Разумная избыточность средств защиты.
•Непрерывность процесса защиты
•Гибкость управления и применения.
•Открытость алгоритмов и механизмов защиты.
•Простота применения защиты, средств и мер.
•Унификация средств защиты.
Принцип системности
Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности ИКС.
Принцип комплексности
В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.
Принцип разумной достаточности
Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Принцип разумной избыточности
Особенностью функционирования системы защиты является то, что уровень защищенности непрерывно снижается в процессе функционирования системы. Это вызвано тем, что любая атака на систему как успешная, так и нет, дает информацию злоумышленнику. Накопление информации приводит к успешной атаке. Сказанное находится в противоречии с принципом разумной достаточности. Выход здесь в разумном компромиссе – на этапе разработки системы защиты в нее должна закладываться некая избыточность, которая бы позволила увеличить срок ее жизнеспособности.
Принцип непрерывности защиты
Защита информации - это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих
мер на всех этапах жизненного цикла ИКС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.
Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.
Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.
Принцип гибкости системы защиты
Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев ИКС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Принцип открытости алгоритмов и механизмов защиты
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако, это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.
Принцип простоты применения средств защиты
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей.
Принцип унификации средств защиты
Современные системы защиты отличаются высоким уровнем сложности, что требует высокой квалификации обслуживающего персонала. С целью упрощения администрирования систем безопасности целесообразно стремиться к их унификации, по крайней мере, в пределах предприятия. Например, многие фирмы-разработчики СЗИ стремятся к унификации журналов регистрации систем обнаружения атак, межсетевых экранов.
Цели и задачи, принципы построения и требования к системе защиты информации
Основные этапы создания
системы информационной безопасности
1. Выявление информации, представляющей интеллектуальную собственность организации.
2.Определение границ управления информационной безопасностью.
3. Анализ уязвимости:
-каналы утечки и НСД,
-вероятность реализации угроз),
-модель действий нарушителя,
-оценка ущерба (потерь).
4.Выбор контрмер, обеспечивающих информационную безопасность.
5.Проверка системы защиты информации:
-оценка эффективности вариантов построения,
-тестирование системы.
6.Составление плана защиты.
7.Реализация плана защиты информации.
Результаты действий на этапах создания системы информационной безопасности
Список сведений, |
составляющих |
|
коммерческую |
тайну, |
и |
организаций (частных лиц), которых эти сведения могут интересовать
Модель объекта с выявлением возможных точек нападения
Сценарий осуществления противоправных действий. Ранжирование угроз по вероятности их осуществления и возможному ущербу. Принятие стратегии
управления рисками
Правовые, организационные и инженерно-технические
мероприятия. Определение политики безопасности
Формирование системы информа- ционной безопасности на основе результатов оценки эффективности
и тестирования
Пакет документов по построению системы информационной безопасности и реализации политики
безопасности Монтаж и настройка оборудования,
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ МЕЖСЕТЕВОГО ВЗАИМОДЕЙСТВИЯ
Стандарты информационной безопасности