- •Учебно-методическое пособие по дисциплине "Компьютерные информационные технологии"
- •I. Проблемы защиты информации
- •1.1 Понятие интеллектуальной собственности и секретность информации
- •1.2. Носители и потенциальные источники утечки информации
- •1.3. Каналы утечки и способы получения информации
- •1) Легальные способы:
- •2) Полулегальные (сомнительные) способы:
- •3) Нелегальные (криминальные) способы:
- •1.4. Побочные технические каналы утечки информации
- •1.5. Угрозы информационным ресурсам корпорации
- •1.6. Оценка последствий реализации угроз информации
- •Категории важности информации
- •1.7. Средства и способы несанкционированного доступа к информационным ресурсам
- •Беззаходовые средства разведки Средства подсматривания
- •Средства подслушивания
- •Заходовые средства разведки
- •Последствия несанкционированного доступа к информации
- •2.1. Модель действий нарушителя
- •Классы прочности защиты
- •2.2. Простейшая модель защиты информационного объекта
- •2.3. Модель одноуровневой многозвенной защиты
- •2.4. Модель многоуровневой однозвенной защиты
- •2.5. Модель многоуровневой многозвенной защиты
- •2.6. Общие принципы построения системы защиты
- •2.7. Этапы построения системы защиты
- •3. Законодательные меры защиты информации
- •3.1. Законодательно-правовые документы по защите информации
- •3.2. Объекты интеллектуальной собственности, охраняемые законодательством
- •3.3. Понятие коммерческой тайны
- •Утверждаю
- •Перечень сведений, составляющих коммерческую тайну корпорации
- •3.4. Ответственность за разглашение коммерческой тайны
- •4. Административные и финансовые меры защиты информации
- •4.1. Политика информационной безопасности корпорации
- •4.2. Служба безопасности
- •4.3. Группа охраны
- •4.4. Пропускной режим
- •4.5. Работа с сотрудниками
- •Обязательство
- •О неразглашении коммерческой тайны корпорации
- •4.6. Работа с документами
- •4.7. Организация работы технических средств
- •4.8. Финансовые меры защиты информации
- •5. Физические и технические средства защиты
- •5.1. Физические средства и способы защиты информации
- •5.2. Технические средства и способы защиты информации
- •6. Защита информации в автоматизированных системах обработки информации
- •6.1. Каналы утечки информации в асои
- •6.2. Основные принципы проектирования защиты в асои
- •6.3. Программные средства защиты
- •6.3.1. Защита ресурсов асои от несанкционированного доступа
- •6.3.2. Резервное копирование и архивация информации
- •6.3.3. Защита от вредоносных программ
- •6.4. Аппаратные средства защиты
- •6.5. Шифрование информации
- •7. Защита локальных сетей и интрасетей
- •7.1. Умышленные угрозы локальным сетям и интрасетям из Internet
- •7.2. Общие принципы обеспечения информационной безопасности в лвс и интрасети
- •7.3. Защита систем управления базами данных
- •7.4. Защита каналов связи
- •Литература
- •Оглавление
- •1. Проблемы защиты информации…………………….3
- •2. Основы теории защиты информации
- •4. Административные и финансовые меры
- •6. Защита информации в автоматизированных
4. Административные и финансовые меры защиты информации
4.1. Политика информационной безопасности корпорации
Каждая корпорация должна иметь свою политику информационной безопасности. Политика информационной безопасности представляет собой документ, на основе которого строится система обеспечения безопасности корпорации. Политика безопасности строится на базе анализа категории важности различных видов информации и рисков ее утечки, искажения или уничтожения. Под риском понимается вероятность того, что определенная угроза использует какую-то уязвимость защиты информационного объекта. Значит риск – это вероятность понести определенные убытки корпорации. Анализу подвергаются все возможные каналы утечки информации: сотрудники, документы, изделия и процессы. Чем лучше будет сделан такой анализ, тем будет эффективней политика безопасности. Политика безопасности строится в соответствии со спецификой корпорации и законодательной базой государства.
Для разработки документа о политике информационной безопасности нужно использовать отечественный и зарубежный опыт. Наиболее четко эти вопросы разработаны в "Общих критериях оценки безопасности информационных технологий", версия 2.0 от 22.05.1998 г. Британского стандарта BS 7799: 1995.
Содержание разделов, рекомендуемых в документе "Политика информационной безопасности корпорации":
-
заинтересованность руководства корпорации в защите коммерческой тайны;
-
перечень информации, составляющей коммерческую тайну, и необходимый уровень ее защиты;
-
перечень служб, групп, комиссий и т.д., отвечающих за информационную безопасность и их основные задачи;
-
определение сотрудников, связанных с коммерческой тайной и правила разграничения доступа к информации;
-
физические и технические средства защиты;
-
программные и аппаратные средства защиты;
-
меры, направленные на непрерывную работу корпорации независимо от внедрения политики безопасности;
-
порядок разработки и внедрения методов и средств защиты;
-
наказания за нарушения установленных в корпорации правил информационной безопасности.
Этот основной документ обеспечения информационной безопасности корпорации доводится до всех сотрудников.
Политика информационной безопасности отражает этапы построения системы зашиты, описанные 2.7. Среди различных методов построения системы защиты корпоративной информации значительную роль играет метод минимизации риска. Риск, характеризующий возможный ущерб корпорации, может быть рассчитан как произведение возможного ущерба на вероятность преодоления системы защиты
РИСКi = Qi РПРi , (4.1)
где Qi – ущерб объекту при преодолении i-й преграды;
РПРi = 1 – РНПРi – вероятность преодоления i-й преграды.
Выражение (4.1) позволяет решить и обратную задачу: по заданной минимальной величине риска определить необходимую вероятность непреодоления преграды и, как следствие, применить требуемые методы и средства защиты.
Величину возможного ущерба оценивают экономисты-менеджеры корпорации. Ущерб корпорации зависит от важности информации, к которой получили доступ, исказили или уничтожили конкуренты. В первом приближении ущерб можно представить положительным числом в соответствии с табл. 4.
Таблица 4
Ущерб корпорации
Категория важности информации |
Величина ущерба |
Очень важная Важная Полезная Несущественная |
4 3 2 1 |
Определение вероятности преодоления защиты информационного объекта более квалифицированно могут сделать технические специалисты корпорации. Величины вероятностей преодоления защиты РПР могут быть определены по методикам, изложенным в 2.2 – 2.5. Если определить вероятность преодоления защиты сложно или невозможно, то можно воспользоваться средней частотой различных атак нарушителей на информационный объект и связанную с этим вероятность атаки РА (табл. 5).
Таблица 5
Вероятность атак на компоненты информационного объекта
-
Частота появления атаки
Вероятность атаки
Вид атаки отсутствует
Один раз в год
Один раз в месяц
Один раз в неделю
Ежедневно
0
0,2
0,4
0,6
0,8
Значения частоты появления атак определяются на основе статистического анализа действий нарушителей.
После определения значений Qi и РПРi (или РАi) составляется таблица рисков (табл. 6).
Таблица 6
Значения рисков
-
Вид атаки
Величина ущерба
Вероятность атаки
Риск
Суммарный риск
Для анализа таблицы задают максимально допустимый риск и сравнивают это значение с рассчитанными величинами рисков в таблице. Если величина риска в таблице превышает заданное значение, то для данного вида атаки рассматриваются дополнительные меры безопасности.
Для расчетов можно использовать также суммарный риск. При этом величина суммарного риска сравнивается с удвоенным значением максимально допустимого риска. Если суммарный риск превышает удвоенное значение допустимого риска, то среди всех рассчитанных рисков находятся наибольшие и намечаются меры по снижению их величин с таким расчетом, чтобы суммарный риск не превышал удвоенное значение допустимого риска. Конечно, использование для расчетов удвоенного значения максимально допустимого риска является достаточно произвольным, однако опыт показывает, что такой прием достаточно хорошо согласуется с требованиями политики информационной безопасности.
После описания всех методов и средств политики информационной безопасности, которые запланированы к реализации в корпорации, производится расчет стоимости всей программы информационной безопасности. Если финансовые вложения в политику информационной безопасности превысят потенциальный ущерб от потери информационных ресурсов, то необходимо увеличить заданную величину риска. Увеличение заданного риска повлечет уменьшение прочности защиты информационного объекта и, следовательно, снижение затрат на реализацию политики информационной безопасности.
Как показывает практика работы корпораций, пересчет рисков и модификация политики информационной безопасности производится в среднем через 2 года.
Возможные пути реализации политики информационной безопасности корпорации изложены в последующих разделах учебного пособия.