Файл: Понятийный аппарат в области обеспечения безопасности информации.pdf
Добавлен: 18.06.2023
Просмотров: 101
Скачиваний: 3
СОДЕРЖАНИЕ
Глава 1. Теоретические основы системы защиты информации
Понятийный аппарат в области обеспечения безопасности информации
2.2. Компоненты системы защиты информации
Глава 2. Система защиты информации в зарубежных странах
2.1. Система защиты информации в Германии
2.2. Система защиты информации в США
С развитием процесса автоматизации производства направление информационной безопасности и контроля доступа становится стратегически важным даже в отношении тех предприятий, чья деятельность напрямую не связана с компьютерными или интернет-технологиями. Это может относиться как к контролю доступа в помещение, так и доступа к определенной информации. Причем требования к способам контроля доступа на крупном предприятии не менее жесткие, чем для электронной коммерции: помимо высокой точности аутентификации важна скорость обработки данных об объекте.
Выделяют 4 вида автоматизированной идентификации объекта:
- Оптическая
- Магнитная
- Радиочастотная
- Биометрическая
Самый простой и в то же время самый распространенный способ идентификации — оптический. В его основе лежит принцип распознавания видимых символов. Широко применяем в штрих-кодах и похожих системах. Низкая надежность данного способа идентификации не позволяет защищать особо важную информацию, поскольку легко поддается подделке, поэтому используется в торговле для внутреннего учета.
Более прогрессивный способ идентификации — магнитный, основан на считывании нанесенных на магнитную полосу спецсимволов. Карты с магнитной полосой достаточно популярны как в качестве платежного инструмента, так и для контроля доступа в помещение. Однако карты с магнитной полосой в настоящее время не могут полностью защитить пользователя от незаконного копирования информации злоумышленниками. Мошенники, занимающиеся кражей данных с карт, так называемые «кардеры», на данный момент располагают целым арсеналом средств для считывания информации с магнитных полос и подделкой карт. Поэтому помимо магнитных полос карты оснащают дополнительными средствами защиты.
Среди современных средств защиты информации от посягательств выделяют радиочастотные RFID и биометрические системы идентификации. Они обладают высокой устойчивостью к взлому и краже информации.
Карты с RFID чипом относятся к бесконтактным смарт-картам, в основу действия которых заложен принцип кодирования карт при помощи нанесения на чип RFID-метки. Такие карты отличаются высокой надежностью, большим объемом записываемой информации, долговечностью. Использование нескольких уровней криптозащиты делают практически невозможным их подделку. Запас прочности самого RFID-чипа огромен, срок эксплуатации RFID карт почти не ограничен, при этом стопроцентная идентификация может производиться даже через грязь, воду, пар, краску, пластмассу, древесину и даже сквозь металл. Уникальность RFID-карт состоит еще и в том, что благодаря высокой скорости считывания меток, RFID-карты могут применяться в системах контроля доступа автотранспорта.
Идентификация человека по персональным характеристикам успешно использовалась задолго до появления компьютерных технологий. Безупречная точность такого вида идентификации послужила поводом для разработки автоматизированных систем контроля доступа, где необходим высокий уровень конфиденциальности информации. Таким примером может служить повсеместное внедрение биометрических паспортов с идентификационным чипом. Биометрические системы контроля доступа в настоящее время основываются на считывании и сравнении данных физиологического или поведенческого характера человека, таких как, радужная оболочка глаза, отпечаток пальца, геометрия и форма руки, голос. Несомненно, удобство такого метода — все идентификаторы всегда при себе, в отличие от внешнего носителя-карты, тем более, что индивидуальные особенности человека абсолютно уникальны и не поддаются подделке. Однако минус данного метода идентификации состоит в несовершенстве считывающей аппаратуры, поэтому в продуктивности они могут уступать стандартным кодам карт. Поэтому для наиболее точной аутентификации личности используются комбинированные биометрические системы контроля доступа с видеонаблюдением, использованием смарт-карты или учетом нескольких биометрических характеристик.
В системе обеспечения безопасности все большее значение приобретает обеспечение информационной безопасности предприятия. Это связано с растущим объемом информации, с необходимостью ее хранения, передачи и обработки. Перевод значительной части информации в электронную форму, использование локальных и глобальных сетей создают качественно новые угрозы конфиденциальной информации.
Проблемы, связанные с информационной безопасностью на предприятиях, могут быть решены только с помощью систематического и комплексного подхода. С методологической точки зрения, подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов.
В обеспечении информационной безопасности нуждаются разные субъекты информационных отношений:
– государство в целом или отдельные его органы и организации;
– общественные или коммерческие организации (объединения),
предприятия (юридические лица);
– отдельные граждане (физические лица).
Объектами защиты СЗИ является информация, в любом ее виде и форме представления. Материальными носителями информации являются сигналы. По своей физической природе информационные сигналы можно разделить на следующие виды: электрические, электромагнитные, акустические, а также их комбинации. Сигналы могут быть представлены в форме электромагнитных, механических и других видов колебаний, причем информация, которая подлежит защите, содержится в их изменяющихся параметрах. В зависимости от природы, информационные сигналы распространяются в определенных физических средах. Среды могут быть газовыми, жидкостными и твердыми. Например, воздушное пространство, конструкции зданий, соединительные линии и токопроводящие элементы, грунт и другие. В зависимости от вида и формы представления информационных сигналов, которые циркулируют в информационно-телекоммуникационной системе (ИТС), в том числе и в автоматизированных системах (АС), при построении КСЗИ могут использоваться различные средства защиты.
В зависимости от сочетания уровней конфиденциальности информации и характера условий размещений определяют категории объектов КСЗИ( рис.1).
Рисунок 1.Объекты системы защиты информации
Деятельность по созданию КСЗИ относится к лицензируемым видам деятельности и лицензируется Государственной службой специальной связи и защиты информации России. Право на проведение государственных экспертиз КСЗИ имеют лицензиаты в области ТЗИ, которые также входят в Реестр Организаторов экспертизы в сфере ТЗИ, который формирует и ведет Контролирующий орган. К проведению работ по созданию КСЗИ и государственной экспертизе КСЗИ привлекаются различные субъекты, для исключения нарушений и злоупотреблений в сфере защиты информации.
Задачи, ставящиеся перед КСЗИ вытекают из следующего принципа: выявления по возможности каналов утечки информации и угрозы информации и борьба с ними.
1. Создание и документальное закрепление организации методов защиты информации;
2. правовое регулирование защиты информации;
3. защита информации от случайных угроз (стихийное бедствие);
4. защита информации от шпионажа и диверсии;
5. защита информации от НСД;
6. защита информации от разрушающих программ, воздействующих в автоматизированных системах;
7. защита информации в распределительных автоматизированных системах обработки данных.
Для того, чтобы создать комплексную систему защиты информации на предприятии надо:
1. выполнить анализ информации циркулирующей на объекте защиты (выявление источников носителей информации, выявление объема информации);
2. выявить угрозы безопасности информации (моделирование объекта защиты, выявление рисков, оценка этих рисков);
3. разработать организационно-методических мероприятия;
4. ввести в эксплуатацию комплекс системы защиты информации, выполнить его сертификацию и отслеживать дальнейшее развитие.
2.2. Компоненты системы защиты информации
Организация КСЗИ на каждом конкретном предприятии зависит от параметров рассмотренных характеристик данного предприятия. Эти характеристики определяют цели и задачи КСЗИ, объем ее материального обеспечения, состав и структуру КСЗИ, состав технических средств защиты, численность и квалификацию сотрудников СЗИ т. д.
Однако степень воздействия различных характеристик предприятия на организацию КСЗИ различна. Из числа наиболее влиятельных можно выделить следующие:
— характер деятельности предприятия;
— состав защищаемой информации, ее объем, способы представления и отображения;
— численный состав и структура кадров предприятия;
— техническая оснащенность предприятия;
— экономическое состояние предприятия; — организационная структура предприятия; — нормативно-правовое обеспечение деятельности предприятия. В меньшей степени на организацию КСЗИ на предприятии могут влиять:
— режим работы предприятия;
— технология производства и управления;
— тип и объем производства; — местоположение и архитектурные особенности предприятия;
— форма собственности предприятия. Компоненты КСЗИ со слабой защитой
– должны обеспечивать защиту информации в пределах серийных средств обработки информации с использованием общедоступных организационно - правовых мер.
Компоненты со средней защитой – дополнительно к вышеуказанным мерам должны иметь системы (средства) разграничения доступа и средства регулирования (управления) защитой информации.
Компоненты сильной защиты – должны обеспечиваться комплексом средств защиты и обязательная организационная структура по защите информации (служба защиты информации).
Компоненты очень сильной защиты – компоненты должны строиться на основе типового проектирования с наличием непрерывного цикла защиты информации.
Компоненты особой защиты – данные компоненты должны реализовываться на основе индивидуального проектирования, а также реализовываться мандатный доступ к информации.
Более светлым цветом показано то, что возможно может быть допущено, более темным цветом – то, что должно быть.
Рисунок 2. Классификационная структура типовых компонентов КСЗИ (с учетом требуемых уровней защиты)
Применительно к конфиденциальной информации можно указать следующие четыре требуемых уровня защиты информации:
1. Очень высокая защита (особо конфиденциально);
2. Высокая защита (строго конфиденциально);
3. Средняя защита (конфиденциально);
4.Низкая защита (открытая информации).
По активности реагирования на несанкционированные действия все компоненты КСЗИ (средства защиты информации) целесообразно делить на следующие три типа:
1.Пассивные. В которых не предусматривается сигнализация о несанкционированных действиях и не предусматривается воздействие на нарушителя.
2.Полуактивные. Предусматривается сигнализация о несанкционированных действиях, но не предусматривается воздействие на нарушителя.
3.Активные. Предусматривается сигнализация о несанкционированных действиях и воздействие на нарушителя.
Применительно к практике потенциально не обходимые компоненты КСЗИ (средств защиты информации) целесообразно привязать к типовым объектам защиты, например, подсистеме компьютерной безопасности:
• персональный компьютер,
• групповая ЭВМ (сервер),
• вычислительный центр предприятия,
• вычислительный центр коллективного пользования,
• локальная вычислительная сеть,
• городская вычислительная сеть.
• Региональная вычислительная сеть.
• Глобальная вычислительная сеть.
Рисунок 3. Типовые объекты защиты
Процесс подготовки к внедрению системы защиты информации можно разделить на несколько этапов:
1) разработка необходимой документации;
2) анализ существующей системы защиты информации;
3) внедрение системы и средств защиты информации;
4) проведение испытаний новой системы защиты информации;
5) поддержка и обслуживание.
Комплексный аудит информационной безопасности (ИБ) предприятия – это комплекс организационно-технических мероприятий, проводимых независимыми экспертами, по оценке функционирования существующей системы обеспечения ИБ (механизмов защиты и контроля, применяемых в организации) заказчика.
Целью комплексного аудита является проверка системы обеспечения ИБ заказчика на соответствие существующим стандартам и нормативным документам в области защиты информации и выработка рекомендаций по устранению выявленных несоответствий.
Результатом комплексного аудита является формирование отчетов с детальными выводами и рекомендациями по конкретным доработкам существующей системы обеспечения ИБ с учетом текущих требований заказчика, либо разработка проекта оптимальной архитектуры системы обеспечения ИБ в соответствии с нормативными требованиями. Дополнительно может быть разработан план реализации предложенных рекомендаций.