Файл: Роль информационного права и информационной безопасности в современном обществе (Комплексный подход к безопасности).pdf

Но никакая антивирусная программа не защитит организацию от злоумышленника, использующего для входа в систему законную программу, или от легального пользователя, пытающегося получить несанкционированный доступ к файлам. Любая компьютерная система в пределах организации ограничивает доступ к файлам, идентифицируя пользователя, который входит в систему. При правильной настройке системы, при установке необходимых разрешений для легальных пользователей существует ограничение на использование файлов, к которым у них нет доступа. Однако система управления доступом не обеспечит защиту, если злоумышленник через уязвимые места получит доступ к файлам как администратор. Такое на­падение будет считаться легальными действиями администратора. Для установления личности используются смарт-карты (они — то, что вы имеете), и таким образом уменьшается риск угадывания пароля. Однако если смарт-карта украдена, и это — единственная форма установления подлинности, то похититель сможет замаскироваться под легально­го пользователя компьютерной системы.

Смарт-карты не смогут предотвратить атаку с использованием уязвимых мест, поскольку они рассчитаны на правильный вход пользователя в систему.

Биометрические системы — еще один механизм аутентификации (они — то, чем вы являетесь), значительно уменьшающий вероятность угадывания пароля. Существует множество биометрических сканеров для верификации следующего:

· отпечатков пальцев;

· сетчатки/радужной оболочки;

· отпечатков ладоней;

· конфигурации руки;

· конфигурации лица;

· голоса.

Каждый метод предполагает использование определенного устройства для идентификации человеческих характеристик. Обычно эти устройства довольно сложны, чтобы исключить попытки обмана. Сканирование компьютерных систем на наличие уязвимых мест играет важную роль в программе безопасности. Оно позволит выявить потенциальные точки для вторжения и предпринять немедленные меры для повышения безопасности. Однако такое исследование не остановит легальных пользователей, выполняющих несанкционированный доступ к файлам, не обнаружит злоумышленников, которые уже проникли в систему через «прорехи» в конфигурации.

Шифрование — важнейший механизм защиты информации при передаче. С помощью шифрования файлов можно обеспечить также безопасность информации при хранении. Однако служащие организации должны иметь доступ к этим файлам, а система шифрования не сможет различить законных и незаконных пользователей, если они представят одинаковые ключи для алгоритма шифрования. Для обеспечения безопасности при шифровании необходим контроль за ключами шифрования и системой в целом.

Физическая защита — единственный способ комплексной защиты компьютерных систем и информации. Ее можно выполнить относительно дешево. Для этого выройте яму глубиной 20 метров, поместите в нее важные системы и сверху залейте бетоном. Все будет в полной безопасности! К сожалению, появятся проблемы с сотрудниками, которым нужен доступ к компьютерам для нормальной работы. Даже при наличии механизмов физической защиты, тщательно расставленных по своим местам, вам придется дать пользователям доступ к системе — и ей скоро придет конец! Физическая защита не предотвратит атаку с использованием легального доступа или сетевую атаку.

Три режима защиты являют собой три компонента безопасности:

· Оборона.

· Сдерживание.

· Обнаружение.

Как правило, оборона — первый режим безопасности. Желание людей защищать себя кажется почти инстинктивным, и оборона, как правило, предшествует каким-либо иным усилиям по обеспечению защиты. Оборонительные меры снижают вероятность успешного взлома ценных ресурсов, что предотвращает риск финансовых потерь. Если же имеющихся средств обороны не хватает, то ценные ресурсы будут незащищенными, что увеличивает потенциальные убытки в случае повреждения или потери данных. Однако оборона является лишь частью полной стратегии безопасности. Многие компании надеются только на межсетевой экран и становятся уязвимыми, так как игнорируют «слабые места», связанные с другими режимами безопасности — сдерживанием и обнаружением.

Сдерживание — второй режим безопасности. Эта концепция основана на законах, запрещающих такие действия, как взлом жилых домов, нападение на другого человека и вход в компьютерную сеть без авторизации; все эти действия являются уголовными преступлениями. Сдерживание эффективно для уменьшения частоты нарушений и, следовательно, снижения общего объема потерь.

Третьим и реже всего применяемым в компьютерных сетях режимом безопасности является обнаружение. Обеспечивая оборону или сдерживание, стратегия безопасности часто не предусматривает обнаружения совершаемого преступления. Многие считают, что достаточно применить систему сигнализации, которая будет уведомлять посторонних о том, что они пытаются нарушить защищаемую область, и они редко прибегают к помощи специалистов в сфере безопасности. Без адекватных мер брешь в системе может существовать протяжении часов, дней или присутствовать бессрочно.

Одна из целей эффективной стратегии безопасности - вынудить злоумышленника затратить на проникновение внутрь защищаемого периметра как можно больше времени, чтобы он ушел ни с чем после длительных безуспешных попыток взлома. Другие стратегии предусматривают проникновение преступника в систему, после чего его можно привлечь его к ответственности перед правоохранительными органами. Иные стратегии предполагают привлечение злоумышленника какими-либо ложными ценностями, чтобы он затратил много времени на получение этой «приманки».

В любом случае слабые места в инфраструктуре безопасности должны быть устранены. Если они необходимы для ведения бизнеса, следует сфокусировать средства обнаружения и сдерживания на областях, в которых наблюдается недостаточная надежность оборонительных средств. Следует предположить, что эти слабые места привлекут внимание злоумышленников, и составить соответствующий план действий на этот случай. Панацеи от злоумышленников нет, так как безопасность в электронной коммерции является довольно новой областью, в настоящее время существуют разные философии и подходы к ее реализации.

К реализации системы безопасности лучше всего подходить с осознанием того, что ни одна технология не обеспечивает стопроцентную эффективность, и составлять соответствующие планы действий. Чтобы компенсировать слабые места в одном уровне системы безопасности, можно использовать несколько уровней защиты.

1.4 Комплексный подход к безопасности

К основным способам обеспечения информационной безопасности относят:

· законодательные (правовые);

· морально-этические;

· организационные (административные);

· технические;

· программные.

Законодательные меры защиты определяются законодательными актами страны, которыми регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Действительно, большинство людей не совершают противоправных действий вовсе не потому, что это технически сложно, а потому, что это осуждается и/или наказывается обществом, а также потому, что так поступать не принято.

Применительно к России сюда относятся:

· Конституция РФ от 23 февраля 1996 года;

· Доктрина информационной безопасности РФ от 9 сентября 2000 г.;

· кодексы РФ;

· законы РФ;

· указы Президента РФ;

· постановления Правительства РФ;

· государственные стандарты в области защиты информации (ГОСТы);

· руководящие документы.

К морально-этическим мерам противодействиям относятся нормы поведения, которые традиционно сложились или складываются по мере распространения сетевых и информационных технологий. Эти нормы большей частью не являются обязательными, как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета и престижа человека. Данные нормы могут быть оформлены в некоторый свод правил и предписаний.

Организационные (административные) средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и эксплуатация).

Технические средства реализуются в виде механических, электрических, электромеханических и электронных устройств, предназначенных для препятствования на возможных путях проникновения и доступа потенциального нарушителя к компонентам защиты. Вся совокупность технических средств делится на аппаратные и физические.

Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в телекоммуникационную аппаратуру, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.

Программные средства представляют из себя программное обеспечение, специально предназначенное для выполнения функций защиты информации.

1.5 Разделы политики безопасности

Рассмотрим основные разделы политики безопасности.

Каждая политика и процедура имеют четко определенную цель, которая ясно описывает, почему создана та или иная политика или процедура, и какую выгоду от этого надеется получить организация. Каждая политика и процедура имеет раздел, описывающий ее сферу приложения.

Например, политика безопасности применяется ко всем компьютерным и сетевым системам. Информационная политика применяется ко всем служащим.

В разделе об ответственности определяются лица, ответственные за соблюдение политик или процедур. Этот человек должен быть надлежащим образом обучен и знать все требования политики.

Информационная политика определяет секретную информацию внутри организации и способы ее защиты. Политика разрабатывается таким образом, чтобы охватить всю существующую информацию. Каждый служащий отвечает за безопасность секретной информации, с которой он сталкивается в работе. Информация может быть представлена на бумажных носителях или в виде файлов на компьютере. Политика должна предусмотреть защиту для всех форм представления информации.

Политика безопасности определяет технические требования к защите компьютерных систем и сетевой аппаратуры, способы настройки систем администратором с точки зрения их безопасности. Эта конфигурация будет оказывать влияние на пользователей, и некоторые требовании, установленные в политике, связаны со всем коллективом Пользователей. Главная ответственность за развертывание этой политики ложится на системных и сетевых администраторов при поддержке руководства.

Политика безопасности определяет требования, выполнение которых должно быть обеспечено на каждой системе. Однако политика сама по Себе не определяет конкретную конфигурацию различных операционных систем. Это устанавливается в отдельных процедурах по настройке. Такие процедуры могут быть размещены в приложении к политике.

Политика безопасности определяет порядок идентификации пользователей: либо стандарт для идентификаторов пользователей, либо раздел к процедуре системного администрирования, в котором определяется этот стандарт.

Очень важно, чтобы был установлен основной механизм для аутентификации пользователей и администраторов. Если это пароли, то в политике определяется минимальная длина пароля, максимальный и минимальный возраст пароля и требования к его содержимому.

Политика безопасности устанавливает стандартные требования к управлению доступом к электронным файлам, в которых предусматриваются фор­мы управления доступом пользователей по умолчанию, доступные для каждого файла в системе. Этот механизм работает в паре с аутентификационным механизмом и гарантирует, что только авторизованные пользователи полу­чают доступ к файлам. Также четко оговариваются пользователи, имеющие доступ к файлам с разрешениями на чтение, запись и исполнение.

Настройки по умолчанию для новых файлов устанавливают разрешения, принимаемые при создании нового файла. В этом разделе политики определяются разрешения на чтение, запись и исполнение, которые даются владельцам файлов и прочим пользователям системы.

В политике безопасности должно быть определено размещение программ безопасности, отслеживающих вредоносный код (вирусы, черви, «черные ходы» и «троянские кони»). В качестве мест размещения указываются файловые серверы, рабочие станции и серверы электронной почты.

Политика безопасности должна предусматривать определение требований для таких защитных программ. В эти требования может входить проверка определенных типов файлов и проверка файлов при открытии или согласно расписанию. В политике также указываются требования к периодическому (например, ежемесячному) обновлению признаков вредоносного кода для защитных программ.