2.       КСИБ должна обеспечивать безопасность информации и средств информации, защиту интересов участников информационных отношений, невозможность несанкционированного доступа злоумышленника к защищаемой информации.

3.       Применяемые методы и средства защиты, система информационной безопасности в целом должны быть прозрачными для законного пользователя, не создавать ему больших дополнительных неудобств, связанных с процедурами доступа к информации.

4.       КСИБ должна обеспечивать оценку угроз внешних дестабилизирующих факторов и защиту от них.

 

2 Основные организационные и организационно-технические

мероприятия по созданию и поддержанию функционирования

комплексной системы защиты

 

Они включают:

- разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

- мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);

- периодически проводимые (через определенное время) мероприятия;

 постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

1.      Разовые мероприятия

К разовым мероприятиям относят:

- общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты АС;

- мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);

- мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т.п.);

- проведение спецпроверок всех применяемых в АС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;

- разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;

- внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях,

---

функциональные обязанности должностных лиц, инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности программно-информационных ресурсов АС и действиям в случае возникновения кризисных ситуаций;

- оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;

- определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;

- мероприятия по созданию системы защиты АС и созданию инфраструктуры;

- мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием АС, а также используемых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в АС; выявление наиболее вероятных угроз для данной АС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты);

- организацию надежного пропускного режима;

- определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;

- организацию учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;

- определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);

---

- создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации;

- определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий.

2.      Периодически проводимые мероприятия

К периодически проводимым мероприятиям относят:

- распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

- анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы;

- мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;

- периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;

- мероприятия по пересмотру состава и построения системы защиты.

3.     Мероприятия, проводимые по необходимости

К мероприятиям, проводимым по необходимости, относят:

- мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;

- мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);

- мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т.д.).

4.      Постоянно проводимые мероприятия

---

Постоянно проводимые мероприятия включают:

- мероприятия по обеспечению достаточного уровня физической защиты всех компонентов АС (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности СВТ, носителей информации и т.п.).

- мероприятия по непрерывной поддержке функционирования и управлению используемыми средствами защиты;

- явный и скрытый контроль за работой персонала системы;

- контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования АС;

- постоянно (силами отдела (службы) безопасности) и периодически (с привлечением сторонних специалистов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защиты.

Лекция № 7

Угрозы информации, каналы утечки информации

 

Введение

 

Данной лекцией мы продолжаем изучение раздела № 3 «Методы и средства обеспечения информационной безопасности». Тема лекции № 6 «Угрозы информации, каналы утечки информации».

 

1 Угрозы информационной безопасности

 

При смене способа хранения информации с бумажного вида на цифровой, появился главный вопрос – как эту информацию защитить, ведь очень большое количество факторов влияет на сохранность конфиденциальных данных. Для того чтобы организовать безопасное хранение данных, первым делом нужно провести анализ угроз, для правильного проектирование схем информационной безопасности. Угрозы информационной безопасности делятся на два основных типа - это естественные и искусственные угрозы. Остановимся на естественных угрозах и попытаемся выделить основные из них. К естественным угрозам относятся пожары, наводнения, ураганы, удары молний и другие стихийные бедствия и явления, которые не зависят от человека. Наиболее частыми среди этих угроз являются пожары. Для обеспечения безопасности информации, необходимым условием является оборудование помещений, в которых находятся элементы системы (носители цифровых данных, серверы, архивы и пр.), противопожарными датчиками, назначение ответственных за противопожарную безопасность и наличие средств пожаротушения. Соблюдение всех этих правил позволит свести к минимуму угрозу потери информации от пожара. Если помещения с носителями ценной информации располагаются в непосредственной близости от водоемов, то они подвержены угрозе потери информации вследствие наводнения. Единственное что можно предпринять в данной ситуации - это исключить хранение носителей информации на первых этажах здания, которые подвержены затоплению. Еще одной естественной угрозой являются молнии. Очень часто при ударах молнии выходят из строя сетевые карты, электрические подстанции и другие устройства. Особенно ощутимые потери, при выходе сетевого оборудования из строя, несут крупные организации и предприятия, такие как банки. Во избежание подобных проблем необходимо соединительные сетевые кабели были экранированы (экранированный сетевой кабель устойчив к электромагнитным помехам), а экран кабеля следует заземлить. Для предотвращения попадания молнии в электрические подстанции, следует устанавливать заземленный громоотвод, а компьютеры и серверы комплектовать источниками бесперебойного питания. И так, мы разобрали естественные угрозы информационной безопасности. Следующим видом угроз являются искусственные угрозы, которые в свою очередь, делятся на непреднамеренные и преднамеренные угрозы. Непреднамеренные угрозы - это действия, которые совершают люди по неосторожности, незнанию, невнимательности или из любопытства. К такому типу угроз относят установку программных продуктов, которые не входят в список необходимых для работы, и в последствии могут стать причиной нестабильной работы системы и потери информации. Сюда же можно отнести и другие «эксперименты», которые не являлись злым умыслом, а люди, совершавшие их, не осознавали последствий. К сожалению, этот вид угроз очень трудно поддается контролю, мало того, чтобы персонал был квалифицирован, необходимо чтобы каждый человек осознавал риск, который возникает при его несанкционированных действиях. Преднамеренные угрозы – угрозы, связанные со злым умыслом преднамеренного физического разрушения, впоследствии выхода из строя системы. К преднамеренным угрозам относятся внутренние и внешние атаки. Вопреки распространенному мнению, крупные компании несут многомиллионные потери зачастую не от хакерских атак, а по вине своих же собственных сотрудников. Современная история знает массу примеров преднамеренных внутренних угроз информации – это проделки конкурирующих организаций, которые внедряют или вербуют агентов для последующей дезорганизации конкурента, месть сотрудников, которые недовольны заработной платой или статусом в фирме и прочее. Для того чтобы риск таких случаев был минимален, необходимо, чтобы каждый сотрудник организации соответствовал, так называемому, «статусу благонадежности». К внешним преднамеренным угрозам можно отнести угрозы хакерских атак. Если информационная система связана с глобальной сетью интернет, то для предотвращения хакерских атак необходимо использовать межсетевой экран (так называемый firewall), который может быть, как встроен в оборудование, так и реализован программно. Если соблюдать все меры предосторожности от угроз, которые перечислены выше, то ваша информация будет надежно защищена.

---

2 Как определить источники угроз

 

Очевиден тот факт, что защита информации должна носить комплексный характер. Однако организация обеспечения безопасности информации должна еще и основываться на глубоком анализе возможных негативных последствий. Важно не упустить какие-либо существенные аспекты. Уходит в прошлое нагромождение различных средств защиты как реакция на первую волну страха перед компьютерными преступлениями. Приступая к созданию системы информационной безопасности, необходимо оценить, какие угрозы наиболее актуальны.

Предприятия больше не хотят выбрасывать деньги на ветер; они хотят покупать только то, что действительно необходимо для построения надежной системы защиты информации и при этом с минимальными расходами. А чтобы не стрелять из пушки по воробьям и не бросаться с пистолетом на танк, необходимо знать о характере возможных опасностей. Еще Виссарион Белинский отмечал, что «найти причину зла — почти то же, что найти против него лекарство».

С другой стороны, не мешало бы поговорить о том, как изучать опасности. Можно, например, с криком «Ура» броситься на все грабли сразу, и затем каждую новую «шишку» «заклеивать» новыми сканерами, межсетевыми экранами и виртуальными частными сетями. В результате, конечно, можно построить надежную, проверенную защиту, с которой ваш бизнес может спать спокойно — если, конечно, после всего этого у вас останутся средства на продолжение экономической деятельности. Можно учиться на чужих ошибках. Но лучше сначала представить себе все возможные варианты, а затем отобрать наиболее применимые к конкретному случаю.

Здесь опять-таки приходится выбирать, либо полагаясь на накопленный банк данных уже случившихся вариантов проявлений угроз (не будучи до конца уверенным, что все варианты уже проверены), либо пытаясь создать методологический инструмент формирования поля возможных проявлений угроз, основанный на изучении всех факторов и позволяющий рассмотреть даже самые маловероятные варианты. Например, в США только после событий 11 сентября в гражданских самолетах стали ставить бронированные двери в кабины пилотов, в то время как в СССР такую угрозу предвидели еще на заре гражданской авиации.

Однако не будем лукавить, утверждая, что в природе нет методик проведения анализа рисков. Однако все имеющиеся на сегодняшний день методики (к сожалению, преимущественно иностранные) позволяют получить только лишь качественную оценку. Это, например, такие методики, как Guide to BS 7799 risk assessment and risk management — DISC, PD 3002 и Guide to BS 7799 auditing.о — DISC, PD 3004 (на основе стандартов BS 7799 и ISO/IEC 17799-00). В данных методиках оценка безопасности информации проводится по десяти ключевым контрольным точкам, которые либо представляют собой обязательные требования (требования действующего законодательства), либо считаются основными структурными элементами информационной безопасности (допустим, обучение правилам безопасности). Эти контрольные точки применимы ко всем организациям. К ним относятся:

---

Смотрите также файлы

• Проведение аср на железнодорожном транспорте.docx

• 1. классификация сельскохозяйственных.pdf

• Строение гипоталамуса.doc

• Тобольский индустриальный институт.docx

• Русская архитектура xviii век. Быков Дмитрий.pptx