Файл: Темпы развития современных информационных технологий значительно опережают темпы развития рекомендательной и нормативноправовой базы руководящих документов, действующих на территории России.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 04.12.2023
Просмотров: 18
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Введение
Темпы развития современных информационных технологий значительно опережают темпы развития рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса о разработке эффективной политики информационной безопасности современного предприятия обязательно связано с проблемой выбора критериев и показателей безопасности, а также эффективности системы корпоративной информационной безопасности. В связи с этим, помимо требований и рекомендаций стандартов, Конституции, законов и настоящих руководящих документов, необходимо использовать ряд международных рекомендаций. В том числе с адаптацией к отечественным условиям и применением на практике методов международных стандартов, таких как ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL и других, а также с использованием методов управления информационными рисками совместно с оценками экономической эффективности инвестиции в защиту информации предприятия. Современные методы управления рисками позволяют решить ряд задач перспективного стратегического развития современного предприятия. Во-первых, количественно оценить текущий уровень информационной безопасности предприятия, что требует выявления рисков на правовом, организационно-управленческом, технологическом и техническом уровнях обеспечения защиты информации. Во-вторых, разработать политику безопасности и планы по совершенствованию корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо: обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, сопоставить затраты на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения; выявить и провести первичную блокировку наиболее опасных уязвимостей для реализации атак на уязвимые ресурсы; определить функциональные взаимосвязи и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации; разработать и согласовать со службами организаций, контролирующих органов проект внедрения необходимых комплексов безопасности с учетом современного уровня и тенденций развития информационных технологий; обеспечивать сопровождение внедренного комплекса безопасности в соответствии с меняющимися условиями работы организации, регулярными ревизиями организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты. Решение указанных задач открывает перед чиновниками разного уровня новые широкие возможности. Он поможет топ-менеджерам объективно и самостоятельно оценить текущий уровень информационной безопасности компании, обеспечить формирование единой стратегии безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки руководители подразделений и служб смогут разработать и обосновать необходимые организационные мероприятия (состав и структуру службы информационной безопасности, обеспечение коммерческой тайны, пакет должностных инструкций и указаний по действия в экстренных ситуациях). Менеджеры среднего звена смогут обоснованно выбирать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методической оценки и управления безопасностью с привязкой к экономической эффективности компании. Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами ИБ разного уровня и, что особенно важно, определить основные зоны ответственности, в том числе материальной, для ненадлежащее использование информационных активов компании. При определении размера материальной ответственности за ущерб, причиненный работодателю, в том числе за разглашение коммерческой тайны, следует руководствоваться соответствующими положениями Трудового кодекса.
Главная часть
1. Аналитическая часть .1 Понятие информационной безопасности Защита информации представляет собой совокупность мер, направленных на обеспечение информационной безопасности. Информационная безопасность представляет собой комплексную задачу, направленную на обеспечение безопасности, реализуемую путем внедрения системы безопасности. Проблема защиты информации многогранна и сложна и охватывает ряд важных задач. Проблема информационной безопасности постоянно усугубляется процессами проникновения во все сферы жизни общества технических средств обработки и передачи информации и, в первую очередь, компьютерных систем . Термин «информационная безопасность» вошел в обиход не так давно, хотя деятельность современного предприятия невозможно представить без персональных компьютеров. Этому есть простое объяснение: объем обрабатываемой и хранимой электронной информации для среднего предприятия в миллион раз превышает «бумажную». На компьютеры устанавливается сложное программное обеспечение, создаются трудновосстанавливаемые схемы взаимодействия между компьютерами и программами, а обычные пользователи обрабатывают огромные массивы данных. Понятно, что любое нарушение установленной технологической цепочки приведет к определенным убыткам для предприятия. Таким образом, под информационной безопасностью (ИБ) будем понимать защиту информационной среды предприятия от внешних и внутренних угроз при ее формировании, использовании и развитии. На крупных предприятиях существуют специальные службы со значительным бюджетом, в задачи которых входит обеспечение безопасности, выявление, локализация и устранение угроз предприятию. В них используется специальное дорогостоящее программное и аппаратное обеспечение, иногда настолько сложное в обслуживании, что для работы с ним требуется специальная подготовка персонала. Задачи руководства ИБ в таких организациях зачастую сводятся к выдаче указаний с ключевыми словами: «углубить», «расширить», «увеличить», «обеспечить» и т.п. Вся работа по обеспечению информационной безопасности осуществляется незаметно для руководства сотрудников соответствующих служб, а описание методов их работы – тема для отдельной большой статьи. В то же время ИБ малых предприятий с очень большим количеством рабочих мест для специалистов (часто не более 50) не уделяется слишком много внимания. Однако существующая организационно-техническая ситуация на данный момент такова, что большинство существующих ИТ-угроз, благодаря хорошей защите от крупных предприятий, становятся актуальными как раз для небольших предприятий. Обычно такие предприятия имеют очень скромный ИТ-бюджет, который позволяет закупать только необходимое оборудование, программное обеспечение и содержать одного системного администратора. На сегодняшний день сформулированы три основных принципа, которые должны обеспечивать информационную безопасность: целостность данных - защита от сбоев, приводящих к потере информации, а также защита от несанкционированного создания или уничтожения данных ; информация о конфиденциальности; Доступность информации для всех авторизованных пользователей. Выделяют и другие не всегда обязательные категории моделей безопасности: неотказуемость или апелляция - невозможность отказа от авторства; подотчетность - обеспечение идентификации субъекта доступа и регистрации его действий; надежность - свойство соответствия предполагаемому поведению или результату; аутентичность или аутентичность — это свойство, гарантирующее, что предмет или ресурс идентичен заявленному. . 2 Понятие политики безопасности Политика информационной безопасности (ПИБ) представляет собой совокупность руководящих принципов, правил, процедур и практик в области безопасности, направленных на защиту ценной информации. Обозначение политики информационной безопасности : формулировка целей и задач организации информационной безопасности с точки зрения бизнеса (позволяет определить ее для руководства и продемонстрировать важность управленческой поддержки), определение правил организации работа в компании для минимизации рисков информационной безопасности и повышения эффективности бизнеса. улица Требования Политика информационной безопасности : Политика должна быть одобрена высшим административным органом компании (генеральным директором, советом директоров и т. д.) для демонстрации поддержки руководства. Политика ИБ должна быть написана на языке, понятном для конечных пользователей и руководства компании, и должна быть максимально краткой. Политика IB должна определять цели IB, способы их достижения и обязанности. Технические подробности способов реализации содержатся в инструкциях и регламентах, на которые есть ссылки в Политике. Минимизация влияния политики безопасности на производственный процесс. Непрерывность обучения сотрудников и руководства организации вопросам ИТ-безопасности. Постоянное улучшение политической безопасности. Последовательность во взглядах и создание корпоративной культуры безопасности. Предлагается следующая структура ПИБ: · Общие положения (ссылки на законы, нормативные акты и др. руководящие документы , которым подчинена деятельность организации), · Подтверждение значимости ПИБ для организации и формулировка цели защиты информации с точки зрения хозяйственной деятельности организации (выполнение требований законодательства и др.) норм, удовлетворение ожиданий клиентов и партнеров, повышение конкурентоспособности, финансовой устойчивости, имиджа организации). · Описание стратегии организации по обеспечению информационной безопасности (например, соблюдение требований законодательства, оценка рисков и управление ими). · Область применения ПИБ (например, ПИБ требуется выполнять всем работникам и руководству организации, либо отдельного филиала, либо сотрудникам, использующим ноутбуки) · Описание объекта защиты (защищаемые ресурсы - информация различных категорий , информационная инфраструктура и т.д.) · Цели и задачи обеспечения информационной безопасности (например, снижение ИТ-угроз до приемлемого уровня, выявление потенциальных ИТ-угроз и уязвимостей, предотвращение ИТ-инцидентов) · Угрозы и модель злоумышленника, которые учитываются учет данной организации (по источникам возникновения, по методам реализации, по направлению) · Краткое пояснение принципов политики ИБ: o подход к построению ИБ, o требования к обучению и осведомленности персонала в сфере ИБ, o последствия и ответственность за нарушение ИБ, o подход к управлению рисками, o определение организационной структуры , общие и специальные обязанности для управления ИБ, включая отчеты об инцидентах, o ссылки на документацию, которая может поддерживать политику, например, частные политики и процедуры в областях защиты для конкретных информационных систем или правила защиты, которым должны следовать пользователи. o механизм контроля за выполнением положений ПИБ, o порядок рассмотрения и принятия изменений в политику. После утверждения политики ИБ необходимо: · довести политику, подполитику , процедуры и инструкции ИБ в письменном виде до сведения рядовых сотрудников при их первоначальном и последующем периодическом обучении и информировании; · Разработать процедуры, инструкции и т.п., уточняющие и дополняющие политики (для специалистов отдела ИБ); · Периодически анализировать политику для подтверждения ее адекватности и эффективности; · Проводить периодические проверки выполнения сотрудниками положений политики и представлять отчет руководству организации. · Кроме того, в должностные инструкции ответственного персонала должны быть включены положения о подразделениях, договорные обязательства организации, обязательства по обеспечению информационной безопасности. Таким образом, в результате создается не только документальная база СУИБ, но и происходит реальное распределение ответственности за информационную безопасность между персоналом организации. Политика безопасности жизненного цикла : Планирование Первичный аудит безопасности, проведение опроса, выявление ресурсов, нуждающихся в защите, оценка рисков. В ходе аудита анализируется текущее состояние информационной безопасности, выявляются существующие уязвимости, наиболее критичные области функционирования и наиболее чувствительные к угрозам безопасности бизнес-процессы. Разработка политики безопасности: Определены основные условия, требования и базовая система мер по обеспечению информационной безопасности в организации, позволяющая снизить риски до приемлемого уровня. . Внедрение ПИБ Решение технических, организационных и дисциплинарных проблем. . Проверьте Аудит и контроль. .Коррекция Периодический просмотр и исправление, а также при изменении исходных данных. информационная система защиты компьютера 1.3 Современные средства физической, аппаратной и программной защиты информации Основной целью любой системы защиты информации является обеспечение стабильного функционирования объекта: предотвращение угроз его безопасности, защита законных интересов владельца информации от противоправных посягательств, в том числе преступных деяний в сфере рассматриваемых отношений, предусмотренных Уголовным кодексом, обеспечивающих нормальную производственную деятельность всех подразделений объекта. Вторая задача – повысить качество предоставляемых услуг и гарантировать безопасность имущественных прав и интересов клиентов. Для этого необходимо: отнести сведения к категории ограниченного доступа (служебная тайна); прогнозировать и своевременно выявлять угрозы безопасности информационных ресурсов, причины и условия, способствующие причинению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития; создавать условия для функционирования с наименьшей вероятностью реализации угроз безопасности информационных ресурсов и причинения различных видов ущерба; создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективного пресечения посягательств на ресурсы на основе правовых, организационно-технических мер и средств защиты; создать условия для максимально возможного возмещения и локализации ущерба, причиненного неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушений информационной безопасности. При разработке политики безопасности можно использовать следующую модель (рис. 1), основанную на адаптации Общих критериев (ISO 15408) и анализе рисков (ISO 17799). Данная модель соответствует специальным нормативным документам по информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 «Информационные технологии – методы защиты – критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью». Инжир. 1
системы защиты информации Представленная модель представляет собой совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности объекта и на сохранность материальных или информационных ресурсов. Рассмотрены следующие объективные факторы: угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации; уязвимости информационной системы или системы противодействия (системы защиты информации), влияющие на вероятность реализации угрозы; - риск - фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечка информации и ее неправомерное использование (риск в конечном итоге отражает вероятные финансовые потери - прямые или косвенные). Для создания эффективной политики безопасности необходимо изначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для предприятия на основе заданных критериев. Политика безопасности и соответствующая корпоративная система защиты информации должны быть построены таким образом, чтобы достичь заданного уровня риска. Предлагаемая методика разработки политики информационной безопасности современного предприятия позволяет полностью проанализировать и задокументировать требования, связанные с обеспечением информационной безопасности, избежать затрат на ненужные меры безопасности, которые возможны при субъективной оценке рисков, оказать помощь при планировании и осуществлении защиты на всех этапах жизненного цикла информационных систем обеспечить выполнение работ в короткие сроки, дать обоснование выбора мер противодействия, оценить эффективность мер противодействия, сравнить различные варианты контрмеры. Границы исследования должны быть установлены в процессе работы. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков. При этом необходимо разделять рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть вычислительная техника, программное обеспечение, данные, а также информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Примеры внешних элементов включают сети связи, внешние услуги и т. д. При построении модели будет учитываться взаимосвязь между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критического элемента системы. Подобные отношения определяют основу построения модели организации с точки зрения ИС. Данная модель в соответствии с предложенной методологией строится следующим образом: для выделенных ресурсов определяется их стоимость, как с точки зрения связанных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации. организации, дезорганизация ее деятельности, причинение нематериального ущерба от разглашения конфиденциальной информации и др. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оценивается вероятность их реализации. На основе построенной модели возможен обоснованный выбор системы контрмер, снижающей риски до приемлемого уровня и обладающей наибольшей ценовой эффективностью. Частью системы контрмер будут рекомендации по проведению регулярных проверок эффективности системы защиты. Обеспечение повышенных требований к ИТ предполагает соответствующие меры на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий осуществляется после завершения этапа анализа рисков и выбора мер противодействия. Обязательным компонентом этих планов является периодическая проверка соответствия действующего режима политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности. По завершении работы можно будет определить степень гарантии безопасности информационной среды, исходя из оценки, с которой можно доверять информационной среде объекта. Этот подход предполагает, что большая гарантия является результатом приложения больших усилий при проведении оценки безопасности. Адекватность оценки основана на вовлечении в процесс оценки большого количества элементов информационной среды объекта, глубине, достигаемой за счет использования большого количества проектов и описания деталей исполнения при проектировании безопасности. системность, строгость, заключающаяся в использовании большого количества поисковых средств и методов, направленных на обнаружение наличия менее очевидных уязвимостей или возможность их уменьшения. Важно помнить, что перед внедрением любых решений по защите информации необходимо разработать политику безопасности, адекватную целям и задачам современного предприятия. В частности, политика безопасности должна описывать порядок предоставления и использования прав доступа пользователей, а также требования к ответственности пользователей за свои действия в вопросах безопасности. Система защиты информации (SIB) будет эффективной, если она надежно поддерживает выполнение правил политики безопасности, и наоборот. Этап построения политики безопасности заключается во внесении в описание значения структуры объекта автоматизации и проведении анализа рисков, а также определении правил для любого процесса использования данного вида доступа к ресурсам объекта автоматизации, имеющего заданная степень ценности. При этом желательно сформировать политику безопасности в виде отдельного документа и утвердить ее руководством предприятия. . 4. Постановка задачи. Для достижения поставленной цели необходимо решить следующие задачи: · Определить цели и задачи защиты информации на предприятии. · Выберите модель политики безопасности для этой организации. · Создать матрицу доступа · Определить группу требований к АС · Определить класс защищенности АС и требования к ней · Определить основные объекты защиты предприятия · Определить объект защиты предприятия · Выявить возможные угрозы для защищаемая информация на предприятии и их структура · Выявить источники, виды и способы дестабилизирующего воздействия на защищаемую информацию предприятия · Выявить каналы и способы несанкционированного доступа к защищаемой информации предприятия · Определить основные направления, методы и средства защиты информация Целями защиты информации компании являются: информация (коммерческая тайна и персональные данные); · предотвращение угроз безопасности людей и предприятий; · предотвращение несанкционированных действий по уничтожению, изменению, искажению, копированию, блокированию конфиденциальной информации; · предотвращение иных форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности; · защита конституционных прав граждан на неприкосновенность частной жизни и конфиденциальность персональных данных, имеющихся в информационных системах; · сохранность, конфиденциальность документированной информации в соответствии с законодательством. В задачи защиты информации компании входит : Обеспечение управленческой, финансовой и маркетинговой деятельности предприятия регулярным информационным обслуживанием, т.е. снабжением всех служб, подразделений и должностных лиц необходимой информацией, как секретной, так и несекретной. . Гарантия безопасности информации, ее средств, предотвращение утечки охраняемой информации и предотвращение любого несанкционированного доступа к носителям секретной информации. . Разработка механизмов оперативного реагирования на угрозы, использование правовых, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности предприятия. . Документирование процесса защиты информации, особенно информации, составляющей коммерческую тайну. . Организация специальной хозяйственной деятельности, исключающей несанкционированное получение конфиденциальной информации. Основными объектами защиты в студии являются: · персонал (поскольку эти лица допускаются к работе с охраняемой законом информацией (коммерческая тайна, персональные данные) или имеют доступ в помещения, где эта информация обрабатывается) · объекты информатизации - средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, · информация ограниченного доступа: коммерческая тайна (сведения о применяемых оригинальных методах управления предприятием, сведения о подготовке, принятии и оформлении отдельные решения руководства предприятия по коммерческим, организационным и иным вопросам; сведения о фактах проведения, целях, предмете и результатах совещаний и совещаний органов управления организации (управляющих партнеров и др.); персональные данные работников ( фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и т.д. иные сведения, требуемые работодателем в связи с трудовыми отношениями и касающиеся конкретного работника) . персональные данные клиентов (фамилия, имя, отчество, дата рождения, номер телефона, данные заказа и персональные скидки) · общедоступная информация, защищенная от утраты: · материальные носители охраняемой законом информации (личные дела сотрудников, личные дела клиентов , электронные базы данных сотрудников и клиентов, бумажные носители и электронные версии приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну) · средства защиты информации (антивирусные программы, системы сигнализации и видеонаблюдения, противопожарные системы) · технологические отходы (мусор), образующиеся в результате обработки охраняемой законом информации (личные дела бывших клиентов и сотрудников) Предметом защиты информации в студии являются носители информации, на которых записывается и отображается охраняемая информация: · личные дела клиентов в бумажном и электронном виде (база данных клиентов и сотрудников); · Приказы, положения, положения, инструкции, соглашения и обязательства о неразглашении, приказы, договоры, планы, отчеты, уведомления об ознакомлении с Положением о конфиденциальной информации и иными документами, составляющими коммерческую тайну, в бумажном и электронном виде. Сегодня эффективность современной организации все больше определяется степенью использования информационных технологий в процессе ее функционирования. Постоянно увеличивается как объем информации, обрабатываемой в электронном виде, так и количество различных информационных систем. Поэтому разработка политики безопасности компании и защиты информации выходит на первый план в задаче безопасности предприятия. Обеспечение защиты информации требует защиты нескольких видов тайны: коммерческой и личной информации. Защита персональных данных считается наиболее важной, так как доверие клиентов в первую очередь основано на предоставлении их персональных данных, а соответственно, их сохранении работниками организации. Поэтому целью обеспечения безопасности в студии является разработка политики безопасности и обеспечение надежной защиты информации компании для ее нормального функционирования. . 1 Выбор и обоснование модели защиты информации Основными объектами защиты в студии являются: · персонал (поскольку эти лица допускаются к работе с охраняемой законом информацией (коммерческая тайна, персональные данные) или имеют доступ в помещения, где информация обрабатывается) · объекты информатизации - средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, · информация ограниченного доступа: коммерческая тайна (сведения о применяемых оригинальных методах предприятия управления, сведения о подготовке, принятии и исполнении отдельных решений руководства предприятия по коммерческим, организационным и другим вопросам; сведения о фактах, целях, предмете и результатах собраний и совещаний органов управления организации (управляющих партнеров и др.); персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия и др.) подтверждение, доход, наличие судимости и некоторые другие сведения, требуемые работодателем в связи с трудовыми отношениями и касающиеся конкретного работника) . персональные данные клиентов (фамилия, имя, отчество, дата рождения, номер телефона, данные заказа и персональные скидки) · общедоступная информация, защищенная от утраты: документированная информация, регулирующая статус предприятия, права, обязанности и ответственность его работников (Устав, журнал регистрации, учредительный договор, положения о деятельности, положения о структурных подразделениях, должностные инструкции работников) · материальные носители охраняемой законом информации (личные дела работников, личные дела клиентов, электронные базы данных сотрудников и клиентов, бумажные носители и электронные версии приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну) · средства защиты информации (антивирусные программы, системы сигнализации и видеонаблюдения, противопожарные системы) · технологические отходы (мусор), образующиеся в виде результат обработки охраняемой законом информации (личные дела бывших клиентов и сотрудников) Защита информации в студии включает в себя носители информации, на которых записывается защищенная изображением информация: · Личные дела клиентов в бумажном и электронном виде (база данных клиентов и сотрудников); · Приказы, положения, положения, инструкции, соглашения и обязательства о неразглашении, приказы, договоры, планы, отчеты, уведомления об ознакомлении с Положением о конфиденциальной информации и иными документами, составляющими коммерческую тайну, в бумажном и электронном виде. Угроза защищенной информации. Внешние угрозы: · Конкуренты (частные студии, являющиеся конкурентами студии « Вильден »); · Органы управления (орган государственной власти); · Преступники. Внутренние угрозы: · Персонал; · Администрация предприятия. Классификация угроз: . Мой объект: .1. персонал; .2. материальные ценности; .3. Финансовые ценности. . Не повредить: .1. Материал; .2. Мораль. . По повреждениям: .1. Ultimate (полное уничтожение); .2. Значительный (в некотором валовом доходе); .3. Незначительно (упущенная выгода). . Относительно объекта: .1. внутренний; .2. Внешний. . Вероятность возникновения: .1. Скорее всего; .2. Вероятный; .3. Вряд ли. . Характерное воздействие: .1. Активный; .2. Пассивный. . Проявление из-за: .1. Естественный; .2. Преднамеренный. К источникам дестабилизирующего воздействия на информацию относятся : люди; технические средства отображения (фиксации), хранения, обработки, воспроизведения, передачи информации, средства связи и системы обеспечения их функционирования; природные явления. Виды и способы дестабилизирующего воздействия на защищаемую информацию дифференцированы по источникам воздействия. Наибольшее количество видов и способов дестабилизирующего воздействия связано с людьми. Возможны следующие виды воздействия со стороны людей, приводящие к разрушению, искажению и блокировке : Непосредственное воздействие на носитель защищаемой информации. . Несанкционированное распространение конфиденциальной информации. . Выход из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи. . Нарушение режима работы перечисленных средств и технологии обработки информации. . Вывод из эксплуатации и нарушение режима работы системы обеспечения функционирования указанных средств. устная передача ( сообщение) информации; передача копий (фотографий) сведений о носителе; отображать медиаинформацию; ввод информации в компьютерные сети; публикация информации в открытой печати; использование информации в открытых публичных выступлениях, в том числе на радио, телевидении; информация о носителях. Способами нарушения режима работы технических средств отображения, хранения, обработки, воспроизведения, передачи информации, средств связи и технологической обработки информации, приводящих к уничтожению, искажению и блокированию информации, могут быть: повреждение отдельных элементов Значения; нарушение правил эксплуатации средств; внесение изменений в порядок обработки информации; заражение программ обработки информации вредоносными программами; выдача некорректных программных команд; превышение расчетного количества запросов; создание помех в радиоэфире с помощью дополнительного звукового или шумового фона, изменение (наложение) информации о частоте передачи; передача ложных сигналов - подключение фильтров подавления к информационным цепям, цепям питания и заземления; Нарушение (изменение) режима работы системы поддержки функционирования средств . К каким видам дестабилизирующего воздействия на защищаемую информацию со стороны технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем, обеспечивающих их функционирование, относится выход из строя этих средств; неисправность оборудования и создание электромагнитного излучения. К числу наиболее вероятных каналов утечки информации можно отнести: · визуальное наблюдение; · подслушивание; · технический надзор; · прямой опрос, обнаружение; · ознакомление с материалами, документами, продукцией и т.п.; · сбор открытых документов и информации из других источников; · хищение документов и информации из других источников; · изучение нескольких источников информации, которые содержат необходимую информацию по частям. Информация о защите адреса. Правовая защита - специальные правовые нормы, процедуры и меры, созданные для обеспечения информационной безопасности предприятия. Организационная защита – это регулирование производственной деятельности и отношений между исполнителями на нормативно-правовой основе с использованием ущерба. Организационная охрана обеспечивается: организацией режимной охраны, работы с личным составом, документами; Использование технических средств безопасности; Использование информационно-аналитической работы для выявления угроз. Инженерно-техническая защита - использование различных технических средств для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует такие средства, как: физические устройства, инженерные сооружения, организационные меры, исключающие или затрудняющие доступ к источникам конфиденциальной информации (системы ограждений, системы контроля доступа, запирающие устройства и хранилища); Аппаратные средства - устройства, защищающие от утечек, разоблачений и технические средства промышленного шпионажа. Программное обеспечение. Способ защиты информации. К основным методам защиты информации относятся: · реализация разрешительной системы доступа пользователей (обслуживающего персонала) к информационным ресурсам, информационным системам и связанным с ними работам, документам; · разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации; · резервирование технических средств, дублирование массивов и носителей информации; · использование средств защиты информации, прошедших процедуру подтверждения соответствия в установленном порядке; · организация физической охраны помещений и собственных технических средств, позволяющих осуществлять обработку персональных данных; · предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок. Принципы учета секретной информации: обязательная регистрация всех носителей охраняемой информации; однократная регистрация конкретного носителя такой информации; указание в записях адреса, по которому в настоящее время находится этот носитель секретной информации ; единоличную ответственность за сохранность каждого носителя охраняемой информации и ее отражение в записях пользователя этой информации в настоящее время, а также всех предыдущих пользователей этой информации. Средства защиты информации Средства защиты информации - совокупность инженерно-технических, электрических, электронных, оптических и других устройств и устройств, устройств и технических систем, а также других материальных элементов, используемых для решения различных задач защиты информации, в том числе предотвращения утечки и безопасность защищаемой информации. В основу классификации средств защиты информации положены основные группы задач, решаемых с помощью технических средств: создание физических (механических) препятствий на пути проникновения нарушителя к носителям информации (сетям, сейфы, замки и др.); обнаружение попыток проникновения на объект защиты, в места сосредоточения носителей защищаемой информации (электронных и электронно-оптических сигналов); предупреждение возникновения чрезвычайных ситуаций (пожар, наводнение и др.) и ликвидация чрезвычайных ситуаций (средства пожаротушения и др.); поддержание связи с различными подразделениями, помещениями и другими пунктами охраны объекта; нейтрализация, поглощение или отражение излучения эксплуатируемых или испытываемых изделий (экранов, защитных фильтров, разделительных устройств в сетях электроснабжения и т.п.); комплексная проверка технических средств обработки информации и выделенных помещений на соответствие требованиям безопасности обрабатываемой речевой информации и установленным нормам; комплексная защита информации в автоматизированных системах обработки данных с помощью фильтров, электронных замков и ключей для предотвращения несанкционированного доступа, копирования или искажения информации. Знание возможностей методов и средств защиты информации позволяет активно и комплексно применять их при рассмотрении и применении правовых, организационных и технических мер защиты конфиденциальной информации. Политика безопасности модели. В настоящее время лучше всего изучены два типа политик безопасности: дискреционная и мандатная, основанные на выборочном и прокси-методах контроля доступа соответственно. Следует отметить, что средства защиты, предназначенные для реализации любого из упомянутых способов контроля доступа, лишь обеспечивают возможность надежного контроля доступа или информационных потоков. Определение прав доступа субъектов к объектам и/или информационным потокам (авторизация субъектов и атрибутов объектов, присвоение меток критичности и т.п.) входит в компетенцию системы администрирования. Обязательный контроль доступа ( Обязательный Доступ Control , MAC) в системе означает независимость наличия информации от ее владельца. Как правило, в таких случаях управление доступом реализуется на основе свойств самой информации и свойств лица, желающего получить к ней доступ, по независимым от них обоих правилам. Характеристика моделей, предназначенных для применения в военных и государственных оборонных системах. Строго говоря, критерии определения того, к какому классу относится тот или иной метод разграничения доступа, не всегда дают определенный результат, но считаются очень точными для большинства классических моделей политики безопасности. Основой дискреционной (дискреционной) политики безопасности является дискреционный контроль доступа ( Discretionary Доступ Управление -DAC), которое определяется двумя свойствами: · права доступа субъекта к объекту системы определяются на основании некоторого внешнего правила по отношению к системе; · все субъекты и объекты должны быть идентифицированы. Дискреционное управление доступом — способ ограничения доступа к объектам, который основан на том, что какой-либо субъект (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отнимать права доступа к объекту. В этой модели реализуется дискреционное (произвольное) управление доступом субъектов к объектам и контроль за распределением прав доступа. . 2 Выбор и обоснование мер физической (некомпьютерной) защиты информации К мерам физической защиты информации относятся: противопожарная защита; защита от воды; защита от агрессивных газов; защита от электромагнитного излучения; защита от кражи и воровства; взрывозащита; защита от падающего мусора; противопожарная пылезащита; защита от несанкционированного доступа в помещение. В первую очередь необходимо подготовить помещение, где будет стоять компьютер. Разумным шагом будет отключение неиспользуемых дисководов, параллельных и последовательных портов компьютера. Тело желательно заклеить. Все это усложняет кражу или подмену информации, даже если злоумышленник каким-то образом проникнет в помещение. Не пренебрегайте такими банальными мерами безопасности, как железные решетки и двери, кодовые замки и камеры видеонаблюдения, которые будут постоянно фиксировать все, что происходит в ключевых помещениях офиса. Другая типичная ошибка связана с резервным копированием. Все знают о его необходимости, как и о том, что на случай пожара нужно иметь огнетушитель. И поэтому забывают, что резервные копии нельзя хранить в одной комнате с компьютером. В результате, защитившись от информационных атак, компании оказываются беззащитными даже перед небольшим пожаром, в котором тщательно сделанные копии гибнут вместе с компьютером. Зачастую, даже защищая компьютер, забывают, что всевозможные провода - кабельные системные сети - тоже нуждаются в защите. Причем нередко приходится беспокоиться не о преступниках, а о самых обычных чистильщиках, которые заслуженно считаются злейшими врагами локальных сетей. Лучшим вариантом защиты кабеля является короб, но, в принципе, подойдет и любой другой способ, позволяющий спрятать и надежно закрепить провода. Ведь нельзя упускать из виду возможность подключения к ним извне для перехвата информации или создания помех, например, посредством разряда тока. Однако следует признать, что этот вариант не получил широкого распространения и замечается только в случае сбоев в работе крупных компаний. Помимо Интернета, компьютер подключен к другой сети — обычной электрической. С ним связана еще одна группа проблем, связанных с физической безопасностью компьютеров. Ни для кого не секрет, что качество современных электросетей далеко от идеала. Даже при отсутствии внешних признаков аномалий очень часто напряжение в электрической сети выше или ниже нормы. При этом большинство людей даже не подозревают, что в их доме или офисе есть какие-то проблемы с электричеством. Низкое напряжение является наиболее распространенной аномалией и составляет около 85% от общего количества различных проблем с электроснабжением. Обычная его причина – отсутствие электричества, что особенно характерно для зимних месяцев. Повышенное напряжение практически всегда является следствием какой-либо аварии или повреждения проводки в помещении. Часто в результате отключения общего нулевого провода соседние фазы оказываются под напряжением 380 В. Бывает и так , что в сети возникает высокое напряжение из-за неправильной коммутации проводов. Источниками импульсных и высокочастотных помех могут быть грозовые разряды, включение или отключение мощных потребителей электроэнергии, поломки на подстанциях, а также работа некоторых бытовых электроприборов. Чаще всего такие возмущения возникают в крупных городах и в промышленных зонах. Импульсы напряжения длительностью от наносекунд (10
9 с) до микросекунд (10
6 с) могут достигать по амплитуде нескольких тысяч вольт. Микропроцессоры и другие электронные компоненты наиболее уязвимы для таких помех. Часто нескомпенсированная импульсная помеха может привести к перезагрузке компьютера или ошибке обработки данных. Встроенный блок питания компьютера, конечно, частично сглаживает скачки напряжения, предохраняя электронные компоненты компьютера от выхода из строя, но остаточные помехи все же сокращают срок службы оборудования, а также приводят к увеличению температура в блоке питания компьютера. Для защиты компьютеров от высокочастотных импульсных помех используются сетевые фильтры (например, марки «Пилот ») , которые защищают оборудование от большинства помех и перепадов напряжения. Кроме того, компьютеры с важной информацией должны быть оснащены источником бесперебойного питания (ИБП). Современные модели ИБП не только поддерживают работу компьютера при отключении электроэнергии, но и отключают его от электрической сети, если параметры электрической сети выходят за допустимые пределы. . 3 Выбор и обоснование аппаратных (компьютерных) мер защиты информации Аппаратные средства – технические средства, используемые для обработки информации. К ним относятся: Персональный компьютер (комплекс технических средств, предназначенных для автоматической обработки информации в процессе решения вычислительных и информационных задач). Периферийное оборудование (комплекс внешних устройств компьютера, находящихся под непосредственным управлением центрального процессора). Физические носители машинной информации. К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. На сегодняшний день разработано значительное количество аппаратных средств различного назначения, но наиболее распространены следующие: специальные регистры для хранения реквизитов защиты: паролей, идентификационных кодов, ключей или уровней секретности; генераторы кодов, предназначенные для автоматической генерации идентификационного кода устройства; приборы для измерения индивидуальных характеристик человека (голоса, отпечатков пальцев) с целью его идентификации; специальные биты секретности, значение которых определяет уровень секретности хранимой в памяти информации, которой принадлежат биты данных; схема прерывания передачи информации в линии связи с целью периодической проверки адреса выхода данных . Устройства для шифрования информации (криптографические методы) представляют собой одинаковую и наиболее распространенную группу аппаратных средств защиты. Аппаратные средства являются основой построения систем защиты от несанкционированного доступа к информации В 90-х годах сотрудниками ОКБ САПР была разработана методика применения аппаратных средств защиты, которая была признана необходимой основой для построения систем защиты от несанкционированного доступа к информации. информация. Основные идеи этого подхода следующие: комплексный подход к решению вопросов защиты информации в автоматизированных системах (АС) от НСД. Признание мультипликативной парадигмы защиты, и, как следствие, одинаковое внимание к надежности выполнения контрольных процедур на всех этапах работы АС ; «Материалистическое» решение «главного вопроса» информационной безопасности: «что первично — жесткое или мягкое ?» ; последовательный отказ от программных методов управления как заведомо ненадежных и перенос наиболее ответственных процедур контроля на аппаратный уровень; максимально возможное разделение условно-постоянных и условно-переменных элементов операций управления; создание средств защиты информации от несанкционированного доступа (СЗИ НСД), максимально независимых от операционных и файловых систем, используемых в АС. Это выполнение процедур идентификации/аутентификации, контроль целостности аппаратно-программных средств системы перед загрузкой операционной системы, администрирование и т.д. д. Вышеуказанные принципы аппаратной защиты были реализованы в программно-аппаратном комплексе средств защиты информации от несанкционированного доступа -- аппаратном модуле доверенной загрузки -- "Аккорд-АМДЗ". Этот комплекс обеспечивает режим доверенной загрузки в различных операционных средах: MS DOS, Windows 3.x, Windows 9.x, Windows NT/2000/XP, OS/2, Unix , Linux . К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, входящие в состав технических средств КС и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения безопасности информации. Критерием отнесения устройства к аппаратным средствам или к инженерно-техническим средствам защиты является обязательное включение в состав технических средств. К основным аппаратным средствам защиты информации относятся: устройства ввода идентификационной информации пользователя (магнитные и пластиковые карты, отпечатки пальцев и др.); устройства для шифрования информации; устройства для предотвращения несанкционированного включения рабочих мест (электронные замки и блокираторы). Примеры вспомогательных аппаратных средств защиты информации: устройства для уничтожения информации на магнитных носителях; сигнализация устройства о попытках несанкционированных действий со стороны пользователей компьютера и т.д. Аппаратные средства привлекают все большее внимание специалистов не только потому, что их проще защитить от повреждений и других случайных или злонамеренных воздействий, но и потому, что аппаратная реализация функций происходит быстрее, чем программная, а их стоимость неуклонно снижается. Все новые устройства появляются на рынке аппаратной безопасности. Ниже приведен пример описания электронного замка. Электронный замок "Сабол". «Соболь», разработанный и поставляемый ЗАО НИП « Информзащита », обеспечивает следующие функции защиты: идентификацию и аутентификацию пользователя; контроль целостности файлов и физических секторов жесткого диска; блокировка загрузки ОС с дискеты и CD-ROM; Блокировка входа зарегистрированного пользователя в систему при превышении заданного количества неудачных попыток входа; регистрация событий, связанных с системой безопасности. Под аппаратной поддержкой средств защиты операционной системы традиционно понимается совокупность средств и методов, используемых для решения следующих задач: управление оперативной и виртуальной памятью компьютера; распределение процессорного времени между задачами в многозадачной операционной системе; синхронизация выполнения параллельных задач в многозадачной операционной системе; обеспечение совместного доступа задач к ресурсам операционной системы. Перечисленные задачи во многом решаются с помощью аппаратно реализованных функций процессоров и других узлов ЭВМ. Однако, как правило, для решения этих задач используются и программные средства, в связи с чем термины «аппаратная защита» и «аппаратная защита» не совсем корректны. Однако, поскольку эти термины на самом деле являются общепринятыми, мы будем использовать их. . 4 Выбор и обоснование программных средств защиты информации К программным средствам защиты информации относятся специальные программы, входящие в состав программного обеспечения ЭВМ исключительно для выполнения защитных функций. К основным программным средствам защиты информации относятся: программная идентификация и аутентификация пользователей ЭВМ; программы для ограничения доступа пользователей к ресурсам компьютера; информация о программе шифрования; программы для защиты информационных ресурсов (системное и прикладное программное обеспечение, базы данных, компьютерные средства обучения и др.) от несанкционированного изменения, использования и копирования. Необходимо понимать, что под идентификацией применительно к обеспечению информационной безопасности ЭВМ мы понимаем однозначное распознавание уникального имени субъекта ЭВМ. Аутентификация означает подтверждение того, что предъявляемое имя соответствует субъекту (подлинность субъекта). Также к программным средствам защиты информации относятся: программы для аудита (ведения журналов регистрации) событий, связанных с компьютерной безопасностью, для обеспечения возможности восстановления и
Введение
Темпы развития современных информационных технологий значительно опережают темпы развития рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса о разработке эффективной политики информационной безопасности современного предприятия обязательно связано с проблемой выбора критериев и показателей безопасности, а также эффективности системы корпоративной информационной безопасности. В связи с этим, помимо требований и рекомендаций стандартов, Конституции, законов и настоящих руководящих документов, необходимо использовать ряд международных рекомендаций. В том числе с адаптацией к отечественным условиям и применением на практике методов международных стандартов, таких как ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL и других, а также с использованием методов управления информационными рисками совместно с оценками экономической эффективности инвестиции в защиту информации предприятия. Современные методы управления рисками позволяют решить ряд задач перспективного стратегического развития современного предприятия. Во-первых, количественно оценить текущий уровень информационной безопасности предприятия, что требует выявления рисков на правовом, организационно-управленческом, технологическом и техническом уровнях обеспечения защиты информации. Во-вторых, разработать политику безопасности и планы по совершенствованию корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо: обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, сопоставить затраты на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения; выявить и провести первичную блокировку наиболее опасных уязвимостей для реализации атак на уязвимые ресурсы; определить функциональные взаимосвязи и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации; разработать и согласовать со службами организаций, контролирующих органов проект внедрения необходимых комплексов безопасности с учетом современного уровня и тенденций развития информационных технологий; обеспечивать сопровождение внедренного комплекса безопасности в соответствии с меняющимися условиями работы организации, регулярными ревизиями организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты. Решение указанных задач открывает перед чиновниками разного уровня новые широкие возможности. Он поможет топ-менеджерам объективно и самостоятельно оценить текущий уровень информационной безопасности компании, обеспечить формирование единой стратегии безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки руководители подразделений и служб смогут разработать и обосновать необходимые организационные мероприятия (состав и структуру службы информационной безопасности, обеспечение коммерческой тайны, пакет должностных инструкций и указаний по действия в экстренных ситуациях). Менеджеры среднего звена смогут обоснованно выбирать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методической оценки и управления безопасностью с привязкой к экономической эффективности компании. Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами ИБ разного уровня и, что особенно важно, определить основные зоны ответственности, в том числе материальной, для ненадлежащее использование информационных активов компании. При определении размера материальной ответственности за ущерб, причиненный работодателю, в том числе за разглашение коммерческой тайны, следует руководствоваться соответствующими положениями Трудового кодекса.
Главная часть
1. Аналитическая часть .1 Понятие информационной безопасности Защита информации представляет собой совокупность мер, направленных на обеспечение информационной безопасности. Информационная безопасность представляет собой комплексную задачу, направленную на обеспечение безопасности, реализуемую путем внедрения системы безопасности. Проблема защиты информации многогранна и сложна и охватывает ряд важных задач. Проблема информационной безопасности постоянно усугубляется процессами проникновения во все сферы жизни общества технических средств обработки и передачи информации и, в первую очередь, компьютерных систем . Термин «информационная безопасность» вошел в обиход не так давно, хотя деятельность современного предприятия невозможно представить без персональных компьютеров. Этому есть простое объяснение: объем обрабатываемой и хранимой электронной информации для среднего предприятия в миллион раз превышает «бумажную». На компьютеры устанавливается сложное программное обеспечение, создаются трудновосстанавливаемые схемы взаимодействия между компьютерами и программами, а обычные пользователи обрабатывают огромные массивы данных. Понятно, что любое нарушение установленной технологической цепочки приведет к определенным убыткам для предприятия. Таким образом, под информационной безопасностью (ИБ) будем понимать защиту информационной среды предприятия от внешних и внутренних угроз при ее формировании, использовании и развитии. На крупных предприятиях существуют специальные службы со значительным бюджетом, в задачи которых входит обеспечение безопасности, выявление, локализация и устранение угроз предприятию. В них используется специальное дорогостоящее программное и аппаратное обеспечение, иногда настолько сложное в обслуживании, что для работы с ним требуется специальная подготовка персонала. Задачи руководства ИБ в таких организациях зачастую сводятся к выдаче указаний с ключевыми словами: «углубить», «расширить», «увеличить», «обеспечить» и т.п. Вся работа по обеспечению информационной безопасности осуществляется незаметно для руководства сотрудников соответствующих служб, а описание методов их работы – тема для отдельной большой статьи. В то же время ИБ малых предприятий с очень большим количеством рабочих мест для специалистов (часто не более 50) не уделяется слишком много внимания. Однако существующая организационно-техническая ситуация на данный момент такова, что большинство существующих ИТ-угроз, благодаря хорошей защите от крупных предприятий, становятся актуальными как раз для небольших предприятий. Обычно такие предприятия имеют очень скромный ИТ-бюджет, который позволяет закупать только необходимое оборудование, программное обеспечение и содержать одного системного администратора. На сегодняшний день сформулированы три основных принципа, которые должны обеспечивать информационную безопасность: целостность данных - защита от сбоев, приводящих к потере информации, а также защита от несанкционированного создания или уничтожения данных ; информация о конфиденциальности; Доступность информации для всех авторизованных пользователей. Выделяют и другие не всегда обязательные категории моделей безопасности: неотказуемость или апелляция - невозможность отказа от авторства; подотчетность - обеспечение идентификации субъекта доступа и регистрации его действий; надежность - свойство соответствия предполагаемому поведению или результату; аутентичность или аутентичность — это свойство, гарантирующее, что предмет или ресурс идентичен заявленному. . 2 Понятие политики безопасности Политика информационной безопасности (ПИБ) представляет собой совокупность руководящих принципов, правил, процедур и практик в области безопасности, направленных на защиту ценной информации. Обозначение политики информационной безопасности : формулировка целей и задач организации информационной безопасности с точки зрения бизнеса (позволяет определить ее для руководства и продемонстрировать важность управленческой поддержки), определение правил организации работа в компании для минимизации рисков информационной безопасности и повышения эффективности бизнеса. улица Требования Политика информационной безопасности : Политика должна быть одобрена высшим административным органом компании (генеральным директором, советом директоров и т. д.) для демонстрации поддержки руководства. Политика ИБ должна быть написана на языке, понятном для конечных пользователей и руководства компании, и должна быть максимально краткой. Политика IB должна определять цели IB, способы их достижения и обязанности. Технические подробности способов реализации содержатся в инструкциях и регламентах, на которые есть ссылки в Политике. Минимизация влияния политики безопасности на производственный процесс. Непрерывность обучения сотрудников и руководства организации вопросам ИТ-безопасности. Постоянное улучшение политической безопасности. Последовательность во взглядах и создание корпоративной культуры безопасности. Предлагается следующая структура ПИБ: · Общие положения (ссылки на законы, нормативные акты и др. руководящие документы , которым подчинена деятельность организации), · Подтверждение значимости ПИБ для организации и формулировка цели защиты информации с точки зрения хозяйственной деятельности организации (выполнение требований законодательства и др.) норм, удовлетворение ожиданий клиентов и партнеров, повышение конкурентоспособности, финансовой устойчивости, имиджа организации). · Описание стратегии организации по обеспечению информационной безопасности (например, соблюдение требований законодательства, оценка рисков и управление ими). · Область применения ПИБ (например, ПИБ требуется выполнять всем работникам и руководству организации, либо отдельного филиала, либо сотрудникам, использующим ноутбуки) · Описание объекта защиты (защищаемые ресурсы - информация различных категорий , информационная инфраструктура и т.д.) · Цели и задачи обеспечения информационной безопасности (например, снижение ИТ-угроз до приемлемого уровня, выявление потенциальных ИТ-угроз и уязвимостей, предотвращение ИТ-инцидентов) · Угрозы и модель злоумышленника, которые учитываются учет данной организации (по источникам возникновения, по методам реализации, по направлению) · Краткое пояснение принципов политики ИБ: o подход к построению ИБ, o требования к обучению и осведомленности персонала в сфере ИБ, o последствия и ответственность за нарушение ИБ, o подход к управлению рисками, o определение организационной структуры , общие и специальные обязанности для управления ИБ, включая отчеты об инцидентах, o ссылки на документацию, которая может поддерживать политику, например, частные политики и процедуры в областях защиты для конкретных информационных систем или правила защиты, которым должны следовать пользователи. o механизм контроля за выполнением положений ПИБ, o порядок рассмотрения и принятия изменений в политику. После утверждения политики ИБ необходимо: · довести политику, подполитику , процедуры и инструкции ИБ в письменном виде до сведения рядовых сотрудников при их первоначальном и последующем периодическом обучении и информировании; · Разработать процедуры, инструкции и т.п., уточняющие и дополняющие политики (для специалистов отдела ИБ); · Периодически анализировать политику для подтверждения ее адекватности и эффективности; · Проводить периодические проверки выполнения сотрудниками положений политики и представлять отчет руководству организации. · Кроме того, в должностные инструкции ответственного персонала должны быть включены положения о подразделениях, договорные обязательства организации, обязательства по обеспечению информационной безопасности. Таким образом, в результате создается не только документальная база СУИБ, но и происходит реальное распределение ответственности за информационную безопасность между персоналом организации. Политика безопасности жизненного цикла : Планирование Первичный аудит безопасности, проведение опроса, выявление ресурсов, нуждающихся в защите, оценка рисков. В ходе аудита анализируется текущее состояние информационной безопасности, выявляются существующие уязвимости, наиболее критичные области функционирования и наиболее чувствительные к угрозам безопасности бизнес-процессы. Разработка политики безопасности: Определены основные условия, требования и базовая система мер по обеспечению информационной безопасности в организации, позволяющая снизить риски до приемлемого уровня. . Внедрение ПИБ Решение технических, организационных и дисциплинарных проблем. . Проверьте Аудит и контроль. .Коррекция Периодический просмотр и исправление, а также при изменении исходных данных. информационная система защиты компьютера 1.3 Современные средства физической, аппаратной и программной защиты информации Основной целью любой системы защиты информации является обеспечение стабильного функционирования объекта: предотвращение угроз его безопасности, защита законных интересов владельца информации от противоправных посягательств, в том числе преступных деяний в сфере рассматриваемых отношений, предусмотренных Уголовным кодексом, обеспечивающих нормальную производственную деятельность всех подразделений объекта. Вторая задача – повысить качество предоставляемых услуг и гарантировать безопасность имущественных прав и интересов клиентов. Для этого необходимо: отнести сведения к категории ограниченного доступа (служебная тайна); прогнозировать и своевременно выявлять угрозы безопасности информационных ресурсов, причины и условия, способствующие причинению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития; создавать условия для функционирования с наименьшей вероятностью реализации угроз безопасности информационных ресурсов и причинения различных видов ущерба; создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективного пресечения посягательств на ресурсы на основе правовых, организационно-технических мер и средств защиты; создать условия для максимально возможного возмещения и локализации ущерба, причиненного неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушений информационной безопасности. При разработке политики безопасности можно использовать следующую модель (рис. 1), основанную на адаптации Общих критериев (ISO 15408) и анализе рисков (ISO 17799). Данная модель соответствует специальным нормативным документам по информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 «Информационные технологии – методы защиты – критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью». Инжир. 1
системы защиты информации Представленная модель представляет собой совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности объекта и на сохранность материальных или информационных ресурсов. Рассмотрены следующие объективные факторы: угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации; уязвимости информационной системы или системы противодействия (системы защиты информации), влияющие на вероятность реализации угрозы; - риск - фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечка информации и ее неправомерное использование (риск в конечном итоге отражает вероятные финансовые потери - прямые или косвенные). Для создания эффективной политики безопасности необходимо изначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для предприятия на основе заданных критериев. Политика безопасности и соответствующая корпоративная система защиты информации должны быть построены таким образом, чтобы достичь заданного уровня риска. Предлагаемая методика разработки политики информационной безопасности современного предприятия позволяет полностью проанализировать и задокументировать требования, связанные с обеспечением информационной безопасности, избежать затрат на ненужные меры безопасности, которые возможны при субъективной оценке рисков, оказать помощь при планировании и осуществлении защиты на всех этапах жизненного цикла информационных систем обеспечить выполнение работ в короткие сроки, дать обоснование выбора мер противодействия, оценить эффективность мер противодействия, сравнить различные варианты контрмеры. Границы исследования должны быть установлены в процессе работы. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков. При этом необходимо разделять рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть вычислительная техника, программное обеспечение, данные, а также информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Примеры внешних элементов включают сети связи, внешние услуги и т. д. При построении модели будет учитываться взаимосвязь между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критического элемента системы. Подобные отношения определяют основу построения модели организации с точки зрения ИС. Данная модель в соответствии с предложенной методологией строится следующим образом: для выделенных ресурсов определяется их стоимость, как с точки зрения связанных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации. организации, дезорганизация ее деятельности, причинение нематериального ущерба от разглашения конфиденциальной информации и др. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оценивается вероятность их реализации. На основе построенной модели возможен обоснованный выбор системы контрмер, снижающей риски до приемлемого уровня и обладающей наибольшей ценовой эффективностью. Частью системы контрмер будут рекомендации по проведению регулярных проверок эффективности системы защиты. Обеспечение повышенных требований к ИТ предполагает соответствующие меры на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий осуществляется после завершения этапа анализа рисков и выбора мер противодействия. Обязательным компонентом этих планов является периодическая проверка соответствия действующего режима политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности. По завершении работы можно будет определить степень гарантии безопасности информационной среды, исходя из оценки, с которой можно доверять информационной среде объекта. Этот подход предполагает, что большая гарантия является результатом приложения больших усилий при проведении оценки безопасности. Адекватность оценки основана на вовлечении в процесс оценки большого количества элементов информационной среды объекта, глубине, достигаемой за счет использования большого количества проектов и описания деталей исполнения при проектировании безопасности. системность, строгость, заключающаяся в использовании большого количества поисковых средств и методов, направленных на обнаружение наличия менее очевидных уязвимостей или возможность их уменьшения. Важно помнить, что перед внедрением любых решений по защите информации необходимо разработать политику безопасности, адекватную целям и задачам современного предприятия. В частности, политика безопасности должна описывать порядок предоставления и использования прав доступа пользователей, а также требования к ответственности пользователей за свои действия в вопросах безопасности. Система защиты информации (SIB) будет эффективной, если она надежно поддерживает выполнение правил политики безопасности, и наоборот. Этап построения политики безопасности заключается во внесении в описание значения структуры объекта автоматизации и проведении анализа рисков, а также определении правил для любого процесса использования данного вида доступа к ресурсам объекта автоматизации, имеющего заданная степень ценности. При этом желательно сформировать политику безопасности в виде отдельного документа и утвердить ее руководством предприятия. . 4. Постановка задачи. Для достижения поставленной цели необходимо решить следующие задачи: · Определить цели и задачи защиты информации на предприятии. · Выберите модель политики безопасности для этой организации. · Создать матрицу доступа · Определить группу требований к АС · Определить класс защищенности АС и требования к ней · Определить основные объекты защиты предприятия · Определить объект защиты предприятия · Выявить возможные угрозы для защищаемая информация на предприятии и их структура · Выявить источники, виды и способы дестабилизирующего воздействия на защищаемую информацию предприятия · Выявить каналы и способы несанкционированного доступа к защищаемой информации предприятия · Определить основные направления, методы и средства защиты информация Целями защиты информации компании являются: информация (коммерческая тайна и персональные данные); · предотвращение угроз безопасности людей и предприятий; · предотвращение несанкционированных действий по уничтожению, изменению, искажению, копированию, блокированию конфиденциальной информации; · предотвращение иных форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности; · защита конституционных прав граждан на неприкосновенность частной жизни и конфиденциальность персональных данных, имеющихся в информационных системах; · сохранность, конфиденциальность документированной информации в соответствии с законодательством. В задачи защиты информации компании входит : Обеспечение управленческой, финансовой и маркетинговой деятельности предприятия регулярным информационным обслуживанием, т.е. снабжением всех служб, подразделений и должностных лиц необходимой информацией, как секретной, так и несекретной. . Гарантия безопасности информации, ее средств, предотвращение утечки охраняемой информации и предотвращение любого несанкционированного доступа к носителям секретной информации. . Разработка механизмов оперативного реагирования на угрозы, использование правовых, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности предприятия. . Документирование процесса защиты информации, особенно информации, составляющей коммерческую тайну. . Организация специальной хозяйственной деятельности, исключающей несанкционированное получение конфиденциальной информации. Основными объектами защиты в студии являются: · персонал (поскольку эти лица допускаются к работе с охраняемой законом информацией (коммерческая тайна, персональные данные) или имеют доступ в помещения, где эта информация обрабатывается) · объекты информатизации - средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, · информация ограниченного доступа: коммерческая тайна (сведения о применяемых оригинальных методах управления предприятием, сведения о подготовке, принятии и оформлении отдельные решения руководства предприятия по коммерческим, организационным и иным вопросам; сведения о фактах проведения, целях, предмете и результатах совещаний и совещаний органов управления организации (управляющих партнеров и др.); персональные данные работников ( фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и т.д. иные сведения, требуемые работодателем в связи с трудовыми отношениями и касающиеся конкретного работника) . персональные данные клиентов (фамилия, имя, отчество, дата рождения, номер телефона, данные заказа и персональные скидки) · общедоступная информация, защищенная от утраты: · материальные носители охраняемой законом информации (личные дела сотрудников, личные дела клиентов , электронные базы данных сотрудников и клиентов, бумажные носители и электронные версии приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну) · средства защиты информации (антивирусные программы, системы сигнализации и видеонаблюдения, противопожарные системы) · технологические отходы (мусор), образующиеся в результате обработки охраняемой законом информации (личные дела бывших клиентов и сотрудников) Предметом защиты информации в студии являются носители информации, на которых записывается и отображается охраняемая информация: · личные дела клиентов в бумажном и электронном виде (база данных клиентов и сотрудников); · Приказы, положения, положения, инструкции, соглашения и обязательства о неразглашении, приказы, договоры, планы, отчеты, уведомления об ознакомлении с Положением о конфиденциальной информации и иными документами, составляющими коммерческую тайну, в бумажном и электронном виде. Сегодня эффективность современной организации все больше определяется степенью использования информационных технологий в процессе ее функционирования. Постоянно увеличивается как объем информации, обрабатываемой в электронном виде, так и количество различных информационных систем. Поэтому разработка политики безопасности компании и защиты информации выходит на первый план в задаче безопасности предприятия. Обеспечение защиты информации требует защиты нескольких видов тайны: коммерческой и личной информации. Защита персональных данных считается наиболее важной, так как доверие клиентов в первую очередь основано на предоставлении их персональных данных, а соответственно, их сохранении работниками организации. Поэтому целью обеспечения безопасности в студии является разработка политики безопасности и обеспечение надежной защиты информации компании для ее нормального функционирования. . 1 Выбор и обоснование модели защиты информации Основными объектами защиты в студии являются: · персонал (поскольку эти лица допускаются к работе с охраняемой законом информацией (коммерческая тайна, персональные данные) или имеют доступ в помещения, где информация обрабатывается) · объекты информатизации - средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, · информация ограниченного доступа: коммерческая тайна (сведения о применяемых оригинальных методах предприятия управления, сведения о подготовке, принятии и исполнении отдельных решений руководства предприятия по коммерческим, организационным и другим вопросам; сведения о фактах, целях, предмете и результатах собраний и совещаний органов управления организации (управляющих партнеров и др.); персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия и др.) подтверждение, доход, наличие судимости и некоторые другие сведения, требуемые работодателем в связи с трудовыми отношениями и касающиеся конкретного работника) . персональные данные клиентов (фамилия, имя, отчество, дата рождения, номер телефона, данные заказа и персональные скидки) · общедоступная информация, защищенная от утраты: документированная информация, регулирующая статус предприятия, права, обязанности и ответственность его работников (Устав, журнал регистрации, учредительный договор, положения о деятельности, положения о структурных подразделениях, должностные инструкции работников) · материальные носители охраняемой законом информации (личные дела работников, личные дела клиентов, электронные базы данных сотрудников и клиентов, бумажные носители и электронные версии приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну) · средства защиты информации (антивирусные программы, системы сигнализации и видеонаблюдения, противопожарные системы) · технологические отходы (мусор), образующиеся в виде результат обработки охраняемой законом информации (личные дела бывших клиентов и сотрудников) Защита информации в студии включает в себя носители информации, на которых записывается защищенная изображением информация: · Личные дела клиентов в бумажном и электронном виде (база данных клиентов и сотрудников); · Приказы, положения, положения, инструкции, соглашения и обязательства о неразглашении, приказы, договоры, планы, отчеты, уведомления об ознакомлении с Положением о конфиденциальной информации и иными документами, составляющими коммерческую тайну, в бумажном и электронном виде. Угроза защищенной информации. Внешние угрозы: · Конкуренты (частные студии, являющиеся конкурентами студии « Вильден »); · Органы управления (орган государственной власти); · Преступники. Внутренние угрозы: · Персонал; · Администрация предприятия. Классификация угроз: . Мой объект: .1. персонал; .2. материальные ценности; .3. Финансовые ценности. . Не повредить: .1. Материал; .2. Мораль. . По повреждениям: .1. Ultimate (полное уничтожение); .2. Значительный (в некотором валовом доходе); .3. Незначительно (упущенная выгода). . Относительно объекта: .1. внутренний; .2. Внешний. . Вероятность возникновения: .1. Скорее всего; .2. Вероятный; .3. Вряд ли. . Характерное воздействие: .1. Активный; .2. Пассивный. . Проявление из-за: .1. Естественный; .2. Преднамеренный. К источникам дестабилизирующего воздействия на информацию относятся : люди; технические средства отображения (фиксации), хранения, обработки, воспроизведения, передачи информации, средства связи и системы обеспечения их функционирования; природные явления. Виды и способы дестабилизирующего воздействия на защищаемую информацию дифференцированы по источникам воздействия. Наибольшее количество видов и способов дестабилизирующего воздействия связано с людьми. Возможны следующие виды воздействия со стороны людей, приводящие к разрушению, искажению и блокировке : Непосредственное воздействие на носитель защищаемой информации. . Несанкционированное распространение конфиденциальной информации. . Выход из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи. . Нарушение режима работы перечисленных средств и технологии обработки информации. . Вывод из эксплуатации и нарушение режима работы системы обеспечения функционирования указанных средств. устная передача ( сообщение) информации; передача копий (фотографий) сведений о носителе; отображать медиаинформацию; ввод информации в компьютерные сети; публикация информации в открытой печати; использование информации в открытых публичных выступлениях, в том числе на радио, телевидении; информация о носителях. Способами нарушения режима работы технических средств отображения, хранения, обработки, воспроизведения, передачи информации, средств связи и технологической обработки информации, приводящих к уничтожению, искажению и блокированию информации, могут быть: повреждение отдельных элементов Значения; нарушение правил эксплуатации средств; внесение изменений в порядок обработки информации; заражение программ обработки информации вредоносными программами; выдача некорректных программных команд; превышение расчетного количества запросов; создание помех в радиоэфире с помощью дополнительного звукового или шумового фона, изменение (наложение) информации о частоте передачи; передача ложных сигналов - подключение фильтров подавления к информационным цепям, цепям питания и заземления; Нарушение (изменение) режима работы системы поддержки функционирования средств . К каким видам дестабилизирующего воздействия на защищаемую информацию со стороны технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем, обеспечивающих их функционирование, относится выход из строя этих средств; неисправность оборудования и создание электромагнитного излучения. К числу наиболее вероятных каналов утечки информации можно отнести: · визуальное наблюдение; · подслушивание; · технический надзор; · прямой опрос, обнаружение; · ознакомление с материалами, документами, продукцией и т.п.; · сбор открытых документов и информации из других источников; · хищение документов и информации из других источников; · изучение нескольких источников информации, которые содержат необходимую информацию по частям. Информация о защите адреса. Правовая защита - специальные правовые нормы, процедуры и меры, созданные для обеспечения информационной безопасности предприятия. Организационная защита – это регулирование производственной деятельности и отношений между исполнителями на нормативно-правовой основе с использованием ущерба. Организационная охрана обеспечивается: организацией режимной охраны, работы с личным составом, документами; Использование технических средств безопасности; Использование информационно-аналитической работы для выявления угроз. Инженерно-техническая защита - использование различных технических средств для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует такие средства, как: физические устройства, инженерные сооружения, организационные меры, исключающие или затрудняющие доступ к источникам конфиденциальной информации (системы ограждений, системы контроля доступа, запирающие устройства и хранилища); Аппаратные средства - устройства, защищающие от утечек, разоблачений и технические средства промышленного шпионажа. Программное обеспечение. Способ защиты информации. К основным методам защиты информации относятся: · реализация разрешительной системы доступа пользователей (обслуживающего персонала) к информационным ресурсам, информационным системам и связанным с ними работам, документам; · разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации; · резервирование технических средств, дублирование массивов и носителей информации; · использование средств защиты информации, прошедших процедуру подтверждения соответствия в установленном порядке; · организация физической охраны помещений и собственных технических средств, позволяющих осуществлять обработку персональных данных; · предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок. Принципы учета секретной информации: обязательная регистрация всех носителей охраняемой информации; однократная регистрация конкретного носителя такой информации; указание в записях адреса, по которому в настоящее время находится этот носитель секретной информации ; единоличную ответственность за сохранность каждого носителя охраняемой информации и ее отражение в записях пользователя этой информации в настоящее время, а также всех предыдущих пользователей этой информации. Средства защиты информации Средства защиты информации - совокупность инженерно-технических, электрических, электронных, оптических и других устройств и устройств, устройств и технических систем, а также других материальных элементов, используемых для решения различных задач защиты информации, в том числе предотвращения утечки и безопасность защищаемой информации. В основу классификации средств защиты информации положены основные группы задач, решаемых с помощью технических средств: создание физических (механических) препятствий на пути проникновения нарушителя к носителям информации (сетям, сейфы, замки и др.); обнаружение попыток проникновения на объект защиты, в места сосредоточения носителей защищаемой информации (электронных и электронно-оптических сигналов); предупреждение возникновения чрезвычайных ситуаций (пожар, наводнение и др.) и ликвидация чрезвычайных ситуаций (средства пожаротушения и др.); поддержание связи с различными подразделениями, помещениями и другими пунктами охраны объекта; нейтрализация, поглощение или отражение излучения эксплуатируемых или испытываемых изделий (экранов, защитных фильтров, разделительных устройств в сетях электроснабжения и т.п.); комплексная проверка технических средств обработки информации и выделенных помещений на соответствие требованиям безопасности обрабатываемой речевой информации и установленным нормам; комплексная защита информации в автоматизированных системах обработки данных с помощью фильтров, электронных замков и ключей для предотвращения несанкционированного доступа, копирования или искажения информации. Знание возможностей методов и средств защиты информации позволяет активно и комплексно применять их при рассмотрении и применении правовых, организационных и технических мер защиты конфиденциальной информации. Политика безопасности модели. В настоящее время лучше всего изучены два типа политик безопасности: дискреционная и мандатная, основанные на выборочном и прокси-методах контроля доступа соответственно. Следует отметить, что средства защиты, предназначенные для реализации любого из упомянутых способов контроля доступа, лишь обеспечивают возможность надежного контроля доступа или информационных потоков. Определение прав доступа субъектов к объектам и/или информационным потокам (авторизация субъектов и атрибутов объектов, присвоение меток критичности и т.п.) входит в компетенцию системы администрирования. Обязательный контроль доступа ( Обязательный Доступ Control , MAC) в системе означает независимость наличия информации от ее владельца. Как правило, в таких случаях управление доступом реализуется на основе свойств самой информации и свойств лица, желающего получить к ней доступ, по независимым от них обоих правилам. Характеристика моделей, предназначенных для применения в военных и государственных оборонных системах. Строго говоря, критерии определения того, к какому классу относится тот или иной метод разграничения доступа, не всегда дают определенный результат, но считаются очень точными для большинства классических моделей политики безопасности. Основой дискреционной (дискреционной) политики безопасности является дискреционный контроль доступа ( Discretionary Доступ Управление -DAC), которое определяется двумя свойствами: · права доступа субъекта к объекту системы определяются на основании некоторого внешнего правила по отношению к системе; · все субъекты и объекты должны быть идентифицированы. Дискреционное управление доступом — способ ограничения доступа к объектам, который основан на том, что какой-либо субъект (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отнимать права доступа к объекту. В этой модели реализуется дискреционное (произвольное) управление доступом субъектов к объектам и контроль за распределением прав доступа. . 2 Выбор и обоснование мер физической (некомпьютерной) защиты информации К мерам физической защиты информации относятся: противопожарная защита; защита от воды; защита от агрессивных газов; защита от электромагнитного излучения; защита от кражи и воровства; взрывозащита; защита от падающего мусора; противопожарная пылезащита; защита от несанкционированного доступа в помещение. В первую очередь необходимо подготовить помещение, где будет стоять компьютер. Разумным шагом будет отключение неиспользуемых дисководов, параллельных и последовательных портов компьютера. Тело желательно заклеить. Все это усложняет кражу или подмену информации, даже если злоумышленник каким-то образом проникнет в помещение. Не пренебрегайте такими банальными мерами безопасности, как железные решетки и двери, кодовые замки и камеры видеонаблюдения, которые будут постоянно фиксировать все, что происходит в ключевых помещениях офиса. Другая типичная ошибка связана с резервным копированием. Все знают о его необходимости, как и о том, что на случай пожара нужно иметь огнетушитель. И поэтому забывают, что резервные копии нельзя хранить в одной комнате с компьютером. В результате, защитившись от информационных атак, компании оказываются беззащитными даже перед небольшим пожаром, в котором тщательно сделанные копии гибнут вместе с компьютером. Зачастую, даже защищая компьютер, забывают, что всевозможные провода - кабельные системные сети - тоже нуждаются в защите. Причем нередко приходится беспокоиться не о преступниках, а о самых обычных чистильщиках, которые заслуженно считаются злейшими врагами локальных сетей. Лучшим вариантом защиты кабеля является короб, но, в принципе, подойдет и любой другой способ, позволяющий спрятать и надежно закрепить провода. Ведь нельзя упускать из виду возможность подключения к ним извне для перехвата информации или создания помех, например, посредством разряда тока. Однако следует признать, что этот вариант не получил широкого распространения и замечается только в случае сбоев в работе крупных компаний. Помимо Интернета, компьютер подключен к другой сети — обычной электрической. С ним связана еще одна группа проблем, связанных с физической безопасностью компьютеров. Ни для кого не секрет, что качество современных электросетей далеко от идеала. Даже при отсутствии внешних признаков аномалий очень часто напряжение в электрической сети выше или ниже нормы. При этом большинство людей даже не подозревают, что в их доме или офисе есть какие-то проблемы с электричеством. Низкое напряжение является наиболее распространенной аномалией и составляет около 85% от общего количества различных проблем с электроснабжением. Обычная его причина – отсутствие электричества, что особенно характерно для зимних месяцев. Повышенное напряжение практически всегда является следствием какой-либо аварии или повреждения проводки в помещении. Часто в результате отключения общего нулевого провода соседние фазы оказываются под напряжением 380 В. Бывает и так , что в сети возникает высокое напряжение из-за неправильной коммутации проводов. Источниками импульсных и высокочастотных помех могут быть грозовые разряды, включение или отключение мощных потребителей электроэнергии, поломки на подстанциях, а также работа некоторых бытовых электроприборов. Чаще всего такие возмущения возникают в крупных городах и в промышленных зонах. Импульсы напряжения длительностью от наносекунд (10
доказательства факта возникновения этих событий; программы, имитирующие работу с правонарушителем (отвлекающие его от получения якобы конфиденциальной информации); программы контроля компьютерной безопасности и т.д. К преимуществам программной защиты информации относятся: простота тиражирования; гибкость (возможность настройки на различные условия использования с учетом специфики угроз информационной безопасности конкретных компьютеров); простота использования – некоторые программные средства, например, шифрование, работают в «прозрачном» (невидимом для пользователя) режиме, а другие не требуют от пользователя каких-либо новых (по сравнению с другими программами) навыков; практически неограниченные возможности их развития за счет внесения изменений с учетом новых угроз информационной безопасности. К недостаткам программной защиты информации относятся: снижение производительности компьютера из-за потребления его ресурсов, необходимых для функционирования программ защиты; меньшая производительность (по сравнению с аппаратными устройствами защиты, выполняющими аналогичные функции, например, шифрование); присоединение множества программных средств защиты (или их интеграция в программное обеспечение ЭВМ, рис. 4 и 5), что создает принципиальную возможность злоумышленнику их обойти; возможность злонамеренной модификации средств защиты программного обеспечения во время работы компьютера. Специализированные программные средства защиты информации от несанкционированного доступа, как правило, обладают лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС. Помимо программ-шифровальщиков, существует множество других доступных внешних средств защиты информации. Среди наиболее часто упоминаемых следует отметить следующие две системы, позволяющие ограничивать информационные потоки . - б рандмауеры (букв. firewall -- брандмауэр). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые проверяют и фильтруют весь проходящий через них трафик сетевого/транспортного уровня. Это позволяет резко снизить угрозу несанкционированного доступа к корпоративным сетям извне, но не устраняет эту опасность полностью. Более защищенным вариантом метода является метод маскировки , когда весь трафик, исходящий из локальной сети, направляется от имени сервера брандмауэра , что делает локальную сеть практически невидимой для серверов ( прокси — доверие, доверенное лицо). Весь трафик сетевого/транспортного уровня между локальной и глобальной сетями полностью запрещен — маршрутизации как таковой просто нет, а трафик из локальной сети в глобальную сеть происходит через специальные серверы-посредники. Очевидно, что при таком способе звонки из глобальной сети в локальную сеть становятся невозможны в принципе. Также очевидно, что этот метод не обеспечивает достаточной защиты от атак на более высоких уровнях — например, на уровне приложения (вирус, код Java и JavaScript ). Рассмотрим брандмауэр поближе. Это метод защиты сети от угроз безопасности, исходящих из других систем и сетей, с помощью централизации доступа к сети и управления ею с помощью аппаратных и программных средств. Межсетевой экран — это защитный барьер, состоящий из нескольких компонентов (например, маршрутизатора или шлюза с программным обеспечением межсетевого экрана). Брандмауэр настраивается в соответствии с принятой в организации политикой управления доступом к внутренней сети. Все входящие и исходящие пакеты должны проходить через брандмауэр, который пропускает только разрешенные пакеты. Межсетевой экран с фильтрацией пакетов [ пакетная фильтрация брандмауэр ] — это маршрутизатор или компьютер, на котором запущено программное обеспечение, настроенное на отклонение определенных типов входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в заголовках пакетов TCP и IP (адреса отправителя и получателя, номера портов и т. д.). Межсетевой экран экспертного уровня [ с отслеживанием состояния осмотр firewall ] — проверяет содержимое полученных пакетов на трех уровнях модели OSI — сети, сеанса и приложения. Для выполнения этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизованных пакетов. Создание брандмауэра относится к решению задачи экранирования. Формальная постановка задачи скрининга следующая. Пусть есть два набора информационных систем. Экран — это средство различения доступа клиентов из одного набора к серверам из другого набора. Экран выполняет свои функции, контролируя все информационные потоки между двумя наборами систем (рис. 6). Управление потоками заключается в их фильтрации, возможно с выполнением некоторых преобразований. Помимо функций контроля доступа, экран реализует протокол обмена информацией. Обычно экран не симметричен, для него определены понятия «внутри» и «снаружи». При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Таким образом, межсетевые экраны (МЭ) чаще всего устанавливаются для защиты корпоративной сети организации, имеющей выход в Интернет . Экранирование помогает поддерживать доступность сервисов во внутренней области, снижая или полностью устраняя нагрузку, вызванную внешней активностью. Снижается уязвимость внутренних служб безопасности, поскольку изначально злоумышленнику необходимо преодолеть экран, где механизмы безопасности настраиваются особенно тщательно. Кроме того, система досмотра, в отличие от универсальной , может быть устроена проще, а значит, и безопаснее. Экранирование дает возможность контролировать информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности в организации ИБ. Проверка может быть частичной, защищая определенные информационные службы (например, проверку электронной почты). Ограничивающий интерфейс также можно рассматривать как разновидность экранирования. Сложно атаковать невидимый объект, особенно с фиксированным набором инструментов. В этом смысле веб- интерфейс имеет естественную защиту, особенно когда гипертекстовые документы генерируются динамически. Каждый пользователь видит только то, что он должен видеть. Можно провести аналогию между динамически генерируемыми гипертекстовыми документами и представлениями в реляционных базах данных , с важной оговоркой, что в случае Сети возможности значительно шире. Экранирующая роль Web- сервиса ярко проявляется, когда этот сервис выполняет посреднические (точнее, интегрирующие) функции при доступе к другим ресурсам, например, к таблицам базы данных. Здесь контролируется не только поток запросов, но и скрывается реальная организация данных. Идентификация пользователя осуществляется индивидуальным ключом в виде «таблетки» Touch Память , которая имеет память до 64 Кбайт, а аутентификация — пароль длиной до 16 символов. Проверка целостности предназначена для того, чтобы убедиться, что программы и файлы пользователя, а особенно системные файлы ОС, не были изменены злоумышленником или введенной им закладкой программы. Для этого в первую очередь в дело вступает парсер файловой системы ОС: вычисление эталонных значений и их контроль при загрузке реализованы в «Саболе» на аппаратном уровне. Построение списка контроля целостности объектов выполняется с помощью утилиты ОС, что в принципе позволяет программе-перехватчику модифицировать этот список, а общеизвестно, что общий уровень безопасности системы определяется уровнем защиты самого слабого связь. Зашифрованный диск — это файл-контейнер, который может содержать любые другие файлы или программы (их можно устанавливать и запускать прямо из этого зашифрованного файла). Этот диск доступен только после ввода пароля к файлу-контейнеру - тогда на компьютере появляется другой диск, распознаваемый системой как логический и работа с ним ничем не отличается от работы с любым другим диском. После отключения диска логический диск пропадает, он просто становится "невидимым". На сегодняшний день наиболее распространенными программами для создания зашифрованных дисков являются DriveCrypt , BestCrypt и PGPdisk . Каждый из них надежно защищен от удаленного взлома. Криптография — это наука о безопасности данных. Он занимается поиском решений четырех важных проблем безопасности — конфиденциальности, аутентификации, целостности и контроля взаимодействия между участниками. Шифрование — это преобразование данных в нечитаемую форму с помощью ключей шифрования-дешифрования. Шифрование позволяет обеспечить конфиденциальность, сохраняя информацию в тайне от лица, которому она предназначена. Криптография занимается поиском и исследованием математических методов преобразования информации. Основными направлениями использования криптографических методов являются передача конфиденциальной информации по каналам связи (например, по электронной почте), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде. Вирусы могут попасть на машину разными путями (через глобальную сеть, через зараженную дискету или флешку ). Последствия их проникновения очень неприятны: от уничтожения файла до нарушения работы всего компьютера. Всего одного зараженного файла достаточно, чтобы заразить всю информацию на компьютере, а затем и всю корпоративную сеть. Пакет Dr.Web выбран для антивирусной защиты Предприятие Люкс . Этот пакет обеспечивает централизованную защиту корпоративной сети любого масштаба. Современное решение на базе технологий Dr.Web для корпоративных сетей представляет собой уникальный технический комплекс со встроенной системой централизованного управления антивирусной защитой в масштабе предприятия. Доктор Веб Предприятие Suite позволяет администратору,
работающему как внутри сети, так и на удаленном компьютере (через Интернет ), выполнять необходимые административные задачи по управлению организацией антивирусной защиты. . 5 Организационная безопасность Недооценка факторов безопасности в повседневной работе является ахиллесовой пятой многих организаций. Дорогие средства безопасности теряют смысл, если они плохо документированы, конфликтуют с другим ПО, а пароль системного администратора не менялся с момента установки. Можно выделить следующие направления повседневной деятельности: подерше подерже; поддержка программного обеспечения; управление конфигурацией; резервное копирование; управление СМИ; документация; регулярные работы. Поддержка пользователей подразумевает , в первую очередь, консультацию и помощь в решении различных проблем. Иногда в организациях создают для этой цели специальную «справочную службу», но чаще пользователя блокирует системный администратор. Очень важно уметь выявлять проблемы, связанные с информационной безопасностью, в потоке вопросов. Таким образом, многие проблемы пользователей, работающих на персональных компьютерах, могут быть следствием заражения вирусами. Целесообразно записывать вопросы пользователей, чтобы выявлять их типичные ошибки и выдавать напоминания с рекомендациями для типичных ситуаций. Программная поддержка является одним из важнейших средств обеспечения целостности информации. В первую очередь необходимо следить за тем, какое программное обеспечение установлено на компьютерах. Если пользователи будут устанавливать программы по своему усмотрению, это может привести к заражению вирусами, а также появлению утилит, обходящих меры защиты. Не исключено также, что «самодеятельность» пользователей постепенно приведет к хаосу на их компьютерах, и исправлять ситуацию придется системному администратору. Вторым аспектом сопровождения ПО является контроль отсутствия несанкционированных изменений программ и прав доступа к ним. Сюда же можно включить поддержку стандартных копий программных комплексов. Обычно контроль достигается совмещением средств физического и логического контроля доступа, а также использованием утилит для проверки и обеспечения целостности. Управление конфигурацией позволяет отслеживать и исправлять изменения, внесенные в конфигурацию программного обеспечения. В первую очередь необходимо застраховаться от случайных или необдуманных модификаций, чтобы иметь возможность хотя бы вернуться к предыдущей, рабочей версии. Исправление изменений позволит вам легко восстановить текущую версию после сбоя. Лучший способ уменьшить количество ошибок в рутинной работе — максимально ее автоматизировать. Правы и «ленивые» программисты и сисадмины, которые, глядя на море одинаковых задач, говорят: «Я ни за что не буду этого делать, я напишу программу, которая все сделает за меня. " Автоматизация и безопасность зависят друг от друга; тот, кто в первую очередь заботится об облегчении своей задачи, фактически оптимально формирует режим информационной безопасности. Резервное копирование необходимо для восстановления программ и данных после аварий. И здесь целесообразно автоматизировать работу, как минимум за счет составления компьютерного расписания создания полных и инкрементных копий, а как максимум - за счет использования соответствующих программных продуктов (см., например, Jet Инфо , 2000, 12). Также необходимо организовать размещение копий в надежном месте, защищенном от несанкционированного доступа, пожаров, утечек, то есть от всего, что может привести к краже или повреждению носителя. Целесообразно иметь несколько копий резервных копий и хранить часть из них за пределами территории организации, таким образом обезопасив себя от крупных аварий и подобных инцидентов. Время от времени в тестовых целях следует проверять возможность восстановления информации с копий. Необходимо управлять носителями для физической защиты и учета дискет, кассет, печатных изданий и т.п. Управление СМИ должно обеспечивать конфиденциальность, целостность и доступность информации, хранящейся вне компьютерных систем. Под физической защитой здесь понимается не только отражение попыток несанкционированного доступа, но и защита от вредных воздействий внешней среды (огонь, холод, влага, магнетизм). Управление носителями должно охватывать весь жизненный цикл — от покупки до утилизации. Заключение Важнейшей мерой защиты информации в этом направлении является четкая организация и контроль использования носителей информации. Прогресс дал человечеству множество достижений, но в то же время прогресс создал много проблем. Человеческий разум, решая одну задачу, неизбежно сталкивается с другими, новыми. Вечная проблема - защита информации. На разных этапах своего развития человечество решало эту задачу с особенностями, присущими этой эпохе. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине 20 века сделали проблему защиты информации столь же актуальной и острой, насколько актуальна сегодняшняя информатизация для всего общества. Основной тенденцией, характеризующей развитие современных информационных технологий, является увеличение количества компьютерных преступлений и хищений конфиденциальной и иной информации, связанных с ними, а также материальных потерь. Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру общих потерь от компьютерных преступлений, связанных с несанкционированным доступом к информации. Объясняется это, в первую очередь, нежеланием пострадавших компаний раскрывать информацию о своих убытках, а также тем, что не всегда есть возможность точно оценить убытки от хищения информации в денежном выражении. Причин активизации компьютерных преступлений и связанных с ними финансовых потерь множество, наиболее важными из которых являются: переход от традиционных «бумажных» технологий хранения и передачи данных к электронным и недостаточное развитие технологии защиты информации в таких технологиях; интеграция компьютерных систем, создание глобальных сетей и расширение доступа к информационным ресурсам; увеличение сложности программного обеспечения и связанное с этим снижение их надежности и увеличение количества уязвимостей.Компьютерные сети в силу своей специфики просто не могут нормально функционировать и развиваться, игнорируя проблемы защиты информации.
Библиографический список
Бармен С. Разработка правил информационной безопасности. - М.: Издательский дом "Вильямс", 2002.
Бачило И. Л., Лопатин В. Н., Федотов М. А. Информационное право.- СПб .: Изд-во "Юридический центр Пресс", 2001.
Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Л. Г. Осовецкого - СПб .: СПбГУ ИТМО, 2004.
Черный У. Интернет: протокол безопасности. Учебный курс. - СПб : Питер, 2001.
Бождай А.С., Финогеев А.Г. Сетевые технологии. Часть 1: Учебник. Пенза: Изд-во ПГУ, 2005.