Основы защиты информации
Автор: Пользователь скрыл имя, 26 Февраля 2012 в 21:10, статья
Описание работы
Целью рассмотрения данной темы является обзор видов известных мер противодействия угрозам безопасности АС (контрмер), а также основных принципов построения систем защиты информации.
Работа содержит 1 файл
Основы защиты информации
Безмалый В.Ф.
MVP Consumer Security
Microsoft Security Trusted Advisor
Результаты недавно представленного исследования специалистов «Лаборатории Касперского»
свидетельствуют о постоянном росте уровня опасности в киберпространстве. Согласно полученным
данным 91% компаний, участвовавших в мировом исследовании, сталкивались с различными
киберугрозами за последние 12 месяцев. В Украине данная цифра выглядит еще более ужасающей -
97%. При этом 48% респондентов заявили о росте числа атак злоумышленников, 45% украинских
компаний заявили о потере конфиденциальных данных из-за вирусных атак (в мире этот показатель
несколько ниже – 32%).
Вместе с тем 63% респондентов искренне полагают, что их организации защищены от атак
злоумышленников.
Вместе с тем стоит отметить что 75% опрошенных не внедрили в полном объеме даже такую
базовую технологи, как антивирусная защита!
Однако стоит отметить, что большинство компаний на Украине, как не сложно проверить,
ограничивается внедрением технологических мер информационной безопасности. А ведь не стоит
забывать, что информационная безопасность это комплекс технологий, процессов и работы с
пользователями.
Рассмотрим основные составляющие информационной безопасности. Как уже неоднократно
говорилось
–
информационная
безопасность это
комплекс организационно-правовых,
воспитательных и технологических мер.
Несмотря на то что об этом говорилось неоднократно, этот подход так и не получил широкого
распространения. Почему? На мой взгляд потому что работа по таким методикам требует намного
больше усилий и будет продвигаться гораздо медленнее.
Рассмотрим виды мер и основные принципы обеспечения ИБ.
Виды мер и основные принципы обеспечения информационной
безопасности
Целью рассмотрения данной темы является обзор видов известных мер противодействия угрозам
безопасности АС (контрмер), а также основных принципов построения систем защиты информации.
Виды мер противодействия угрозам безопасности
По способам осуществления все меры защиты информации, ее носителей и систем ее обработки
подразделяются на следующие:
•
правовые (законодательные);
•
морально-этические;
•
технологические;
•
организационные (административные и процедурные);
•
физические;
•
технические (аппаратурные и программные).
Правовые (законодательные) меры
К правовым мерам защиты относятся действующие в стране законы, указы и другие нормативно-
правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и
обязанности участников информационных отношений в процессе ее получения, обработки и
использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя
тем самым неправомерному использованию информации и являющиеся сдерживающим фактором
для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий,
профилактический характер и требуют постоянной разъяснительной работы с пользователями и
обслуживающим персоналом системы.
Морально-этические меры
К морально-этическим мерам защиты относятся нормы поведения, которые традиционно сложились
или складываются по мере распространения информационных технологий в обществе. Эти нормы
большей частью не являются обязательными, как требования нормативных актов, однако, их
несоблюдение ведет обычно к падению авторитета или престижа человека, группы лиц или
организации. Морально-этические нормы бывают как неписаные (например, общепризнанные
нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав,
кодекс чести и т.п.) правил или предписаний. Морально-этические меры защиты являются
профилактическими и требуют постоянной работы по созданию здорового морального климата в
коллективах пользователей и обслуживающего персонала АС.
Технологические меры
К данному виду мер защиты относятся разного рода технологические решения и приемы, обычно
основанные на использовании некоторых видов избыточности (структурной, функциональной,
информационной, временной и т.п.) и направленные на уменьшение возможности совершения
сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий. Примером
таких мер является использование процедур двойного ввода ответственной информации,
инициализации ответственных операций только при наличии разрешений от нескольких
должностных лиц, процедур проверки соответствия реквизитов исходящих и входящих сообщений в
системах коммутации сообщений, периодическое подведение общего баланса всех банковских
счетов и т.п.
Организационные меры
Организационные меры защиты - это меры административного и процедурного характера,
регламентирующие процессы функционирования системы обработки данных, использование ее
ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия
пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей
степени затруднить или исключить возможность реализации угроз безопасности или снизить размер
потерь в случае их реализации.
Меры физической защиты
Физические меры защиты основаны на применении разного рода механических, электро- или
электронно-механических устройств и сооружений, специально предназначенных для создания
физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей
к компонентам системы и защищаемой информации, а также средств визуального наблюдения,
связи и охранной сигнализации. К данному типу относятся также меры и средства контроля
физической целостности компонентов АС (пломбы, наклейки и т.п.).
Технические меры
Технические меры защиты основаны на использовании различных электронных устройств и
специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с
другими средствами) функции защиты.
Взаимосвязь рассмотренных выше мер обеспечения безопасности приведена на Рисунке 1.
Рисунок 1 Взаимосвязь мер обеспечения информационной безопасности
Достоинства и недостатки различных видов мер защиты
Законодательные и морально-этические меры
Эти меры определяют правила обращения с информацией и ответственность субъектов
информационных отношений за их соблюдение.
Законодательные и морально-этические меры противодействия, являются универсальными в том
смысле, что принципиально применимы для всех каналов проникновения и НСД к АС и информации.
В некоторых случаях они являются единственно применимыми, как, например, при защите открытой
информации от незаконного тиражирования или при защите от злоупотреблений служебным
положением при работе с информацией.
Организационные меры
Очевидно, что в организационных структурах с низким уровнем правопорядка, дисциплины и этики
ставить вопрос о защите информации просто бессмысленно. Прежде всего, надо решить правовые и
организационные вопросы.
Организационные меры играют значительную роль в обеспечении безопасности компьютерных
систем. Организационные меры - это единственное, что остается, когда другие методы и средства
защиты отсутствуют или не могут обеспечить требуемый уровень безопасности. Однако это вовсе не
означает, что систему защиты необходимо строить исключительно на их основе.
Этим мерам присущи серьезные недостатки, такие как:
•
низкая надежность без соответствующей поддержки физическими, техническими и
программными средствами (люди склонны к нарушению любых установленных
дополнительных ограничений и правил, если только их можно нарушить);
•
дополнительные неудобства, связанные с большим объемом рутинной и формальной
деятельности.
Организационные меры необходимы для обеспечения эффективного применения других мер и
средств защиты в части, касающейся регламентации действий людей. В то же время
организационные меры необходимо поддерживать более надежными физическими и техническими
средствами.
Физические и технические средства защиты
Физические и технические средства защиты призваны устранить недостатки организационных мер,
поставить прочные барьеры на пути злоумышленников и в максимальной степени исключить
возможность неумышленных (по ошибке или халатности) нарушений регламента со стороны
персонала и пользователей системы.
Даже при допущении возможности создания абсолютно надежных физических и технических
средств защиты, перекрывающих все каналы, которые необходимо; перекрыть, всегда остается
возможность воздействия на персонал системы, осуществляющий необходимые действия по
обеспечению корректного функционирования этих средств (администратора АС, администратора
безопасности и т.п.). Вместе с самими средствами защиты эти люди образуют так называемое ядро
безопасности. В этом случае, стойкость системы безопасности будет определяться стойкостью
персонала из ядра безопасности системы, и повышать ее можно только за счет организационных
(кадровых) мероприятий, законодательных и морально-этических мер.
Но, даже имея совершенные законы и проводя оптимальную кадровую политику, проблему защиты
все равно решить до конца не удастся.
•
Во-первых, потому, что вряд ли удастся найти персонал, в котором можно было быть
абсолютно уверенным, и в отношении которого невозможно было бы предпринять
действий, вынуждающих его нарушить запреты.
•
Во-вторых, даже абсолютно надежный человек может допустить случайное,
неумышленное нарушение.
Основные принципы построения системы защиты ресурсов АС
Построение системы обеспечения безопасности информации в АС и ее функционирование должны
осуществляться в соответствии со следующими основными принципами:
•
законность;
•
системность;
•
комплексность;
•
непрерывность;
•
своевременность;
•
преемственность и непрерывность совершенствования;
•
разумная достаточность;
•
персональная ответственность;
•
разделение функций;
•
минимизация полномочий;
•
взаимодействие и сотрудничество;
•
гибкость системы защиты;
•
открытость алгоритмов и механизмов защиты;
•
простота применения средств защиты;
•
научная обоснованность и техническая реализуемость;
•
специализация и профессионализм;
•
взаимодействие и координация;
•
обязательность контроля.
Законность
Предполагает осуществление защитных мероприятий и разработку системы безопасности
информации в АС в соответствии с действующим законодательством в области информации,
информатизации и защиты информации, других нормативных актов по безопасности, утвержденных
органами государственной власти в пределах их компетенции, с применением всех дозволенных
методов обнаружения и пресечения правонарушений при работе с информацией.
Системность
Системный подход к защите информации в АС предполагает учет всех взаимосвязанных,
взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно
значимых для понимания и решения проблемы обеспечения информационной безопасности в АС.
Комплексность
Комплексное использование методов и средств защиты компьютерных систем предполагает
согласованное применение разнородных средств при построении целостной системы защиты,
перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых
мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя
защита должна обеспечиваться физическими средствами, организационными, технологическими и
правовыми мерами.
Непрерывность защиты
Защита информации - не разовое мероприятие и не простая совокупность проведенных
мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс,
предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с
самых ранних стадий проектирования, а не только на этапе ее эксплуатации.
Своевременность
Предполагает упреждающий характер мер обеспечения безопасности информации, то есть
постановку задач по комплексной защите АС и реализацию мер обеспечения безопасности
информации на ранних стадиях разработки АС в целом и ее системы защиты информации в
частности.
Преемственность и совершенствование
Предполагают постоянное совершенствование мер и средств защиты информации на основе
преемственности организационных и технических решений, кадрового состава, анализа
функционирования АС и ее системы защиты с учетом изменений в методах и средствах перехвата
информации и воздействия на компоненты АС, нормативных требований по защите, достигнутого
отечественного и зарубежного опыта в этой области.
Разделение функций
Принцип разделения функций требует, чтобы ни один сотрудник организации не имел полномочий,
позволяющих ему единолично осуществлять выполнение критичных операций. Все такие операции
должны быть разделены на части, и их выполнение должно быть поручено различным сотрудникам.
Кроме того, необходимо предпринимать специальные меры по недопущению сговора и
разграничению ответственности между этими сотрудниками.
Разумная
достаточность
(экономическая
целесообразность,
сопоставимость возможного ущерба и затрат)
Предполагает соответствие уровня затрат на обеспечение безопасности информации ценности
информационных ресурсов величине возможного ущерба от их разглашения, утраты, утечки,
уничтожения и искажения. Используемые меры и средства обеспечения безопасности
информационных ресурсов не должны заметно ухудшать эргономические показатели работы АС, в
которой эта информация циркулирует. Излишние меры безопасности, помимо экономической
неэффективности, приводят к утомлению и раздражению персонала.
Персональная ответственность
Предполагает возложение ответственности за обеспечение безопасности информации и системы ее
обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом
распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого
нарушения круг виновников был четко известен или сведен к минимуму.
Минимизация полномочий
Означает предоставление пользователям минимальных прав доступа в соответствии с
производственной необходимостью. Доступ к информации должен предоставляться только в том
случае и объеме, в каком это необходимо сотруднику для выполнения его должностных
обязанностей.
Взаимодействие и сотрудничество
Предполагает создание благоприятной атмосферы в коллективах подразделений. В такой
обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать
содействие в деятельности подразделений обеспечения безопасности информации.
Гибкость системы защиты
Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации,
могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения
возможности варьирования уровнем защищенности, средства защиты должны обладать
определенной гибкостью.
Открытость алгоритмов и механизмов защиты
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна
обеспечиваться только за счет секретности структурной организации и алгоритмов
функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать
возможности ее преодоления (даже авторам). Однако это не означает, что информация о
конкретной системе защиты должна быть общедоступна.
Простота применения средств защиты
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение
средств защиты не должно быть связано со знанием специальных языков или с выполнением
действий, требующих значительных дополнительных трудозатрат при обычной работе
зарегистрированных установленным порядком пользователей, а также не должно требовать от
пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен
и т.д.).
Научная обоснованность и техническая реализуемость
Информационные технологии, технические и программные средства, средства и меры защиты
информации должны быть реализованы на современном уровне развития науки и техники, научно
обоснованы с точки зрения достижения заданного уровня безопасности информации и должны
соответствовать установленным нормам и требованиям по безопасности информации.
Специализация и профессионализм
Предполагает привлечение к разработке средств и реализации мер защиты информации
специализированных организаций, наиболее подготовленных к конкретному виду деятельности по
обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и
государственные лицензии на право оказания услуг в этой области.
Взаимодействие и координация
Предполагают осуществление мер обеспечения безопасности информации на основе
взаимодействия всех заинтересованных министерств и ведомств, предприятий и организаций при
разработке и функционировании АС и ее системы защиты информации, подразделений и
специалистов органов МВД, специализированных предприятий и организаций в области защиты
информации, привлеченных для разработки системы защиты информации в АС, координации их
усилий для достижения целей поставленных ДСТСЗИ СБУ.
Обязательность контроля
Предполагает обязательность и своевременность выявления и пресечения попыток нарушения
установленных правил обеспечения безопасности информации на основе используемых систем и
средств защиты информации при совершенствовании критериев и методов оценки эффективности
этих систем и средств.
Контроль над деятельностью любого пользователя, каждого средства защиты и в отношении любого
объекта защиты должен осуществляться на основе применения средств оперативного контроля и
регистрации и должен охватывать как несанкционированные, так и санкционированные действия
пользователей.
Выводы
В арсенале специалистов по информационной безопасности имеется широкий спектр защитных мер:
законодательных, морально-этических, административных (организационных), физических и
технических (аппаратурных и программных) средств. Все они обладают своими достоинствами и
недостатками, которые необходимо знать и правильно учитывать при создании систем защиты.
Все известные каналы проникновения и утечки информации должны быть перекрыты с учетом
анализа риска, вероятностей реализации угроз безопасности в конкретной прикладной системе и
обоснованного рационального уровня затрат на защиту.
Наилучшие результаты достигаются при системном подходе к вопросам безопасности
компьютерных систем и комплексном использовании определенных совокупностей различных мер
защиты на всех этапах жизненного цикла системы, начиная с самых ранних стадий ее
проектирования.
Информация о работе Основы защиты информации