Політика інформаційної безпеки

   ─ системи виявлення вразливостей мереж і аналізатори мережевих  атак.

   Кожний  з перерахованих засобів може використовуватись як самостійно, так  і в інтеграції з іншими. Це робить можливим створення систем інформаційного захисту для систем будь-якої складності та конфігурації, незалежно від використовуваних платформ.

   «Комплекс 3А» включає аутентифікацію (або  ідентифікацію), авторизацію і адміністрування. Ідентифікація та авторизація - це ключові  елементи інформаційної безпеки. При  спробі доступу до інформаційних  активів функція ідентифікації  дає відповідь на питання: чи ви є  авторизованим користувачем мережі. Функція авторизації відповідає за те, до яких ресурсів конкретний користувач має доступ. Функція адміністрування полягає у наділенні користувача певними ідентифікаційними особливостями в рамках даної мережі і визначенні обсягу допустимих для нього дій.

   Системи шифрування дозволяють мінімізувати втрати у випадку несанкціонованого  доступу до даних, що зберігаються на жорсткому диску або іншому носії, а також перехоплення інформації при її пересилання по електронній  пошті або передачу з мережних протоколах. Завдання даного засобу захисту  ─ забезпечення конфіденційності. Основні вимоги, що пред'являються до систем шифрування - високий рівень криптостійкості та легальність використання на території держави.

   Міжмережевий  екран являє собою систему  або комбінацію систем, що утворить між двома чи більш мережами захисний бар'єр, що оберігає від несанкціонованого  потрапляння в мережу або виходу з неї пакетів даних.

   Основний  принцип дії міжмережевих екранів  ─ перевірка кожного пакету даних  на відповідність вхідної та вихідної IP адреси базі дозволених адрес. Таким  чином, міжмережеві екрани значно розширюють можливості сегментації інформаційних  мереж та контролю за циркулюванням  даних.

   Говорячи  про криптографію і міжмережеві  екрані, слід згадати про захищені віртуальні приватні мережі (Virtual Private Network ─ VPN). Їх використання дозволяє вирішити проблеми конфіденційності і цілісності даних при їх передачі по відкритим  комунікаційних каналам. Використання VPN можна звести до вирішення трьох  основних завдань:

   1. захист інформаційних потоків  між різними офісами компанії (шифрування інформації проводиться  тільки на виході у зовнішню  мережу);

   2. захищений доступ віддалених  користувачів мережі до інформаційних  ресурсів компанії, як правило,  здійснюваний через Internet;

   3. захист інформаційних потоків  між окремими додатками всередині  корпоративних мереж (цей аспект  також дуже важливий, оскільки  більшість атак здійснюється  з внутрішніх мереж).

   Ефективний  засіб захисту від втрати конфіденційної інформації - фільтрація вмісту вхідної  і вихідної електронної пошти. Перевірка  поштових повідомлень на основі правил, встановлених в організації, дозволяє також забезпечити безпеку компанії від відповідальності за судовими позовами і захистити їх співробітників від  спаму.

   Засоби  контентної фільтрації дозволяють перевіряти файли всіх розповсюджених форматів, у тому числі стислі і графічні. При цьому пропускна здатність мережі практично не змінюється.

   Всі зміни на робочій станції або  на сервері можуть бути відслідковані  адміністратором мережі або іншим  авторизованим користувачем завдяки  технології перевірки цілісності вмісту жорсткого диска (integrity checking). Це дозволяє виявляти будь-які дії з файлами (зміна, видалення або ж просто відкриття) і ідентифікувати активність вірусів, несанкціонований доступ або крадіжку даних авторизованими користувачами. Контроль здійснюється на основі аналізу контрольних сум файлів (CRC сум).

   Сучасні антивірусні технології дозволяють виявити практично всі вже  відомі вірусні програми через порівняння коду підозрілого файлу із зразками, що зберігаються в антивіруснії базі. Крім того, розроблені технології моделювання  поведінки, що дозволяють виявляти новостворювані вірусні програми. Виявлені об'єкти можуть піддаватися лікуванню, ізолюватися (міститися в карантин) або видалятися. Захист від вірусів може бути встановлено  на робочі станції, файлові і поштові  сервера, міжмережеві екрани, що працюють під практично будь-якою з поширених  операційних систем (Windows, Unix-і Linux-системи, Novell) на процесорах різних типів.

   Фільтри спаму значно зменшують невиробничі  затрати праці, пов'язані з розглядом  спаму, знижують трафік і завантаження серверів, покращують психологічний  фон в колективі і зменшують  ризик залучення співробітників компанії в шахрайські операції. Крім того, фільтри спаму зменшують  ризик зараження новими вірусами, оскільки повідомлення, що містять  віруси (навіть ще не включені до бази антивірусних програм) часто мають ознаки спаму і фільтруються.

   Для протидії природним загрозам інформаційної  безпеки в компанії має бути розроблений  і реалізований набір процедур щодо запобігання надзвичайних ситуацій (наприклад, щодо забезпечення фізичного  захисту даних від пожежі) та мінімізації  збитків у тому випадку, якщо така ситуація все-таки виникне. Один з основних методів захисту від втрати даних - резервне копіювання з чітким дотриманням  встановлених процедур (регулярність, типи носіїв, методи зберігання копій  і т.д

   1.3 Основні принципи забезпечення інформаційної безпеки підприємства  

   Основними принципами інформаційної безпеки є:

   ─ забезпечення цілісності і збереження даних, тобто надійне їх зберігання в неспотвореному вигляді;

   ─ дотримання конфіденційності інформації (її недоступність для тих користувачів, які не мають відповідних прав);

   ─ доступність інформації для всіх авторизованих користувачів за умови контролю за всіма процесами використання ними отриманої інформації;

   ─ безперешкодний доступ до інформації в будь-який момент, коли вона може знадобитися підприємству.

   Ці  принципи неможливо реалізувати  без особливої інтегрованої системи  інформаційної безпеки, що виконує  наступні функції:

   ─ вироблення політики інформаційної  безпеки;

   ─ аналіз ризиків (тобто ситуацій, в  яких може бути порушена нормальна  робота інформаційної системи, а  також втрачені або розсекречені дані);

   ─ планування заходів щодо забезпечення інформаційної безпеки;

   ─ планування дій в надзвичайних ситуаціях;

   ─ вибір технічних засобів забезпечення інформаційної безпеки.

   Отже, етапи проведення робіт із забезпечення інформаційної безпеки підприємства виглядають таким чином:

   1. Проведення обстеження підприємства  на предмет виявлення реальних  загроз несанкціонованого доступу  до конфіденційної інформації;

   2. Розробка політики безпеки, організаційно-розпорядчих  документів і заходів щодо  забезпечення інформаційної безпеки  системи відповідно до вимог  по захищеності технічних і  програмних засобів від витоку  конфіденційної інформації;

   3. Проектування системи інформаційної  безпеки;

   4. Створення прототипу системи  інформаційної безпеки; 

   5. Розробка зразка системи інформаційної  безпеки; 

   6. Впровадження системи інформаційної  безпеки в діючу структуру  підприємства;

   7. Навчання персоналу;

   8. Атестація системи інформаційної  безпеки підприємства.

   Метою комплексної інформаційної безпеки  є збереження інформаційної системи  підприємства, захист і гарантування повноти і точності виданої нею  інформації, мінімізація руйнувань  і модифікація інформації, якщо такі трапляються. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

   2 Політика  інформаційної безпеки  

   Інформаційні  технології  все більш наполегливо  проникають в усі сфери людської діяльності, вірніше, людство все  більш сміливо інтегрується з  інформаційними технологіями. Тому, особливо актуальною є проблема забезпечення інформаційної безпеки (ІБ).

Проте сама по собі інформаційна безпека  є достатньо абстрактним поняттям. Має бути деякий додаток ІБ, тобто  необхідні систематизація і правила, що дозволяють зробити технології ІБ застосовними до реального середовища, де і повинна бути забезпечена  безпека інформаційного простору. Тому й виникає поняття політики інформаційної  безпеки.  

   2.1 Визначення  та основні поняття політики  безпеки    зззз ссстттаааттттііі 

   При розгляді питань безпеки інформації в компютерних системах (КС) завжди говорять про наявність деяких бажаних станів системи. Ці бажані стани описують захищеність системи. Поняття захищеності принципово не відрізняється від інших властивостей технічної системи, наприклад надійної роботи.

   Особливістю поняття захищеність є його тісний зв'язок з поняттям загроза (те, що може бути причиною виведення системи із захищеного стану).

   Отже, виділяються три компоненти, що пов'язані з порушенням безпеки системи:

   ─ загроза ─ зовнішнє, відносно системи, джерело порушення властивості захищеність;

   ─ об'єкт атаки ─ частина системи, на яку діє загроза;

   ─ канал дії ─ середовище перенесення зловмисної дії.

   Інтегральною  характеристикою, яка об'єднує всі  ці компоненти, є політика безпеки (ПБ) ─ якісний (або якісно-кількісний) вираз властивостей захищеності  в термінах, що представляють систему. Опис ПБ повинен включати або враховувати властивості загрози, об'єкта атаки та каналу дії.

   За  означенням, під ПБ інформації розуміється  набір законів, правил,  обмежень, рекомендацій тощо, які регламентують  порядок обробки інформації і  спрямовані на захист інформації від  певних загроз.

   Термін  політика безпеки може бути застосований до організації, КС, операційної системи (ОС), послуги, що реалізується системою (набору функцій) для забезпечення захисту від певних загроз, і т. ін. Чим дрібніший об'єкт, щодо якого вживається цей термін, тим конкретніші й формальніші стають правила.

   ПБ  інформації в КС є частиною загальної  ПБ організації і може успадковувати, зокрема, положення державної політики у сфері захисту інформації. Для  кожної системи ПБ інформації може бути індивідуальною і залежати від  конкретної технології обробки інформації, що реалізується, особливостей ОС, фізичного  середовища та багатьох інших чинників.

   Частина ПБ, яка регламентує правила доступу користувачів і процесів

до ресурсів комп'ютерної системи (КС), становить правила розмежування доступу.

   Розробка  і підтримка ПБ майже завжди означає  досягнення компромісу між альтернативами, які обирають власники цінної інформації для її захисту. Отже, будучи результатом компромісу, ПБ ніколи не задовольнить усі сторони, що беруть участь у захисті інформації.

   Водночас, вибір ПБ ─ це остаточне рішення: що добре й що погано в поводженні з цінною інформацією. Після прийняття такого рішення можна будувати захист, тобто систему підтримки виконання правил ПБ. Тоді цілком природним критерієм якості системи захисту інформації (СЗІ) стає такий: «побудована СЗІ вдала, якщо вона надійно підтримує виконання правил ПБ, і, навпаки, СЗІ невдала, якщо вона ненадійно підтримує ПБ».

   Такий розв'язок проблеми  захищеності  інформації і проблеми побудови СЗІ  дає змогу залучити до теорії захисту  точні математичні методи , тобто  доводити, що певна СЗІ в  заданих  умовах підтримує ПБ. Саме в цьому полягає суть доказового підходу щодо захисту інформації, який дозволяє говорити про гарантовано захищену систему.