Небеса превыше всего; там восседает Судия, которого никто не сможет подкупить. © Уильям Шекспир 1157 - | 918 - или читать все...
Обратная связь Пожаловаться на материал

Методы и средства построения систем


⇐ ПредыдущаяСтр 3 из 3

Информационной безопасности . Их структура

Создание систем информационной безопасности (СИБ) в ИС и ИТ основывается на следующих принципах:

Системный подход к построению системы защиты, означаю­щий оптимальное сочетание взаимосвязанных организационных, программных, аппаратных, физических и других свойств, подтвер­жденных практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обра­ботки информации.

Принцип непрерывного развития системы. Этот принцип, яв­ляющийся одним из основополагающих для компьютерных инфор­мационных систем, еще более актуален для СИБ. Способы реализа­ции угроз информации в ИТ непрерывно совершенствуются, а пото­му обеспечение безопасности ИС не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реали­зации наиболее рациональных методов, способов и путей совершен­ствования СИБ, непрерывном контроле, выявлении ее узких и слабых мест, потенциальных каналов утечки информации и новых способов несанкционированного доступа.

Разделение и минимизация полномочий по доступу к обрабаты­ваемой информации и процедурам обработки, т. е. предоставление как пользователям, так и самим работникам ИС минимума строго определенных полномочий, достаточных для выполнения ими своих служебных обязанностей.

Полнота контроля и регистрации попыток несанкционирован­ного доступа, т. е. необходимость точного установления идентично­сти каждого пользователя и протоколирования его действий для про­ведения возможного расследования, а также невозможность совер­шения любой операции обработки информации в ИТ без ее предва­рительной регистрации.

Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамерен­ных ошибок пользователей и обслуживающего персонала.

Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности меха­низмов защиты.

Обеспечение всевозможных средств борьбы с вредоносными про­граммами.

Обеспечение экономической целесообразности использования сис­темы защиты, что выражается в превышении возможного ущерба ИС и ИТ от реализации угроз над стоимостью разработки и эксплуа­тации СИ Б.

В результате решения проблем безопасности информации современ­ные ИС и ИТ должны обладать следующими основными признаками:

• наличием информации различной степени конфиденциальности;

• обеспечением криптографической защиты информации раз­
личной степени конфиденциальности при передаче данных;

• иерархичностью полномочий субъектов доступа к программам к
компонентам ИС и ИТ (к файлам-серверам, каналам связи и т.п.);

• обязательным управлением потоками информации как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;

• наличием механизма регистрации и учета попыток несанкционированного доступа, событий в ИС и документов, выводимых на печать;

• обязательным обеспечением целостности программного обеспечения и информации в ИТ;

• наличием средств восстановления системы защиты информации;

• обязательным учетом магнитных носителей;

• наличием физической охраны средств вычислительной техники и магнитных носителей;

• наличием специальной службы информационной безопасности
системы.

При рассмотрении структуры СИБ возможен традиционный подход — выделение обеспечивающих подсистем.

Система информационной безопасности, как и любая ИС, долж­на иметь определенные виды собственного программного обеспече­ния, опираясь на которые она будет способна выполнить свою целе­вую функцию.

1. Правовое обеспечение — совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации.

2. Организационное обеспечение. Имеется в виду, что реализация информационной безопасности осуществляется определенными структурными единицами, такими, например, как служба безопасности фирмы и ее составные структуры: режим, охрана и др.

3. Информационное обеспечение, включающее в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование СИБ. Сюда могут входить как показатели доступа, учета, хранения, так и информационное обеспечение расчетных задач различного характера, связанных с деятельностью службы безопасности.

4. Техническое (аппаратное) обеспечение. Предполагается широкое использование технических средств как для защиты информации, так и для обеспечения деятельности СИБ.

5. Программное обеспечение. Имеются в виду различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и способов несанкционированного доступа к информации.

6. Математическое обеспечение. Это — математические методы, используемые для различных расчетов, связанных с оценкой опасности технических средств, которыми располагают злоумышленники, зон и норм необходимой защиты.

7. Лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере обеспечения информационной безопасности.

8. Нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации; различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований соблюдения конфиденциальности.

Нормативно-методическое обеспечение может быть слито с пра­вовым.

Следует отметить, что из всех мер защиты в настоящее время ве­дущую роль играют организационные мероприятия. Поэтому возникает вопрос об организации службы безопасности.

Реализация политики безопасности требует настройки средств защиты, управления системой защиты и осуществления контроля функционирования ИС.

Как правило, задачи управления и контроля решаются админист­ративной группой, состав и размер которой зависят от конкретных условий. Очень часто в эту группу входят администратор безопасно­сти, менеджер безопасности и операторы.

Обеспечение и контроль безопасности представляют собой комби­нацию технических и административных мер. По данным зарубежных источников, у сотрудников административной группы обычно 1/3 вре­мени занимает техническая работа и около 2/3 — административная (разработка документов, связанных с защитой ИС, процедур проверки системы защиты и т.д.). Разумное сочетание этих мер способствует уменьшению вероятности нарушений политики безопасности.

Административную группу иногда называют группой информа­ционной безопасности. Эта группа может быть организационно cлиnа с подразделением, обеспечивающим внутримашинное информа­ционное обеспечение, т.е. с администратором БнД. Но чаще она обособлена от всех отделов или групп, занимающихся управлением самой ИС, программированием и другими относящимися к системе задачами, во избежание возможного столкновения интересов.

В обязанности входящих в эту группу сотрудников должно быть включено не только исполнение директив вышестоящего руково­дства, но и участие в выработке решений по всем вопросам, связан­ным с процессом обработки информации с точки зрения обеспече­ния его защиты. Все их распоряжения, касающиеся этой области, обязательны к исполнению сотрудниками всех уровней и организа­ционных звеньев ИС и ИТ.

Нормативы и стандарты по защите информации накладывают требования на построение ряда компонентов, которые традиционно входят в обеспечивающие подсистемы самих информационных сис­тем, т.е. можно говорить о наличии тенденции к слиянию обеспечи­вающих подсистем ИС и СИБ.

Примером может служить использование операционных систем — основы системного ПО ИС. В разных странах выполнено множество исследований на анализу и классификации изъянов защиты ИС. Вы­явлено, что основные недостатки защиты ИС сосредоточены в опе­рационных системах (ОС). Использование защищенных ОС является одним из важнейших условий построения современных ИС.

Составлены сводные таблицы характеристик и параметров опера­ционных систем, прошедших оценку в соответствии с требованиями министерства обороны США и Оранжевой книги. Особенно важны требования к ОС, ориентированным на работу с локальными и гло­бальными сетями. Развитие INTERNET оказало особенно сильное влия­ние на разработку защищенных ОС. Развитие сетевых технологий привело к появлению большого числа сетевых компонентов (СК). Системы, прошедшие сертификацию без учета требований к сетевому программному обеспечению, в настоящее время часто используются в сетевом окружении и даже подключаются к INTERNET. Это приводит к появлению изъянов, не обнаруженных при сертификации защищен­ных вычислительных систем, что требует непрерывной доработки ОС.

Наиболее защищенными считались ОС на базе UNIX, но и они потребовали существенной переработки в части защиты.

Зарегистрированы многочисленные атаки на популярную опера­ционную систему WINDOWS NT через ее сетевые компоненты, что привело к необходимости непрерывной доработки и этой наиболее распространенной в настоящее время ОС.

Потребовали совершенствования и существующие стандарты и нормы, касающиеся защиты информации. Например, в добавление к Оранжевой книге появились специальные требования министерства обороны США для сетевых компонентов.

В самой большой сети мира INTERNET атаки на компьютерные сис­темы прокатываются, как цунами, не зная ни государственных гра­ниц, ни расовых или социальных различий. Идет постоянная борьба интеллекта, а также организованности системных администраторов и изобретательности хакеров.

Разработанная корпорацией MICROSOFT операционная система WINDOWS NT в качестве основы ИС получает все большее распро­странение. И конечно, хакеры всего мира обратили на нее присталь­ное внимание.

По мере появления сообщений об уязвимых местах в WINDOWS NT корпорация MICROSOFT быстро создает сначала заплаты, а затем пакеты обновления, помогающие защитить операцион­ную систему. В результате WINDOWS NT постоянно меняется в лучшую сторону. В частности, в ней появляется все больше возможностей для построения сети, действительно защищенной от несанкционированного доступа к информации.

Методы и средства обеспечения безопасности информации в ИС схематически представлены на рис. 6.1.

 

Препятствие — метод физического преграждения пути зло­умышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом — методы защиты информации регули­рованием использования всех ресурсов ИС и ИТ. Эти методы долж­ны противостоять всем возможным путям несанкционированного доступа к информации. Управление доступом включает следующие функции защиты:

• идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

• проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

• разрешение и создание условий работы в пределах установленного регламента;

• регистрацию (протоколирование) обращений к защищаемым ресурсам;

• реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.

Механизмы шифрования — криптографическое закрытие ин­формации. Эти методы защиты все шире применяются как при об­работке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженно­сти этот метод является единственно надежным.

Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и исполь­зование антивирусных программ. Цели принимаемых мер — это уменьшение вероятности инфицирования АИС, выявление фактов заражения системы; уменьшение последствий информационных ин­фекций, локализация или уничтожение вирусов; восстановление ин­формации в ИС.

Регламентация — создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при кото­рых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение — метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение — метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюде­ния сложившихся моральных и этических норм.

Вся совокупность технических средств подразделяется на аппа­ратные и физические.

Аппаратные средства — устройства, встраиваемые непосредст­венно в вычислительную технику, или устройства, которые сопряга­ются с ней по стандартному интерфейсу.

Физические средства включают различные инженерные уст­ройства и сооружения, препятствующие физическому проникнове­нию злоумышленников на объекты защиты и осуществляющие за­щиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.

Программные средства — это специальные программы и про­граммные комплексы, предназначенные для защиты информации в ИС. Как отмечалось, многие из них слиты с ПО самой ИС.

Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография — это наука об обеспечении секретности и/или ау­тентичности (подлинности) передаваемых сообщений.

Организационные средства осуществляют регламентацию произ­водственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий. Комплекс этих мер реа­лизуется группой информационной безопасности, но должен нахо­диться под контролем первого руководителя.

Законодательные средства защиты определяются законодатель­ными актами страны, которыми регламентируются правила пользова­ния, обработки и передачи информации ограниченного доступа и ус­танавливаются меры ответственности за нарушение этих правил.

Морально-этические средства зашиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складыва­ются по мере распространения ИС и ИТ в стране и в мире или спе­циально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являют­ся законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обяза­тельными для исполнения. Характерным примером таких предписа­ний является Кодекс профессионального поведения членов Ассоциа­ции пользователей ЭВМ США.

Дата добавления: 2022-01-22; просмотров: 14; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая123


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.032)