• Главная
  • Общество
  • Индивидуальная защита
  • Спецодежда
  • Автомобилистам
  • Финансы
  • Новости

    • Забезпечення інформаційної безпеки

    1. Засоби забезпечення інформаційної безпеки
    2. Процедури забезпечення інформаційної безпеки
    3. Політика інформаційної безпеки
    4. Організаційною рівень інформаційної безпеки
    5. Методи забезпечення інформаційної безпеки
    6. Висновки

    Автор: Андрій Нестеров ✔ 26.01.2018

    Нестеров А.К. Забезпечення інформаційної безпеки // Енциклопедія Нестеровим

    Одночасно з розвитком інформаційних технологій і підвищенням значущості інформаційних ресурсів для організацій, зростає і кількість загроз їх інформаційної безпеки, а також можливу шкоду від її порушень. Виникає об'єктивна необхідність забезпечення інформаційної безпеки підприємства. У зв'язку з цим, прогрес можливий тільки в умовах цілеспрямованого попередження загроз інформаційній безпеці.

    Засоби забезпечення інформаційної безпеки

    Засоби забезпечення інформаційної безпеки

    Забезпечення інформаційної безпеки здійснюється за допомогою двох типів засобів:

    • програмно-апаратні засоби
    • захищені комунікаційні канали

    Програмно-апаратні засоби забезпечення інформаційної безпеки в сучасних умовах розвитку інформаційних технологій найбільш поширені в роботі вітчизняних та зарубіжних організацій. Детально розглянемо основні програмно-апаратні засоби захисту інформації.

    Програмно-апаратні засоби захисту від несанкціонованого доступу включають в себе заходи ідентифікації, аутентифікації і управління доступом в інформаційну систему.

    Ідентифікація - присвоєння суб'єктам доступу унікальних ідентифікаторів.

    Сюди відносять радіочастотні мітки, біометричні технології, магнітні карти, універсальні магнітні ключі, логіни для входу в систему і т.п.

    Аутентифікація - перевірка приналежності суб'єкта доступу пред'явленим ідентифікатором і підтвердження його автентичності.

    До процедур аутентифікації відносяться паролі, pin-коди, смарт-карти, usb-ключі, цифрові підписи, сеансові ключі і т.п. Процедурна частина коштів ідентифікації і аутентифікації взаємопов'язана і, фактично, являє базову основу всіх програмно-апаратних засобів забезпечення інформаційної безпеки, так як всі інші служби розраховані на обслуговування конкретних суб'єктів, коректно розпізнаних інформаційною системою. У загальному вигляді ідентифікація дозволяє суб'єкту позначити себе для інформаційної системи, а за допомогою аутентифікації інформаційна система підтверджує, що суб'єкт дійсно той, за кого він видає. На основі проходження даної операції проводиться операція з надання доступу в інформаційну систему. Процедури управління доступом дозволяють авторизуватися суб'єктам виконувати дозволені регламентом дії, а інформаційній системі контролювати ці дії на коректність і правильність отриманого результату. Розмежування доступу дозволяє системі закривати від користувачів дані, до яких вони не мають допуску.

    Наступним засобом програмно-апаратного захисту виступає протоколювання і аудит інформації.

    Протоколювання включає в себе збір, накопичення і збереження інформації про події, діях, результатах, що мали місце під час роботи інформаційної системи, окремих користувачів, процесів і всіх програмно-апаратних засобів, що входять до складу інформаційної системи підприємства.

    Оскільки у кожного компонента інформаційної системи існує заздалегідь заданий набір можливих подій відповідно до запрограмованими класифікаторами, то події, дії і результати поділяються на:

    • зовнішні, викликані діями інших компонентів,
    • внутрішні, викликані діями самого компонента,
    • клієнтські, викликані діями користувачів і адміністраторів.

    Аудит інформації полягає у проведенні оперативного аналізу в реальному часі або в заданий період.

    За результатами аналізу або формується звіт про які мали місце події, або ініціюється автоматична реакція на позаштатну ситуацію.

    Реалізація протоколювання і аудиту вирішує наступні завдання:

    • забезпечення підзвітності користувачів і адміністраторів;
    • забезпечення можливості реконструкції послідовності подій;
    • виявлення спроб порушень інформаційної безпеки;
    • надання інформації для виявлення і аналізу проблем.

    Найчастіше захист інформації неможлива без застосування криптографічних засобів. Вони використовуються для забезпечення роботи сервісів шифрування, контролю цілісності і аутентифікації, коли кошти аутентифікації зберігаються у користувача в зашифрованому вигляді. Існує два основні методи шифрування: симетричний і асиметричний.

    Симетричний метод шифрування

    Асиметричний метод шифрування

    Контроль цілісності дозволяє встановити справжність і ідентичність об'єкта, в якості якого виступає масив даних, окремі порції даних, джерело даних, а також забезпечити неможливість відзначити вчинене в системі дію з масивом інформації. Основу реалізації контролю цілісності складають технології перетворення даних з використанням шифрування і цифрові сертифікати.

    Іншим важливим аспектом є використання екранування, технології, яка дозволяє, розмежовуючи доступ суб'єктів до інформаційних ресурсів, контролювати всі інформаційні потоки між інформаційною системою підприємства і зовнішніми об'єктами, масивами даних, суб'єктами і контрсуб'екта. Контроль потоків полягає в їх фільтрації і, в разі необхідності, перетворення інформації, що передається.

    Завдання екранування - захист внутрішньої інформації від потенційно ворожих зовнішніх чинників і суб'єктів. Основною формою реалізації екранування виступають міжмережеві екрани або файрволли, різних типів і архітектури.

    Оскільки одним з ознак інформаційної безпеки є доступність інформаційних ресурсів, то забезпечення високого рівня доступності є важливим напрямок в реалізації програмно-апаратних заходів. Зокрема, розділяється два напрямки: забезпечення відмовостійкості, тобто нейтралізації відмов системи, здатність працювати при виникненні помилок, і забезпечення безпечного і швидкого відновлення після відмов, тобто обслужіваемость системи.

    Основна вимога до інформаційних систем полягає в тому, щоб вони працювали завжди із заданою ефективністю, мінімальним часом недоступності і швидкістю реагування.

    Відповідно до цього, доступність інформаційних ресурсів забезпечується за рахунок:

    • застосування структурної архітектури, яка означає, що окремі модулі можуть бути при необхідності відключені або швидко замінені без шкоди іншим елементам інформаційної системи;
    • забезпечення відмовостійкості за рахунок: використання автономних елементів підтримуючої інфраструктури, внесення надмірних потужностей в конфігурацію програмно-апаратних засобів, резервування апаратних засобів, тиражування інформаційних ресурсів усередині системи, резервного копіювання даних і т.п.
    • забезпечення обслужіваемості за рахунок зниження термінів діагностування та усунення відмов і їх наслідків.

    Іншим типом засобів забезпечення інформаційної безпеки виступають захищені комунікаційні канали.

    Функціонування інформаційних систем неминуче пов'язане з передачею даних, тому для підприємств необхідно також забезпечити захист переданих інформаційних ресурсів, використовуючи захищені комунікаційні канали. Можливість несанкціонованого доступу до даних при передачі трафіку по відкритих каналах комунікації зумовлена ​​їх загальнодоступністю. Оскільки "комунікації, протягом всього шляху фізично захистити неможливо, тому краще спочатку виходити з припущення про їх уразливості і відповідно забезпечувати захист" [1]. Для цього використовуються технології тунелювання, суть якого полягає в тому, щоб инкапсулировать дані, тобто упакувати або обернути передані пакети даних, включаючи всі службові атрибути, у власні конверти. Відповідно, тунель є захищеним з'єднанням через відкриті канали комунікацій, по якому передаються криптографически захищені пакети даних. Туннелирование застосовується для забезпечення конфіденційності трафіку за рахунок приховування службової інформації та забезпечення конфіденційності і цілісності переданих даних при використанні разом з криптографічними елементами інформаційної системи. Комбінування тунелювання і шифрування дозволяє реалізувати віртуальну приватну мережу. При цьому кінцевими точками тунелів, що реалізують віртуальні приватні мережі, виступають міжмережеві екрани, які обслуговують підключення організацій до зовнішніх мереж.

    При цьому кінцевими точками тунелів, що реалізують віртуальні приватні мережі, виступають міжмережеві екрани, які обслуговують підключення організацій до зовнішніх мереж

    Міжмережеві екрани як точки реалізації сервісу віртуальних приватних мереж [1]

    Таким чином, туннелирование і шифрування виступають додатковими перетвореннями, виконуваними в процесі фільтрації мережевого трафіку поряд з трансляцією адрес. Кінцями тунелів, крім корпоративних міжмережевих екранів, можуть бути персональні і мобільні комп'ютери співробітників, точніше, їх персональні міжмережеві екрани і файрволли. Завдяки такому підходу забезпечується функціонування захищених комунікаційних каналів.

    До змісту

    Процедури забезпечення інформаційної безпеки

    Процедури забезпечення інформаційної безпеки прийнято розмежовувати на адміністративний та організаційний рівень.

    • До адміністративних процедур відносяться дії загального характеру, що починаються керівництвом організації, для регламентації всіх робіт, дій, операцій в галузі забезпечення і підтримки інформаційної безпеки, що реалізуються за рахунок виділення необхідних ресурсів і контролю результативності вжитих заходів.
    • Організаційний рівень являє собою процедури по забезпеченню інформаційної безпеки, включаючи управління персоналом, фізичний захист, підтримку працездатності програмно-апаратної інфраструктури, оперативне усунення порушень режиму безпеки і планування відновлювальних робіт.

    З іншого боку, розмежування адміністративних та організаційних процедур безглуздо, оскільки процедури одного рівня не можуть існувати окремо від іншого рівня, порушуючи тим самим взаємозв'язок захисту фізичного рівня, персональної і організаційної захисту в концепції інформаційної безпеки. На практиці, забезпечуючи інформаційну безпеку організації, які не нехтують адміністративними або організаційними процедурами, тому логічніше розглядати їх як комплексний підхід, оскільки обидва рівня зачіпають фізичний, організаційний і персональний рівні захисту інформації.

    Основою комплексних процедур забезпечення інформаційної безпеки виступає політика безпеки.

    До змісту

    Політика інформаційної безпеки

    Політика інформаційної безпеки

    в організації - це сукупність документованих рішень, прийнятих керівництвом організації і спрямованих на захист інформації та асоційованих з нею ресурсів.

    В організаційно-управлінському плані політика інформаційної безпеки може бути єдиним документом або оформлена у вигляді декількох самостійних документів або наказів, але в будь-якому випадку повинна охоплювати наступні аспекти захисту інформаційної системи організації:

    • захист об'єктів інформаційної системи, інформаційних ресурсів і прямих операцій з ними;
    • захист всіх операцій, пов'язаних з обробкою інформації в системі, включаючи програмні засоби обробки;
    • захист комунікаційних каналів, включаючи провідні, радіоканали, інфрачервоні, апаратні і т.д .;
    • захист апаратного комплексу від побічних електромагнітних випромінювань;
    • управління системою захисту, включаючи обслуговування, модернізацію і адміністративні дії.

    Кожен з аспектів повинен бути детально описаний і документально закріплений у внутрішніх документах організації. Внутрішні документи охоплюють три рівні процесу захисту: верхній, середній і нижній.

    Документи верхнього рівня політики інформаційної безпеки відображають основний підхід організації до захисту власної інформації та відповідність державним та / або міжнародним стандартам. На практиці в організації існує тільки один документ верхнього рівня, Озаглавлювати "Концепція інформаційної безпеки", "Регламент інформаційної безпеки" і т.п. Формально дані документи не уявляють конфіденційної цінності, їх поширення не обмежується, але можуть випускати в редакції для внутрішнього використання і відкритої публікації.

    Документи середнього рівня є суворо конфіденційними і стосуються конкретних аспектів інформаційної безпеки організації: використовуваних засобів захисту інформації, безпеки баз даних, комунікацій, криптографічних засобів та інших інформаційних і економічних процесів організації. Документальне оформлення реалізується у вигляді внутрішніх технічних та організаційних стандартів.

    Документи нижнього рівня розділені на два типи: регламенти робіт та інструкції по експлуатації. Регламенти робіт є суворо конфіденційними і призначені тільки осіб, за службовим обов'язком здійснюють роботу з адміністрування окремих сервісів інформаційної безпеки. Інструкції з експлуатації можуть бути, як конфіденційними, так і публічними; вони призначені для персоналу організації і описують порядок роботи з окремими елементами інформаційної системи організації.

    Світовий досвід свідчить, що політика інформаційної безпеки завжди документально оформляється тільки у великих компаніях, що мають розвинену інформаційну систему, що пред'являють підвищені вимоги до інформаційної безпеки, середні підприємства найчастіше мають лише частково документально оформлену політику інформаційної безпеки, малі організації в переважній більшості взагалі не дбають про комісій із соціального страхування політики безпеки. Незалежно від формату документального оформлення цілісний або розподілений, базовим аспектом виступає режим безпеки.

    Існує два різних підходи, які закладаються в основу політики інформаційної безпеки:

    1. "Дозволено все, що не заборонено".
    2. "Заборонено все, що не дозволено".

    Фундаментальним дефектом першого підходу полягає в тому, що на практиці передбачити всі небезпечні випадки і заборонити їх неможливо. Поза всякими сумнівами, слід застосовувати тільки другий підхід.

    До змісту

    Організаційною рівень інформаційної безпеки

    З точки зору захисту інформації, організаційні процедури забезпечення інформаційної безпеки представляються як "регламентація виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі, що виключає або суттєво ускладнює неправомірне заволодіння конфіденційною інформацією і прояв внутрішніх і зовнішніх загроз" [2].

    Заходи з управління персоналом, спрямовані на організацію роботи з кадрами в цілях забезпечення інформаційної безпеки, включають поділ обов'язків і мінімізацію привілеїв. Розподіл обов'язків наказує такий розподіл компетенцій та зон відповідальності, при якому одна людина не в змозі порушити критично важливий для організації процес. Це знижує ймовірність помилок і зловживань. Мінімізація привілеїв наказує наділення користувачів тільки тим рівнем доступу, який відповідає необхідності виконання ними службових обов'язків. Це зменшує шкоду від випадкових або навмисних некоректних дій.

    Фізичний захист означає розробку і прийняття заходів для прямого захисту будівель, в яких розміщуються інформаційні ресурси організації, прилеглих територій, елементів інфраструктури, обчислювальної техніки, носіїв даних і апаратних каналів комунікацій. Сюди відносять фізичне управління доступом, протипожежні заходи, захист підтримуючої інфраструктури, захист від перехоплення даних і захист мобільних систем.

    Підтримка працездатності програмно-апаратної інфраструктури полягає в попередженні стохастичних помилок, які загрожують пошкодженням апаратного комплексу, порушенням роботи програм і втратою даних. Основні напрямки в цьому аспекті полягають в забезпеченні підтримки користувачів і програмного забезпечення, конфігураційного управління, резервного копіювання, управління носіями інформації, документування та профілактичні роботи.

    Оперативне усунення порушень режиму безпеки переслідує три головні цілі:

    1. Локалізація інциденту і зменшення наноситься шкоди;
    2. Виявлення порушника;
    3. Попередження повторних порушень.

    Нарешті, планування відновлювальних робіт дозволяє підготуватися до аварій, зменшити шкоду від них і зберегти здатність до функціонування хоча б у мінімальному обсязі.

    Використання програмно-апаратних засобів і захищених комунікаційних каналів має бути реалізовано в організації на основі комплексного підходу до розробки і затвердження всіх адміністративно-організаційних регламентних процедур забезпечення інформаційної безпеки. В іншому випадку, прийняття окремих заходів не гарантує захисту інформації, а найчастіше, навпаки, провокує витоку конфіденційної інформації, втрати критично важливих даних, пошкодження апаратної інфраструктури та порушення роботи програмних компонентів інформаційної системи організації.

    до змісту

    Методи забезпечення інформаційної безпеки

    Для сучасних підприємств характерна розподілена інформаційна система, яка дозволяє враховувати в роботі розподілені офіси та склади компанії, фінансовий облік і управлінський контроль, інформацію з клієнтської бази, з урахуванням вибірки за показниками і так далі. Таким чином, масив даних досить значний, причому в переважній більшості це інформація, що має пріоритетне значення для компанії в комерційному і економічному плані. Фактично, забезпечення конфіденційності даних, що мають комерційну цінність, становить одну з основних завдань забезпечення інформаційної безпеки в компанії.

    Забезпечення інформаційної безпеки на підприємстві повинно бути регламентовано наступними документами:

    1. Регламент забезпечення інформаційної безпеки. Включає формулювання цілей і завдань забезпечення інформаційної безпеки, перелік внутрішніх регламентів по засобах захисту інформації та положення про адміністрування розподіленої інформаційної системи компанії. Доступ до регламенту обмежений керівництвом організації та керівником відділу автоматизації.
    2. Регламенти технічного забезпечення захисту інформації. Документи є конфіденційними, доступ обмежений співробітниками відділу автоматизації і вищим керівництвом.
    3. Регламент адміністрування розподіленої системи захисту інформації. Доступ до регламенту обмежений співробітниками відділу автоматизації, що відповідають за адміністрування інформаційної системи, і вищим керівництвом.

    При цьому даними документами не слід обмежуватися, а опрацювати також нижні рівні. В іншому випадку, якщо у підприємства інших документів, що стосуються забезпечення інформаційної безпеки, не буде, то це буде свідчити про недостатній мірі адміністративного забезпечення захисту інформації, оскільки відсутні документи нижнього рівня, зокрема інструкції з експлуатації окремих елементів інформаційної системи.

    Обов'язкові організаційні процедури включають в себе:

    • основні заходи щодо диференціації персоналу за рівнем доступу до інформаційних ресурсів,
    • фізичний захист офісів компанії від прямого проникнення і загроз знищення, втрати або перехоплення даних,
    • підтримання працездатності програмно-апаратної інфраструктури організовано у вигляді автоматизованого резервного копіювання, віддаленої перевірки носіїв інформації, підтримка користувачів і програмного забезпечення здійснюється за запитом.

    Сюди також слід віднести регламентовані заходи з реагування та усунення випадків порушень інформаційної безпеки.

    На практиці часто спостерігається, що підприємства недостатньо уважно ставляться до цього питання. Всі дії в даному напрямку здійснюються виключно в робочому порядку, що збільшує час усунення випадків порушень і не гарантує попередження повторних порушень інформаційної безпеки. Крім того, повністю відсутня практика планування дій по усуненню наслідків після аварій, витоків інформації, втрати даних і критичних ситуацій. Все це істотно погіршує інформаційну безпеку підприємства.

    На рівні програмно-апаратних засобів повинна бути реалізована трирівнева система забезпечення інформаційної безпеки.

    Трирівнева система забезпечення інформаційної безпеки

    Мінімальні критерії забезпечення інформаційної безпеки:

    1. Модуль управління доступом:

    • реалізований закритий вхід в інформаційну систему, неможливо зайти в систему поза верифікованих робочих місць;
    • для співробітників реалізований доступ з обмеженим функціоналом з мобільних персональних комп'ютерів;
    • авторизація здійснюється за який формується адміністраторами логінів і паролів.

    2. Модуль шифрування і контролю цілісності:

    • використовується асиметричний метод шифрування даних, що передаються;
    • масиви критично важливих даних зберігаються в базах даних в зашифрованому вигляді, що не дозволяє отримати до них доступ навіть за умови злому інформаційної системи компанії;
    • контроль цілісності забезпечується простий цифровим підписом всіх інформаційних ресурсів, що зберігаються, обробляються або передаються всередині інформаційної системи.

    3. Модуль екранування:

    • реалізована система фільтрів в міжмережевих екранах, що дозволяє контролювати всі інформаційні потоки по каналах комунікації;
    • зовнішні з'єднання з глобальними інформаційними ресурсами і публічними каналами зв'язку можуть здійснюватися тільки через обмежений набір верифікованих робочих станцій, що мають обмежене з'єднання з корпоративною інформаційною системою;
    • захищений доступ з робочих місць співробітників для виконання ними службових обов'язків реалізований через дворівневу систему проксі-серверів.

    Нарешті, за допомогою технологій тунелювання на підприємстві повинна бути реалізована віртуальна приватна мережа відповідно до типової моделлю побудови для забезпечення захищених комунікаційних каналів між різними відділеннями компанії, партнерами і клієнтами компанії.

    Незважаючи на те, що комунікації безпосередньо здійснюються по мережах з потенційно низьким рівнем довіри, технології тунелювання завдяки використанню засобів криптографії дозволяють забезпечити надійний захист всіх переданих даних.

    Висновки

    Основна мета всіх вжитих заходів в області забезпечення інформаційної безпеки полягає в захисті інтересів підприємства, так чи інакше пов'язаних з інформаційними ресурсами, які в неї є. Хоча інтереси підприємств не обмежені конкретною областю, всі вони концентруються навколо доступності, цілісності і конфіденційності інформації.

    Проблема забезпечення інформаційної безпеки пояснюється двома основними причинами.

    1. Накопичені підприємством інформаційні ресурси представляють цінність.
    2. Критична залежність від інформаційних технологій обумовлює їх широке застосування.

    З огляду на широке різноманіття існуючих загроз для інформаційної безпеки, таких як руйнування важливої ​​інформації, несанкціоноване використання конфіденційних даних, перерви в роботі підприємства внаслідок порушень роботи інформаційної системи, можна зробити висновок, що все це об'єктивно призводить до великих матеріальних втрат.

    У забезпеченні інформаційної безпеки значну роль відіграють програмно-апаратні засоби, спрямовані на контроль комп'ютерних сутностей, тобто обладнання, програмних елементів, даних, утворюючи останній і найбільш пріоритетний кордон інформаційної безпеки. Передача даних також повинна бути безпечною в контексті збереження їх конфіденційності, цілісності та доступності. Тому в сучасних умовах для забезпечення захищених комунікаційних каналів застосовуються технології тунелювання в комбінації з криптографічними засобами.

    література

    1. Галатенко В.А. Стандарти інформаційної безпеки. - М.: Інтернет-університет інформаційних технологій, 2006.
    2. Партика Т.Л., Попов І.І. Інформаційна безпека. - М .: Форум, 2012.

    Дивіться також

    Новости

    Все права защищены © 2013 Рекрутинговая компания Consulting: Поиск и подбор персонала