Политика информационной безопасности предприятия образец. Задачи обеспечения безопасности информации. Подход компании Symantec

Программное обеспечение TSF вне ядра состоит из доверяемых приложений, которые используются, чтобы реализовать функции безопасности. Обратите внимание на то, что совместно используемые библиотеки, включая модули PAM в некоторых случаях, используются доверяемыми приложениями. Однако, не существует экземпляра, где сама совместно используемая библиотека рассматривается как доверяемый объект. Доверяемые команды могут быть сгруппированы следующим образом.

Системная инициализация
Идентификация и аутентификация
Сетевые приложения
Пакетная обработка
Управление системой
Аудит пользовательского уровня
Криптографическая поддержка
Поддержка виртуальной машины

Компоненты исполнения ядра могут быть разделены на три составляющие части: основное ядро, потоки ядра и модули ядра, в зависимости от того, как они будут выполняться.

Основное ядро включает код, который выполняется, чтобы предоставить услугу, такую как обслуживание системного вызова пользователя или обслуживание события исключения, или прерывание. Большинство скомпилированного кода ядра подпадает под эту категорию.
Потоки ядра. Чтобы выполнить определенные стандартные задачи, такие как очистка дисковых кэшей или освобождение памяти, путем выгрузки неиспользованных страничных блоков, ядро создает внутренние процессы или потоки. Потоки запланированы точно так же, как обычные процессы, но у них нет контекста в непривилегированном режиме. Потоки ядра выполняют определенные функции языка C ядра. Потоки ядра размещены в пространстве ядра, и работают только в привилегированном режиме.
Модуль ядра и модуль ядра драйверов устройств — фрагменты кода, которые могут быть загружены и выгружены в и из ядра по мере необходимости. Они расширяют функциональные возможности ядра без необходимости перезагружать систему. После загрузки объектный код модуля ядра может получить доступ к другому коду ядра и данным таким же образом, как статически скомпонованный код объекта ядра.

Драйвер устройства — специальный тип модуля ядра, который позволяет ядру получать доступ к аппаратным средствам, соединенным с системой. Эти устройства могут быть жесткими дисками, мониторами или сетевыми интерфейсами. Драйвер взаимодействует с остающейся частью ядра через определенный интерфейс, который позволяет ядру иметь дело со всеми устройствами универсальным способом, независимо от их базовых реализаций.

Ядро состоит из логических подсистем, которые обеспечивают различные функциональные возможности. Даже при том, что ядро — единственная исполняемая программа, различные сервисы, которые оно предоставляет, могут быть разделены и объединены в разные логические компоненты. Эти компоненты взаимодействуют, чтобы обеспечить определенные функции. Ядро состоит из следующих логических подсистем:

Файловая подсистема и подсистема ввода-вывода : Эта подсистема реализует функции, связанные с объектами файловой системы. Реализованные функции включают те, которые позволяют процессу создавать, поддерживать, взаимодействовать и удалять объекты файловой системы. К этим объектам относятся регулярные файлы, каталоги, символьные ссылки, жесткие ссылки, файлы, специфичные для определенных типов устройств, именованные каналы и сокеты.
Подсистема процессов : Эта подсистема реализует функции, связанные с управлением процессами и управлением потоками. Реализованные функции позволяют создавать, планировать, исполнять и удалять процессы и субъекты потоков.
Подсистема памяти : Эта подсистема реализует функции, связанные с управлением ресурсами памяти системы. Реализованные функции включают в себя те, которые создают и управляют виртуальной памятью, включая управление алгоритмами разбивки на страницы и таблицами страниц.
Сетевая подсистема : Эта подсистема реализует сокеты UNIX и Интернет-домена, а также алгоритмы, используемые для планирования сетевых пакетов.
Подсистема IPC : Эта подсистема реализует функции, связанные с механизмами IPC. Реализованные функции включают в себя те, которые упрощают управляемый обмен информацией между процессами, позволяя им совместно использовать данные и синхронизировать их выполнение при взаимодействии с общим ресурсом.
Подсистема модулей ядра : Эта подсистема реализует инфраструктуру, позволяющую поддерживать загружаемые модули. Реализованные функции включают загрузку, инициализацию и выгрузку модулей ядра.
Расширения безопасности Linux : Расширения безопасности Linux реализуют различные аспекты безопасности, которые обеспечиваются для всего ядра, включая каркас Модуля безопасности Linux (Linux Security Module, LSM). Каркас LSM служит основой для модулей, позволяющей реализовать различные политики безопасности, включая SELinux. SELinux — важная логическая подсистема. Эта подсистема реализует функции мандатного управления доступом, чтобы добиться доступа между всеми предметами и объектами.
Подсистема драйвера устройства : Эта подсистема реализует поддержку различных аппаратных и программных устройств через общий, не зависящий от устройств интерфейс.
Подсистема аудита : Эта подсистема реализует функции, связанные с записью критических по отношению к безопасности событий в системе. Реализованные функции включают в себя те, которые захватывают каждый системный вызов, чтобы записать критические по отношению к безопасности события и те, которые реализуют набор и запись контрольных данных.
Подсистема KVM : Эта подсистема реализует сопровождение жизненного цикла виртуальной машины. Она выполняет завершение инструкции, используемое для инструкций, требующих только небольших проверок. Для любого другого завершения инструкции KVM вызывает компонент пространства пользователя QEMU.
Крипто API : Эта подсистема предоставляет внутреннюю по отношению к ядру криптографическую библиотеку для всех компонентов ядра. Она обеспечивает криптографические примитивы для вызывающих сторон.

Ядро — это основная часть операционной системы. Оно взаимодействует непосредственно с аппаратными средствами, реализует совместное использование ресурсов, предоставляет общие сервисы для приложений, и предотвращает прямой доступ приложений к аппаратно-зависимым функциям. К числу сервисов, предоставляемых ядром, относятся:

1. У правление выполнением процессов, включая операции их создания, завершения или приостановки и межпроцессоного обмена данными. Они включают:

Равнозначное планирование процессов для выполнения на ЦП.
Разделение процессов в ЦП с использованием режима разделения по времени.
Выполнение процесса в ЦП.
Приостановка ядра по истечениии отведенного ему кванта времени.
Выделение времени ядра для выполнения другого процесса.
Перепланирование времени ядра для выполнения приостановленного процесса.
Управление метаданными, связанными с безопасностью процесса, такими как идентификаторы UID, GID, метки SELinux, идентификаторы функциональных возможностей.

2. Выделение оперативной памяти для исполняемого процесса. Данная операция включает в себя:

Разрешение, выдаваемое ядром для процессов, на совместное использование части их адресного пространства при определенных условиях; однако, при этом ядро защает собственное адресное пространство процесса от внешнего вмешательства.
Если система испытывает нехватку свободной памяти, ядро освобождает память путем записи процесса временно в память второго уровня или раздел подкачки.
Согласованное взаимодействие с аппаратными средствами машины, чтобы установить отображение виртуальных адресов на физические адреса, которое устанавливает соответствие между адресами, сгенерированными компилятором, и физическими адресами.

3. Обслуживание жизненного цикла виртуальных машин, которое включает:

Установление ограничений для ресурсов, сконфигурированных приложением эмуляции для данной виртуальной машины.
Запуск программного кода виртуальной машины на исполнение.
Обработка завершения работы виртуальных машин или путем завершения инструкции или задержкой завершения инструкции для эмуляции пространства пользователя.

4. Обслуживание файловой системы. Это включает в себя:

Выделение вторичной памяти для эффективного хранения и извлечения пользовательских данных.
Выделение внешней памяти для пользовательских файлов.
Утилизация неиспользованного пространства для хранения данных.
Организация структуры файловой системы (использование понятных принципов структурирования).
Защита пользовательских файлов от несанкционированного доступа.
Организация контролируемого доступа процессов к периферийным устройствам, таким как терминалы, лентопротяжные устройства, дисководы и сетевые устройства.
Организация взаимного доступа к данным для субъектов и объектов, предоставление управляемого доступа, основанного на политике DAC и любой другой политике, реализуемой загруженной LSM.

Ядро Linux относится к типу ядер ОС, реализующих планирование с вытеснением задач. В ядрах, не обладающих такой возможностью, выполнение кода ядра продолжается до завершения, т.е. планировщик не способен к перепланированию задачи в то время, когда она находится в ядре. Кроме того, планирование исполнения кода ядра осуществляется совместно, без вытесняющего планирования, и исполнение этого кода продолжается до момента завершения и возврата к пространству пользователя, либо до явной блокировки. В вытесняющих ядрах возможно выгрузить задачу в любой точке, пока ядро находится в состоянии, в котором безопасно выполнять перепланирование.

Введение

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об разработке эффективной политики информационной безопасности на современном предприятии обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов, Конституции, законам и иным руководящим документам приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких, как ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации предприятия. Современные методики управления рисками позволяют решить ряд задач перспективного стратегического развития современного предприятия.

Во-первых, количественно оценить текущий уровень информационной безопасности предприятия, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации.

Во-вторых разработать политику безопасности и планы совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо:

обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;

выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;

определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации;

разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;

обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.

Решение названных задач открывает новые широкие возможности перед должностными лицами разного уровня.

Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой стратегии безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании.

Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться соответствующими положениями Трудового кодекса.

1. Аналитическая часть

1 Понятие информационной безопасности

Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Информационная безопасность - задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.

Термин «информационная безопасность» не так давно вошёл в широкое употребление, хотя деятельность современного предприятия невозможно представить себе без персональных компьютеров. Этому есть простое объяснение: объём обрабатываемой и хранящейся в электронном виде информации для среднего предприятия в миллионы раз выше по сравнению с «бумажной». На компьютерах устанавливается сложное в настройке программное обеспечение, создаются трудные для восстановления схемы взаимодействия компьютеров и программ, рядовые пользователи обрабатывают огромные массивы данных. Понятно, что любое нарушение работы выстроенной технологической цепочки приведёт к определённым потерям для предприятия. Таким образом, под информационной безопасностью (ИБ) будем понимать защищенность информационной среды предприятия от внешних и внутренних угроз её формированию, использованию и развитию.

На крупных предприятиях существуют специальные службы с немалым бюджетом, в задачи которых входит обеспечение ИБ, выявление, локализация и устранение угроз ИБ предприятия. Они используют специальное дорогостоящее программное и аппаратное обеспечение, подчас настолько сложное в обслуживании, что требуется особая подготовка персонала для работы с ним. Задачи руководства ИБ в таких организациях часто сводятся к выпуску инструкций с ключевыми словами: «углубить», «расширить», «повысить», «обеспечить» и т.д. Вся работа по обеспечению ИБ выполняется незаметно для руководства сотрудниками соответствующих служб, и описание методов их работы - это тема для отдельной большой статьи.

В то же время ИБ малых предприятий с не очень большим числом рабочих мест для специалистов (часто не более 50) уделяется не слишком много внимания. Однако существующая организационно-техническая обстановка на данный момент такова, что большинство существующих угроз ИБ, в силу хорошей защищённости от них больших предприятий, становятся актуальными как раз для предприятий меньшего размера. Обычно такие предприятия имеют весьма скромный IT-бюджет, позволяющий приобрести только необходимое оборудование, ПО и содержать одного системного администратора.

На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:

целостность данных -- защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;

конфиденциальность информации;

Выделяют и другие не всегда обязательные категории модели безопасности:

неотказуемость или апеллируемость - невозможность отказа от авторства;

подотчётность - обеспечение идентификации субъекта доступа и регистрации его действий;

достоверность - свойство соответствия предусмотренному поведению или результату;

аутентичность или подлинность - свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

2Понятие политики безопасности

Политика информационной безопасности (ПИБ) - совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые направлены на защиту ценной информации.

Назначение политика информационной безопасности:

формулирование целей и задач информационной безопасности организации с точки зрения бизнеса (позволяет определить это для руководства и продемонстрировать поддержку руководством значимости ИБ),

определение правил организации работы в компании для минимизации рисков информационной безопасности и повышения эффективности бизнеса.

Требования к политика информационной безопасности:

Политика должна быть утверждена высшим административным органом компании (генеральный директор, совет директоров и т.п.) для демонстрации поддержки руководства.

Политика ИБ должна быть написана понятным языком для конечных пользователей и руководства компании и быть по возможности краткой.

Политика ИБ должна определять цели ИБ, способы их достижения и ответственность. Технические подробности реализации способов содержатся в инструкциях и регламентах, на которые даются ссылки в Политике.

Минимизация влияния политики безопасности на производственный процесс.

Непрерывность обучения сотрудников и руководства организации в вопросах обеспечения ИБ

Непрерывный контроль выполнения правил политики безопасности на этапе внедрения и в дальнейшем.

Постоянное совершенствование политик безопасности.

Согласованность во взглядах и создание корпоративной культуры безопасности.

Предлагается следующая структура ПИБ:

·Общие положения (ссылки на законы, нормативные акты и др.руководящие документы, которым подчиняется деятельность организации),

·Подтверждение значимости ИБ для организации и формулирование целей защиты информации с точки зрения бизнеса организации (выполнение требований законодательства и др. норм, удовлетворение ожиданий клиентов и партнеров, повышение конкурентоспособности, финансовой стабильности, имиджа организации).

·Описание стратегии организации по обеспечению информационной безопасности (например, выполнение требований законодательства, оценка и управление рисками).

·Область применения ПИБ (например, ПИБ обязательна для выполнения всеми сотрудниками и руководством организации, или отдельного филиала, или сотрудниками, использующими ноутбуки)

·Описание объекта защиты (защищаемые ресурсы - информация различных категорий, информационная инфраструктура и т.д.)

·Цели и задачи обеспечения информационной безопасности (например, снижение угроз ИБ до приемлемого уровня, выявление потенциальных угроз и уязвимостей ИБ, предотвращение инцидентов ИБ)

·Угрозы и модель нарушителя, которые принимаются во внимание для данной организации (по источникам возникновения, по способам реализации, по направленности)

·Краткое разъяснение принципов политики ИБ:

oподход к построению СУИБ,

oтребования к подготовке и осведомленности персонала в области ИБ,

oпоследствия и ответственность за нарушение ПИБ,

oподход к управлению рисками,

oопределение оргструктуры, общих и специальных обязанностей по управлению ИБ, включая отчеты об инцидентах,

oссылки на документацию, которая может поддержать политику, например, частные политики и процедуры в области защиты для конкретных информационных систем или правила защиты, которым должны следовать пользователи.

oмеханизмы контроля за выполнением положений ПИБ,

oпорядок пересмотра и принятия изменений в политике.

После утверждения политики ИБ необходимо:

·Довести положения политики ИБ, подполитик, процедур и инструкций под роспись до сведения рядовых сотрудников при их первоначальном и последующем периодическом обучении и информировании;

·Разработать процедуры, инструкции и т.д., уточняющие и дополняющие политику (для специалистов отдела ИБ);

·Периодически анализировать политику для поддержки ее адекватности и результативности;

·Проводить периодический аудит на выполнение сотрудниками положений политики с предоставлением отчета Руководству организации.

·Кроме того, в должностные инструкции ответственного персонала, положения о подразделениях, контрактные обязательства организации должны быть включены обязанности по обеспечению информационной безопасности.

Таким образом, в результате не только создается документальная база СУИБ, но и происходит реальное распределение обязанностей по обеспечению безопасности информации среди персонала организации.

Жизненный цикл политики безопасности:

Планирование

Первоначальный аудит безопасности

проведение обследования,

идентификация ресурсов, нуждающихся в защите

оценка рисков.

В ходе аудита производится анализ текущего состояния информационной безопасности, выявляются существующие уязвимости, наиболее критичные области функционирования и самые чувствительные к угрозам безопасности бизнес-процессы.

Разработка политики безопасности:

Определяются основные условия, требования и базовая система мер по обеспечению информационной безопасности в организации, позволяющие уменьшить риски до приемлемой величины

Оформляются в виде согласованных в рамках рабочей группы решений и утверждаются руководством организации.

Внедрение ПИБ

Решение технических, организационных и дисциплинарных проблем.

Проверка

Аудит и контроль.

Корректировка

Периодические пересмотр и корректировка, а также при изменении исходных данных.

компьютерный защита информация система

1.3Современные средства физической, аппаратной и программной защиты информации

Главная цель любой системы информационной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом, обеспечении нормальной производственной деятельности всех подразделений объекта. Другая задача сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов. Для этого необходимо:

отнести информацию к категории ограниченного доступа (служебной тайне);

прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушения информационной безопасности.

При разработке политики безопасности можно использовать следующую модель (рис. 1), основанную на адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 «Информационная технология - методы защиты - критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью».

Рис. 1 Модель построения корпоративной системы защиты информации

Представленная модель - это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.

Рассматриваются следующие объективные факторы:

угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;

уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы; - риск - фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери - прямые или косвенные).

Для создания эффективной политики безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для предприятия на основе заданного критерия. Политику безопасности и соответствующую корпоративную систему защиты информации предстоит построить таким образом, чтобы достичь заданного уровня риска.

Предлагаемая методика разработки политики информационной безопасности современного предприятия позволяет полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности, избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, обеспечить проведение работ в сжатые сроки, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер.

В ходе работ должны быть установлены границы исследования. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков. При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные, а также информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Примерами внешних элементов являются сети связи, внешние сервисы и т.п.

При построении модели будут учитываться взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения ИБ.

Эта модель, в соответствии с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т.д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.

На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут рекомендации по проведению регулярных проверок эффективности системы защиты.

Обеспечение повышенных требований к ИБ предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.

По завершении работ, можно будет определить меру гарантии безопасности информационной среды, основанную на оценке, с которой можно доверять информационной среде объекта. Данный подход предполагает, что большая гарантия следует из применения больших усилий при проведении оценки безопасности. Адекватность оценки основана на вовлечении в процесс оценки большего числа элементов информационной среды объекта, глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей выполнения, строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.

Важно помнить, что прежде чем внедрять какие-либо решения по защите информации необходимо разработать политику безопасности, адекватную целям и задачам современного предприятия. В частности, политика безопасности должна описывать порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система информационной безопасности (СИБ) окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Этапы построения политики безопасности - это внесение в описание объекта автоматизации структуры ценности и проведение анализа риска, и определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности. При этом политику безопасности желательно оформить в виде отдельного документа и утвердить руководством предприятия.

4.Постановка задачи

Для достижения поставленной цели необходимо решить следующие задачи:

· Определить цели и задачи защиты информации в предприятии.

· Выбрать модель политики безопасности для данной организации.

· Составить матрицу доступа

· Определить группу требований к АС

· Определить класс защищенности АС и требования к нему

· Определить основные объекты защиты на предприятии

· Определить предмет защиты на предприятии

· Выявить возможные угрозы защищаемой информации в предприятии и их структуру

· Выявить источники, виды и способы дестабилизирующего воздействия на защищаемую информацию на предприятии

· Выявить каналы и методы несанкционированного доступа к защищаемой информации на предприятии

· Определить основные направления, методы и средства защиты информации на предприятии

Целями защиты информации предприятия являются:

· предупреждение хищения, утечки, утраты, искажения, подделки конфиденциальной информации (коммерческой тайны и персональных данных);

· предотвращение угроз безопасности личности и предприятия;

· предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;

· предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;

· защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

· сохранение, конфиденциальности документированной информации в соответствии с законодательством.

К задачам защиты информации на предприятии относятся:

Обеспечение управленческой, финансовой и маркетинговой деятельности предприятия режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необходимой информацией, как засекреченной, так и несекретной.

Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.

Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности компании.

Документирование процесса защиты информации, особенно сведений, составляющих коммерческую тайну.

Организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации.

· Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с Положением о конфиденциальной информации и другие документы, составляющие коммерческую тайну, в бумажном и электронном виде.

2. Проектная часть

Эффективность современной организации сегодня всё больше определяется степенью использования информационных технологий в процессе его функционирования. Происходит непрерывное увеличение как объема информации, обрабатываемой в электронном виде, так и количества различных информационных систем. В связи с этим на передний план в задаче обеспечения безопасности предприятия выходит разработка политики безопасности и защита информации на предприятии.

Обеспечение защиты информации предусматривает необходимость защиты нескольких видов тайн: коммерческой и персональных данных. Наиболее важной представляется защита персональных данных, так как доверие клиентов в первую очередь основывается на предоставлении своих личных данных, и соответственно, сохранением их сотрудниками организации.

Поэтому целью обеспечения безопасности в ателье является разработка политики безопасности и обеспечение надежной защиты информации на предприятии для его нормального функционирования.

1 Выбор и обоснование модели защиты информации

Основными объектами защиты в ателье являются:

· персонал (так как эти лица допущены к работе с охраняемой законом информацией (коммерческая тайна, персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается)

· объекты информатизации - средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены,

· информация ограниченного доступа:

коммерческая тайна (сведения о применяемых оригинальных методах управления предприятием, сведения о подготовке, принятии и исполнении отдельных решений руководства предприятия по коммерческим, организационным и др. вопросам; сведения о фактах проведения, целях, предмете и результатах совещаний и заседаний органов управления организации (управляющих партнеров и т.д.);

персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника).

персональные данные клиентов (фамилия, имя, отчество, дата рождения, телефон, данные о заказа и о персональных скидках)

· защищаемая от утраты общедоступная информация:

документированная информация, регламентирующая статус предприятия, права, обязанности и ответственность его работников (Устав, журнал регистрации, учредительный договор, положение о деятельности, положения о структурных подразделениях, должностные инструкции работников)

· материальные носители охраняемой законом информации (личные дела работников, личные дела клиентов, электронные базы данных работников и клиентов, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну)

· средства защиты информации (антивирусные программы, система сигнализации и видеонаблюдения, система противопожарной охраны.)

· технологические отходы (мусор), образовавшиеся в результате обработки охраняемой законом информации (личные дела бывших клиентов и сотрудников)

Предметом защиты информации в ателье являются носители информации, на которых зафиксированы, отображены защищаемые сведения:

· Личные дела клиентов в бумажном и электронном (база данных клиентов и работников) виде;

Угрозы защищаемой информации.

Внешние угрозы:

· Конкуренты (частные ателье, являющиеся конкурентами ателье «Vilden»);

· Административные органы (органы государственной власти);

· Преступники.

Внутренние угрозы:

· Персонал;

· Администрация предприятия.

Классификация угроз:

По объектам:

1. Персонал;

2. Материальные ценности;

3. Финансовые ценности.

По ущербу:

1. Материальный;

2. Моральный.

По величине ущерба:

1. Предельный (полное разорение);

2. Значительный (некоторая валового дохода);

3. Незначительный (потеря прибыли).

По отношению к объекту:

1. Внутренние;

2. Внешние.

По вероятности возникновения:

1. Весьма вероятные;

2. Вероятные;

3. Маловероятные.

По характеру воздействия:

1. Активные;

2. Пассивные.

По причине проявления:

1. Стихийные;

2. Преднамеренные.

К источникам дестабилизирующего воздействия на информацию относятся:

технические средства отображения (фиксации), хранения, обработки, воспроизведения, передачи информации, средства связи и системы обеспечения их функционирования;

природные явления.

Виды и способы дестабилизирующего воздействия на защищаемую информацию дифференцируются по источникам воздействия. Самое большее количество видов и способов дестабилизирующего воздействия имеет отношение к людям.

Со стороны людей возможны следующие виды воздействия, приводящие к уничтожению, искажению и блокированию:

Непосредственное воздействие на носители защищаемой информации.

Несанкционированное распространение конфиденциальной информации.

Вывод из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи.

Нарушение режима работы перечисленных средств и технологии обработки информации.

Вывод из строя и нарушение режима работы систем обеспечения функционирования названных средств.

словесной передачи (сообщения) информации;

передачи копий (снимков) носителей информации;

показа носителей информации;

ввода информации в вычислительные сети;

использования информации в открытых публичных выступлениях, в т.ч. по радио, телевидению;

потеря носителей информации.

Способами нарушения режима работы технических средств отображения, хранения, обработки, воспроизведения, передача информации, средств связи и технологии обработки информации, приводящими к уничтожению, искажению и блокированию информации, могут быть:

повреждение отдельных элементов средств;

нарушение правил эксплуатации средств;

внесение изменений в порядок обработки информации;

заражение программ обработки информации вредоносными программами;

выдача неправильных программных команд;

превышение расчетного числа запросов;

создание помех в радио эфире с помощью дополнительного звукового или шумового фона, изменения (наложения) частот передачи информации;

передача ложных сигналов - подключение подавляющих фильтров в информационные цепи, цепи питания и заземления;

нарушение (изменение) режима работы систем обеспечения функционирования средств.

К видам дестабилизирующего воздействия на защищаемую информацию со стороны технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования относятся выход средств из строя; сбои в работе средств и создание электромагнитных излучений.

К числу наиболее вероятных каналов утечки информации можно отнести:

· визуальное наблюдение;

· подслушивание;

· техническое наблюдение;

· прямой опрос, выведывание;

· ознакомление с материалами, документами, изделиями и т.д.;

· сбор открытых документов и других источников информации;

· хищение документов и других источников информации;

· изучение множества источников информации, содержащих по частям необходимые сведения.

Направления защиты информации.

Правовая защита - специальные правовые правила, процедуры и мероприятия, создаваемые в целях обеспечения информационной безопасности предприятия.

Организационная защита - регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, использующей нанесение ущерба. Организационную защиту обеспечивает:

Организация режима охраны, работы с кадрами, документами;

Использование технических средств безопасности;

Использование информационно-аналитической работы по выявлению угроз.

Инженерно-техническая защита - использование различных технических средств для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует такие средства как:

Физические - устройства, инженерные сооружения, организационные меры, исключающие или затрудняющие проникновение к источникам конфиденциальной информации (системы ограждения, системы контроля доступа, запирающие устройства и хранилища);

Аппаратные - устройства, защищающие от утечки, разглашения и от технических средств промышленного шпионажа

Программные средства.

Методы защиты информации.

Основными методами, используемыми в защите информации являются следующие:

· реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;

· разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

· резервирование технических средств, дублирование массивов и носителей информации;

· использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

· организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;

· предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

Принципы учета засекреченной информации:

обязательность регистрации всех носителей защищаемой информации;

однократность регистрации конкретного носителя такой информации;

указание в учетах адреса, где находится в данное время данный носитель засекреченной информации;

единоличная ответственность за сохранность каждого носителя защищаемой информации и отражение в учетах пользователя данной информации в настоящее время, а также всех предыдущих пользователей данной информации.

Средства защиты информации

Средства защиты информации - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

В качестве основания классификации средств защиты информации используются основные группы задач, решаемые с помощью технических средств:

создание физических (механических) препятствий на путях проникновения злоумышленника к носителям информации (решетки, сейфы, замки и т.д.);

выявление попыток проникновения на объект охраны, к местам сосредоточения носителей защищаемой информации (электронные и электронно-оптические сигнализаторы);

предупреждение о возникновении чрезвычайных ситуаций (пожар, наводнение и т.п.) и ликвидация ЧП (средства пожаротушения и т.д.);

поддержание связи с различными подразделениями, помещениями и другими точками объекта охраны;

нейтрализация, поглощение или отражение излучения эксплуатируемых или испытываемых изделий (экраны, защитные фильтры, разделительные устройства в сетях электроснабжения и т.п.);

комплексная проверка технического средства обработки информации и выделенного помещения на соответствие требованиям безопасности обрабатываемой речевой информации установленным нормам;

комплексная защита информации в автоматизированных системах обработки данных с помощью фильтров, электронных замков и ключей в целях предотвращения несанкционированного доступа, копирования или искажения информации.

Знание возможностей методов и средств защиты информации позволяет активно и комплексно применять их при рассмотрении и использовании правовых, организационных и инженерно-технических мер защиты конфиденциальной информации.

Модель политики безопасности.

В настоящее время лучше всего изучены два вида политики безопасности: дискреционная и мандатная, основанные, соответственно на избирательном и полномочном способах управления доступом.

Следует отметить, что средства защиты, предназначенные для реализации какого-либо из названных способа управления доступом, только предоставляют возможности надежного управления доступом или информационными потоками. Определение прав доступа субъектов к объектам и/или информационным потокам (полномочий субъектов и атрибутов объектов, присвоение меток критичности и т.д.) входит в компетенцию администрации системы.

Мандатный контроль над доступом (Mandatory Access Control, MAC) в систему означает независимость доступности информации от её владельца. Как правило, в подобных случаях контроль за доступом реализуется исходя из свойств самой информации и свойств желающего получить к ней доступ согласно независимым от них обоих правилам.

Характерен для моделей, предназначенных для реализации в военных и государственных системах защиты.

Строго говоря, критерии определения того, к какому классу относится тот или иной метод контроля над доступом, далеко не всегда дают определенный результат, но являются весьма точными для большинства классических моделей политики безопасности.

Основой дискреционной (дискретной) политики безопасности является дискреционное управление доступом (Discretionary Access Control -DAC), которое определяется двумя свойствами:

· права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила;

· все субъекты и объекты должны быть идентифицированы.

Дискреционное управление доступом - это метод ограничения доступа к объектам, который основан на том, что некоторый субъект (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.

Данная модель реализует дискреционное (произвольное) управление доступом субъектов к объектам и контроль за распространением прав доступа.

2 Выбор и обоснование физических (некомпьютерных) мер защиты информации

К мерам физической защиты информации относятся:

защита от огня;

защита от воды;

защита от коррозийных газов;

защита от электромагнитного излучения;

защита от воровства и кражи;

защита от взрыва;

защита от падающих обломков;

защита от пыли;

защита от несанкционированного доступа в помещение.

В первую очередь надо подготовить помещение, где будет стоять компьютер.

Разумным шагом станет отключение неиспользуемых дисководов, параллельных и последовательных портов компьютера. Его корпус желательно опечатать. Все это осложнит кражу или подмену информации даже в том случае, если злоумышленник каким-то образом проникнет в комнату. Не стоит пренебрегать и такими тривиальными мерами защиты, как железные решетки и двери, кодовые замки и камеры видеонаблюдения, которые будут постоянно вести запись всего, что происходит в ключевых помещениях офиса.

Другая характерная ошибка связана с резервным копированием. О его необходимости знают все, так же как и о том, что на случай возгорания нужно иметь огнетушитель. А вот о том, что резервные копии нельзя хранить в одном помещении с компьютером, почему-то забывают. В результате, защитившись от информационных атак, фирмы оказываются беззащитными даже перед небольшим пожаром, в котором предусмотрительно сделанные копии гибнут вместе с компьютером.

Часто, даже защитив компьютеры, забывают, что в защите нуждаются и всевозможные провода - кабельная система сети. Причем, нередко приходится опасаться не злоумышленников, а самых обыкновенных уборщиц, которые заслуженно считаются самыми страшными врагами локальных сетей. Лучший вариант защиты кабеля - это короба, но, в принципе, подойдет любой другой способ, позволяющий скрыть и надежно закрепить провода. Впрочем, не стоит упускать из вида и возможность подключения к ним извне для перехвата информации или создания помех, например, посредством разряда тока. Хотя, надо признать, что этот вариант мало распространен и замечен лишь при нарушениях работы крупных фирм.

Помимо Интернета, компьютеры включены еще в одну сеть - обычную электрическую. Именно с ней связана другая группа проблем, относящихся к физической безопасности компьютеров. Ни для кого не секрет, что качество современных силовых сетей далеко от идеального. Даже если нет никаких внешних признаков аномалий, очень часто напряжение в электросети выше или ниже нормы. При этом большинство людей даже не подозревают, что в их доме или офисе существуют какие-то проблемы с электропитанием.

Пониженное напряжение является наиболее распространенной аномалией и составляет около 85% от общего числа различных неполадок с электропитанием. Его обычная причина - дефицит электроэнергии, который особенно характерен для зимних месяцев. Повышенное напряжение почти всегда является следствием какой-либо аварии или повреждения проводки в помещении. Часто в результате отсоединения общего нулевого провода соседние фазы оказываются под напряжением 380 В. Бывает также, что высокое напряжение возникает в сети из-за неправильной коммутации проводов.

Источниками импульсных и высокочастотных помех могут стать разряды молний, включение или отключение мощных потребителей электроэнергии, аварии на подстанциях, а также работа некоторых бытовых электроприборов. Чаще всего такие помехи возникают в крупных городах и в промышленных зонах. Импульсы напряжения при длительности от наносекунд (10~9 с) до микросекунд (10~6 с) могут по амплитуде достигать нескольких тысяч вольт. Наиболее уязвимыми к таким помехам оказываются микропроцессоры и другие электронные компоненты. Нередко непогашенная импульсная помеха может привести к перезагрузке компьютера или к ошибке в обработке данных. Встроенный блок питания компьютера, конечно, частично сглаживает броски напряжения, защищая электронные компоненты компьютера от выхода из строя, но остаточные помехи все равно снижают срок службы аппаратуры, а также приводят к росту температуры в блоке питания компьютера.

Для защиты компьютеров от высокочастотных импульсных помех служат сетевые фильтры (например, марки Pilot), оберегающие технику от большинства помех и перепадов напряжения. Кроме того, компьютеры с важной информацией следует обязательно оснащать источником бесперебойного питания (UPS). Современные модели UPS не только поддерживают работу компьютера, когда пропадает питание, но и отсоединяют его от электросети, если параметры электросети выходят из допустимого диапазона.

3 Выбор и обоснование аппаратных (компьютерных) мер защиты информации

Аппаратные средства - это технические средства, используемые для обработки данных. Сюда относятся: Персональный компьютер (комплекс технических средств, предназначенных для автоматической обработки информации в процессе решения вычислительных и информационных задач).

Периферийное оборудование (комплекс внешних устройств ЭВМ, не находящихся под непосредственным управлением центрального процессора).

Физические носители машинной информации.

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:

специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства;

устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты;

схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).

Аппаратные средства - основа построения систем защиты от несанкционированного доступа к информации

В 90-е годы сотрудниками ОКБ САПР была разработана методология применения аппаратной защиты, признанная необходимой основой построения систем защиты от НСД к информации. Основные идеи этого подхода состоят в следующем:

комплексный подход к решению вопросов защиты информации в автоматизированных системах (АС) от НСД. Признание мультипликативной парадигмы защиты, и, как следствие, равное внимание надежности реализации контрольных процедур на всех этапах работы АС;

«материалистическое» решение «основного вопроса» информационной безопасности: «что первично -- hard или soft?»;

последовательный отказ от программных методов контроля как очевидно ненадежных и перенос наиболее критичных контрольных процедур на аппаратный уровень;

максимально возможное разделение условно-постоянных и условно-переменных элементов контрольных операций;

построение средств защиты информации от несанкционированного доступа (СЗИ НСД), максимально независимых от операционных и файловых систем, применяемых в АС. Это выполнение процедур идентификации / аутентификации, контроля целостности аппаратных и программных средств АС до загрузки операционной системы, администрирования и т. д.

Вышеперечисленные принципы аппаратной защиты были реализованы в программно-аппаратном комплексе средств защиты информации от несанкционированного доступа -- аппаратном модуле доверенной загрузки -- «Аккорд-АМДЗ». Этот комплекс обеспечивает режим доверенной загрузки в различных операционных средах: MS DOS, Windows 3.x, Windows 9.x, Windows NT/2000/XP, OS/2, Unix, Linux .

К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав технических средств КС и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения информационной безопасности. Критерием отнесения устройства к аппаратным, а не к инженерно-техническим средствам защиты является обязательное включение в состав технических средств.

К основным аппаратным средствам защиты информации относятся:

устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев и т.п.);

устройства для шифрования информации;

устройства для воспрепятствования несанкционированному включению рабочих станций (электронные замки и блокираторы).

Примеры вспомогательных аппаратных средств защиты информации:

устройства уничтожения информации на магнитных носителях;

устройства сигнализации о попытках несанкционированных действий пользователей компьютера и др.

Аппаратные средства привлекают все большее внимание специалистов не только потому, что их легче защитить от повреждений и других случайных или злоумышленных воздействий, но еще и потому, что аппаратная реализация функций выше по быстродействию, чем программная, а стоимость их неуклонно снижается.

На рынке аппаратных средств защиты появляются все новые устройства. Ниже приводится в качестве примера описание электронного замка.

Электронный замок «Соболь». «Соболь», разработанный и поставляемый ЗАО НИП «Информзащита», обеспечивает выполнение следующих функций защиты:

идентификация и аутентификация пользователей;

контроль целостности файлов и физических секторов жесткого диска;

блокировка загрузки ОС с дискеты и CD-ROM;

блокировка входа в систему зарегистрированного пользователя при превышении им заданного количества неудачных попыток входа;

регистрация событий, имеющих отношение к безопасности системы.

Под аппаратным обеспечением средств защиты операционной системы традиционно понимается совокупность средств и методов, используемых для решения следующих задач:

управление оперативной и виртуальной памятью компьютера;

распределение процессорного времени между задачами в многозадачной операционной системе;

синхронизация выполнения параллельных задач в многозадачной операционной системе;

обеспечение совместного доступа задач к ресурсам операционной системы.

Перечисленные задачи в значительной степени решаются с помощью аппаратно реализованных функций процессоров и других узлов компьютера. Однако, как правило, для решения этих задач принимаются и программные средства, и по этому термины «аппаратное обеспечение защиты» и «аппаратная защита» не вполне корректны. Тем не менее, поскольку эти термины фактически общеприняты, мы будем их использовать.

4 Выбор и обоснование программных мер защиты информации

Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения компьютера исключительно для выполнения защитных функций.

К основным программным средствам защиты информации относятся:

программы идентификации и аутентификации пользователей компьютера;

программы разграничения доступа пользователей к ресурсам компьютера;

программы шифрования информации;

программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.

Надо понимать, что под идентификацией, применительно к обеспечению информационной безопасности компьютера, понимают однозначное распознавание уникального имени субъекта компьютера. Аутентификация означает подтверждение того, что предъявленное имя соответствует данному субъекту (подтверждение подлинности субъекта).

Также к программным средствам защиты информации относятся:

программы аудита (ведения регистрационных журналов) событий, связанных с безопасностью компьютера, для обеспечения возможности восстановления и доказательства факта происшествия этих событий;

программы имитации работы с нарушителем (отвлечения его на получение якобы конфиденциальной информации);

программы тестового контроля защищенности компьютера и др.

К преимуществам программных средств защиты информации относятся:

простота тиражирования;

гибкость (возможность настройки на различные условия применения, учитывающие специфику угроз информационной безопасности конкретных компьютеров);

простота применения -- одни программные средства, например шифрования, работают в «прозрачном» (незаметном для пользователя) режиме, а другие не требуют от пользователя ни каких новых (по сравнению с другими программами) навыков;

практически неограниченные возможности их развития путем внесения изменений для учета новых угроз безопасности информации.

К недостаткам программных средств защиты информации относятся:

снижение эффективности компьютера за счет потребления ее ресурсов, требуемых для функционирование программ защиты;

более низкая производительность (по сравнению с выполняющими аналогичные функции аппаратными средствами защиты, например шифрования);

пристыкованность многих программных средств защиты (а не их встроенность в программное обеспечение компьютера, рис. 4 и 5), что создает для нарушителя принципиальную возможность их обхода;

возможность злоумышленного изменения программных средств защиты в процессе эксплуатации компьютера.

Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС. Кроме программ шифрования, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых следует отметить следующие две системы, позволяющие ограничить информационные потоки.- брандмауэры (дословно firewall -- огненная стена). Между локальной и глобальной сетями создаются специальные промежуточные сервера, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/ транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность совсем. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью -- попросту отсутствует маршрутизация как таковая, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом методе обращения из глобальной сети в локальную становятся невозможными в принципе. Очевидно также, что этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения (вирусы, код Java и JavaScript).

Рассмотрим подробнее работу брандмауэра. Это метод защиты сети от угроз безопасности, исходящих от других систем и сетей, с помощью централизации доступа к сети и контроля за ним аппаратно-программными средствами. Брандмауэр является защитным барьером, состоящим из нескольких компонентов (например, маршрутизатора или шлюза, на котором работает программное обеспечение брандмауэра). Брандмауэр конфигурируется в соответствии с принятой в организации политикой контроля доступа к внутренней сети. Все входящие и исходящие пакеты должны проходить через брандмауэр, который пропускает только авторизованные пакеты.

Брандмауэр с фильрацией пакетов - является маршрутизатором или компьютером, на котором работает программное обеспечение, сконфигурированное таким образом, чтобы отбраковывать определенные виды входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов (адреса отправителя и получателя, их номера портов и др.).

Брандмауэр экспертного уровня - проверяет содержимое принимаемых пакетов на трех уровнях модели OSI - сетевом, сеансовом и прикладном. Для выполнения этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизованных пакетов.

Создание брандмауера относится к решению задачи экранирования. Формальная постановка задачи экранирования состоит в следующем. Пусть имеется два множества информационных систем. Экран - это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран осуществляет свои функции, контролируя все информационные потоки между двумя множествами систем (рис. 6). Контроль потоков состоит в их фильтрации, возможно, с выполнением некоторых преобразований.

Помимо функций разграничения доступа, экраны осуществляют протоколирование обмена информацией.

Обычно экран не является симметричным, для него определены понятия "внутри" и "снаружи". При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны (МЭ) чаще всего устанавливают для защиты корпоративной сети организации, имеющей выход в Internet.

Экранирование помогает поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, вызванную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом.

Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности в ИС организации.

Экранирование может быть частичным, защищающим определенные информационные сервисы (например, экранирование электронной почты).

Ограничивающий интерфейс также можно рассматривать как разновидность экранирования. На невидимый объект трудно нападать, особенно с помощью фиксированного набора средств. В этом смысле Web-интерфейс обладает естественной защитой, особенно в том случае, когда гипертекстовые документы формируются динамически. Каждый пользователь видит лишь то, что ему положено видеть. Можно провести аналогию между динамически формируемыми гипертекстовыми документами и представлениями в реляционных базах данных, с той существенной оговоркой, что в случае Web возможности существенно шире.

Экранирующая роль Web-сервиса наглядно проявляется и тогда, когда этот сервис осуществляет посреднические (точнее, интегрирующие) функции при доступе к другим ресурсам, например таблицам базы данных. Здесь не только контролируются потоки запросов, но и скрывается реальная организация данных.

Идентификация пользователей производится по индивидуальному ключу в виде «таблетки» Touch Memory, имеющей память до 64 Кбайт, а аутентификация -- по паролю длиной до 16 символов.

Контроль целостности предназначен для того, чтобы убедиться, что программы и файлы пользователя и особенно системные файлы ОС не были модифицированы злоумышленником или введенной им программной закладкой. Для этого в первую очередь в работу вступает разборщик файловой системы ОС: расчет эталонных значений и их контроль при загрузке реализован в «Соболе» на аппаратном уровне. Построение же списка контроля целостности объектов выполняется с помощью утилиты ОС, что в принципе дает возможность программе-перехватчику модифицировать этот список, а ведь хорошо известно, что общий уровень безопасности системы определяется уровнем защищенности самого слабого звена.

Зашифрованный диск - это файл-контейнер, внутри которого могут находиться любые другие файлы или программы (они могут быть установлены и запущены прямо из этого зашифрованного файла). Этот диск доступен только после ввода пароля к файлу-контейнеру - тогда на компьютере появляется еще один диск, опознаваемый системой как логический и работа с которым не отличается от работы с любым другим диском. После отключения диска логический диск исчезает, он просто становится «невидимым».

На сегодняшний день наиболее распространенные программы для создания зашифрованных дисков - DriveCrypt, BestCrypt и PGPdisk. Каждая из них надежно защищена от удаленного взлома.

Криптография - это наука об обеспечении безопасности данных. Она занимается поисками решений четырех важных проблем безопасности - конфиденциальности, аутентификации, целостности и контроля участников взаимодействия. Шифрование - это преобразование данных в нечитабельную форму, используя ключи шифрования-расшифровки. Шифрование позволяет обеспечить конфиденциальность, сохраняя информацию в тайне от того, кому она не предназначена.

Криптография занимается поиском и исследованием математических методов преобразования информации.

Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Вирусы могут проникать в машину различными путями (через глобальную сеть, через зараженную дискету или флешку). Последствия их проникновения весьма неприятны: от разрушения файла до нарушения работоспособности всего компьютера. Достаточно всего лишь одного зараженного файла, чтобы заразить всю имеющуюся на компьютере информацию, а далее заразить всю корпоративную сеть.

Для антивирусной защиты был выбран пакет Dr.Web Enterprise Suite. Этот пакет обеспечивает централизованную защиту корпоративной сети любого масштаба. Современное решение на базе технологий Dr.Web для корпоративных сетей, представляет собой уникальный технический комплекс со встроенной системой централизованного управления антивирусной защитой в масштабе предприятия. Dr.Web Enterprise Suite позволяет администратору, работающему как внутри сети, так и на удаленном компьютере (через сеть Internet) осуществлять необходимые административные задачи по управлению антивирусной защитой организации.

5 Организационное обеспечение

Недооценка факторов безопасности в повседневной работе - ахиллесова пята многих организаций. Дорогие средства безопасности теряют смысл, если они плохо документированы, конфликтуют с другим программным обеспечением, а пароль системного администратора не менялся с момента установки.

Можно выделить следующие направления повседневной деятельности:

поддержка пользователей;

поддержка программного обеспечения;

конфигурационное управление;

резервное копирование;

управление носителями;

документирование;

регламентные работы.

Поддержка пользователей подразумевает прежде всего консультирование и оказание помощи при решении разного рода проблем. Иногда в организациях создают для этой цели специальный "справочный стол", но чаще от пользователей отбивается системный администратор. Очень важно в потоке вопросов уметь выявлять проблемы, связанные с информационной безопасностью. Так, многие трудности пользователей, работающих на персональных компьютерах, могут быть следствием заражения вирусами. Целесообразно фиксировать вопросы пользователей, чтобы выявлять их типичные ошибки и выпускать памятки с рекомендациями для распространенных ситуаций.

Поддержка программного обеспечения - одно из важнейших средств обеспечения целостности информации. Прежде всего, необходимо следить за тем, какое программное обеспечение установлено на компьютерах. Если пользователи будут устанавливать программы по своему усмотрению, это может привести к заражению вирусами, а также появлению утилит, действующих в обход защитных средств. Вполне вероятно также, что "самодеятельность" пользователей постепенно приведет к хаосу на их компьютерах, а исправлять ситуацию придется системному администратору.

Второй аспект поддержки программного обеспечения - контроль за отсутствием неавторизованного изменения программ и прав доступа к ним. Сюда же можно отнести поддержку эталонных копий программных систем. Обычно контроль достигается комбинированием средств физического и логического управления доступом, а также использованием утилит проверки и обеспечения целостности.

Конфигурационное управление позволяет контролировать и фиксировать изменения, вносимые в программную конфигурацию. Прежде всего, необходимо застраховаться от случайных или непродуманных модификаций, уметь как минимум возвращаться к прошлой, работающей, версии. Фиксация изменений позволит легко восстановить текущую версию после аварии.

Лучший способ уменьшить количество ошибок в рутинной работе - максимально автоматизировать ее. Правы те "ленивые" программисты и системные администраторы, которые, окинув взглядом море однообразных задач, говорят: "Я ни за что не буду делать этого; я напишу программу, которая сделает все за меня". Автоматизация и безопасность зависят друг от друга; тот, кто заботится в первую очередь об облегчении своей задачи, на самом деле оптимальным образом формирует режим информационной безопасности.

Резервное копирование необходимо для восстановления программ и данных после аварий. И здесь целесообразно автоматизировать работу, как минимум, сформировав компьютерное расписание создания полных и инкрементальных копий, а как максимум - воспользовавшись соответствующими программными продуктами (см., например, Jet Info, 2000, 12). Нужно также наладить размещение копий в безопасном месте, защищенном от несанкционированного доступа, пожаров, протечек, то есть от всего, что может привести к краже или повреждению носителей. Целесообразно иметь несколько экземпляров резервных копий и часть из них хранить вне территории организации, защищаясь таким образом от крупных аварий и аналогичных инцидентов.

Время от времени в тестовых целях следует проверять возможность восстановления информации с копий.

Управлять носителями необходимо для обеспечения физической защиты и учета дискет, лент, печатных выдач и т.п. Управление носителями должно обеспечивать конфиденциальность, целостность и доступность информации, хранящейся вне компьютерных систем. Под физической защитой здесь понимается не только отражение попыток несанкционированного доступа, но и предохранение от вредных влияний окружающей среды (жары, холода, влаги, магнетизма). Управление носителями должно охватывать весь жизненный цикл - от закупки до выведения из эксплуатации.

Заключение

Важнейшая мера защиты информации на этом направлении - четкая организация и контроль использования носителей информации.

Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми. Вечная проблема - защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине 20 века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества. Главная тенденция, характеризующая развитие современных информационных технологий - рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь.

Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированных доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте.

Причин активизации компьютерных преступлений и связанных с ними финансовых потерь достаточно много, существенными из них являются:

переход от традиционной "бумажной" технологии хранения и передачи сведений на электронную и недостаточное при этом развитие технологии защиты информации в таких технологиях;

объединение вычислительных систем, создание глобальных сетей и расширение доступа к информационным ресурсам;

увеличение сложности программных средств и связанное с этим уменьшение их надежности и увеличением числа уязвимостей.

Компьютерные сети, в силу своей специфики, просто не смогут нормально функционировать и развиваться, игнорируя проблемы защиты информации.

Библиографический список

Бармен С. Разработка правил информационной безопасности. - М.: Издательский дом "Вильямс", 2002.

Бачило И. Л., Лопатин В. Н., Федотов М. А. Информационное право.- Спб.: Изд-во «Юридический центр Пресс», 2001.

Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Л.Г.Осовецкого - СПб.: СПбГУ ИТМО, 2004.

Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.: Питер, 2001.

Бождай А.С., Финогеев А.Г. Сетевые технологии. Часть 1: Учебное пособие. Пенза: Изд-во ПГУ, 2005.

Под политикой безопасности организации понимают совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности является тем средством, с помощью которой реализуется деятельность в компьютерной информационной системе организации. Вообще политики безопасности определяются используемой компьютерной средой и отражают специфические потребности организации.

Обычно корпоративная информационная система представляет собой сложный комплекс разнородного, иногда плохо согласующегося между собой аппаратного и программного обеспечения: компьютеров, операционных систем, сетевых средств, СУБД, разнообразных приложений. Все эти компоненты обычно обладают собственными средствами защиты, которые нужно согласовать между собой. Поэтому очень важна эффективная политика безопасности в качестве согласованной платформы по обеспечению безопасности корпоративной системы. По мере роста компьютерной системы и интеграции ее в глобальную сеть необходимо обеспечить отсутствие в системе слабых мест, поскольку все усилия по защите информации могут быть обесценены лишь одной оплошностью.

Можно построить такую политику безопасности, которая будет устанавливать, кто имеет доступ к конкретным активам и приложениям, какие роли и обязанности будут иметь конкретные лица, а также предусмотреть процедуры безопасности, которые четко предписывают, как должны выполняться конкретные задачи безопасности. Индивидуальные особенности работы сотрудника могут потребовать доступа к информации, которая не должна быть доступна другим работникам. Например, менеджер по персоналу может иметь доступ к частной информации любого сотрудника, в то время как специалист по отчетности может иметь доступ только к финансовым данным этих сотрудников. А рядовой сотрудник будет иметь доступ только к своей собственной персональной информации.

Политика безопасности определяет позицию организации по рациональному использованию компьютеров и сети, а также процедуры по предотвращению и реагированию на инциденты безопасности. В большой корпоративной системе может применяться широкий диапазон разных политик от бизнес-политик до специфичных правил доступа к наборам данных. Эти политики полностью определяются конкретными потребностями организации.

Основные понятия политики безопасности

Политика безопасности определяет стратегию управления в области информационной безопасности, а также ту меру внимания и количество ресурсов, которые считает целесообразным выделить руководство.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Для того чтобы ознакомиться с основными понятиями политик безопасности рассмотрим в качестве конкретного примера гипотетическую локальную сеть, принадлежащую некоей организации, и связанную с ней политику безопасности .

Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого рядом более конкретных документов специализированных политик и процедур безопасности.

Высокоуровневая политика безопасности должна периодически пересматриваться, чтобы гарантировать, что она учитывает текущие потребности организации. Этот документ составляют таким образом, чтобы политика была относительно независимой от конкретных технологий. В таком случае этот документ политики не потребуется изменять слишком часто.

Политика безопасности обычно оформляется в виде документа, включающего такие разделы, как описание проблемы, область применения, позиция организации, распределение ролей и обязанностей, санкции и др.

Описание проблемы. Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данного документа. Документ преследует следующие цели: продемонстрировать сотрудникам организации важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети.

Область применения. В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.

Позиция организации. Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

обеспечение уровня безопасности, соответствующего нормативным документам;

следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности);

обеспечение безопасности в каждой функциональной области локальной сети;

обеспечение подотчетности всех действий пользователей с информацией и ресурсами;

обеспечение анализа регистрационной информации;

предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;

выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;

обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Распределение ролей и обязанностей. За реализацию сформулированных выше целей отвечают соответствующие должностные лица и пользователи сети.

Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.

обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Более подробные сведения о ролях и обязанностях должностных лиц и пользователей сети приведены ниже.

Санкции. Нарушение политики безопасности может подвергнуть локальную сетьи циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения.

Дополнительная информация. Конкретным группам исполнителей могут потребоваться для ознакомления какие-то дополнительные документы, в частности документы специализированных политик и процедур безопасности, а также другие руководящие указания. Необходимость в дополнительных документах политик безопасности в значительной степени зависит от размеров и сложности организации. Для достаточно большой организации могут потребоваться в дополнение к базовой политике специализированные политики безопасности. Организации меньшего размера нуждаются только в некотором подмножестве специализированных политик. Многие из этих документов поддержки могут быть довольно краткими - объемом в одну - две страницы.

С практической точки зрения политики безопасности можно разделить на три уровня: верхний, средний и нижний .

Верхний уровень политики безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят, как правило, от руководства организации.

Такие решения могут включать в себя следующие элементы:

формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение ответственных лиц за продвижение программы;

обеспечение материальной базы для соблюдения законов и правил;

формулировка управленческих решений по вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Политика безопасности верхнего уровня формулирует цели организации в области информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане должна стоятьцелостность данных. Для организации, занимающейся продажами, важна актуальность информации о предоставляемых услугах и ценах, а также еедоступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь будет заботиться оконфиденциальности информации, то есть о ее защите от несанкционированного доступа.

На верхний уровень выносится управление ресурсами безопасности и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко определять сферу своего влияния. Это могут быть все компьютерные системы организации или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров. Возможна и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь, то есть политика может служить основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. В-третьих, необходимо обеспечить исполнительскую дисциплину персонала с помощью системы поощрений и наказаний.

Средний уровень политики безопасности определяет решение вопросов, касающихся отдельных аспектов информационной безопасности, но важных для различных систем, эксплуатируемых организацией.

Примеры таких вопросов - отношение к доступу в Интернет (проблема сочетания свободы получения информации с защитой от внешних угроз), использование домашних компьютеров и т.д.

Политика безопасности среднего уровня должна определять для каждого аспекта информационной безопасности следующие моменты:

описание аспекта - позиция организации может быть сформулирована в достаточно общем виде как набор целей, которые преследует организацияв данном аспекте;

область применения - следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности;

роли и обязанности - документ должен содержать информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь;

санкции - политика должна содержать общее описание запрещенных действий и наказаний за них;

точки контакта - должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит должностное лицо.

Нижний уровень политики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта: цели и правила их достижения, - поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной.

Приведем несколько примеров вопросов, на которые следует дать ответ при следовании политике безопасности нижнего уровня:

кто имеет право доступа к объектам, поддерживаемым сервисом;

как организован удаленный доступ к сервису.

Политика безопасности нижнего уровня может исходить из соображений целостности, доступности и конфиденциальности, но она не должна на них останавливаться. В общем случае цели должны связывать между собой объекты сервисаи осмысленные действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддержать их выполнение программно-техническими мерами. Обычно наиболее формально задаются права доступа к объектам.

Приведем более детальное описание обязанностей каждой категории персонала.

Руководители подразделений отвечают за доведение положений политики безопасности до пользователей. Они обязаны:

постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же самое делали их подчиненные;

проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты;

организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем;

информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.);

обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и обладающего достаточной квалификацией для выполнения этой роли.

Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности. Они обязаны:

обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями;

оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты;

использовать проверенные средства аудита и обнаружения подозрительных ситуаций. Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности;

не злоупотреблять своими большими полномочиями. Пользователи имеют право на тайну;

разработать процедуры и подготовить инструкции для защиты локальной сети от вредоносного программного обеспечения. Оказывать помощь в обнаружении и ликвидации вредоносного кода;

регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;

выполнять все изменения сетевой аппаратно-программной конфигурации;

гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

периодически производить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности. Они обязаны:

управлять правами доступа пользователей к обслуживаемым объектам;

оперативно и эффективно реагировать на события, таящие угрозу. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания;

регулярно выполнять резервное копирование информации, обрабатываемой сервисом;

выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

ежедневно анализировать регистрационную информацию, относящуюся к сервису. Регулярно контролировать сервис на предмет вредоносного программного обеспечения;

периодически производить проверку надежности защиты сервиса. Не допускать получения привилегий неавторизованными пользователями.

знать и соблюдать законы, правила, принятые в данной организации, политику безопасности, процедуры безопасности. Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации;

использовать механизм защиты файлов и должным образом задавать права доступа;

выбирать качественные пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам;

информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях;

не использовать слабости в защите сервисов и локальной сети в целом. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям;

всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей;

обеспечивать резервное копирование информации с жесткого диска своего компьютера;

знать принципы работы вредоносного программного обеспечения, пути его проникновения и распространения. Знать и соблюдать процедуры для предупреждения проникновения вредоносного кода, его обнаружения и уничтожения;

знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.

Управленческие меры обеспечения информационной безопасности. Главной целью мер, предпринимаемых на управленческом уровне, является формирование программы работ в области информационной безопасности и обеспечение ее выполнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является многоуровневая политика безопасности, отражающая комплексный подход организации к защите своих ресурсов и информационных активов

Основной этап построения защищенной информационной системы, это этап разработки политики безопасности. Подробная политика нужна для создания эффективной системы безопасности предприятия.Далее показано основные шаги обеспечения безопасности:

Уточнение важности информационных и технологических активов предприятия;
определения уровня безопасности для каждого актива, а так же средства безопасности которые будут рентабельными для каждого актива
Определение рисков на угрозы активам;
Привлечение нужных денежных ресурсов для обеспечения политики безопасности, а так же приобретение и настройка нужных средств для безопасности;
Строгий контроль поэтапной реализации плана безопасности, для выявление текущих прощетов а также учета изменения внешних факторов с дальнейшим изменением требуемых методов безопасности;
Проведение объяснительных действий для персонала и остальным ответственным сотрудникам

Следующие требования к политикам безопасности составлены на ряде ошибок и проб большинства организаций:

Политики безопасности должны:

указывать на причины и цели создания политики безопасности;
осматривать, какие границы и ресурсы охватываются политикой безопасности;
определить ответственных по политике безопасности;
определить условие не выполнение и так званное наказание
политики безопасности должны быть реальными и осуществимыми;
политики безопасности должны быть доступными, краткими и однозначными для понимания;
должна быть золотая середина между защитой и производительностью;

Основные шаги по разработке политики есть:

создание адекватной команды для создание политики;
решить вопросы об возникающих особенностях при разработки.
решить вопросы об области действии и цели создании политики;
решить вопросы по поводу ответственных за создания и выполнения данного документа;

Нужно проанализировать локальную сеть на . Сделав основные шаги нужно проанализировать есть ли выход локальной сети( или ) в интернет. Ведь при выходе сети в интернет возникает вопрос о . Потом какие компьютеры и сетевые сервисы используются уже в сети. Определить количество сотрудников по ряду критерию. К примеру скольким нужен доступ в интернет, сколько пользуется электронной почтой и другими онлайн сервисами. Также определить есть ли удаленный доступ к внутренней сети. Самый главный вопрос, через который должны быть определенны все вопросы, это «Входит ли этот сервис с список требований для проведение бизнеса?»

После проведения анализа и систематизации информации, команде нужно перейти к анализу и .Анализ рисков — это самый важный этап формирования политики безопасности (рис.1).

Рисунок 1

На этом этапе реализуются следующие шаги:

анализ которые непосредственно обозначены для объекта защиты;
оценка и идентификация цены информационных и технологических активов;
осмотр вероятности реализации угроз на практике;
осмотр рисков на активы;

После осмотра рисков на активы нужно переходить к установке уровня безопасности который определяет защиты для каждого актива. Есть правило, что цена защиты актива не должна превышать цены самого актива

Рассмотрим создания одного из процессов безопасности. Процесс показано на рис.2.

Вход , допустим это пользователь делает запрос на создания нового пароля;
, определяет какие роли участвуют в этом процессе.Пользователь запрашивает новый пароль у Администратора ;
Управление — описывает сам алгоритм который управляет процессом. При запросе нового пароля, пользователь должен пройти аутентификацию;
Выход , это результат процесса. Получение пароля.

Рисунок 2

Компоненты архитектуры безопасности

Физическая безопасность , важный компонент так как заполнение физической области где находятся компоненты объекта защиты не однородно. Если в здании находятся не только сотрудники организации, но и другие люди нужно учитывать все моменты защиты. Реализация физической защиты приводится к определению компонентов компьютерной сети, которые должны быть защищены физически, так как они могут подвергаться угрозам таким как потеря конфиденциальности, доступности и целостности.

Нужно обозначить области с различным уровнем безопасности:

открытые, область физической среды в которые могут заходит как сотрудники так и другие люди
контролируемые, область физической среды которая должна быть закрыта при отсутствии контроль или присмотра
особо контролируемые, это область где ограничен доступ даже сотрудникам с повышенными правами доступа

Ресурсы делят на две категории, которые подвержены угрозам:

Ресурсы ОС;
Ресурсы пользователя.
Возможно теоретически, ресурсы которые находятся за физическим доступом организации, к примеру ;

должны определить полномочия для каждой системы и платформы;
проверять назначение прав авторизованным пользователям.

Управление тревожной сигнализацией важный компонент, так как для немедленного реагирования залог в предотвращении атаки. Пример процессов для обнаружения проблем и тревог:

каждое нарушение безопасности должно давать сигнал события;
Одно событие не есть поводом для утверждения, они должны накапливаться;
должен быть порог, с которым сравнивают данные и дают вывод по конкретным действиям.

Пример подход предприятия IBM

Специалисты IBM считают, что корпоративная деятельность должна начинаться с создания политики безопасности. При этом при создании рекомендуется держатся международного стандарта ISO 17799:2005 и смотреть политику предприятия как неотъемлемый кусок процесса управления рисками (рис.3). Разработку политики безопасности относят к важным задачам предприятии.

Рисунок — 3

Специалисты IBM выделяют следующие этапы разработки политики безопасности:

Анализ информационных предприятия, который могут нанести максимальный ущерб.
Создание политики безопасности, которая внедряет которые входят в рамки задач предприятия.
Разработать планы действий при ЧС для уменьшения ущерба.
Анализ остаточных информационных угроз. Анализ проводится на основе главных угроз.

Осмотр ИТ-стратегии, определение требований к информационной безопасности и анализ текущих проблем безопасности.
Осмотр бизнес-стратегии предприятия.
Разработка политики безопасности, которая учитывает ИТ-стратегии и задачи развития предприятия.

Рисунок — 4

IBM под стандартами подразумевает документы, которые описывают порядок и структуру реализации политики безопасности в таких аспектах как авторизация, контроль доступа, аутентификация, идентификация и тд. Такие стандартны могут быть изменены относительно требований политики безопасности, так как на них влияют уже немножко другие угрозы, более специфические. IBM подразумевает создание стандартов для:

анализа информационных угроз и методов их уменьшения
создание норм и правил безопасности разных уровней предприятия
уточнение методов защиты, которые будут реализованы на предприятии
конкретное определение процедур безопасности
анализ ожиданий относительно результатов от сотрудников и компании в целом
реализация юридической поддержки

Стандарты создаются с помощью практик или/и процедур. В них детализируются сервисы, которые ставятся на ОС, а так же порядок создание других моментов. IBM предлагает особенности подхода к разработке документов безопасности (рис.5).

Рисунок — 5

Пример стандарта безопасности для ОС семейства UNIX

Область и цель действия — документ описывает требования по защите ПК, которые работают на ОС unix.

Аудитория — персонал служб информационной безопасности и информационных технологий.

Полномочия — Отдел предприятия по информационной безопасности наделяется всеми правами доступа к серверам информационной системы предприятия и несет за них ответственность. Департамент управления рисками утверждает все отклонения от требований стандарта.

Исключения — Любые отклонения от реализации стандарта должны быть подтверждены в отделе предприятия по информационной безопасности.

Поддержка — Любые вопросы которые связанны с стандартом, задавать в отдел информационной безопасности.

Пересмотр стандарта — пересматривается ежегодно.

Пример подхода компании Sun Microsystems

Специалисты Sun считают, что политика есть необходимой для эффективной организации режима информационной безопасности предприятия. Они же под политикой безопасности подразумевают стратегический документ, в котором описаны требования и ожидания руководства предприятии. Они рекомендуют создать подход сверху-вниз , сначала создать политику безопасности, а потом уже строить архитектуру информационной системы. К созданию политики безопасности они рекомендуют завлечь таких сотрудников подразделений как:

управление бизнесом
отдел защиты информации
техническое управление
департамент управления рисками
отдел системного/сетевого администрирования
юридический отдел
департамент системных операций
отдел кадров
служба внутреннего качества и аудита

Основной назначение политики безопасности — информирование руководство и сотрудников компании от текущих требованиях о защите данных в информационной системе.

Идея политики безопасности к основным идеям относят:

назначения ценности информационных активов
управление остаточными рисками; R = H × P, где Н — оценка ущерба, Р — вероятность угрозы
управление информационной безопасностью
обоснованное доверие

Принцип безопасности — это первый шаг при создании политики, к ним относят:

Ознакомления — участники информационной системы обязаны быть ознакомлены о требованиях политики безопасности и о ответственности.
Ответственность — ложится на каждого пользователя за все его действия в информационной сети.
Этика — деятельность сотрудников компании должна быть в соответствии со стандартами этики.
Комплексность — должны учитываться все направления безопасности.
Экономическая оправданность — все действия развитии предприятия должны быть экономически оправданными.
Интеграция — все направления политики, процедур или стандартов должны быть интегрированы и скоординированы между собой.
Своевременность — все противодействия угрозам должны быть своевременны.
Демократичность — все действия по защите активов на предприятии должны быть в нормах демократии.
Аккредитация и сертификация — компания и все ее действия должны быть сертифицированы
Разделение привилегий — все права сотрудников должны быть разделены относительно их допуска к ресурсам.

Пример подхода компании Cisco Systems

Специалисты Cisco считают, что отсутствие сетевой политики безопасности приводит к серьезным инцидентам в сфере безопасности. Определение уровней угроз и типов доступа, которые нужны для каждой сети разрешает создать матрицу безопасности (табл.1). Такая матрица есть отправной точной в создании политики безопасности.

Таблица 1.

Система	Описание	Уровень риска	Типы пользователей
АТМ-коммутаторы	Основные сетевые устройства	Высокий	Сетевые администраторы
Сетевые маршрутизаторы	Сетевые устройства распределения	Высокий	Сетевые администраторы
Коммутаторы доступа	Сетевые устройства доступа	Средний	Сетевые администраторы
ISDN/dial up -серверы	Сетевые устройства доступа	Средний
Межсетевые экраны	Сетевые устройства доступа	Высокий	Администратор безопасности
Серверы DNS и ВРСЗ	Сетевые приложения	Средний	Сетевые и системные администраторы
Внешние почтовые серверы	Сетевые приложения	Низкий
Внутренние почтовые серверы	Сетевые приложения	Средний	Администраторы и пользователи
Серверы баз данных Oracle	Сетевые приложения	Средний или высокий	Администраторы баз данных и пользователи

Под предупреждением нарушений специалисты Cisco считают подтверждение модификаций в системах безопасности. К таким изменениям можно отнести:

списки контроля доступа
конфигурация межсетевых экранов
версия ПЗ
конфигурация SNMP

Также согласно RFC 2196 должна быть обработка инцидента. Обработка инцидента — алгоритм реагирования на разные ситуации. Шаги по обработке:

определения приоритета и типа атаки
анализ времени начала/конца атаки
анализ источника атаки
анализ затронутых устройств атакой
запись в журнал
действия по остановки или уменьшения последствий атаки
изолирования пострадавших участков системы
уведомление соответствующих лиц
защита доказательств атаки
восстановление работоспособности изолированных участков

Пример подхода компании Microsoft

В сеть предприятия каждый день приходит близко 8 млн. почтовых сообщений, и 6.5 млн сообщений циркулируют внутри компании. Microsoft создала стратегию безопасности, которая состоит из:

миссия корпоративной безопасности
принципы операционной безопасности
модель принятия решений, которая основана на осмотре рисков
тактическое определение приоритета работы по уменьшению рисков

Подход компании Symantec

Политика определяет, почему предприятие защищает свои данные и активы. Стандарты — что предприятие будет делать для защиты и управления безопасностью информации. Процедуры описывают, как именно предприятие будет выполнять то, что описано в документах выше стоящих. Компания Symantec описывает следующие этапы разработки политики безопасности.

Анализ и оценка информационных активов — что нужно защищать и с какими целями и задачами.
Анализ угроз безопасности — выявление источников потенциальных проблем. Анализ возможных ущербом относительно угроз.
Анализ информационных рисков — самый сложный этап, так как нужно определить вероятности угроз и сопутствующий ущерб.
Определение ответственности — выбор людей или команду которая должна заниматься такими вопросами на предприятии.
Создание комплексного документа — создание политики на основе дополнительных документов то ли законодательных то ли внутри корпоративных.
Реализация — Политика должна четко описывать механизмы реализации защитных действий.
Управление программой безопасности — область применения.

Что во внимании? Для эффективной работы политики нужно что бы:

учитывались цели бизнеса
была реальной
держала баланс между безопасностью и производительностью
все сотрудники могли ознакомится с содержимым политики
не противоречила другим документам компании и требованием законодательства
определяла четко ответственность сотрудников
была обновляемой

Вне зависимости от размеров организации и специфики ее информационной системы работы по обеспечению режима ИБ обычно состоят из следующих этапов (рисунок 1):

– определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания;

– оценка рисков;

– выбор контрмер, обеспечивающих режим ИБ;

– управление рисками;

– аудит системы управления ИБ;

– выработка политики безопасности.

DIV_ADBLOCK340">

Этап 3. Структуризация контрмер по защите информации по следующим основным уровням: административному, процедурному, программно-техническому.

Этап 4. Установление порядка сертификации и аккредитации КИС на соответствие стандартам в сфере ИБ. Назначение периодичности проведения совещаний по тематике ИБ на уровне руководства, в том числе периодического пересмотра положений политики ИБ, а также порядка обучения всех категорий пользователей информационной системы в области ИБ. Известно, что выработка политики безопасности организации – наименее формализованный этап. Однако в последнее время именно здесь сосредоточены усилия многих специалистов по защите информации.

Этап 5. Определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания. На этом этапе определяются границы системы, для которой должен быть обеспечен режим ИБ. Соответственно, система управления ИБ строится именно в этих границах. Само описание границ системы рекомендуется выполнять по следующему плану:

– структура организации. Представление существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы ;

– ресурсы информационной системы, подлежащие защите. Целесообразно рассмотреть ресурсы автоматизированной системы следующих классов: СВТ, данные, системное и прикладное ПО. Все ресурсы представляют ценность с точки зрения организации. Для их оценки должна быть выбрана система критериев и методика получения результатов по этим критериям;

· выработка принципов классификации информационных активов компании и оценивания их защищенности;

· оценка информационных рисков и управление ими;

· обучение сотрудников компании методам обеспечения ИБ, проведение инструктажей и контроль знаний и практических навыков выполнения политики безопасности сотрудниками компании;

· консультирование менеджеров компании по вопросам управления информационными рисками;

· согласование частных политик и регламентов безопасности среди подразделений компании;

· контроль работы служб качества и автоматизации компании с правом проверки и утверждения внутренних отчетов и документов;

· взаимодействие со службой персонала компании по проверке личных данных сотрудников при найме на работу;

· организация мероприятий по устранению нештатных ситуаций или чрезвычайных происшествий в области защиты информации в случае их возникновения;

Целостность информации – существование информации в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Обычно субъектов интересует обеспечение более широкого свойства – достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, т. е. ее не искаженности .

Существует различие между статической и динамической целостностью. С целью нарушения статической целостности злоумышленник может: ввести неверные данные; изменить данные. Иногда изменяются содержательные данные, иногда – служебная информация. Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т. п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

Угрозой целостности является не только фальсификация или изменение данных, но и отказ от совершенных действий. Если нет средств обеспечить "неотказуемость", компьютерные данные не могут рассматриваться в качестве доказательства. Потенциально уязвимы с точки зрения нарушения целостности не только данные, но и программы. Внедрение вредоносного ПО – пример подобного нарушения.

Актуальной и весьма опасной угрозой является внедрение руткитов (набор файлов, устанавливаемых в системе с целью изменения ее стандартной функциональности вредоносным и скрытным образом), ботов (программа, автоматически выполняющая некоторую миссию; группа компьютеров, на которой функционируют однотипные боты, называется ботсетью), потайных ходов (вредоносная программа, слушающая команды на определенных TCP-или UDP-портах) и шпионского программного обеспечения (вредоносное ПО, нацеленное на компрометацию конфиденциальных данных пользователя. Например, "троянцы" Back Orifice и Netbus позволяют получить контроль над пользовательскими системами с различными вариантами MS-Windows.

Угроза нарушения конфиденциальности

Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Иногда, в связи с угрозой нарушения конфиденциальности, используется термин "утечка".

Конфиденциальность информации – субъективно определяемая (приписываемая) характеристика (свойство) информации, указывающая н необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты их законных интересов от других субъектов информационных отношений.

Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной. Опасной нетехнической угрозой конфиденциальности являются методы морально-психологического воздействия, такие как «маскарад» – выполнение действий под видом лица, обладающего полномочиями для доступа к данным. К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например, системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя.

В настоящее время наиболее распространены так называемые «фишинговые» атаки. Фи́шинг (fishing – рыбная ловля) – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков, сервисов (Rambler, Mail. ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники. ru). Целью фишеров сегодня являются клиенты банков и электронных платёжных систем . Так например в США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках в 2009 году.