- •1Поняття інформаційної безпеки
- •1.1Поняття інформаційної безпеки
- •1.2 Основні складові інформаційної безпеки
- •1.3Важливість і складність проблеми інформаційної безпеки
- •1.4Об'єктно-орієнтований підхід та інформаційна безпека
- •2Основні концептуальні положення системи захисту інформації
- •2.1Визначення інформації, що підлягає захисту
- •2.1.1Сфери розповсюдження державної таємниці на інформацію
- •2.1.2Комерційна таємниця
- •2.2Вимоги до захисту інформації
- •2.3Вимоги до системи захисту інформації
- •2.4Види забезпечення системи захисту інформації
- •2.5Компоненти концептуальної моделі
- •3 Найбільш поширені загрози
- •3.1Основні визначення і критерії класифікації загроз
- •3.2Найбільш поширені загрози доступності
- •3.2.1Класифікація загроз доступності
- •3.2.2Шкідливе програмне забезпечення
- •3.3Основні загрози цілісності
- •3.4Основні загрози конфіденційності
- •3.4.1Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •3.4.2Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •4Законодавчий рівень інформаційної безпеки
- •4.1Основні поняття законодавчого рівня інформаційної безпеки
- •4.2Українське законодавство
- •4.2.1Структура правових актів
- •4.2.2Страхове забезпечення
- •4.2.3Нормативно-правові документи
- •4.2.4Форми захисту інформації
- •4.2.5Захист комерційної таємниці від розголошення
- •4.2.6Правові норми забезпечення безпеки і захисту інформації
- •4.3Огляд українського законодавства у області інформаційної безпеки
- •4.4Огляд зарубіжного законодавства у області інформаційної безпеки
- •5Стандарти і специфікації у області інформаційної безпеки
- •5.1"Оранжева книга" як оціночний стандарт
- •5.1.1 Основні поняття
- •5.1.2 Механізми безпеки
- •5.1.3Класи безпеки (може в додаток)
- •5.2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •5.2.1Мережеві сервіси безпеки
- •5.2.2Мережеві механізми безпеки
- •5.2.3Адміністрування засобів безпеки
- •5.3Стандарт iso/iec 15408
- •5.3.1 Основні поняття
- •5.3.2Функціональні вимоги
- •5.3.3 Вимоги довіри безпеки
- •6Адміністративний рівень інформаційної безпеки
- •6.1Основні поняття
- •6.2Управління ризиками
- •6.3Політика безпеки
- •6.4Програма безпеки
- •6.5Синхронізація програми безпеки з життєвим циклом систем
- •7Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки
- •7.1Основні класи заходів процедурного рівня
- •7.2Управління персоналом
- •7.3Фізичний захист
- •7.4Підтримка працездатності
- •7.5Реагування на порушення режиму безпеки
- •7.6Планування відновних робіт
- •7.7Служба безпеки підприємства
- •8Основні програмно-технічні заходи
- •8.1Основні поняття програмно-технічного рівня інформаційної безпеки
- •8.2Перехоплення даних та канали витоку інформації
- •Шкідливе програмне забезпечення;
- •8.3Сервіси безпеки
- •8.4Особливості сучасних інформаційних систем, з погляду безпеки
- •8.5Архітектурна безпека
- •8.6Ідентифікація і автентифікація
- •8.6.1Основні поняття
- •8.6.2Парольна автентифікація
- •8.6.3Ідентифікація/автентифікація за допомогою біометричних даних
- •8.7Логічне управління доступом
- •8.7.1Основні поняття
- •8.7.2Ролеве управління доступом
- •8.8Протоколювання і аудит
- •8.8.1 Основні поняття
- •8.8.2Активний аудит
- •8.8.3Функціональні компоненти і архітектура
- •8.9Шифрування інформації
- •8.9.1Основні поняття
- •8.9.2Технологія шифрування мови
- •8.10Контроль цілісності
- •8.11Екрануванняі
- •8.11.1Основні поняття
- •8.11.2Архітектурні аспекти
- •8.12Аналіз захищеності
- •8.13Забезпечення високої доступності
- •8.13.1Основні поняття
- •8.13.2Поняття відмовостійкоті
- •8.13.3Основи заходів забезпечення високої доступності
- •8.13.4Відмовостійкість і зона ризику
- •8.13.5Забезпечення відмовостійкості
- •8.13.6Програмне забезпечення проміжного шару
- •8.13.7Забезпечення обслуговуємості
- •8.14Тунелювання
- •8.15Управління інформаційними системами
- •8.15.1Основні поняття
- •8.15.2Можливості типових систем
- •8.16Інженерно-технічні заходи
- •8.17Фізичні засоби захисту
- •8.17.1Охоронні системи
- •8.17.2Охоронне телебачення
- •8.17.3Охоронне освітлення та засоби охоронної сигналізації
- •8.17.4Захист елементів будинків і приміщень
- •8.18Апаратні засоби захисту
- •9Висновки
- •Література
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
6.3Політика безпеки
З практичної точки зору політику безпеки доцільно розглядати на трьох рівнях деталізації.
До верхнього рівня можна віднести рішення, що зачіпають організацію в цілому. Вони носять вельми загальний характер і, як правило, виходитимуть від керівництва організації. Зразковий список подібних рішень може включати наступні елементи:
рішення сформувати або переглянути комплексну програму забезпечення інформаційної безпеки, призначення відповідальних за просування програми;
формулювання цілей, які переслідує організація у області інформаційної безпеки, визначення загальних напрямів в досягненні цієї мети;
забезпечення бази для дотримання законів і правил;
формулювання адміністративних рішень з того питання реалізації програми безпеки, які повинні розглядатися на рівні організації в цілому.
Для політики верхнього рівня мети організації в області інформаційної безпеки формулюються у термінах цілісності, доступності і конфіденційності. Якщо організація відповідає за підтримку критично важливих баз даних, на першому плані може стояти зменшення числа втрат, пошкоджень або спотворень даних. Для організації, що займається продажею комп'ютерної техніки, ймовірно, важлива актуальність інформації про послуги і ціни, та її доступність максимальному числу потенційних покупців. Керівництво режимного підприємства в першу чергу піклується про захист від несанкціонованого доступу, тобто про конфіденційність.
На верхній рівень виноситься управління захисними ресурсами і координація використання цих ресурсів, виділення спеціального персоналу для захисту критично важливих систем і взаємодія з іншими організаціями, що забезпечують або контролюючими режим безпеки.
Політика верхнього рівня повинна чітко обкреслювати сферу свого впливу. Можливо, це будуть всі комп'ютерні системи організації (або навіть більше, якщо політика регламентує деякі аспекти використання співробітниками своїх домашніх комп'ютерів). Можлива, проте, і така ситуація, коли в сферу впливу включаються лише найбільш важливі системи.
У політику повинні бути визначені обов'язки посадовців по виробленню програми безпеки і проведенню її в життя. У цьому сенсі політика безпеки є основою підзвітності персоналу.
Політика верхнього рівня має справу з трьома аспектами законопокірності і виконавської дисципліни:
організація повинна дотримувати існуючі закони;
слід контролювати дії осіб, відповідальних за вироблення програми безпеки;
необхідно забезпечити певний ступінь старанності персоналу, а для цього потрібно виробити систему заохочень і покарань.
Взагалі кажучи, на верхній рівень слід виносити мінімум питань. Подібне винесення доцільно, коли воно обіцяє значну економію засобів або коли інакше поступити просто неможливо.
Британський стандарт BS 7799:1995 рекомендує включати в документ, що характеризує політику безпеки організації, наступні розділи:
ввідний, підтверджуючий заклопотаність вищого керівництва проблемами інформаційної безпеки;
організаційний, що містить опис підрозділів, комісій, груп і т.д., що відповідають за роботи у області інформаційної безпеки;
класифікаційний, що описує наявні в організації матеріальні і інформаційні ресурси і необхідний рівень їх захисту;
штатний, що характеризує заходи безпеки, вживані до персоналу (опис посад з погляду інформаційної безпеки, організація навчання і перепідготовки персоналу, порядок реагування на порушення режиму безпеки і т.п.);
розділ, який висвітлює питання фізичного захисту;
керуючий розділ, який описує підхід до управління комп'ютерами і комп'ютерними мережами;
розділ, що описує правила розмежування доступу до виробничої інформації;
розділ, що характеризує порядок розробки і супроводу систем;
розділ, що описує заходи, направлені на забезпечення безперервної роботи організації;
юридичний розділ, підтверджуючий відповідність політики безпеки чинному законодавству.
До середнього рівня можна віднести питання, що стосуються окремих аспектів інформаційної безпеки, але важливі для різних експлуатованих організацією систем. Приклади таких питань - відношення до передових (але, можливо, недостатньо перевірених) технологій, доступ в Internet (як сумістити свободу доступу до інформації із захистом від зовнішніх загроз?), використання домашніх комп'ютерів, застосування користувачами неофіційного програмного забезпечення і т.д.
Політика середнього рівня повинна для кожного аспекту освітлювати наступні теми:
Опис аспекту. Наприклад, якщо розглянути застосування користувачами неофіційного програмного забезпечення, останнє можна визначити як ПО, яке не було схвалене та/або куплене на рівні організації.
Область застосування. Слід визначити, де, коли, як, по відношенню до кого і чому застосовується дана політика безпеки. Наприклад, чи торкається політика, зв'язана з використанням неофіційного програмного забезпечення, організацій-субпідрядників? Чи зачіпає вона співробітників, що користуються портативними і домашніми комп'ютерами і вимушених переносити інформацію на виробничі машини?
Позиція організації за даним аспектом. Продовжуючи приклад з неофіційним програмним забезпеченням, можна уявити собі позиції повної заборони, виробітки процедури приймання подібного ПО тощо. Позиція може бути сформульована і в набагато більш загальному вигляді, як набір цілей, які переслідує організація в даному аспекті. Взагалі стиль документів, що визначають політику безпеки (як і їх перелік), в різних організаціях може сильно відрізнятися.
Ролі і обов'язки. У "політичний" документ необхідно включити інформацію про посадовці, відповідальні за реалізацію політики безпеки. Наприклад, якщо для використання неофіційного програмного забезпечення співробітникам потрібен дозвіл керівництва, повинно бути відомо, у кого і як його можна одержати. Якщо неофіційне програмне забезпечення використовувати не можна, слід знати, хто стежить за виконанням даного правила.
Законопокірність. Політика повинна містити загальний опис заборонених дій і покарань за них.
Точки контакту. Повинно бути відомо, куди слід звертатися за роз'ясненнями, допомогою і додатковою інформацією. Звичайно "точкою контакту" служить певний посадовець, а не конкретна людина.
Політика безпеки нижнього рівня відноситься до конкретних інформаційних сервісів. Вона включає два аспекти - цілі і правила їх досягнення, тому її деколи важко відокремити від питань реалізації. На відміну від двох верхніх рівнів, дана політика повинна бути визначена детальніше. Є багато речей, специфічних для окремих видів послуг, які не можна єдиним чином регламентувати в рамках всієї організації. В той же час, ці речі настільки важливі для забезпечення режиму безпеки, що рішення, які відносяться до них, повинні ухвалюватися на управлінському, а не технічному рівні. Приведемо декілька прикладів питань, на які слід дати відповідь в політиці безпеки нижнього рівня:
хто має право доступу до об'єктів, підтримуваним сервісом?
за яких умов можна читати і модифікувати дані?
який організований видалений доступ до сервісу?
При формулюванні цілей політики нижнього рівня можна виходити з міркування цілісності, доступності і конфіденційності, але не можна на цьому зупинятися. Її цілі повинні бути конкретнішими. Наприклад, якщо йдеться про систему розрахунку заробітної платні, можна поставити мету, щоб тільки співробітникам відділу кадрів і бухгалтерії дозволялося вводити і модифікувати інформацію. У більш загальному випадку цілі повинні зв'язувати між собою об'єкти сервісу і дії з ними.
З цілей виводяться правила безпеки, які описують, хто, що і за яких умов може робити. Чим докладніше правила, чім формальніше вони викладені, тим простіше підтримати їх виконання програмно-технічними засобами. З іншого боку, дуже жорсткі правила можуть заважати роботі користувачів, ймовірно, їх доведеться часто переглядати. Керівництву належить знайти розумний компроміс, коли за прийнятну ціну буде забезпечений прийнятний рівень безпеки, а співробітники не опиняться надмірно зв'язані. Звичайно найформальніше задаються права доступу до об'єктів зважаючи на особливу важливість даного питання.