- •1Поняття інформаційної безпеки
- •1.1Поняття інформаційної безпеки
- •1.2 Основні складові інформаційної безпеки
- •1.3Важливість і складність проблеми інформаційної безпеки
- •1.4Об'єктно-орієнтований підхід та інформаційна безпека
- •2Основні концептуальні положення системи захисту інформації
- •2.1Визначення інформації, що підлягає захисту
- •2.1.1Сфери розповсюдження державної таємниці на інформацію
- •2.1.2Комерційна таємниця
- •2.2Вимоги до захисту інформації
- •2.3Вимоги до системи захисту інформації
- •2.4Види забезпечення системи захисту інформації
- •2.5Компоненти концептуальної моделі
- •3 Найбільш поширені загрози
- •3.1Основні визначення і критерії класифікації загроз
- •3.2Найбільш поширені загрози доступності
- •3.2.1Класифікація загроз доступності
- •3.2.2Шкідливе програмне забезпечення
- •3.3Основні загрози цілісності
- •3.4Основні загрози конфіденційності
- •3.4.1Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •3.4.2Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •4Законодавчий рівень інформаційної безпеки
- •4.1Основні поняття законодавчого рівня інформаційної безпеки
- •4.2Українське законодавство
- •4.2.1Структура правових актів
- •4.2.2Страхове забезпечення
- •4.2.3Нормативно-правові документи
- •4.2.4Форми захисту інформації
- •4.2.5Захист комерційної таємниці від розголошення
- •4.2.6Правові норми забезпечення безпеки і захисту інформації
- •4.3Огляд українського законодавства у області інформаційної безпеки
- •4.4Огляд зарубіжного законодавства у області інформаційної безпеки
- •5Стандарти і специфікації у області інформаційної безпеки
- •5.1"Оранжева книга" як оціночний стандарт
- •5.1.1 Основні поняття
- •5.1.2 Механізми безпеки
- •5.1.3Класи безпеки (може в додаток)
- •5.2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •5.2.1Мережеві сервіси безпеки
- •5.2.2Мережеві механізми безпеки
- •5.2.3Адміністрування засобів безпеки
- •5.3Стандарт iso/iec 15408
- •5.3.1 Основні поняття
- •5.3.2Функціональні вимоги
- •5.3.3 Вимоги довіри безпеки
- •6Адміністративний рівень інформаційної безпеки
- •6.1Основні поняття
- •6.2Управління ризиками
- •6.3Політика безпеки
- •6.4Програма безпеки
- •6.5Синхронізація програми безпеки з життєвим циклом систем
- •7Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки
- •7.1Основні класи заходів процедурного рівня
- •7.2Управління персоналом
- •7.3Фізичний захист
- •7.4Підтримка працездатності
- •7.5Реагування на порушення режиму безпеки
- •7.6Планування відновних робіт
- •7.7Служба безпеки підприємства
- •8Основні програмно-технічні заходи
- •8.1Основні поняття програмно-технічного рівня інформаційної безпеки
- •8.2Перехоплення даних та канали витоку інформації
- •Шкідливе програмне забезпечення;
- •8.3Сервіси безпеки
- •8.4Особливості сучасних інформаційних систем, з погляду безпеки
- •8.5Архітектурна безпека
- •8.6Ідентифікація і автентифікація
- •8.6.1Основні поняття
- •8.6.2Парольна автентифікація
- •8.6.3Ідентифікація/автентифікація за допомогою біометричних даних
- •8.7Логічне управління доступом
- •8.7.1Основні поняття
- •8.7.2Ролеве управління доступом
- •8.8Протоколювання і аудит
- •8.8.1 Основні поняття
- •8.8.2Активний аудит
- •8.8.3Функціональні компоненти і архітектура
- •8.9Шифрування інформації
- •8.9.1Основні поняття
- •8.9.2Технологія шифрування мови
- •8.10Контроль цілісності
- •8.11Екрануванняі
- •8.11.1Основні поняття
- •8.11.2Архітектурні аспекти
- •8.12Аналіз захищеності
- •8.13Забезпечення високої доступності
- •8.13.1Основні поняття
- •8.13.2Поняття відмовостійкоті
- •8.13.3Основи заходів забезпечення високої доступності
- •8.13.4Відмовостійкість і зона ризику
- •8.13.5Забезпечення відмовостійкості
- •8.13.6Програмне забезпечення проміжного шару
- •8.13.7Забезпечення обслуговуємості
- •8.14Тунелювання
- •8.15Управління інформаційними системами
- •8.15.1Основні поняття
- •8.15.2Можливості типових систем
- •8.16Інженерно-технічні заходи
- •8.17Фізичні засоби захисту
- •8.17.1Охоронні системи
- •8.17.2Охоронне телебачення
- •8.17.3Охоронне освітлення та засоби охоронної сигналізації
- •8.17.4Захист елементів будинків і приміщень
- •8.18Апаратні засоби захисту
- •9Висновки
- •Література
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
7Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки
7.1Основні класи заходів процедурного рівня
Ми приступаємо до розгляду заходів безпеки, які орієнтовані на людей, а не на технічні засоби. Саме люди формують режим інформаційної безпеки, і вони ж виявляються головною загрозою, тому "людський чинник" заслуговує особливої уваги.
В українських компаніях накопичений багатий досвід регламентації і реалізації процедурних (організаційних) заходів, проте річ у тому, що вони прийшли з "докомп’ютерного" минулого, тому вимагають переоцінки.
Слід усвідомити той ступінь залежності від комп'ютерної обробки даних, в яку потрапило сучасне суспільство. Без жодного перебільшення можна сказати, що необхідна інформаційна цивільна оборона. Спокійно, без нагнітання пристрастей, потрібно роз'яснювати суспільству не тільки переваги, але і небезпеки, зв'язані з використанням інформаційних технологій. Акцент слід робити не на військовій або кримінальній стороні діла, а на цивільних аспектах, пов'язаних з підтримкою нормального функціонування апаратного і програмного забезпечення, тобто концентруватися на питаннях доступності і цілісності даних.
Процедурний рівень - це регламентація виробничої діяльності і взаємин виконавців на нормативно-правовій основі, що виключає чи істотно утрудняє неправомірне оволодіння конфіденційною інформацією і прояв внутрішніх і зовнішніх загроз.
На процедурному рівні можна виділити наступні класи заходів:
управління персоналом;
фізичний захист;
підтримка працездатності;
реагування на порушення режиму безпеки;
планування відновних робіт.
7.2Управління персоналом
Управління персоналом починається з складання опису посади, а потім з прийому нового співробітника на роботу. Вже на даному етапі бажано підключити до роботи фахівця з інформаційної безпеки для визначення комп'ютерних привілеїв, що асоціюються з посадою. Існує два загальні принципи, які слід мати на увазі розділення обов'язків та мінімізація привілеїв.
Принцип розділення обов'язків зобов’язує так розподіляти ролі і відповідальність, щоб одна людина не могла порушити критично важливий для організації процес. Наприклад, небажана ситуація, коли крупні платежі від імені організації виконує одна людина. Надійніше доручити одному співробітнику оформлення заявок на подібні платежі, а іншому - завіряти ці заявки. Інший приклад - процедурні обмеження дій суперкористувача. Можна штучно "розщепнути" пароль суперкористувача, повідомивши першу його частину одному співробітнику, а другу - іншому. Тоді критично важливі дії з адміністрування ІС вони зможуть виконати тільки удвох, що знижує вірогідність помилок і зловживань.
Принцип мінімізації привілеїв наказує виділяти користувачам тільки ті права доступу, які необхідні їм для виконання службових обов'язків. Призначення цього принципу очевидне - зменшити збиток від випадкових або умисних некоректних дій.
Попереднє складання опису посади дозволяє оцінити її критичність і спланувати процедуру перевірки і відбору кандидатів. Чим відповідальніше посада, тим ретельніше потрібно перевіряти кандидатів: навести довідки про них, мабуть, поговорити з колишніми товаришами по службі тощо. Подібна процедура може бути тривалою і дорогою, тому немає сенсу додатково ускладнювати її. В той же час, безрозсудно і зовсім відмовлятися від попередньої перевірки, щоб випадково не прийняти на роботу людини з кримінальним минулим або психічним захворюванням.
Коли кандидат визначений, він, ймовірно, повинен пройти навчання; принаймні, його слід детально ознайомити із службовими обов'язками, а також з нормами і процедурами інформаційної безпеки. Бажано, щоб заходи безпеки були їм засвоєні до вступу на посади і до введення його системного рахунку з вхідним ім'ям, паролем і привілеями.
З моменту введення системного рахунку починається його адміністрування, а також протоколювання і аналіз дій користувача. Поступово змінюється оточення, в якому працює користувач, його службові обов'язки і т.п. Все це вимагає відповідної зміни привілеїв. Технічну складність представляють часові переміщення користувача, виконання їм обов'язків замість співробітника, що пішов у відпустку, і інші обставини, коли повноваження потрібно спочатку надати, а через деякий час узяти назад. У такі періоди профіль активності користувача різко міняється, що створює труднощі при виявленні підозрілих ситуацій. Певну акуратність слід дотримувати і при видачі нових постійних повноважень, не забуваючи ліквідовувати старі права доступу.
Ліквідація системного рахунку користувача, особливо у разі конфлікту між співробітником і організацією, повинна проводитися максимально оперативно (в ідеалі - одночасно із сповіщенням про покарання або звільнення). Можливо і фізичне обмеження доступу до робочого місця. Зрозуміло, якщо співробітник звільняється, у нього потрібно прийняти все його комп'ютерне господарство і, зокрема, криптографічні ключі, якщо використовувалися засоби шифрування.
До управління співробітниками примикає адміністрування осіб, що працюють за контрактом (наприклад, фахівців фірми-постачальника, що допомагають запустити нову систему). Відповідно до принципу мінімізації привілеїв, їм потрібно виділити рівно стільки прав, скільки необхідно, і вилучити ці права відразу після закінчення контракту. Проблема, проте, полягає в тому, що на початковому етапі впровадження "зовнішні" співробітники адмініструватимуть "місцевих", а не навпаки. Тут на перший план виходить кваліфікація персоналу організації, його здатність швидко навчатися, а також оперативне проведення учбових курсів. Важливі і принципи вибору ділових партнерів.
Іноді зовнішні організації приймають на обслуговування і адміністрування відповідальні компоненти комп'ютерної системи, наприклад, мережеве устаткування. Нерідко адміністрування виконується у видаленому режимі. Взагалі кажучи, це створює в системі додаткові вразливі місця, які необхідно компенсувати посиленим контролем засобів видаленого доступу або, знову-таки, навчанням власних співробітників.
Ми бачимо, що проблема навчання - одна з основних з погляду інформаційної безпеки. Якщо співробітник не знайомий з політикою безпеки своєї організації, він не може прагнути до досягнення сформульованої в ній мети. Не знаючи заходів безпеки, він не зможе їх дотримувати. Навпаки, якщо співробітник знає, що його дії протоколюються, він, можливо, утримається від порушень.