- •1Поняття інформаційної безпеки
- •1.1Поняття інформаційної безпеки
- •1.2 Основні складові інформаційної безпеки
- •1.3Важливість і складність проблеми інформаційної безпеки
- •1.4Об'єктно-орієнтований підхід та інформаційна безпека
- •2Основні концептуальні положення системи захисту інформації
- •2.1Визначення інформації, що підлягає захисту
- •2.1.1Сфери розповсюдження державної таємниці на інформацію
- •2.1.2Комерційна таємниця
- •2.2Вимоги до захисту інформації
- •2.3Вимоги до системи захисту інформації
- •2.4Види забезпечення системи захисту інформації
- •2.5Компоненти концептуальної моделі
- •3 Найбільш поширені загрози
- •3.1Основні визначення і критерії класифікації загроз
- •3.2Найбільш поширені загрози доступності
- •3.2.1Класифікація загроз доступності
- •3.2.2Шкідливе програмне забезпечення
- •3.3Основні загрози цілісності
- •3.4Основні загрози конфіденційності
- •3.4.1Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •3.4.2Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •4Законодавчий рівень інформаційної безпеки
- •4.1Основні поняття законодавчого рівня інформаційної безпеки
- •4.2Українське законодавство
- •4.2.1Структура правових актів
- •4.2.2Страхове забезпечення
- •4.2.3Нормативно-правові документи
- •4.2.4Форми захисту інформації
- •4.2.5Захист комерційної таємниці від розголошення
- •4.2.6Правові норми забезпечення безпеки і захисту інформації
- •4.3Огляд українського законодавства у області інформаційної безпеки
- •4.4Огляд зарубіжного законодавства у області інформаційної безпеки
- •5Стандарти і специфікації у області інформаційної безпеки
- •5.1"Оранжева книга" як оціночний стандарт
- •5.1.1 Основні поняття
- •5.1.2 Механізми безпеки
- •5.1.3Класи безпеки (може в додаток)
- •5.2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •5.2.1Мережеві сервіси безпеки
- •5.2.2Мережеві механізми безпеки
- •5.2.3Адміністрування засобів безпеки
- •5.3Стандарт iso/iec 15408
- •5.3.1 Основні поняття
- •5.3.2Функціональні вимоги
- •5.3.3 Вимоги довіри безпеки
- •6Адміністративний рівень інформаційної безпеки
- •6.1Основні поняття
- •6.2Управління ризиками
- •6.3Політика безпеки
- •6.4Програма безпеки
- •6.5Синхронізація програми безпеки з життєвим циклом систем
- •7Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки
- •7.1Основні класи заходів процедурного рівня
- •7.2Управління персоналом
- •7.3Фізичний захист
- •7.4Підтримка працездатності
- •7.5Реагування на порушення режиму безпеки
- •7.6Планування відновних робіт
- •7.7Служба безпеки підприємства
- •8Основні програмно-технічні заходи
- •8.1Основні поняття програмно-технічного рівня інформаційної безпеки
- •8.2Перехоплення даних та канали витоку інформації
- •Шкідливе програмне забезпечення;
- •8.3Сервіси безпеки
- •8.4Особливості сучасних інформаційних систем, з погляду безпеки
- •8.5Архітектурна безпека
- •8.6Ідентифікація і автентифікація
- •8.6.1Основні поняття
- •8.6.2Парольна автентифікація
- •8.6.3Ідентифікація/автентифікація за допомогою біометричних даних
- •8.7Логічне управління доступом
- •8.7.1Основні поняття
- •8.7.2Ролеве управління доступом
- •8.8Протоколювання і аудит
- •8.8.1 Основні поняття
- •8.8.2Активний аудит
- •8.8.3Функціональні компоненти і архітектура
- •8.9Шифрування інформації
- •8.9.1Основні поняття
- •8.9.2Технологія шифрування мови
- •8.10Контроль цілісності
- •8.11Екрануванняі
- •8.11.1Основні поняття
- •8.11.2Архітектурні аспекти
- •8.12Аналіз захищеності
- •8.13Забезпечення високої доступності
- •8.13.1Основні поняття
- •8.13.2Поняття відмовостійкоті
- •8.13.3Основи заходів забезпечення високої доступності
- •8.13.4Відмовостійкість і зона ризику
- •8.13.5Забезпечення відмовостійкості
- •8.13.6Програмне забезпечення проміжного шару
- •8.13.7Забезпечення обслуговуємості
- •8.14Тунелювання
- •8.15Управління інформаційними системами
- •8.15.1Основні поняття
- •8.15.2Можливості типових систем
- •8.16Інженерно-технічні заходи
- •8.17Фізичні засоби захисту
- •8.17.1Охоронні системи
- •8.17.2Охоронне телебачення
- •8.17.3Охоронне освітлення та засоби охоронної сигналізації
- •8.17.4Захист елементів будинків і приміщень
- •8.18Апаратні засоби захисту
- •9Висновки
- •Література
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
7.3Фізичний захист
Безпека ІС залежить від оточення, в якому вона функціонує. Необхідно вжити заходів для захисту будівель і прилеглої території, інфраструктури, обчислювальної техніки, носіїв даних.
Основний принцип фізичного захисту, дотримання якого слід постійно контролювати, формулюється як "безперервність захисту у просторі та часі". Раніше ми розглядали поняття вікна небезпеки. Для фізичного захисту таких вікон бути не повинно.
Ми стисло розглянемо наступні напрями фізичного захисту:
фізичне управління доступом;
протипожежні заходи;
захист інфраструктури;
захист від перехоплення даних;
захист мобільних систем.
Заходи фізичного управління доступом дозволяють контролювати і при необхідності обмежувати вхід і вихід співробітників і відвідувачів, виключення можливості таємного проникнення на територію й у приміщення сторонніх осіб; забезпечення зручності контролю проходу і переміщення співробітників і відвідувачів; створення окремих виробничих зон за типом конфіденційних робіт із самостійними системами доступу; контроль і дотримання часового режиму праці і перебування на території персоналу фірми; організація і підтримка надійного пропускного режиму і контролю співробітників і відвідувачів та ін.
При проектуванні і реалізації заходів фізичного управління доступом доцільно застосовувати об'єктний підхід. По-перше, визначається периметр безпеки, що обмежує контрольовану територію. На цьому рівні деталізації важливо продумати зовнішній інтерфейс організації - порядок входу/виходу штатних співробітників і відвідувачів, внесення/винесення техніки. Все, що не входить в зовнішній інтерфейс, повинно бути інкапсульовано, тобто захищено від нелегальних проникнень.
По-друге, проводиться декомпозиція контрольованої території, виділяються об'єкти і зв'язки (проходи) між ними. При такій, глибшій деталізації слід виділити серед об'єктів найбільш критичні з погляду безпеки і забезпечити їм підвищену увагу. Декомпозиція повинна бути семантично виправданою, що забезпечує розмежування різнорідної суті, таких як устаткування різних власників або персонал, що працює з даними різного ступеня критичності. Важливо зробити так, щоб відвідувачі, по можливості, не мали безпосереднього доступу до комп'ютерів або, в крайньому випадку, поклопотатися про те, щоб від вікон і дверей не були видимим екрани моніторів і принтери. Необхідно, щоб відвідувачів на вигляд можна було відрізнити від співробітників.
Засоби фізичного управління доступом відомі давно. Це охорона, двері із замками, перегородки, телекамери, датчики руху і багато що інше. Для вибору оптимального (за критерієм вартість/ефективність) засобу доцільно провести аналіз ризиків. Крім того, є сенс періодично відстежувати появу технічних новинок в даній області, прагнучи максимально автоматизувати фізичний захист.
Професія пожежника - одна з якнайдавніших, але пожежі як і раніше трапляються і завдають великого збитку. Ми не збираємося цитувати параграфи протипожежних інструкцій або винаходити нові методи боротьби з вогнем - на це є професіонали. Відзначимо лише необхідність установки протипожежної сигналізації і автоматичних засобів пожежогасінні.
До підтримуючої інфраструктури можна віднести системи електро-, водо- і теплопостачання, кондиціонери і засоби комунікацій. У принципі, до них застосовні ті ж вимоги цілісності і доступності, що і до інформаційних систем. Для забезпечення цілісності потрібно захищати устаткування від крадіжок і пошкоджень. Для підтримки доступності слід вибирати устаткування з максимальним часом напрацювання на відмову, дублювати відповідальні вузли і завжди мати під рукою запчастини.
Перехоплення даних може здійснюватися самими різними способами. Зловмисник може підглядати за екраном монітора, читати пакети, передані по мережі, проводити аналіз побічних електромагнітних випромінювань і наведень тощо (див.розділ 8). Залишається сподіватися на повсюдне використання криптографії (що, втім, зв'язано у нас в країні з безліччю технічних і законодавчих проблем), прагнути максимально розширити контрольовану територію, розмістившись в тихому особнячку, віддалік від інших будинків, намагатися тримати під контролем лінії зв'язку (наприклад, укладати їх в надувну оболонку з виявленням проколювання), але найрозумніше, ймовірно, - постаратися усвідомити, що для комерційних систем забезпечення конфіденційності є все-таки не головним завданням.
Мобільні і портативні комп'ютери - принадний об'єкт крадіжки. Їх часто залишають без нагляду, в автомобілі або на роботі, і викрасти такий комп'ютер зовсім нескладно.
Взагалі кажучи, при виборі засобів фізичного захисту слід проводити аналіз ризиків. Так, ухвалюючи рішення про закупівлю джерела безперебійного живлення, необхідно врахувати якість електроживлення в будівлі, займаній організацією (втім, майже напевно воно виявиться поганим), характер і тривалість збоїв електроживлення, вартість доступних джерел і можливі втрати від аварій (поломка техніки, припинення роботи організації тощо). В той же час, у багатьох випадках рішення очевидні. Заходи протипожежної безпеки обов'язкові для всіх організацій. Вартість реалізації багатьох заходів (наприклад, установка звичайного замку на двері серверної кімнати) мала, або все таки явно менше, ніж можливий збиток.