- •1Поняття інформаційної безпеки
- •1.1Поняття інформаційної безпеки
- •1.2 Основні складові інформаційної безпеки
- •1.3Важливість і складність проблеми інформаційної безпеки
- •1.4Об'єктно-орієнтований підхід та інформаційна безпека
- •2Основні концептуальні положення системи захисту інформації
- •2.1Визначення інформації, що підлягає захисту
- •2.1.1Сфери розповсюдження державної таємниці на інформацію
- •2.1.2Комерційна таємниця
- •2.2Вимоги до захисту інформації
- •2.3Вимоги до системи захисту інформації
- •2.4Види забезпечення системи захисту інформації
- •2.5Компоненти концептуальної моделі
- •3 Найбільш поширені загрози
- •3.1Основні визначення і критерії класифікації загроз
- •3.2Найбільш поширені загрози доступності
- •3.2.1Класифікація загроз доступності
- •3.2.2Шкідливе програмне забезпечення
- •3.3Основні загрози цілісності
- •3.4Основні загрози конфіденційності
- •3.4.1Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •3.4.2Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •4Законодавчий рівень інформаційної безпеки
- •4.1Основні поняття законодавчого рівня інформаційної безпеки
- •4.2Українське законодавство
- •4.2.1Структура правових актів
- •4.2.2Страхове забезпечення
- •4.2.3Нормативно-правові документи
- •4.2.4Форми захисту інформації
- •4.2.5Захист комерційної таємниці від розголошення
- •4.2.6Правові норми забезпечення безпеки і захисту інформації
- •4.3Огляд українського законодавства у області інформаційної безпеки
- •4.4Огляд зарубіжного законодавства у області інформаційної безпеки
- •5Стандарти і специфікації у області інформаційної безпеки
- •5.1"Оранжева книга" як оціночний стандарт
- •5.1.1 Основні поняття
- •5.1.2 Механізми безпеки
- •5.1.3Класи безпеки (може в додаток)
- •5.2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •5.2.1Мережеві сервіси безпеки
- •5.2.2Мережеві механізми безпеки
- •5.2.3Адміністрування засобів безпеки
- •5.3Стандарт iso/iec 15408
- •5.3.1 Основні поняття
- •5.3.2Функціональні вимоги
- •5.3.3 Вимоги довіри безпеки
- •6Адміністративний рівень інформаційної безпеки
- •6.1Основні поняття
- •6.2Управління ризиками
- •6.3Політика безпеки
- •6.4Програма безпеки
- •6.5Синхронізація програми безпеки з життєвим циклом систем
- •7Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки
- •7.1Основні класи заходів процедурного рівня
- •7.2Управління персоналом
- •7.3Фізичний захист
- •7.4Підтримка працездатності
- •7.5Реагування на порушення режиму безпеки
- •7.6Планування відновних робіт
- •7.7Служба безпеки підприємства
- •8Основні програмно-технічні заходи
- •8.1Основні поняття програмно-технічного рівня інформаційної безпеки
- •8.2Перехоплення даних та канали витоку інформації
- •Шкідливе програмне забезпечення;
- •8.3Сервіси безпеки
- •8.4Особливості сучасних інформаційних систем, з погляду безпеки
- •8.5Архітектурна безпека
- •8.6Ідентифікація і автентифікація
- •8.6.1Основні поняття
- •8.6.2Парольна автентифікація
- •8.6.3Ідентифікація/автентифікація за допомогою біометричних даних
- •8.7Логічне управління доступом
- •8.7.1Основні поняття
- •8.7.2Ролеве управління доступом
- •8.8Протоколювання і аудит
- •8.8.1 Основні поняття
- •8.8.2Активний аудит
- •8.8.3Функціональні компоненти і архітектура
- •8.9Шифрування інформації
- •8.9.1Основні поняття
- •8.9.2Технологія шифрування мови
- •8.10Контроль цілісності
- •8.11Екрануванняі
- •8.11.1Основні поняття
- •8.11.2Архітектурні аспекти
- •8.12Аналіз захищеності
- •8.13Забезпечення високої доступності
- •8.13.1Основні поняття
- •8.13.2Поняття відмовостійкоті
- •8.13.3Основи заходів забезпечення високої доступності
- •8.13.4Відмовостійкість і зона ризику
- •8.13.5Забезпечення відмовостійкості
- •8.13.6Програмне забезпечення проміжного шару
- •8.13.7Забезпечення обслуговуємості
- •8.14Тунелювання
- •8.15Управління інформаційними системами
- •8.15.1Основні поняття
- •8.15.2Можливості типових систем
- •8.16Інженерно-технічні заходи
- •8.17Фізичні засоби захисту
- •8.17.1Охоронні системи
- •8.17.2Охоронне телебачення
- •8.17.3Охоронне освітлення та засоби охоронної сигналізації
- •8.17.4Захист елементів будинків і приміщень
- •8.18Апаратні засоби захисту
- •9Висновки
- •Література
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
8.13.7Забезпечення обслуговуємості
Заходи із забезпеченню обслуговуємості направлені на зниження термінів діагностування і усунення відмов і їх наслідків.
Для забезпечення обслуговуємості рекомендується дотримувати наступні архітектурні принципи:
орієнтація на побудову ІС з уніфікованих компонентів з метою спрощення заміни частин, що відмовили;
орієнтація на рішення модульної структури з можливістю автоматичного виявлення відмов, динамічної переконфігурації апаратних і програмних засобів і заміни компонентів, що відмовили, в "гарячому" режимі.
Динамічна переконфігурація переслідує дві основні цілі:
ізоляція компонентів, що відмовили;
збереження працездатності сервісів.
Ізольовані компоненти утворюють зону ураження реалізованої загрози. Чим менше відповідна зона ризику, тим вище обслуговуємість сервісів. Так, при відмовах блоків живлення, вентиляторів та/або дисків в сучасних серверах зона ризику обмежується компонентом, що відмовив; при відмовах процесорних модулів весь сервер може зажадати перезавантаження (що здатне викликати подальше розширення зони ризику). Очевидно, в ідеальному випадку зони ураження і ризику співпадають, і сучасні сервери, і активне мережеве устаткування, а також програмне забезпечення провідних виробників вельми близькі до цього ідеалу.
Можливість програмування реакції на відмову також підвищує обслуговуємість систем. Кожна організація може вибрати свою стратегію реагування на відмови тих або інших апаратних і програмних компонентів і автоматизувати цю реакцію. Так, в простому випадку можлива відправка повідомлення системному адміністратору, щоб прискорити початок ремонтних робіт; у складнішому випадку може бути реалізована процедура "м'якого" виключення (перемикання) сервісу, щоб спростити обслуговування.
Можливість віддаленого виконання адміністративних дій - важливий напрям підвищення обслуговуємості, оскільки при цьому прискорюється початок відновних заходів, а в ідеалі всі роботи (звичайно пов'язані з обслуговуванням програмних компонентів) виконуються у видаленому режимі, без переміщення кваліфікованого персоналу, тобто з високою якістю і в найкоротші терміни. Для сучасних систем можливість віддаленого адміністрування - стандартна властивість, але важливо поклопотатися про його практичну реалізуємість в умовах різнорідності конфігурацій (в першу чергу клієнтських). Централізоване розповсюдження і конфігурація програмного забезпечення, управління компонентами ІС і діагностування - надійний фундамент технічних заходів підвищення обслуговуємості.
Істотний аспект підвищення обслуговуємості - організація консультаційної служби для користувачів (обслуговуємість користувачів), впровадження програмних систем для роботи цієї служби, забезпечення достатньої пропускної спроможності каналів зв'язку з користувачами, зокрема в режимі пікових навантажень.
8.14Тунелювання
На наш погляд, тунелювання слід розглядати як самостійний сервіс безпеки. Його суть полягає в тому, щоб "упакувати" передану порцію даних, разом із службовими полями, в новий "конверт". Як синоніми терміну "тунелювання" можуть використовуватися "конвертування" і "обгортання".
Тунелювання може застосовуватися для декількох цілей:
передачі через мережу пакетів, що належать протоколу, який в даній мережі не підтримується (наприклад, передача пакетів IPv6 через старі мережі, що підтримують тільки IPv4);
забезпечення слабкої форми конфіденційності (в першу чергу конфіденційності трафіку) за рахунок заховання дійсних адрес і іншої службової інформації;
забезпечення конфіденційності і цілісності переданих даних при використанні разом з криптографічними сервісами.
Тунелювання може застосовуватися як на мережевому, так і на прикладному рівнях. Наприклад, стандартизовано тунелювання для IP і подвійне конвертування для пошти X.400.
Комбінація тунелювання і шифрування (разом з необхідною криптографічною інфраструктурою) на виділених шлюзах і екранування на маршрутизаторах постачальників мережевих послуг (для розділення просторів "своїх" і "чужих" мережевих адрес) дозволяє реалізувати такій важливий в сучасних умовах захисний засіб, як віртуальні приватні мережі. Подібні мережі, накладені звичайно поверх Internet, істотно дешевше і набагато безпечніше, ніж власні мережі організації, побудовані на виділених каналах. Комунікації на всьому їх протязі фізично захистити неможливо, тому краще спочатку виходити з припущення про їх уразливість і відповідно забезпечувати захист. Сучасні протоколи, направлені на підтримку класів обслуговування, допоможуть гарантувати для віртуальних приватних мереж задану пропускну спроможність, величину затримок і т.п., ліквідовуючи тим самим єдину на сьогодні реальну перевагу мереж власних.