- •1Поняття інформаційної безпеки
- •1.1Поняття інформаційної безпеки
- •1.2 Основні складові інформаційної безпеки
- •1.3Важливість і складність проблеми інформаційної безпеки
- •1.4Об'єктно-орієнтований підхід та інформаційна безпека
- •2Основні концептуальні положення системи захисту інформації
- •2.1Визначення інформації, що підлягає захисту
- •2.1.1Сфери розповсюдження державної таємниці на інформацію
- •2.1.2Комерційна таємниця
- •2.2Вимоги до захисту інформації
- •2.3Вимоги до системи захисту інформації
- •2.4Види забезпечення системи захисту інформації
- •2.5Компоненти концептуальної моделі
- •3 Найбільш поширені загрози
- •3.1Основні визначення і критерії класифікації загроз
- •3.2Найбільш поширені загрози доступності
- •3.2.1Класифікація загроз доступності
- •3.2.2Шкідливе програмне забезпечення
- •3.3Основні загрози цілісності
- •3.4Основні загрози конфіденційності
- •3.4.1Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •3.4.2Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •4Законодавчий рівень інформаційної безпеки
- •4.1Основні поняття законодавчого рівня інформаційної безпеки
- •4.2Українське законодавство
- •4.2.1Структура правових актів
- •4.2.2Страхове забезпечення
- •4.2.3Нормативно-правові документи
- •4.2.4Форми захисту інформації
- •4.2.5Захист комерційної таємниці від розголошення
- •4.2.6Правові норми забезпечення безпеки і захисту інформації
- •4.3Огляд українського законодавства у області інформаційної безпеки
- •4.4Огляд зарубіжного законодавства у області інформаційної безпеки
- •5Стандарти і специфікації у області інформаційної безпеки
- •5.1"Оранжева книга" як оціночний стандарт
- •5.1.1 Основні поняття
- •5.1.2 Механізми безпеки
- •5.1.3Класи безпеки (може в додаток)
- •5.2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •5.2.1Мережеві сервіси безпеки
- •5.2.2Мережеві механізми безпеки
- •5.2.3Адміністрування засобів безпеки
- •5.3Стандарт iso/iec 15408
- •5.3.1 Основні поняття
- •5.3.2Функціональні вимоги
- •5.3.3 Вимоги довіри безпеки
- •6Адміністративний рівень інформаційної безпеки
- •6.1Основні поняття
- •6.2Управління ризиками
- •6.3Політика безпеки
- •6.4Програма безпеки
- •6.5Синхронізація програми безпеки з життєвим циклом систем
- •7Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки
- •7.1Основні класи заходів процедурного рівня
- •7.2Управління персоналом
- •7.3Фізичний захист
- •7.4Підтримка працездатності
- •7.5Реагування на порушення режиму безпеки
- •7.6Планування відновних робіт
- •7.7Служба безпеки підприємства
- •8Основні програмно-технічні заходи
- •8.1Основні поняття програмно-технічного рівня інформаційної безпеки
- •8.2Перехоплення даних та канали витоку інформації
- •Шкідливе програмне забезпечення;
- •8.3Сервіси безпеки
- •8.4Особливості сучасних інформаційних систем, з погляду безпеки
- •8.5Архітектурна безпека
- •8.6Ідентифікація і автентифікація
- •8.6.1Основні поняття
- •8.6.2Парольна автентифікація
- •8.6.3Ідентифікація/автентифікація за допомогою біометричних даних
- •8.7Логічне управління доступом
- •8.7.1Основні поняття
- •8.7.2Ролеве управління доступом
- •8.8Протоколювання і аудит
- •8.8.1 Основні поняття
- •8.8.2Активний аудит
- •8.8.3Функціональні компоненти і архітектура
- •8.9Шифрування інформації
- •8.9.1Основні поняття
- •8.9.2Технологія шифрування мови
- •8.10Контроль цілісності
- •8.11Екрануванняі
- •8.11.1Основні поняття
- •8.11.2Архітектурні аспекти
- •8.12Аналіз захищеності
- •8.13Забезпечення високої доступності
- •8.13.1Основні поняття
- •8.13.2Поняття відмовостійкоті
- •8.13.3Основи заходів забезпечення високої доступності
- •8.13.4Відмовостійкість і зона ризику
- •8.13.5Забезпечення відмовостійкості
- •8.13.6Програмне забезпечення проміжного шару
- •8.13.7Забезпечення обслуговуємості
- •8.14Тунелювання
- •8.15Управління інформаційними системами
- •8.15.1Основні поняття
- •8.15.2Можливості типових систем
- •8.16Інженерно-технічні заходи
- •8.17Фізичні засоби захисту
- •8.17.1Охоронні системи
- •8.17.2Охоронне телебачення
- •8.17.3Охоронне освітлення та засоби охоронної сигналізації
- •8.17.4Захист елементів будинків і приміщень
- •8.18Апаратні засоби захисту
- •9Висновки
- •Література
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
8.15.2Можливості типових систем
Розвинені системи управління мають, якщо можна так виразитися, двомірну настроюваність - на потреби конкретних організацій і на зміни в інформаційних технологіях. Системи управління живуть (принаймні, повинні жити) довго. За цей час в різних прикладних областях адміністрування (наприклад, у області резервного копіювання) напевно з'являться рішення, що перевершують спочатку закладені в керуючий комплект. Останній повинен уміти еволюціонувати, причому різні його компоненти можуть робити це з різною швидкістю. Ніяка жорстка, монолітна система такого не витримає.
Єдиний вихід - наявність каркаса, з якого можна знімати старе і "навішувати" нове, не втрачаючи ефективності управління.
Каркас як самостійний продукт необхідний для досягнення принаймні таких цілей:
згладжування різнорідності керованих ІС, надання уніфікованих програмних інтерфейсів для швидкої розробки керуючих додатків;
створення інфраструктури управління, що забезпечує наявність таких властивостей, як підтримка розподілених конфігурацій, масштабованість, інформаційна безпека тощо;
надання функціонально корисних універсальних сервісів, таких як планування завдань, генерація звітів тощо.
Питання про те, що, крім каркаса, повинно входити в систему управління, є достатньо складним. Мабуть, з розвитком об'єктного підходу, багатоплатформенність найважливіших сервісів і їх взаємна сумісність, системи управління дійсно перетворяться на каркас. Поки ж на їх частку залишаються достатньо важливих областей, а саме:
управління безпекою;
управління завантаженням;
управління подіями;
управління зберіганням даних;
управління проблемними ситуаціями;
генерація звітів.
На рівні інфраструктури присутнє рішення ще однієї важливої функціональної задачі - забезпечення автоматичного виявлення керованих об'єктів, виявлення їх характеристик і зв'язків між ними.
Відзначимо, що управління безпекою в сукупності з відповідним програмним інтерфейсом дозволяє реалізувати незалежне розмежування доступу до об'єктів довільної природи і (що дуже важливо) винести функції безпеки з прикладних систем. Щоб з'ясувати, чи дозволений доступ поточною політикою, додатку досить звернутися до менеджера безпеки системи управління.
Менеджер безпеки здійснює ідентифікацію/автентифікацію користувачів, контроль доступу до ресурсів і протоколювання невдалих спроб доступу. Можна вважати, що менеджер безпеки вбудовується в ядро операційних систем контрольованих елементів ІС, перехоплює відповідні звернення і здійснює свої перевірки перед перевірками, що виконуються ОС, так що він створює ще один захисний рубіж, не відміняючи, а доповнюючи захист, що реалізовується засобами ОС.
Розвинені системи управління мають в своєму розпорядженні централізовану базу, в якій зберігається інформація про контрольовану ІС і, зокрема, деяке уявлення про політику безпеки. Можна вважати, що при кожній спробі доступу виконується перегляд збережених в базі правил, в результаті якого з'ясовується наявність у користувача необхідних прав. Тим самим для проведення єдиної політики безпеки в рамках корпоративної інформаційної системи закладається міцний технологічний фундамент.
Зберігання параметрів безпеки в базі даних дає адміністраторам ще одну важливу перевагу - можливість виконання різноманітних запитів. Можна одержати список ресурсів, доступних даному користувачу, список користувачів, що мають доступ до даного ресурсу тощо.
Одним з елементів забезпечення високої доступності даних є підсистема автоматичного управління зберіганням даних, що виконує резервне копіювання даних, а також автоматичне відстежування їх переміщення між основними і резервними носіями.
Для забезпечення високої доступності інформаційних сервісів використовується управління завантаженням, яке можна поділити на управління проходженням завдань і контроль продуктивності.
Контроль продуктивності - поняття багатогранне. Сюди входять і оцінка швидкодії комп'ютерів, і аналіз пропускної спроможності мереж, і відстежування числа одночасно підтримуваних користувачів, і час реакції, і накопичення і аналіз статистики використання ресурсів. Звичайно в розподіленій системі відповідні дані доступні "у принципі", вони поставляються точковими засобами управління, але проблема отримання цілісної картини, як поточної, так і перспективної, залишається вельми складною. Вирішити її здатна тільки система управління корпоративного рівня.
Засоби контролю продуктивності доцільно розбити на дві категорії:
виявлення випадків неадекватного функціонування компонентів інформаційної системи і автоматичне реагування на ці події;
аналіз тенденцій зміни продуктивності системи і довгострокове планування.
Для функціонування обох категорій засобів необхідно вибрати відстежувані параметри і допустимі межі для них, вихід за які означає "неадекватність функціонування". Після цього завдання зводиться до виявлення нетипової поведінки компонентів ІС, для чого можуть застосовуватися статистичні методи.
Управління подіями (точніше, повідомленнями про події) - це базовий механізм, що дозволяє контролювати стан інформаційних систем у реальному часі. Системи управління дозволяють класифікувати події і призначати для деяких з них спеціальні процедури обробки. Тим самим реалізується важливий принцип автоматичного реагування.
Очевидно, що завдання контролю продуктивності і управління подіями, рівно як і методи їх рішення в системах управління, близькі до аналогічних аспектів систем активного аудиту.