6.1.3. Політика безпеки для Internet
Щоб правильно врахувати можливі наслідки підключення до Internet потрібно відповісти на такі питання:
чи можуть хакери зруйнувати внутрішні системи?
чи може бути скомпрометована (замінена чи прочитана) важлива інформація організації при її передачі по Internet?
- чи можливо перешкодити роботі організації?
Мета політики безпеки для Internet прийняти рішення про те, як організація передбачає захищатися. Політика інформаційної безпеки, зазвичай, складається з двох частин загальних принципів і конкретних правил роботи. Загальні принципи визначають підхід до безпеки в Internet. Правила ж визначають що дозволено, а що заборонено. Правила можуть бути доповнені конкретними процедурами та різними рекомендаціями.
Система Internet при проектуванні не планувалася як захищена мережа, тому її проблемами є:
- легкість перехоплення даних і фальсифікації адрес та шин у мережі основна частина трафіка Internet це нешифровані дані. E-mail, паролі і файли можуть бути перехоплені шляхом використання доступних програм;
- вразливість засобів TCP/IP ряд засобів TCP/IP спроектовано незахищеними і це може бути скомпрометовано кваліфікованими зловмисниками; засоби, використовувані для тестування, особливо вразливі;
- відсутність політики багато сайтів сконструйовані так, що надають широкий доступ до себе з боку Internet, не враховуючи можливості зловживання цим доступом; багато сайтів дозволяють роботу більшій кількості сервісів TCP/IP, ніж їм необхідно для роботи, і не намагаються обмежити доступ до інформації про свої комп’ютери, якою можуть скористатися зловмисники;
- складність конфігурації засоби управління доступом до хосту складні; часто важко правильно сконфігурувати і перевірити складність установок. Засоби, що неправильно сконфігуровані, можуть призвести до неавторизованого доступу.
6.2. Основні напрямки захисту інформаційних систем
Для конкретної ІС політика безпеки повинна бути індивідуальною. Вона залежить від технології оброблення інформації, використовуваних програмних і технічних засобів, структури організації тощо.
Слід розглядати такі напрями захисту ІС (рис.11):
захист об’єктів інформаційної системи;
захист процесів, процедур і програм оброблення інформації;
захист каналів зв’язку;
подавлення побічних електромагнітних випромінювань;
-
контролю та управління
системою захисту.Напрямки захисту іс
Захист
об’єктів
інформаційної
системи
Захист
каналів зв’язку
Контроль та
управління
системою
захисту
Захист процесів,
процедур і програм
оброблення
інформації
Подавлення
побічних
електромагнітних випромінювань
Рис.11. Основні напрямки захисту інформаційних систем
Забезпечення захисту ІС за вказаними напрямками досягається організаційно-режимними, організаційно-технічними та організаційно-правовими заходами, здійснюваними в процесі створення і експлуатації системи.
Наскільки важливі організаційно-режимні заходи у загальному арсеналі засобів захисту, говорить уже хоча б той факт, що ні одна ІС не може функціонувати без участі обслуговувального персоналу. Окрім того, організаційно-режимні заходи охоплюють всі структурні елементи системи захисту на всіх етапах їх життєвого циклу: будівництво приміщень, проектування системи, монтаж і налагодження обладнання, випробовування і перевірка в експлуатації апаратури, оргтехніки, засобів оброблення і передавання даних.
Організаційно-режимні заходи захисту базуються на законодавчих і нормативних документах з безпеки інформації і повинні охоплювати основні шляхи збереження інформаційних ресурсів (рис.12):
обмеження фізичного доступу до об’єктів оброблення і зберігання інформації та реалізація режимних заходів;
обмеження можливості перехоплення інформації внаслідок створення фізичних полів;
обмеження доступу до інформаційних ресурсів та інших елементів системи оброблення даних шляхом встановлення правил розмежування доступу, криптографічного закриття каналів передавання даних, вживляння і знищення “закладок”;
створення твердих копій на випадок втрати масивів даних;
проведення профілактичних та інших заходів від проникнення “вірусів”.