Корпоративные информационные системы

ных компаний. Так, она предопределила создание поистине супертранснациональных монополий (ABB, Boeing, Airbus, Intel и др.), которые установили контроль над более 75 % мирового рынка в областяхсвоей специализации.

3.6.2. Информационная безопасность виртуального предприятия

Для виртуального предприятия, действующего в рамках единого информационного пространства, информационные ресурсы играют определяющую роль, поэтому обеспечение их безопасности является важнейшей задачей.

Задачи обеспечения информационной безопасности в CALSсистемах близки к аналогичным задачам в других автоматизированных системах обработки информации, для решения которых в настоящий момент уже существует законодательная и нормативная база, а также организационно-технические решения. Тем не менее вотличие от защиты информации (ЗИ) в отдельной организации защита информации в виртуальном предприятии имеет свою специфику. Вкачествеглавныхособенностейможноуказать:

♦географически распределенную структуру;

♦разнородность используемых программно-технических

решений;

♦необходимость защиты информации и интеллектуальной собственности, принадлежащей нескольким владельцам.

Под информационной безопасностью виртуального предприятия понимается состояние защищенности его интересов от существующих и вероятных внешних и внутренних угроз информационным ресурсам.

Информационными ресурсами являются:

♦технические средства автоматизации (компьютерная техника и средства связи);

♦электронные носители всех видов;

♦информация в виде файлов и баз данных на электронных носителях;

♦хранилища машиночитаемых и бумажных носителей (архивы и библиотеки) знания персонала.

151

Цель мер по обеспечению информационной безопасности– сократить возможный экономический и моральный ущерб предприятия, связанныйсповреждениемилинеправомерным использованием информационных ресурсов. Обеспечение информационной безопасности представляет собой сложный комплекс технических, юридических и организационных проблем. Основой для системного решения задач обеспечения информационной безопасности являются анализ возможных рисков, политика информационной безопасности и план обеспеченияинформационнойбезопасности.

Анализ рисков – первый и необходимый этап в решении задачи ЗИ и проводится с целью выявления перечня потенциально возможных угроз интересам предприятия, событий и возможного ущерба, которые могут возникнуть в результате реализации таких рисков. На основе результатов анализа рисков разрабатывается политика безопасности – документ, содержащий принципы деятельности предприятия в отношении проблем ИБ.

Политика безопасности содержит ранжированный перечень угроз, принимаемых во внимание, классификацию защищаемых информационных ресурсов, определяет желаемый уровень защищенности, описывает организационные решения, необходимые для решения задач ИБ. На основе утвержденной политики безопасности разрабатывается план обеспечения информационной безопасности, содержащий конкретные организационно-технические решения ипланы работпоихвнедрению иреализации.

3.6.3.Задачи обеспечения информационной безопасности в CALS-системах

Одной из важных задач АС является обеспечение надежности передаваемой, хранимой и обрабатываемой информации. Надежность информации в АС – это интегральный показатель, характеризующий качество информации с точки зрения:

–физической целостности, т.е. наличия или отсутствия искаженийилиуничтоженияэлементовэтой информации;

–доверия к информации, т.е. наличия или отсутствия в ней подмены (несанкционированной модификации) её элементов при сохранении целостности;

152

–безопасности информации, т.е. наличия или отсутствия несанкционированного получения её лицами или процессами, не имеющими на это соответствующих полномочий;

–уверенности в том, что переданные или проданные владельцем программы или элементы баз (массивов) данных не будут размножаться (копироваться, тиражироваться) и использоваться без его санкции.

Задачами обеспечения информационной безопасности и соответственно функциями системы обеспечения информационной безопасности (СОИБ) являются:

1)пресечение и выявление попыток уничтожения или подмены (фальсификации) информации;

2)пресечение и выявление попыток несанкционированной модификации информации;

3)пресечение и выявление попыток несанкционированного получения информации;

4)пресечение и выявление попыток несанкционированного распространения или размножения информации;

5)ликвидация последствий успешной реализации перечисленных угроз;

6)выявление и нейтрализация проявившихся и потенциально возможных дестабилизирующих факторов и каналов утечки информации;

7)выявление и нейтрализация причин проявления дестабилизирующих факторов и возникновения каналов утечки информации;

8)определение лиц, виновных в проявлении дестабилизирующих факторов и возникновении каналов утечки информации,

ипривлечение их к определенного вида ответственности.

3.6.4. Технологии построения защищенной сети виртуального предприятия

Основой единого информационного пространства виртуального предприятия является совокупность сетей входящих в него организаций и открытых сетей общего пользования – Интернет. Соответственно, необходимо обеспечить:

1) защиту сетей внутри организаций;

153

2)управление доступом во внутренние сети организаций из открытых сетей;

3)управлениедоступомизвнутреннихсетейвоткрытыесети;

4)безопасный обмен данными между внутренними сетями организаций через открытые сети.

Для защиты от несанкционированного доступа (НСД) к данным в рамках локальной сети организации и отдельных компьютерах применяются специальные программно-технические средства, обеспечивающие управление доступом к данным на основе имеющихсяу пользователейполномочий.

Базовый набор функций комплекса средств защиты от НСД включает в себя:

–идентификацию и аутентификацию (проверку принадлежности субъекту доступа предъявленного идентификатора) пользователя вначале сеанса работы;

–обеспечение доступа к данным и возможности запуска программ в соответствии с заданным списком полномочий и разрешений;

–контроль целостности используемого программного обеспечения иданных;

–протоколирование выполняемых действий.

Часть упомянутых функций выполняют некоторые современные операционные системы (ОС) компьютеров, например Microsoft Windows/NT, но могут и почти полностью отсутствовать, например в Microsoft Windows-95, и в этом случае должны обеспечиваться дополнительными средствами.

Идентификация и аутентификация пользователей может выполняться путем ввода имени и пароля, использования смарт-карт (интеллектуальных пластиковых карт) и средств считывания данных с карт, подключаемых к компьютеру, специальных жетонов (token), хранящих уникальный код, и т.д. В особо ответственных приложениях применяются средства идентификации, основанные на распознавании физических характеристик субъекта доступа (голоса, отпечатка пальца, радужнойоболочки глазаи др.).

Основной проблемой обеспечения эффективной работы средств защиты от НСД является создание правильных и полных описаний полномочий пользователей, необходимых для выполнения служебных обязанностей. В процессе работы сотрудники

154

организации выполняют различные функции, каждая из которых требует доступа к разным наборам данных и программ.

Требуется трудоемкий и кропотливый анализ всех выполняемых сотрудниками функций, для того чтобы определить их полномочия и правильно отрегулировать средства доступа к данным. При этом следует принимать во внимание, что любая организация подвержена изменениям и функции сотрудников нередко меняются и перераспределяются, что требует повторной перенастройки средств защиты.

Наиболее радикальным подходом является использование в качестве инструмента управления полномочиями сотрудников моделей бизнес-процессов, выполняемых в организации. Функциональная модель бизнес-процессов является обозримым, про- граммно-поддерживаемым описанием, содержащим, в частности, сведения обо всех информационных объектах, к которым сотрудник должен иметь доступ в процессе работы. Отбирая полученные данные в подмножества, связанные с должностными обязанностями конкретных лиц или рабочими местами, можно автоматически подготовить конфигурационные файлы для настройки средств защиты от НСД, установленных на рабочих местах.

В этом смысле модель является основой для автоматизации настройки средств безопасности. Происходящие в организации изменения вводятся в модель и соответственно отображаются

внастройке средств безопасности. Например, для того чтобы на время отпуска заменить одного сотрудника другим, необходимо

вописании операции поменять идентификатор сотрудника, при этом полномочия отсутствующего сотрудника будут автоматически переданы работающему.

Защита от несанкционированного доступа во внутреннюю сеть организации из открытой сети представляет собой отдельную задачу, для решения которой применяются межсетевые экраны (firewall). По сути, это устройство (или группа устройств), располо-

женное между внутренней (защищаемой) сетью и Интернетом ивыполняющее задачи по ограничению проходящего через него трафика, регистрации информации о трафике, пресечению попыток несанкционированного доступа при попытке подключиться к ресурсам внутренней сети (аутентификация пользователей) и т.д. При этом данное устройство обеспечивает «прозрачный» доступ

155

пользователей внутренней сети к службам Интернета и доступ извне (то есть из сети Интернет) к ресурсам ИС предприятия для зарегистрированных во внутренней сети пользователей.

Особо необходимо рассмотреть вопросы обеспечения антивирусной безопасности (АВБ) компьютерной системы предприятия. Возможность вирусного заражения является одной из серьезных угроз, которой могут подвергнуться программы и данные пользователей. Типичными путями попадания вирусов в компьютерную сеть являются:

♦электронные носители информации (флоппи-диски, ком- пакт-диски, накопителя типа Zip, Jazz и т.д.);

♦бесплатное программное обеспечение, полученное через Web или FTP и сохраненное на локальной рабочей станции;

♦удаленные пользователи, которые соединяются с сетью через модем и получают доступ к файлам сервера;

♦электронная почта, содержащая в сообщениях присоединенные файлы документов (Word) или электронных таблиц (Excel), которые могут содержать в себе макровирусы.

Таким образом, для того чтобы защитить корпоративную сеть от проникновения вирусов или разрушительных программ, необходимо следить за возможными точками проникновения вирусов, к которым относятся: шлюзы Интернета, файловые серверы, серверы средств групповой работы и электронной почты, рабочие станции пользователей.

Следует отметить, что решение проблемы АВБ не сводится

кустановке антивирусных программ на каждый компьютер. Средства АВБ нуждаются в правильной настройке и регулярном обновлении таблиц вирусных сигнатур. Поскольку корпоративная компьютерная сеть может иметь очень сложную структуру, стоимость обслуживания сети и поддержки средств АВБ катастрофически растет вместе с ростом числа подключенных рабочих станций.

Одним из основных путей снижения затрат является применение средств централизованного управления средствами АВБ. Средства централизованного управления позволяют администратору безопасности со своего рабочего места контролировать все возможные точки проникновения вирусов и управлять всеми средствами АВБ, перекрывающими эти точки.

156

Для того чтобы эффективно защищать корпоративную сеть, средства АВБ должны удовлетворять целому ряду требований:

♦способность обнаруживать большинство известных и неизвестныхвирусов, атакжеразрушительных программ;

♦способность производителя средств АВБ быстро выпускать новые модификации при появлении новых вирусов;

♦качественная и квалифицированная поддержка;

♦функциональная полнота, способность контролировать все точки потенциального прониковения в сеть;

♦удобные средства управления;

♦наличие средств оповещения о попытках вирусного за-

ражения;

♦высокая производительность и др.

3.6.5. Комплексное решение проблем антивирусной безопасности

Нормативно-правовое обеспечение информационной безопасности в России, деятельность, связанная с обеспечением информационной безопасности, должна осуществляться на основе действующих Законов РФ и других нормативных актов. Основные нормативныедокументы, касающиеся даннойобласти, приведеныниже.

Документы, регламентирующие деятельность в области защиты информации

Законы Российской Федерации:

1.«О государственной тайне» от 21.07.93 № 5485-1.

2.«Об информации, информатизации и защите информа-

ции» от 25.01.95 № 24-ФЗ.

3.«О федеральных органах правительственной связи и ин-

формации» от 19.02.93 № 4524-1.

4.«Осертификациипродукциииуслуг» от10.06.93 №5151-1.

5.«О связи» от 16.02.95 № 15-ФЗ.

6.«О защите прав потребителей» от 07.02.92 № 2300-1.

7.«Об авторском праве и смежных правах» от 09.07.93

№5352-1.

8.«Патентный закон Российской Федерации» от 23.09.92

№3519-1.

157

9.«О стандартизации» от 10.06.93 № 5154-1.

10.«О рекламе» от 18.07.95 № 108-ФЗ.

11.«О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1.

12.«О правовой охране топологии интегральных микро-

схем» от 23.09.92 № 3526-1.

13. «Об участии в международном информационном обме-

не» от 04.07.96 № 85-ФЗ.

УказыираспоряженияПрезидентаРоссийскойФедерации:

1.«О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3.04.95 № 334.

2.Распоряжение Президента Российской Федерации «О контроле за экспортом из Российской Федерации отдельных видов сырья, материалов, оборудования, технологий и научно-технической информации, которые могут быть применены при создании вооружения ивоенной техники» от11.02.94 №74-рп.

3.Постановление Правительства РСФСР «О перечне сведений, которыенемогутсоставлятькоммерческуютайну» от5.12.91 №35.

Постановления Правительства Российской Федерации:

1.«О лицензировании отдельных видов деятельности» от

24.12.94№ 1418.

2.«О лицензировании и квотировании экспорта и импорта товаров (работ, услуг) на территории Российской Федерации»

от 06.11.92 № 854.

3.«О поставках продукции и отходов производства, свободная реализация которых запрещена» от 10.12.92 № 959.

4.«О внесении дополнений и изменений в постановления Правительства Российской Федерации от 06.11.92 № 854 и от

10.12.92№ 959» от 15.04.94 № 331.

5.«Об утверждении Положения о порядке контроля за экспортом из Российской Федерации отдельных видов сырья, материалов, оборудования, технологий и научно-технической информации, которые могутбытьприменены присозданиивооружения ивоенной техники» от10.03.94 №197.

6.«О мерах по совершенствованию государственного регулирования экспорта товаров и услуг» от 01.07.94 № 758.

158

7.«О лицензировании деятельности предприятий, учреждений и организация по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) услуг по защите государственной тайны» от

15.04.95№ 333.

8.«О сертификации средств защиты информации» от

26.06.95 № 608.

Иные нормативные акты:

1. «Система сертификации средств криптографической защиты информации защиты информации» РОСС.RU.0001.030001 от

15.11.93.

2.«Правила по проведению сертификации в Российской Федерации» от 16.02.94 № 3.

3.«Положение о государственном лицензировании деятельности в области защиты информации» от 27.04.94 № 10.

4.«Положение об испытательном центре (лаборатории) средств криптографической защиты информации, аккредитованном ФАПСИ на испытания средств криптографической защиты информации по требованиям безопасности информации».

5.«Положение о лицензировании деятельности в области связи в Российской Федерации».

6.«Временное положение об аттестационном центре ФАПСИ, аккредитованном на проведение работ в области защиты информации».

7.Организационно-методические и руководящие документы Государственной технической комиссии при Президенте Российской Федерации.

8.Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. М. Воениздат, 1992.

9.Гостехкомиссия России. Руководящий документ. Защита

от несанкционированного доступа к информации. Термины

иопределения. М.: Воениздат, 1992.

10.Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступак информации. Показателизащищенности. М.: Воениздат, 1992.

159

11.Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем

итребования по защите информации. М.: Воениздат, 1992.

12.Гостехкомиссия России. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники. М.: Воениздат, 1992.

Общая координация работ и разработка научно-технической политики в данной области возложены на Федеральное агентство правительственной связи и информации при Президенте РФ (ФАПСИ) и Государственную техническую комиссию (ГТК) при Президенте РФ.

Следует подчеркнуть, что в соответствии с действующими нормативными актами применяемые средства и решения защиты информации должны иметь сертификаты ГТК или ФАПСИ, а организации, осуществляющие их разработку, поставку и внедрение, – лицензии на данный вид деятельности.

3.7.ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ КИС

Втечение ближайших двух лет могут случиться широкомасштабные взломы систем безопасности web-служб. Последствия будут гораздо более серьезными, чем уничтоженные web-сайты или похищенные кредитные карты, как это случалось в начале эпохи электронной коммерции. Теперь мы можем столкнуться с тем, что будут остановлены автоматизированные поточные линии, опустошаться банковские счета, разрываться цепочки поставок длиной

всотни компаний. Секреты фирм, внутренняя корпоративная информация окажутся под угрозой раскрытия», – говорит председатель совета директоров и исполнительный директор DataPower Technology Евгений Кузнецов.

На сегодняшний день в сфере компьютерной безопасности существует два принципиально разных подхода к защите от проникновений в корпоративные сети. Первый и более старый из них это IDS (Intrusion Detection Systems – IDS). IDS – это система,

160