Лекции КЗИ / Лекция_КЗИ_full
.pdfКомплексная безопасность объектов связи, роль и место информационной безопасности в ее обеспечении
Концентрация больших объемов обобщенной и систематизированной информации в автоматизированных системах обработки информации (АСОИ) предприятий привели к увеличению вероятности утечки конфиденциальных сведений, а значит и к необходимости принятия мер по обеспечению безопасности информации.
Анализ состояния дел в области информационной безопасности показывает, что к настоящему времени сложилась достаточно четко очерченная система концептуальных взглядов на обеспечение информационной безопасности государства в целом и его организаций и предприятий в отдельности.
Тем не менее, злоумышленные действия над информацией не только не уменьшаются, но имеют достаточно устойчивую тенденцию к росту. Дело в том, что информационные технологии бурно развиваются, доставляя их обладателям новые заботы ввиду появления новых точек вероятных атак. Одновременно совершенствуются средства и способы несанкционированного доступа к информации, ее искажения, уничтожения или внедрения ложной.
В связи с этим появляется необходимость в постоянном совершенствовании способов и средств защиты информации. Причем эта задача должна решаться в темпе, опережающем развитие средств нападения.
Задачи информационной безопасности
Система информационной безопасности должна тешать следующие
задачи:
1.Предотвращение утечки, хищения, утраты, искажения, подделки информации;
2.Предотвращение угроз безопасности личности, общества, государства;
3.Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
4.Предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
5.Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
6.Сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
7.Обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Цели защиты информации
Рекомендации по защите информации
Рекомендации по защите информации можно свести к следующим:
•все сотрудники подписывают обязательство о неразглашении сведений в качестве условия приема на работу;
•сотрудникам не разрешается приносить программные средства, а также выносить компьютерные диски и другие магнитные носители с предприятия;
•существует и действует исходный план информационной безопасности, обеспеченный соответствующим персоналом и ресурсами;
•обучение всех работников мерам безопасности проводится как минимум раз в полгода;
•организация проводит квалифицированный анализ факторов риска и имеет план экстренного реагирования и план ликвидации последствий;
•все пользователи компьютерных систем имеют пароли, составленные методом случайной генерации, которые периодически меняются;
•все случаи нарушения безопасности тщательно расследуются и докладываются высшему руководству;
•проводится проверка предыдущей деятельности всех сотрудников;
•на каждом объекте существует программа контроля действий посетителей;
•существуют специальные методики при приеме граждан на работу;
•безопасность каждого объекта проверяется каждые двенадцать месяцев.
Основные понятия и определения обеспечения информационной безопасности
Под безопасностью информации понимается исключение возможности ознакомления, изменения или уничтожения лицами, не имеющими на это права, прекращения или затруднения доступа к ней законных пользователей, а также утечки при использовании специальных устройств съема информации.
Под защитой информации понимается комплекс мероприятий, направленных на обеспечение ее конфиденциальности и целостности, а также доступности для пользователей.
Конфиденциальность – свойство, характеризующее содержание критичной информации, доступ к которой ограничен узким кругом пользователей.
Целостность – свойство, характеризующее возможность обеспечения неизменности заранее определенных качеств и вида (формы представления) информации в условиях случайных и преднамеренных воздействий.
Доступность – свойство, определяющее возможность допущенного пользователя воспользоваться необходимой ему информацией в месте и время, в котором и когда она ему необходима.
Цели защиты информации
Не менее важным является понимание целей защиты информации. Правильное целеполагание определяет правильность выбора показателей эффективности, а значит гарантирует успех при создании системы защиты информации. Косвенно правильная трактовка целей защиты информации в будущем обеспечит тесное взаимодействие представителей службы информационной безопасности и других подразделений.
При формулировке цели необходимо исходить из того, что система информационной безопасности решает обеспечивающие задачи в интересах нормального функционирования предприятия и его системы управления.
Исходя из того, что основная задача предприятия получение прибыли на основе реализации услуг или выпуска продукции, конечная или опосредованная цель защиты информации является сведение к минимуму потерь в управлении, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.
Основные задачи информационной безопасности
Основными задачами информационной безопасности являются:
•своевременное выявление и устранение угроз информационной безопасности, причин и условий, способствующих нанесению финансового, материального и морального ущерба;
•создание механизма оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании предприятия;
•пресечение посягательств на ресурсы и угроз персоналу на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
•создание условий для максимально возможного возмещения наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения информационной безопасности на достижение целей организации.
Приведенная совокупность определений достаточна для формирования общего, пока еще абстрактного взгляда на построение системы информационной безопасности. Для уменьшения степени абстракции и формирования более детального замысла необходимо знание основных принципов организации системы информационной безопасности.
Типичные проблемы обеспечения информационной безопасности
Многолетний опыт свидетельствует о том, что существует некая взаимосвязанная цепочка проблем ИБ, которые необходимо решать.
Во-первых, важно убедить руководство в необходимости защиты информации, представляющей интеллектуальную собственность предприятия. Если убеждения не помогают, то специалист по ИБ может обратиться к руководителя верхнего уровня.
Во-вторых, после того, как руководство готово к решению информационных проблем, необходимо навести обычный порядок на предприятии, который независимо от или совместно с будущей системой ИБ позволит в значительной мере снизить потери предприятия. Говорят, прежде, чем автоматизировать какой-либо процесс, необходимо правильно его организовать.
В-третьих, круг лиц, ответственных за решение проблем информационной безопасности, должен быть соответствующим образом профессионально подготовлен в силу своих функциональных обязанностей. Высокий уровень подготовки позволит не только грамотно решать проблемы, но и «удешевлять» работы по созданию системы ИБ за счет выполнения части операций собственными силами, профессиональной ориентации в мире средств защиты информации от возможных угроз и владения методическим аппаратом построения и управления подобными системами.
Преимущества обработки информации в сетях ЭВМ оборачиваются сложностями ее защиты. Чем совершеннее становятся информационные технологии, тем больше проблем они доставляют с точки зрения ИБ. В связи с этим и на состояние рынка средств защиты оказывают влияние следующие особенности развития информационных технологий :
•сегодня объектом защиты, как правило, является совокупность территориально разнесенных связанных между собой сетей;
•применение нескольких операционных систем на предприятии существенно затрудняет обеспечение безопасности автоматизированной системы;
•АСОИ рассчитаны на долгую жизнь, поэтому необходимо длительное сопровождение программных и аппаратных средств защиты информации;
•усложнение способов информационного взаимодействия между пользователями диктует необходимость использования средств криптозащиты;
•особое внимание следует уделять вопросам удобства управления существующими и дополнительными механизмами защиты;
•создание систем защиты требует больших материальных затрат и усилий большего количества программистов и руководства их деятельностью.
Основные направления обеспечения информационной безопасности
Главное направление в решении проблем ИБ – это интеграция всех средств предприятия в единый автоматизированный комплекс безопасности.
Интеграция рассматривается в двух аспектах:
•интеграция различных технологий безопасности между собой, например, интеграция межсетевого экрана с VPN шлюзом и транслятором IP адресов;
•интеграция средств защиты с остальными элементами сети — операционными системами, маршрутизаторами, службами каталогов и т. п.
Для реализации этого направления необходимо:
•максимальное снижение влияния «человеческого фактора» в процессе эксплуатации, обнаружении и разрешении проблем на объекте защиты;
•автоматизация управления средствами ИБ предприятия, создание интеллектуальных информационных технологий подготовки и принятия решений сотрудниками службы ИБ;
•распределение «интеллекта» в системе информационной безопасности;
•переход к упреждающей стратегии обеспечения ИБ;
•рациональное распределение ресурсов в интересах решения задач обработки информации и ее защите;
•отказ от шкалы классов безопасности и смещение акцента на адаптивность подхода к формированию требований путем введения профилей защиты, позволяющих определять необходимый и достаточный набор требований для каждого типа информационной технологии с учетом условий применения.