10. Системы защиты информации

Пункт1. Что такое система на каких пирнципах основывается создание защиты системы

Система защиты информации (СЗИ) в общем виде представляет собой организованную совокупность средств, методов и мероприятий, выделяемых (предусматриваемых) в АС для решения в ней выбранных задач защиты.

Таким образом, все выделяемые для защиты информации ресурсы, должны быть объединены в единую систему, которая является функционально самостоятельной (любые вирусы попадающие в систему не должы заражать систему защиты) подсистемой ИС.

Создание систем информационной безопасности (СИБ) в ИС ос новывается на следующих принципах:

1. Системный подход к построению системы защиты, означающий оптимальное сочетание взаимосвязанных организационных программных, аппаратных, физических и других свойств, под твержденных практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации. (работа над инф, распечатка и пересылка инф.контролируется системой зашиты)

2. Принцип непрерывного развития системы. Этот принцип, яв ляющийся одним из основополагающих для компьютерных инфор мационных систем, еще более актуален для СИБ. Способы реализации угроз информации непрерывно совершенствуются, а потому обеспечение безопасности ИС не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования СИБ, непрерывном контроле, выявлении ее узких и слабых мест, потенциальных каналов утечки информации и новых способов несанкционированного доступа.

3. Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т. е. предоставление как пользователям, так и самим работникам ИС, минимума строго определенных полномочий, достаточных для выполнения ими сво их служебных обязанностей. (у оператора банка стоят только нужыне программы).

4. Полнота контроля и регистрации попыток несанкционированного доступа, т. е. необходимость точного установления иден тичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозмож ность совершения любой операции обработки информации в ИС без ее предварительной регистрации (видеокамера и системы реагирования на нарушителя), системы протоколирваония.

5. Обеспечение надежности системы защиты, т. е. невозмож ность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала.

6. Обеспечение контроля за функционированием системы защиты, т. е. создание средств и методов контроля работоспособности механизмов защиты (ответственный за работу системы).

7. Обеспечение всевозможных средств борьбы с вредоносными программами. (антивирусники)

8. Обеспечение экономической целесообразности использования системы защиты, что выражается в превышении возможного ущерба ИС от реализации угроз над стоимостью разработки и экс плуатации СИБ ( не стоит ставить дорогую систему защиты для неважной информации)

В результате решения проблем безопасности информации современные ИС должны обладать следующими основными признаками:

• наличием информации различной степени конфиденциальности;

• обеспечением криптографической защиты информации различной степени конфиденциальности при передаче данных (шифрование)

• иерархичностью полномочий субъектов доступа к программам к компонентам ИС и ИТ (к файлам-серверам, каналам связи и т. п.);

• обязательным управлением потоками информации, как в локальных сетях, так и при передаче по каналам связи на далекие расстояния (при передаче человек понял, что передавали)

• наличием механизма регистрации и учета попыток несанкционированного доступа, событий в ИС и документов, выводимых на печать;

• обязательным обеспечением целостности программного обеспечения и информации в ИТ; (контролирует сами программы которые работают с конф.инф.)

• наличием средств восстановления системы защиты информа ции;

• обязательным учетом магнитных носителей (контроль флешек)

• наличием физической охраны средств вычислительной техники и магнитных носителей (человек должен контролировать жесткие диски и должнв быть сейфы).

• наличием специальной службы информационной безопасности системы.

При рассмотрении структуры CИБ возможен традиционный подход – выделение обеспечивающих подсистем.

Система информационной безопасности, как и любая ИС, долж на иметь определенные виды собственного программного обеспече ния, опираясь на которые она будет способна выполнить свою целе вую функцию.

1. Правовое обеспечение – совокупность законодательных ак тов, нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации.

2. Организационное обеспечение. Имеется в виду, что реализация информационной безопасности осуществляется определенными структурными единицами, такими, например, как служба безопасности фирмы и ее составные структуры: режим, охрана и др.

3. Информационное обеспечение, включающее в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование СИБ. Сюда могут входить как показатели доступа, учета, хранения, так и информационное обе спечение расчетных задач различного характера, связанных с деятельностью службы безопасности.

4. Техническое (аппаратное) обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности СИБ.

5. Программное обеспечение. Имеются в виду различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и способов несанкционированного доступа к информации.

6. Математическое обеспечение – это математические методы, используемые для различных расчетов, связанных с оценкой опас ности технических средств, которыми располагают злоумышленники, зон и норм необходимой защиты.

7. Лингвистическое обеспечение – совокупность специальных языковых средств общения специалистов и пользователей в сфере обеспечения информационной безопасности. (языки программивраония для общ.с комп.)

8. Нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации; различного рода методики, обеспе чивающие деятельность пользователей при выполнении своей рботы в условиях жестких требований соблюдения конфиденциальности. Нормативно-методическое обеспечение может быть слито с правовым.

Следует отметить, что из всех мер защиты в настоящее время ведущую роль играют организационные мероприятия (выучить что это). Поэтому возникает вопрос об организации службы безопасности.

Реализация политики безопасности требует настройки средств защиты, управления системой защиты и осуществления контроля функционирования ИС. Как правило, задачи управления и контроля решаются административной группой, состав и размер которой зависят от конкретных условий. Очень часто в эту группу входят администратор безопасности, менеджер безопасности и операторы.

Рассмотрим для примера ОС Windows NT. Разработанная кор порацией Microsoft операционная система Windows NT в качестве основы ИС получила большее распространение. И конечно, хакеры всего мира обратили на нее пристальное внимание. По мере появ ления сообщений об уязвимых местах в Windows NT корпорация Microsoft быстро создает сначала заплаты (hotfixes), а затем пакеты обновления (service packs), помогающие защитить операционную систему. В результате Windows NT постоянно меняется в лучшую сторону. В частности, в ней появляется все больше возможностей для, построения сети, действительно защищенной от несанкциони рованного доступа к информации.

Лекция 19.11

Важнейшим концептуальным требованием ЗИ есть возможность приспособление при изменении структуры технологических схем или условий работы. Это связано с тем что пересичленнве факторы могут существенно меняться. А с другой стороны с тем , что процессы ЗИ являются слабо структуированнымиь ( имеющими высокий уровень неопределенности).

А управление слабоструктуированными процессами может быть эффективным только при условии адаптириемости ситемы управления.

Помимо общего концептуального требования с СЗИ системе предъявляется еще целый ряд более конкретных :

1. Функциональные ( обеспечение решения требуемой совокупности задач защиты и удовлетворение всем требованиям защиты)

2. Эргономические (минимизация помех пользователя и удобство для персонала системы защиты)

3. Экономические (минимизвция затрат на систему и максимальное использование серийных средств)

4. Технические (комплексное использование средств и оптимизация архитектуры СЗИ)

5. Организационные (структурированность всех компонентов и простота эксплуатации)

Основы архитектурного построения СЗИ:

Так как система защиты информации является функциональной подсистемой АСОД (автоматизированная система обработки данных), то ее архитектура должнв быть аналогична архитетктуре АСОД, и представлять собой функциональное организационное и структурное построение .

Функциональное построение любой системы- это организованная совокупность тех функций для регулярного осуществление которых система создается.

Организационное построение – это общая орашнизация системы адекватно оторажающая концептуальные подходы к ее созданию .

Механизмы обеспечения защиы информации выделяют два орагнизационных компонента :

1. Постоянные механизмы – механизмы, которые встраиваются в компоненты АСОД в процессе создания системы защиты информации и находятся в рабочем состоянии в течении всего времени функционирования соответствующих компонентов.

2. Переменные механизмы – являются автономными, использование их для решениязадач защиты предполагает предварительное осуществление операции ввода в состав используемых механизмо.

И встронные и переменные механизмы могут иметь в своем составе технические программные и организационные средства обеспечения защиты.

Структурное построение СЗИ:

Человеческий компонент

1. Системные программисты = управление программын обеспечением АСОД

2. Обслуживающий персонал – обеспечивает работу технических средств АСОД в том числе и системы защиты информации.

3. Администраторы банкоы данных- отвечают за организацию, введение и использование баз данных АСОД. (банки данных содержит множество баз данных и базу знаний (инф опред.области))

4. Диспетчеры и операторы- осуществляют прием информации, подготовку к ее обработке и управление средствами вычисоительной техники в процессе обработки, контроль и распределени ерезультатов обрвботки, и некотореы другие процедупы связанные с циркуляцией потоков.

5. Администрация АСОД- Обеспечивает общую огранизацию работы системы обработки в том числе системы зашиты информации .

6. Пользователи- имеюь доступ к АСОД и учавствуют в обработке информации

7. Служба ЗИ- специально создаваемая служба для организации и обеспечения ЗИ, она несет полную ответственность за защиту информации и имеет особын полномочия. Если служба зашиты в виде самостоятельного подразделения не создается то ее функции должны быть возложены на администрацию банков данных с соответствующим изменением ее организационно праввого статуса.

ЛЕКЦИЯ 26.11

Информационно-правовое обеспечение - организационные совокупности организационно технический мероприятий и организационно праввовых актов.

Организационно-технические мероприятия с однйо стороны участвуют в создании защиты.

Все средства в единые комплексы ЗИ.

Организационно правове акты являются праввой основой, которые регламентируют и регулируют работу всех элементов СЗИ.

В целом ОПО (орг.пр.обесп) служит для объединения всех компонентов в единую систему защиты.