курсак

32

–защита объектов информационных систем

–защита процессов и программ

–защита каналов связи

–ПЭМИН

–управление системой защиты

Рисунок 1.24 – Графическое представление степени выполнения требований

Обобщенный показатель уровня защищенности (качественный и количественный) представим в табл. 1.9.

Таблица 1.9 – Обобщённый показатель защищённости

В табл. 1.10 и табл. 1.11 представлены матрицы количественных и качественных оценок уровня защищенности, позволяющие наглядно оценить степень выполнения требований по защите информации.

Таблица 1.10 – Матрица количественных оценок

34

Таблица 1.11 – Матрица качественных оценок

ВЫВОДЫ

По результатам выполнения расчёта оценки качества СЗИ на основе матрицы безопасности можно сделать следующие выводы:

а) Лучший показатель этапа – 7 (осуществление контроля и управления системой – 0,19).

б) Лучший показатель в блоке направления – 4 (Защита каналов связи 030, средства 004 – 0,24).

в) При анализе качественной оценки недостаточный уровень защиты мы получили для нескольких этапов:

– Определение информации подлежащей защите (0,17).

г) При анализе направлений и основ защиты недостаточный уровень защиты мы получили для направлений:

– Защита каналов связи – база 001 (0,14). Защита каналов связи

Для защиты данных, передаваемых по указанным каналам связи, необходимо использовать соответствующие средства криптографической защиты. Криптопреобразования могут осуществляться как на прикладном уровне (или на уровнях между протоколами приложений и протоколом TCP/IP), так и на сетевом (преобразование IP-пакетов).

В первом варианте шифрование информации, предназначенной для транспортировки по каналу связи через неконтролируемую территорию, должно осуществляться на узле-отправителе (рабочей станции – клиенте или сервере), а расшифровка – на узле-получателе. Этот вариант предполагает внесение существенных изменений в конфигурацию каждой взаимодействующей стороны (подключение средств криптографической защиты к прикладным программам или коммуникационной части операционной системы), что, как правило, требует больших затрат и установки соответствующих средств защиты на каждый узел локальной сети. К решениям данного варианта относятся протоколы SSL, S- HTTP, S/MIME, PGP/MIME, которые обеспечивают шифрование и цифровую подпись почтовых сообщений и сообщений, передаваемых с использованием протокола http.

Второй вариант предполагает установку специальных средств, осуществляющих криптопреобразования в точках подключения локальных сетей и удаленных абонентов к каналам связи (сетям общего пользования), проходящим

36

по неконтролируемой территории. При решении этой задачи необходимо обеспечить требуемый уровень криптографической защиты данных и минимально возможные дополнительные задержки при их передаче, так как эти средства туннелируют передаваемый трафик (добавляют новый IP-заголовок к туннелируемому пакету) и используют различные по стойкости алгоритмы шифрования. В связи с тем, что средства, обеспечивающие криптопреобразования на сетевом уровне полностью совместимы с любыми прикладными подсистемами, работающими в корпоративной информационной системе (являются «прозрачными» для приложений), то они наиболее часто и применяются. Поэтому, остановимся в дальнейшем на данных средствах защиты информации, передаваемой по каналам связи (в том числе и по сетям общего доступа, например, Internet). Необходимо учитывать, что если средства криптографической защиты информации планируются к применению в государственных структурах, то вопрос их выбора должен решаться в пользу сертифицированных в Украине продуктов.

Решения на базе сертифицированных криптошлюзов Для реализации второго варианта и обеспечения конфиденциальности и

достоверности информации, передаваемой между объектами компании по каналам связи, можно использовать сертифицированные криптошлюзы (VPNшлюзы). Эти устройства обеспечивают шифрование передаваемых данных (IPпакетов) в соответствии с ГОСТ 28147-89, а также скрывают структуру локальной сети, защищают от проникновения извне, осуществляют маршрутизацию трафика.

Криптошлюзы позволяют осуществить защищенный доступ удаленных абонентов к ресурсам корпоративной информационной системы (рис. 1.25). Доступ производится с использованием специального программного обеспечения, которое устанавливается на компьютер пользователя (VPN-клиент) для осуществления защищенного взаимодействия удаленных и мобильных пользователей с криптошлюзом. Программное обеспечение криптошлюза (сервер доступа) проводит идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищаемой сети.

37

Рисунок 1.25 – «Удаленный доступ по защищенному каналу с использованием криптошлюза» С помощью криптошлюзов можно формировать виртуальные защищенные

каналы в сетях общего пользования (например, Internet), гарантирующие конфиденциальность и достоверность информации и организовывать виртуальные частные сети (Virtual Private Network – VPN), которые представляют собой объединение локальных сетей или отдельных компьютеров, подключенных к сети общего пользования в единую защищенную виртуальную сеть. Для управления такой сетью обычно используется специальное программное обеспечение (центр управления), которое обеспечивает централизованное управление локальными политиками безопасности VPN-клиентов и криптошлюзов, рассылает для них ключевую информацию и новые конфигурационные данные, обеспечивает ведение системных журналов. Криптошлюзы могут поставляться как программные решения, так и как аппаратно-программные комплексы. К сожалению, большинство из сертифицированных криптошлюзов не поддерживает протокол IPSec и, поэтому они функционально не совместимы с аппаратно-программными продуктами других производителей.

Определение информации подлежащей защите 1 Регистрационные данные. Наименование предприятия, вид деятельности,

ИНН, дата регистрации предприятия, отраслевая принадлежность, основной государственный регистрационный номер и дата его присвоения, юридический и фактический адреса, телефоны и факсы, электронный адрес, электронный почтовый ящик, телетайп, телекс и т.п.

38

Источники наполнения: данные официальных регистрирующих органов, специализированных информационно-аналитических агенств, собственная информация предприятия, подлежащая обязательному раскрытию, «серые» базы, открытая информация в СМИ и сети Интернет.

2 Информация о руководстве предприятия. Персонифицированная информация о высшем менеджменте предприятия, членах их семей, биографические справки, личностные характеристики и межличностные взаимоотношения, наличие собственности, недвижимости, пакетов акций, компрометирующая и криминальная информация.

Источники наполнения: см. выше, а также, информация с «компроматных» сайтов, информация от сотрудников предприятия, полученная обезличенным путем на интернет-форумах, чатах, соцсетях и из личных блогов сотрудников.

3 Кадровый раздел. Количественный и качественный состав сотрудников предприятия, текучесть кадров, сотрудники, желающие сменить место работы, а также бывшие сотрудники предприятия, ищущие в настоящее время работу.

Источники наполнения: см. выше, а также, информация со специализированных сайтов по подбору персонала, с сайтов кадровых агентств.

4Структура предприятия. Информация о специализации и функциях конкретных подразделений предприятия, руководителях этих подразделений. Общее представление о функционировании предприятия, сильные и слабые стороны организационной структуры предприятия.

5Информация о владельцах и акционерах. Реестр акционеров, аффилированные лица, персонифицированная информация о владельцах и акционерах предприятия, членах их семей, биографические справки, личностные характеристики и межличностные взаимоотношения, наличие собственности, недвижимости, пакетов акций, компрометирующая и криминальная информация.

6Финансово-хозяйственная деятельность. Основные финансовые показатели, актив, пассив, прибыль, убытки, кредиторская, дебиторская задолженность, бухгалтерские балансы, банковские счета, проводимые по ним операции. Активы, основные средства, недвижимость, информация по крупным сделкам, обременениям, исполненные, исполняемые и ожидаемые договора по профилю (и нет).

7Виды деятельности, производимая продукция, рынки сбыта, конкуренты. Поставщики, партнеры, заказчики.

8Арбитражные и хозяйственные споры, наложенные санкции и взыскания. Спорные вопросы собственности.

39

9Конфликтные ситуации на предприятии, среди акционеров.

10Компрометирующая информация в отношении предприятия, кадрового состава, владельцев и акционеров. Информация криминального толка.

11Подборка прессы.

Информация может быть представлена в различной форме и на различных физических носителях. Основными формами информации, представляющими интерес с точки зрения защиты, являются:

–документальная;

–акустическая (речевая);

–телекоммуникационная.

Необходимым условием сохранения документальной информации является разработка специальной инструкции по обеспечению сохранности конфиденциальной информации в организации или на предприятии. В ней следует детализировать порядок действия исполнителей, предусмотреть четкую систему документооборота, изготовление изделий, организации работ в режимных помещениях, регламентировать условия применения средств связи, использования средств вычислительной техники, приема представителей других предприятий и т.д. В такой инструкции следует определить:

– правила и процедуру присвоения и снятия грифа документам, работам, изделиям, содержащим коммерческую тайну предприятия;

–процедуру допуска работников предприятия к сведениям, составляющим коммерческую тайну предприятия;

–обязанности и ограничения, налагаемые на исполнителей, допущенным к сведениям, составляющим коммерческую тайну предприятия;

–правила обращения (делопроизводство, учет, хранение, размножение и т.д.) и документами и изделиями, содержащими коммерческую тайну предприятия;

–правила приема представителей других предприятий;

–принципы организации и проведения контроля за обеспечением сохранности сведений, составляющих коммерческую тайну;

–ответственность за разглашение сведений, составляющих коммерческую тайну, и другие нарушения установленного порядка их защиты.

Все известные на настоящий момент меры защиты информации можно разделить на следующие виды:

–правовые;

–организационные;

40

– технические.

К правовым мерам следует отнести нормы законодательства, касающиеся вопросов обеспечения безопасности информации. Информационные отношения достигли такой ступени развития, на которой оказалось возможным сформировать самостоятельную отрасль законодательства, регулирующую информационные отношения. В эту отрасль, которая целиком посвящена вопросам информационного законодательства, включается:

–законодательство об интеллектуальной собственности;

–законодательство о средствах массовой информации;

–законодательство о формировании информационных ресурсов и предоставлении информации из них;

–законодательство о реализации права на поиск, получение и использование информации;

–законодательство о создании и применении информационных технологий

исредств их обеспечения.