Адекватная политика безопасности

Сертификация

    САПЕРИОН  имеет самые быстрые показатели работы с документами.

    Испытание, проведенное компанией SAP AG, показало, что в настоящее время система САПЕРИОН достигла более чем двойного роста производительности обработки документов по отношению к конкурирующим системам.

    Компания SAP AG сертифицировала систему Саперион в качестве электронного архива для системы SAP.

    Система Саперион соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларированных возможностей»  
 
 

(Гостехкомиссия  России, 1999) по 4 уровню контроля и может использоваться в автоматизированных системах до класса защищенности 1Г включительно. 

 

3 Описание угроз информационной безопасности предприятия

    Защита  информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности.

    Угроза – это потенциально возможное событие, процесс или явление, которое может (воздействуя на что-либо) привести к нанесению ущерба чьим-либо интересам.

    Атака на АС - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Таким образом, атака - это реализация угрозы. Заметим, что такое толкование атаки (с участием человека, имеющего злой умысел), исключает присутствующий в определении угрозы элемент случайности, но, как показывает опыт, часто бывает невозможно различить преднамеренные и случайные действия, и хорошая система защиты должна адекватно реагировать на любое из них.

    Уязвимость – это любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы. При этом неважно, целенаправленно используется уязвимость или это происходит ненамеренно. В качестве нарушителя может выступать любой субъект корпоративной сети, который попытался осуществить попытку несанкционированного доступа к ресурсам сети по ошибке, незнанию или со злым умыслом.

    Виды  угроз

    Существуют  четыре действия, производимые с информацией, которые могут содержать в  себе угрозу: сбор, модификация, утечка и уничтожение. Эти действия являются базовыми для дальнейшего рассмотрения.

    Придерживаясь принятой классификации будем разделять  все источники угроз на внешние и внутренние.

    Источниками внутренних угроз являются:

1. Сотрудники организации;
2. Программное обеспечение;
3. Аппаратные средства.

    Внутренние  угрозы могут проявляться в следующих формах:

• ошибки пользователей и системных администраторов;

• нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;

• ошибки в работе программного обеспечения;
• отказы и сбои в работе компьютерного оборудования.

    К внешним источникам угроз относятся:

1. Компьютерные вирусы и вредоносные программы;
2. Организации и отдельные лица;

 
 
 
 

3. Стихийные бедствия.

    Формами проявления внешних угроз являются:

• заражение компьютеров вирусами или вредоносными программами;
• несанкционированный доступ (НСД) к корпоративной информации;
• информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;
• действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;
• аварии, пожары, техногенные катастрофы.

    Все перечисленные нами виды угроз (формы  проявления) можно разделить на умышленные и неумышленные.

    По  данным Института защиты компьютеров (CSI) и ФБР cвыше 50% вторжений - дело рук  собственных сотрудников компаний. Что касается частоты вторжений, то 21% опрошенных указали, что они  испытали рецидивы "нападений". Несанкционированное изменение данных

    

было наиболее частой формой нападения и в основном применялось против медицинских и финансовых учреждений. Свыше 50% респондентов рассматривают конкурентов как вероятный источник "нападений". Наибольшее значение респонденты придают фактам подслушивания, проникновения в информационные системы и "нападениям", в которых "злоумышленники" фальсифицируют обратный адрес, чтобы перенацелить поиски на непричастных лиц. Такими злоумышленниками наиболее часто являются обиженные служащие и конкуренты.

    По  способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

    К информационным угрозам относятся:

1. несанкционированный доступ к информационным ресурсам;
2. незаконное копирование данных в информационных системах;
3. хищение информации из библиотек, архивов, банков и баз данных;
4. нарушение технологии обработки информации;
5. противозаконный сбор и использование информации;
6. использование информационного оружия.

    К программным угрозам относятся:

• использование ошибок и "дыр" в ПО;
• компьютерные вирусы и вредоносные программы;
• установка "закладных" устройств;

 
 
 
    

    

    К физическим угрозам относятся:

• Уничтожение или разрушение средств обработки информации и связи;
• Хищение носителей информации;
• Хищение программных или аппаратных ключей и средств криптографической защиты данных;
• Воздействие на персонал;

    К радиоэлектронным угрозам относятся:

1. Внедрение электронных устройств перехвата информации в технические средства и помещения;
2. Перехват, расшифровка, подмена и уничтожение информации в каналах связи.

    К организационно-правовым угрозам относятся:

1. Закупки несовершенных или устаревших информационных технологий и средств информатизации;
2. Нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.

    Анализ  и вяление угроз информационной безопасности является важной функцией административного уровня обеспечения информационной безопасности.

    Во  многим облик разрабатываемой системы защиты и состав механизмов ее реализации определяется потенциальными угрозами , выявленными на этом этапе.

    Например, если пользователи вычислительной сети организации имеют доступ в Интернет, то количество угроз информационной безопасности резко возрастает, соответственно, это отражается на методах и средствах защиты и т.д.

    Угроза  информационной безопасности – это  потенциальная безопасность нарушения  режима информационной безопасности.

    Преднамеренная  реализация угрозы называется атакой на информационную систему.

    Лица, преднамеренно реализующие угрозы, являются злоумышленниками.

    Чаще  всего угроза является следствием наличия  уязвимых средств в защите информационных систем, например, неконтролируемый доступ к персональным компьютерам или нелицензионное программное обеспечение (к сожалению даже лицензионное программное обеспечение не лишено уязвимостей).

    Отметим, что некоторые угрозы нельзя считать  следствием целенаправленных действий вредного характера.

    Существуют  угрозы, вызванные случайными ошибками или техногенными явлениями.

    Знание  возможных угроз информационной безопасности, а также уязвимых мест системы  
 
 
 
 

защиты, необходимо для того, чтобы выбрать  наиболее экономичные и эффективные  средства

системы безопасности.

    Каждая  угроза влечет за собой определенный ущерб – моральный или материальный, а зашита и противодействие угрозы призваны снизить его величину.

      
 
 
 
 
 
 
 
 
 
 
 
 
 

    Рисунок 1 – Классификация угроз 
 

 

4 Классификация автоматизированных систем предприятия

    Поскольку потенциальные угрозы безопасности информации многообразны, цели защиты информации могут быть достигнуты только путем создания комплексной системы защиты информации (КСЗИ), под которой понимается совокупность методов и средств, объединенных единым назначением и обеспечивающих необходимую эффективность ЗИ и КС.

    Деление автоматизированных систем на соответствующие  классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения, обоснованных мер по достижению требуемого уровня защиты информации. В соответствии с руководящими документами распространяется на все действующие и проектируемые автоматизированные системы учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.

    Выбор методов и средств защиты определяется важностью обрабатываемой информации, различием автоматизированных систем по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.

    Основные  требования к КСЗИ

    Комплексность системы защиты информации достигается охватом всех возможных угроз и согласованием между собой разнородных методов и средств, обеспечивающих защиту всех элементов АСОД.

    Основными требованиями  к комплексной  системе защиты   информации являются:

1. Система защиты информации должна  обеспечивать  выполнение АС своих основных функций без существенного ухудшения характеристик последней;
2. Она должна быть экономически  целесообразной, так как стоимость  системы защиты информации включается  в стоимость АС;
3. Защита информации  в АС  должна обеспечиваться на всех этапах жизненного цикла,  при всех технологических режимах обработки информации,  в том числе при проведении ремонтных и регламентных работ;
4. В систему защиты информации  должны быть заложены возможности  ее совершенствования и развития в соответствии с условиями эксплуатации и конфигурации АС;
5. Она в  соответствии  с   установленными  правилами  должна  обеспечивать разграничение доступа  к конфиденциальной информации  с отвлечением нарушителя на  ложную информацию,  т.е. обладать свойствами активной и пассивной защиты;
6. При взаимодействии защищаемой  АС с  незащищенными  АС  система  защиты  должна  обеспечивать  соблюдение установленных правил  разграничения доступа;
7. Система защиты  должна позволять  проводить учет и расследование случаев нарушения