Организационная система защиты

3.      Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

4.      Определение требований к системе защиты;

5.      Осуществление выбора средств защиты информации и их характеристик;

6.      Внедрение и организация использования выбранных мер, способов и средств защиты;

7.      Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

     Организационные меры защиты базируются на законодательных

и нормативных документах по безопасности информации. Они должны охватывать все основные пути сохранения информационных  ресурсов и включать:

1.      ограничение физического доступа к объектам АСОД и  реализацию режимных мер;

2.      ограничение возможности перехвата  информации  вследствие

существования физических полей;

3.      ограничение доступа к информационным  ресурсам  и  другим

элементам  АСОД путем установления правил разграничения доступа,  криптографическое закрытие каналов передачи данных, выявление и уничтожение "закладок".

2.2 Физические средства защиты.

     К физическим средствам защиты относятся физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий,  средства пожаротушения и целый  ряд других средств, обеспечивающих выполнение следующих задач:

      защита территории и помещений вычислительного центра или  центра

      автоматизированной системы электронной обработки данных (АСОД)

      от проникновения злоумышленников;

      защита аппаратуры и носителей информации от повреждения или хищения; предотвращение возможности наблюдения за работой персонала  и  функционированием

      оборудования  из-за  пределов территории или через окна; 

      предотвращение возможности перехвата  электромагнитных  излучений

      работающего оборудования и линий передачи данных; 

      контроль за режимом работы персонала; 

      организация доступа в помещения  ВЦ сотрудников; 

      контроль за перемещением в различных рабочих зонах; 

      противопожарная защита помещений ВЦ;

      минимизация материального ущерба и потерь информации, которые могут возникнуть в результате стихийного бедствия.

     Физические средства защиты являются наиболее традиционными средствами охраны АСОД. В принципе, они ничем не отличаются от давно используемых средств охраны банков, музеев, магазинов и  других объектов,  которые потенциально могут привлечь злоумышленников. Однако, как правило, для физической защиты АСОД в настоящее  время используются более совершенные и сложные системы.              

   Физические средства защиты представляют собой первый рубеж защиты  жизненно  важных элементов вычислительной системы.

Следует четко представлять себе,  что  обеспечение  физической

безопасности  системы  является необходимым,  но недостаточным

условием сохранения целостности и конфиденциальности  циркулирующей или хранящейся в ней информации.

     Для реализации  систем  физической  защиты могут быть использованы самые разнообразные средства  и  методы.  Например, организация  вооруженной  охраны;  ведение наблюдения за всеми принципиально возможными  путями  проникновения  в   помещения АСОД;  организация  пропускной системы (с использованием паролей,  опознавательных значков, специальных магнитных карточек, сложных  систем опознавания сотрудников по голосу или по динамике подписей, рентгеновские и ультразвуковые системы и т.п.); создание системы внешнего и внутреннего освещения;  применение фотографических и телевизионных систем  наблюдения;  установка оград,  барьеров  и защитных экранов;  применение датчиков для обнаружения нарушителей или для установления факта повреждения или похищения аппаратуры;  использование датчиков дыма, открытого пламени и т.д.

2.3 Организационные мероприятия по защите информации в СПД и АСУ

Организационные мероприятия составляют наиболее важную часть системы защиты информации в автоматизированных системах. На организационном уровне осуществляются взаимодействие элементов АСУ и СПД, синхронизация действий подсистем, объектов и персонала. В результате исследования видов информации, подлежащей защите, ее циркуляции, мест сосредоточения, а также функций и полномочий элементов АСУ и СПД определяются:

• перечень видов управляющей деятельности службы безопасности информации;

• цели, стоящие перед органами управления при обеспечении защиты информации;

• перечень подзадач, посредством решения которых реализуются цели защиты;

• распределение задач защиты между органами исполнения различных уровней;

• объемы, виды, формы и сроки представления информации вышестоящим органам управления.

Разработка функциональной структуры службы безопасности информации затрагивает главные проблемы руководства и основные идеологические концепции построения АСУ и СПД, исходя как из общих закономерностей управления организационными системами, так и из анализа особенностей технологии планирования и принятия решений, специфичных для данной АСУ и СПД.

В процессе подготовки к эксплуатации системы пользователи обучаются правилам выполнения защитных мероприятий при работе с системой, убеждаясь в их необходимости и важности. При этом по-прежнему важны подбор и расстановка кадров в соответствии с их квалификацией и функциональными обязанностями при выполнении будущих работ. При переходе на автоматизированную систему в целях защиты информации возможно потребуется перестройка структуры организации. В период реорганизации система особенно уязвима, что объясняется воздействием многих факторов. Назовем некоторые из них:

• отсутствие на первых порах привычки пользователей к новой системе и, как следствие, отсутствие осторожности и появление ошибок;

• появление ошибок разработчиков системы, включая систему защиты;

• отвлечение внимания пользователей текущими проблемами от вопросов защиты и т. д.

В связи с этим вопросы защиты должны быть строго учтены при составлении планов работ и их реализации особенно в начальный период эксплуатации. В период подготовки и эксплуатации АСУ (СПД) проводятся организационные мероприятия в интересах выполнения функций управления.

В процессе эксплуатации АСУ (СПД) в ее состав могут быть введены новые элементы или выведены по какой-либо причине старые. Перед вводом нового элемента должны быть проверены и испытаны на функционирование его системы защиты информации. После принятия решения о выводе старого элемента АСУ (СПД) необходимо скорректировать соответствующие таблицы полномочий других элементов АСУ (СПД) на предмет его исключения и удалить значения кодов его паролей, а на самом элементе удалить секретную информацию из его оперативной и при необходимости долговременной памяти, включая адресные таблицы СПД, структуру АСУ и СПД, таблицы полномочий и кодов паролей, о чем целесообразно составить соответствующий акт, подписанный ответственными исполнителями работ. Наконец, наступает такое время, когда необходима замена самой системы в целом, как морально устаревшей, на новую. Однако информация, циркулирующая в старой системе, может быть ценной и подлежать защите по сей день. Тогда необходимо работать с каждым элементом АСУ (СПД), аналогично описанной выше процедуре работы с элементом, выводимым из системы.

В зарубежной литературе специалисты рекомендуют соблюдать следующие требования по безопасности информации в вычислительных сетях:

• все возможные пути прохождения данных в сети от отправителя сообщения до получателя должны быть защищены. Это обычно называют безопасностью из конца в конец;

• данные никогда не должны появляться внутри сети в форме, пригодной для чтения;

•терминалы пользователей и терминалы, обслуживающие ЭВМ, должны быть способны осуществлять операцию старта и остановки в любое время, не оказывая длительного влияния на функционирование сети;

• всем пользователям, терминалам и ЭВМ должны быть присвоены уникальные идентификаторы и осуществлена проверка их подлинности при доступе в сеть;

• если исходный текст состоит только из нулей и единиц, то передаваемое сообщение шифроваться не должно;

• при отсутствии передачи сообщения в целях скрытия своей активности должен использоваться генератор шума.

При разработке системы защитных преобразований очень важна оценка объема усилий и затрат, необходимых для раскрытия ключа. Если эти затраты нарушителя превышают получаемый при этом выигрыш, система защиты считается эффективной. Следуя концепции защиты, принятой за основу в данной работе, вводим временной фактор, так как он позволяет провести относительно стоимостного более точную оценку, т. е. система шифрования данных считается эффективной, если объем усилий, выраженный в затратах времени для раскрытия ключа нарушителем, превышает время старения защищаемых данных.

При раскрытии нарушителем ключа следует учитывать возможность применения для этой цели современной вычислительной техники, а также ее развитие за период использования данных средств защиты в данной вычислительной сети и АСУ.

Заключение

В ближайшее время прогресс в области развития средств вычислительной техники, программного обеспечения и сетевых технологий даст толчок к развитию средств обеспечения безопасности, что потребует во многом пересмотреть существующую научную парадигму информационной безопасности. Основными положениями нового взгляда на безопасность должны являться:

-         исследование и анализ причин нарушения безопасности компьютерных систем;

-         разработка эффективных моделей безопасности, адекватных современной степени развития программных и аппаратных средств, а также возможностям злоумышленников и РПС;

-         создание методов и средств корректного внедрения моделей безопасности в существующие ВС, с возможностью гибкого управления безопасностью в зависимости от выдвигаемых требований, допустимого риска и расхода ресурсов;

Список используемой литературы

1        Горячев А., Шафрин Ю. Практикум по информационным технологиям. М.: Лаборатория базовых знаний, 2001

2        В. Левин, Защита информации в информационно-вычислительных системах и сетях. – К.:2002.

3        Макарова Н.В. Программа по информатике (системно-информационная концепция)- Санкт-Петербург: Питер.2000г.   

4        Симонович С.В., Евсеев Г.А. Практическая информатика.– Москва: АСТ-ПРЕСС: Информ-Пресс, 1998

5        Симонович С.В. Комплексная защита информации. М.: АСТ-ПРЕСС: Информком-Пресс, 2001

6        В. Уолкер, Я.Блейк, «Безопасность ЭВМ и организация их защиты».

7        Хоникат Д. Технические средства защиты от угроз информационной безопасности. – К.:2000.

3