Стандартные методы и способы защиты

Создание систем информационной безопасности основывается на следующих принципах:

Системный подход к построению системы защиты, означающий оптимальное сочетание взаимосвязанных организационных, программных, аппаратных, физических и других свойств, подтвержденных практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации.

Принцип непрерывного развития системы. Этот принцип является основополагающим для компьютерных информационных систем. Поскольку способы реализации угроз информационной безопасности непрерывно совершенствуются, то обеспечение безопасности информационных и телекоммуникационных технологий и систем не может быть однократным действием. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее эффективных методов, способов и путей совершенствования систем информационной безопасности.

Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки. Пользователям и сотрудникам информационных служб должны быть предоставлены полномочия, необходимые для выполнения своих служебных обязанностей.

Полнота контроля доступа, т. е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в информационной системе без предварительной регистрации.

Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей.

Обеспечение контроля за функционированием системы защиты, т. е. создание средств и методов контроля работоспособности механизмов защиты.

Обеспечение средств борьбы с вредоносными программами.

Обеспечение экономической целесообразности в использовании системы защиты, что выражается в превышении возможного ущерба от реализации угроз над стоимостью разработки и эксплуатации системы информационной безопасности.

Эти принципы отражены в модели системы защиты (рис. 6), которая в различных модификациях реализуется сегодня на всех предприятиях и в организациях.

Рис. 6. Модель системы защиты:

зона 1 – внешние заграждения; зона 2 − контроль доступа в здание; зона 3 − контроль доступа в помещение с системами обработки и хранения информационных ресурсов и ценных материальных активов; зона 4 − контроль доступа в систему обработки информации.

В результате решения проблем безопасности информации современные информационные и телекоммуникационные технологии и системы должны обладать следующими признаками:

– наличием информации различной степени конфиденциальности;

– обеспечением криптографической защиты информации различной степени конфиденциальности при передаче данных;

– иерархичностью полномочий субъектов доступа к программным компонентам информационных систем;

– обязательным управлением потоками информации как в локальных сетях, так и при передаче по каналам связи на значительные расстояния;

– наличием механизма регистрации и учета попыток несанкционированного доступа, событий в информационной системе и документов, выводимых на печать;

– обязательным обеспечением целостности программного обеспечения информационных и телекоммуникационных систем;

– наличием средств восстановления системы защиты информации;

– обязательным учетом магнитных носителей;

– наличием специальной службы информационной безопасности системы.

Система информационной безопасности, как и любая информационная система, должна иметь определенные виды собственного программного обеспечения, опираясь на которые она способна реализовать свою целевую функцию. При рассмотрении структуры системы информационной безопасности возможен традиционный подход − выделение целого ряда обеспечивающих подсистем.

Правовое обеспечение представляет собой совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации.

Организационное обеспечение предполагает наличие определенных стру-ктурных единиц в компании, реализующих информационную безопасность. К ним можно отнести службы безопасности компании, администраторов информационной системы и др.

Информационное обеспечение включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач по информационной безопасности.

Техническое (аппаратное) обеспечение включает в себя технические сред-ства как для защиты информации, так и для обеспечения деятельности системы информационной безопасности.

Математическое обеспечение представляет собой совокупность математических методов, используемых для расчетов, связанных с оценкой опасности средств, которыми располагают злоумышленники, а также зон и норм необходимой защиты.

Нормативно-методическое обеспечение включает:

− нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации;

− различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований соблюдения конфиденциальности.

На каждом предприятии или в организации применяют однотипные методы и средства защиты, реализующие систему информационной безопасности, которые условно представлены на рис. 7.

Препятствие − метод физического преграждения пути злоумышленника к информации (к аппаратуре, носителям информации и т. д.).

Рис. 7. Методы и средства обеспечения безопасности информации

Управление доступом − методы защиты информации регулированием использования всех ресурсов информационных технологий и систем. Эти методы должны противостоять всем возможным путям доступа к информации. Управление доступом включает в себя:

– идентификацию пользователей, персонала и ресурсов системы;

– опознание объекта или субъекта по предъявленному им идентификатору;

– проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

– разрешение и создание условий работы в пределах установленного регламента;

– регистрацию (протоколирование) обращений к запрашиваемым ресурсам;

– реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т. п.) при попытках несанкционированных действий.

Механизмы шифрования − криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по телекоммуникационным каналам связи этот способ является наиболее надежным.

Противодействие атакам предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ, предназначенных для уменьшения вероятности инфицирования информационной системы и выявления фактов заражения файлов, а также для уменьшения последствий действия вирусов и возможности восстановления работоспособности системы.

Регламентация − создание таких условий автоматизированной обработки, хранения и передачи информации, при которой нормы и стандарты по защите выполняются в максимальной степени.

Принуждение − метод защиты, при котором пользователи и персонал вынуждены соблюдать правила обработки, передачи и использования информации под угрозой материальной, административной и уголовной ответственности.

Побуждение − метод защиты, побуждающий пользователей и персонал не нарушать установленного порядка работы с информационными ресурсами за счет сложившихся морально-этических норм.

Система мер безопасности, нацеленных на защиту информационных систем, может включать в себя любые из перечисленных методов защиты. Например, защита от компьютерных вирусов может включать регламентированные методы защиты, запрещающие использование непроверенных на наличие вирусов дискет; принудительные методы − установку бездисковых рабочих станций; методы противодействия атакам − доступность программ устранения вирусов и периодическое резервирование программ и данных. Этот пакет мер безопасности снизит как вероятность сбоев, так и потенциальные повреждения вследствие вирусных атак на информационные системы организации.