исит7. Литература по теме Тема Управление корпорацией

128
Объект защиты – информация или носитель информации, или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Цель защиты информации – это желаемый результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.
Эффективность защиты информации – степень соответствия результатов защиты информации поставленной цели.
Защита
информации
от
утечки
– деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации злоумышленниками.
Защита информации от несанкционированного воздействия – деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от непреднамеренного воздействия – деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от разглашения – деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
Защита информации от несанкционированного доступа (НСД) - деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

129
Система защиты информации – совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно- распорядительными и нормативными документами по защите информации.
Под информационной безопасностью понимают защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение их работоспособности.
Природа этих воздействий может быть самой разнообразной. Это и попытки проникновения злоумышленников, и ошибки персонала, и выход из строя аппаратных и программных средств, стихийные бедствия
(землетрясение, ураган, пожар и т.п.).
Информационная безопасность компьютерных систем достигается обеспечением конфиденциальности, целостности и достоверности обрабатываемых данных, а также доступности и целостности информационных компонентов и ресурсов системы.
Перечисленные выше базовые свойства информации нуждаются в более полном толковании.
Конфиденциальность данных - это статус, предоставленный данным и определяющий требуемую степень их защиты. К конфиденциальным данным можно отнести, например, следующие: личную информацию пользователей; учетные записи (имена и пароли); данные о кредитных картах; данные о разработках и различные внутренние документы; бухгалтерские сведения.
Конфиденциальная информация должна быть известна только допущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.
Установление градаций важности защиты защищаемой информации (объекта защиты) называют категорированием защищаемой информации.
Под целостностью информации понимается свойство информации сохранять свою структуру и/или содержание в процессе передачи и хранения. Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т. е. если не произошло их случайного или преднамеренного искажения или разрушения. Обеспечение целостности данных является одной из сложных задач защиты информации.
Достоверность
информации
– свойство информации, выражающееся в строгой принадлежности субъекту, который является ее источником, либо тому субъекту, от которого эта информация принята.

130
Юридическая значимость информации означает, что документ, являющийся носителем информации, обладает юридической силой.
Доступность данных – работа пользователя с данными возможна только в том случае, если он имеет к ним доступ.
Доступ к информации – получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств. Субъект доступа к информации – участник правоотношений в информационных процессах.
Пользователь
(потребитель)
информации
– субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.
Право доступа к информации – совокупность правил доступа к информации, установленных правовыми документами или собственником, владельцем информации.
Правило доступа к информации – совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям.
Различают санкционированный и несанкционированный доступ к информации.
Санкционированный доступ к информации – это доступ к информации, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права доступа к компонентам системы.
Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа.
Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений.
С допуском к информации и ресурсам системы связана группа таких важных понятий, как идентификация, аутентификация, авторизация.
С каждым субъектом системы (сети) связывают некоторую информацию (число, строка символов), идентифицирующую субъект.
Эта информация является идентификатором субъекта системы (сети).
Субъект, имеющий зарегистрированный идентификатор, является законным (легитимным) субъектом.
Идентификация субъекта - это процедура распознавания субъекта по его идентификатору. Идентификация выполняется при попытке субъекта войти в систему (сеть).
Следующим шагом взаимодействия системы с субъектом является аутентификация субъекта.

131
Аутентификация субъекта – это проверка подлинности субъекта с данным идентификатором. Процедура аутентификации устанавливает, является ли субъект именно тем, кем он себя объявил. После идентификации и аутентификации субъекта выполняют процедуру авторизации.
Авторизация субъекта – это процедура предоставления законному субъекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы (сети).
Под угрозой безопасности ИС понимаются возможные действия, способные прямо или косвенно нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в системе (сети).
С понятием угрозы безопасности тесно связано понятие уязвимости компьютерной системы (сети).
Уязвимость компьютерной системы – это присущее системе неудачное свойство, которое может привести к реализации угрозы.
Защищенная система – это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.
Комплекс средств защиты информации (КСЗИ) представляет собой совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности системы (сети). КСЗИ создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.
Политика безопасности – это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты компьютерной системы от заданного множества угроз.
Корпоративные сети (КС) относятся к распределенным автоматизированным информационным системам, осуществляющим обработку информации. Обеспечение безопасности КС предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования КС, а также попыткам модификации, хищения, выведения из строя или разрушения ее компонентов, т.е. защиту всех компонентов КС – аппаратных средств, программного обеспечения, данных и персонала.
Конкретный подход к проблеме обеспечения безопасности основан на разработанной для КС политике безопасности.

132
Вопрос 2. Объекты угроз безопасности КИС.
Информационные системы повышенной сложности, такие, как
КИС, состоят из нескольких подсистем, решающих конкретные задачи.
При построении КИС следует увязывать подсистемы в единый комплекс, придерживаясь ряда основополагающих принципов:
 использование общепринятых стандартов, поддерживаемых основными фирмами-производителями программного обеспечения;
 применение программного обеспечения достаточной производительности, чтобы его не менять при увеличении мощности и количества используемого оборудования. Это качество называется масштабируемостью программного обеспечения;
 соблюдение принципа многозвенности, означающего, что каждый уровень системы (клиент, Web-сервер, сервер приложений, сервер баз данных) реализует функции, наиболее ему присущие;
 реализация принципа аппаратно-платформенной независимости и системного программного обеспечения;
 осуществление принципа коммуникативности, когда различные уровни системы могут взаимодействовать между собой как по данным, так и по приложениям.
В настоящее время наиболее подходящими технологиями для построения КИС являются Экстранет и Интранет, предусматривающие специфические решения для приложений архитектуры клиент - сервер, с использованием всего многообразия технологий и протоколов, разработанных для глобальной сети Интернет. Имеются в виду, в частности, применение:
 в качестве транспортного протокола – TCP/IP;
 встроенных средств защиты и аутентификации;
 технологии WWW в архитектуре «клиент – Web-сервер – сервер приложений – сервер баз данных» при разработке приложений.
Вместе с тем Web-технологии при всех своих значительных преимуществах вносят и новые проблемы, связанные с масштабируемостью, управлением сеансами и состоянием сети, ее защитой и возможными изменениями стандартов.
Большие нагрузки от пользователей требуют высокоэффективной архитектуры аппаратной и программной платформы, которая должна допускать масштабируемость ресурсов. Управление ресурсами и разграничение доступа, как правило, ориентированы на отдельный
WWW-сервер и не охватывают все множество информационных ресурсов корпорации.

133
Становятся первостепенными проблемы защиты, когда компании делают внутренние базы данных доступными для внешних пользователей. Установление подлинности пользователей и безопасность передачи данных превращается в большую проблему в Web-среде из-за большого количества потенциально анонимных пользователей.
Важнейшими вопросами при реализации КИС на базе технологий
Интернет/Интранет являются организация защиты информации, централизованного управления информационными ресурсами, разграничение доступа к ресурсам. Особенно это важно для доступа пользователей из внешних сетей к ресурсам КИС. Это так называемая
Экстранет-технология.
Общепринятым подходом к решению вопросов защиты является использование в корпоративной сети, имеющей выход в публичную сеть
Интернет, следующей стратегии управления доступом между двумя сетями:
 весь трафик, как из внутренней сети во внешний мир, так и наоборот, должен контролироваться корпоративной системой;
 через систему может пройти только авторизованный трафик, который определяется стратегией защиты.
Межсетевой экран (МЭ) – это механизм, используемый для защиты доверенной сети (внутренняя сеть организации) от сети, не имеющей доверия, например, Интернет. Несмотря на то что большинство МЭ в настоящее время развернуто между Интернет и внутренними сетями
(Интранет), имеет смысл использовать их в любой сети, базирующейся на технологии Интернет, скажем, в распределенной сети предприятия.
Перечисленные принципы построения учтены в структурной схеме корпоративной информационной системы, представленной на рис. 43.
В этой структурной схеме можно выделить такие виды управления:
 централизованное управление всей системой предприятия;
 управление подразделениями, приложениями и серверами;
 управление всей сетью;
 управление конечными пользователями.

134
Рис. 43. Структурная схема корпоративной информационной системы
Эти четыре уровня управления КИС могут служить объектами угроз для информационной безопасности предприятия. Соответственно система информационной безопасности КИС должна включать в себя защиту:
 централизованного управления;
 приложений и соответствующих серверов;
 сети;
 конечных пользователей.

135
Наличие большого числа информационных и вычислительных ресурсов (баз данных и приложений), используемых на предприятии и функционирующих на различных аппаратных и программных платформах, делает актуальной задачу создания и внедрения системы санкционированного доступа к единому информационному пространству предприятия. Осуществление подобного санкционированного доступа возможно при условии:
 обеспечения соответствующего единого механизма;
 единой политики безопасности и защиты информации;
 централизованного и непрерывного контроля за использованием ресурсов и управлением ими.
При этом обязательно должно быть учтено наличие большого числа наследуемых приложений, исторически используемых на том или ином предприятии. Возможная схема санкционированного доступа к информационным ресурсам предприятия представлена на рис. 44.
Рис. 44. Схема санкционированного доступа к информационным
ресурсам предприятия

136
На схеме представлена многозвенная архитектура, состоящая из:
 клиентского уровня – терминальных компьютеров пользователей под управлением ОС MS Windows;
 уровня серверов доступа (access server) – специализированных серверов приложений, реализующих функции аутентификации пользователей, управления правами доступа к ресурсам информационной системы управления предприятием, контроля и протоколирования сеансов, доступа к информационным и вычислительным ресурсам;
 уровня серверов приложений – масштабируемой структуры серверов, обеспечивающих унифицированные средства представления информации и функционирования подсистем КИС;
 уровня серверов баз данных;
 уровня Web-серверов.
Вопрос 3. Способы обеспечения безопасности КИС.
Для обеспечения безопасности информационных ресурсов предприятия средства защиты информации обычно размещаются непосредственно в корпоративной сети. Межсетевые экраны контролируют доступ к корпоративным ресурсам, отражая атаки злоумышленников извне, а шлюзы виртуальных частных сетей (VPN) обеспечивают конфиденциальную передачу информации через открытые глобальные сети, в частности Интернет.
Для создания надежной эшелонированной защиты в настоящее время применяются также такие средства безопасности, как системы обнаружения и предотвращения вторжений IPS (Intrusion Prevention
Systems), средства контроля контента, антивирусные системы и др.
Опыт ведущих предприятий-производителей средств информационной безопасности показывает, что компания сможет успешно реализовать свою политику безопасности в распределенной корпоративной информационной системе, если управление безопасностью будет централизованным и не будет зависеть от используемых ОС и прикладных систем. Кроме того, система регистрации событий, происходящих в КИС (несанкционированный доступ, изменение привилегий пользователей и т. д.), должна быть единой и позволять администратору составить полную картину происходящих в КИС изменений.
Существуют два подхода к проблеме обеспечения безопасности информационных систем: фрагментарный и комплексный.
Фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т. п.

137
Достоинством такого подхода является высокая избирательность к конкретной угрозе. Существенным недостатком данного подхода является отсутствие единой защищенной среды обработки информации.
Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов ИС только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.
Комплексный подход ориентирован на создание защищенной среды обработки информации в ИС, объединяющей в единый комплекс разнородные меры противодействия угрозам. Организация защищенной среды обработки информации позволяет гарантировать определенный уровень безопасности ИС, что является несомненным достоинством комплексного подхода. К недостаткам этого подхода относятся: ограничения на свободу действий пользователей ИС, чувствительность к ошибкам установки и настройки средств защиты, сложность управления.
Комплексный подход применяют для защиты корпоративных информационных систем крупных организаций или небольших ИС, выполняющих ответственные задачи или обрабатывающих особо важную информацию. Нарушение безопасности информации в КИС крупных организаций может нанести огромный материальный ущерб как самим организациям, так и их клиентам. Поэтому такие организации вынуждены уделять особое внимание гарантиям безопасности и реализовывать комплексную защиту.
Комплексного подхода придерживаются большинство государственных, а также крупных коммерческих предприятий и учреждений. Этот подход нашел свое отражение в различных стандартах.
Комплексный подход к проблеме обеспечения безопасности основан на разработанной для конкретной ИС политике безопасности.
Политика безопасности регламентирует эффективную работу средств защиты КИС. Она охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях.
Надежная система безопасности сети не может быть создана без эффективной политики сетевой безопасности.
Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
 законодательно-нормативного (законы, стандарты, нормативные акты и т.п.);
 административно-организационного
(действия общего характера, предпринимаемые руководством организации, и конкретные меры безопасности, имеющие дело с людьми);
 программно-технического (конкретные технические меры).

138