Главная страница
Навигация по странице:

  • Меры административно-организационного уровня.

  • Меры и средства программно-технического уровня

  • Защита корпоративной сети от воздействия вредоносных программ и вирусов.

  • Необходимость применения стандартов.

  • Международные стандарты.

  • Государственные (национальные) стандарты РФ.

  • Вопрос 4. Обеспечение информационной безопасности VPN.

  • Вопросы для самопроверки

  • Литература по теме

  • исит7. Литература по теме Тема Управление корпорацией


    Скачать 3.64 Mb.
    НазваниеЛитература по теме Тема Управление корпорацией
    Анкорисит7
    Дата02.03.2022
    Размер3.64 Mb.
    Формат файлаpdf
    Имя файлаsg.pdf
    ТипЛитература
    #380803
    страница9 из 9
    1   2   3   4   5   6   7   8   9
    Меры законодательно-нормативного уровня очень важны для обеспечения информационной безопасности. К этому уровню можно отнести весь комплекс мер, направленных на создание и поддержание в обществе и на предприятии негативного отношения к нарушениям и нарушителям информационной безопасности.
    Меры
    административно-организационного
    уровня.
    Администрация организации должна сознавать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов.
    Основой мер защиты административно-организационного уровня является политика безопасности и комплекс организационных мер. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов организации.
    К комплексу организационных мер относятся следующие меры безопасности:
     управление персоналом;
     физическая защита;
     поддержание работоспособности;
     реагирование на нарушения режима безопасности;
     планирование восстановительных работ.
    Для поддержания режима информационной безопасности особенно важны меры программно-технического уровня, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т.п.
    Меры и средства программно-технического уровня. В рамках современных информационных систем должны быть доступны, по крайней мере, следующие средства и механизмы безопасности:
     средства криптографии;
     механизмы идентификации и аутентификации;
     средства контроля доступа к рабочим местам;
    средства обнаружения и предотвращения атак;
     средства защиты от вредоносных программ;
     средства протоколирования и аудита;
     средства централизованного управления защитой информации.

    139
    Защита корпоративной сети от воздействия вредоносных
    программ и вирусов.
    В настоящее время одним из основных вопросов обеспечения безопасности корпоративной информации является защита от вредоносных программ. Защита от вредоносных программ не ограничивается лишь традиционной установкой антивирусных средств на рабочие станции пользователей. Это сложная задача, требующая комплексного подхода к решению.
    Приведем один из возможных подходов к решению данной проблемы на основе созданияподсистемы защиты корпоративной информации от вредоносных программ и вирусов.
    Одно из главных преимуществ данного решения – рассмотрение подсистемы защиты корпоративной информации от вредоносных программ и вирусов как многоуровневой системы (рис.45).
    Рис. 45. Схема защиты корпоративной сети от воздействия
    вредоносных программ и вирусов
    Первый уровень включает в себя средства защиты от вредоносных программ, устанавливаемые на стыке с глобальными сетями (Интернет, ftp). Антивирусные средства, устанавливаемые на МЭ, совместимы с
    Check Point FireWall 1 и Cisco PIX, которые являются одними из самых распространенных межсетевых экранов в России.

    140
    Второй уровень – средства защиты, устанавливаемые на внутренних корпоративных серверах и серверах рабочих групп
    (файловых хранилищах, серверах приложений и т. д.).
    И, наконец, третий уровень – средства защиты от вредоносных программ, устанавливаемые на рабочих станциях пользователей, включая удаленных и мобильных пользователей.
    В качестве средств защиты всех уровней выбраны продукты компании Trend Micro, а на шлюзе в дополнение к продуктам Trend Micro устанавливается Антивирус Касперского, повышая тем самым вероятность обнаружения вредоносных программ в точке их наиболее вероятного появления.
    Преимущества данного решения заключаются в:
     использовании продуктов мировых лидеров;
     централизованном управлении всей подсистемой защиты от вредоносных программ;
     автоматическом обновлении антивирусных баз;
     тесном взаимодействии антивирусных средств всех уровней подсистемы.
    Все эти преимущества обеспечивают высокую вероятность обнаружения вредоносных программ.
    Необходимость применения стандартов.
    Информационные системы компаний почти всегда построены на основе программных и аппаратных продуктов различных производителей, поскольку нет ни одной компании-разработчика, которая предоставила бы потребителю полный перечень средств для построения современной ИС.
    Чтобы обеспечить в разнородной ИС надежную защиту информации, требуются специалисты высокой квалификации, которые будут отвечать за безопасность каждого компонента ИС: правильно их настраивать, постоянно отслеживать происходящие изменения, контролировать работу пользователей.
    Очевидно, что чем разнороднее информационная система, тем сложнее обеспечить ее безопасность. Изобилие в корпоративных сетях и системах разнообразных средств защиты, а также растущий спрос на доступ к корпоративным данным со стороны сотрудников, партнеров и заказчиков приводят к созданию сложной среды защиты, трудной для управления.
    Стандарты образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности, и определяют критерии, которым должно следовать управление безопасностью.
    Стандарты являются необходимой базой, обеспечивающей совместимость продуктов разных производителей, что чрезвычайно важно при создании систем сетевой безопасности.

    141
    Комплексный подход к решению проблемы обеспечения безопасности, рациональное сочетании законодательных, административно-организационных и программно-технических мер и обязательное следование промышленным, национальным и международным стандартам являются тем фундаментом, на котором строится вся система защиты корпоративных информационных систем.
    Далее приведён краткий перечень международных и отечественных стандартов информационной безопасности.
    Международные стандарты.

    ISO/IEC 17799:2005

    «Информационные технологии

    Технологии безопасности

    Практические правила менеджмента информационной безопасности».
    Международный стандарт, базирующийся на BS 7799-1:2005.

    ISO/IEC 27000

    Словарь и определения.

    ISO/IEC 27001

    «Информационные технологии

    Методы обеспечения безопасности

    Системы управления информационной безопасностью

    Требования». Международный стандарт, базирующийся на BS 7799-2:2005.

    ISO/IEC 27002

    Сейчас: ISO/IEC 17799:2005. «Информационные технологии – Технологии безопасности – Практические правила менеджмента информационной безопасности». Дата выхода – 2007 год.
     ISO/IEC 27005 – Сейчас: BS 7799-3:2006 – Руководство по менеджменту рисков ИБ.
     German Information Security Agency. IT Baseline Protection Manual
    – Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).
    Государственные (национальные) стандарты РФ.
     ГОСТ Р 50922-2006

    Защита информации. Основные термины и определения.
     Р 50.1.053-2005

    Информационные технологии. Основные термины и определения в области технической защиты информации.
     ГОСТ Р 51188—98

    Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
     ГОСТ Р 51275-2006

    Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
     ГОСТ Р ИСО/МЭК 15408-1-2012

    Информационная технология.
    Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

    142
     ГОСТ Р ИСО/МЭК 15408-2-2013

    Информационная технология.
    Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
     ГОСТ Р ИСО/МЭК 15408-3-2013

    Информационная технология.
    Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
     ГОСТ Р ИСО/МЭК 15408

    «Общие критерии оценки безопасности информационных технологий»

    стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности

    благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев»

    защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
     ГОСТ Р ИСО/МЭК 17799

    «Информационные технологии.
    Практические правила управления информационной безопасностью».
    Прямое применение международного стандарта с дополнением

    ISO/IEC
    17799:2005.
     ГОСТ Р ИСО/МЭК 27001

    «Информационные технологии.
    Методы безопасности. Система управления безопасностью информации.
    Требования». Прямое применение международного стандарта

    ISO/IEC
    27001:2005.
     ГОСТ Р 51898-2002

    Аспекты безопасности. Правила включения в стандарты.
    Вопрос 4. Обеспечение информационной безопасности VPN.
    Теперь рассмотрим особенности обеспечения безопасности КИС при использовании виртуальных защищенных сетей VPN. При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух типов:
     несанкционированный доступ к внутренним ресурсам корпоративной локальной сети;
     несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети.

    143
    Следовательно, обеспечение безопасности информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, в частности через сеть Интернет, возможно путем эффективного решения следующих задач:
     защита подключенных к открытым каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды;
     защита информации в процессе ее передачи по открытым каналам связи.
    При построении защищенной виртуальной сети
    VPN первостепенное значение имеет задача обеспечения информационной безопасности. Как было указано в материале вопроса 1 данной темы, под безопасностью данных понимают их конфиденциальность, целостность и доступность. Применительно к задачам VPN критерии безопасности данных могут быть определены следующим образом:
     конфиденциальность

    гарантия того, что в процессе передачи данных по защищенным каналам VPN эти данные могут быть известны только легальным отправителю и получателю;
     целостность - гарантия сохранности передаваемых данных во время прохождения по защищенному каналу VPN;
     доступность - гарантия того, что средства, выполняющие функции VPN, постоянно доступны легальным пользователям.
    Конфиденциальность обеспечивается с помощью различных методов и алгоритмов шифрования. Целостность передаваемых данных обычно достигается с помощью различных вариантов технологии электронной подписи, основанных на методах шифрования.
    Аутентификация осуществляется на основе многоразовых и одноразовых паролей, цифровых сертификатов, смарт-карт, протоколов строгой аутентификации и обеспечивает установление VPN-соединения только между легальными пользователями и предотвращает доступ к средствам VPN нежелательных лиц.
    Авторизация подразумевает предоставление абонентам, доказавшим свою легальность (аутентичность), разных видов обслуживания, в частности разных способов шифрования их трафика.
    Авторизация и управление доступом часто реализуются одними и теми же средствами.

    144
    Для обеспечения безопасности передаваемых данных в виртуальных защищенных сетях должны быть решены следующие основные задачи безопасности:
     взаимная аутентификация абонентов при установлении соединения;
     обеспечение конфиденциальности, целостности и аутентичности передаваемой информации;
     авторизация и управление доступом.
    Как уже указывалось ранее, для защиты локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды обычно используют межсетевые экраны. Межсетевой экран располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, на этом компьютере устанавливают программное обеспечение персонального сетевого экрана.
    Через межсетевой экран локальной сети, как и через маршрутизатор, пропускается весь трафик. Поэтому функции шифрования исходящего трафика и расшифрования входящего трафика может с успехом выполнять и МЭ. Сегодня ряд VPN-решений опирается на расширения МЭ дополнительными функциями поддержки VPN, что позволяет установить через Интернет шифрованное соединение с другим
    МЭ.
    Построение VPN на базе межсетевых экранов является вполне обоснованным решением с точки зрения обеспечения комплексной защиты корпоративной сети от атак из открытых сетей. Ряд производителей МЭ расширяют поддержку функций VPN в своих продуктах. Ведущими производителями межсетевых экранов с поддержкой функций VPN являются компании Сhесk Роint Sоftwаrе
    Тесhnоlоgies, Network Associates, Sесurе Соmputing и др.
    Специализированные аппаратные
    VPN-средства лидируют практически по всем возможным показателям, кроме стоимости. Поэтому специализированное аппаратное
    VPN-оборудование является предпочтительным решением для ответственных применений.
    Когда несколько компаний принимают решение работать вместе и открывают друг для друга свои сети, они должны позаботиться о том, чтобы их новые партнеры имели доступ только к определенной информации. При этом конфиденциальная информация должна быть надежно защищена от несанкционированного использования. Именно поэтому в межкорпоративных сетях большое значение придается контролю доступа из открытой сети посредством межсетевых экранов.
    Важна и аутентификация пользователей, призванная гарантировать, что доступ к информации получают только те, кому он действительно разрешен. Вместе с тем, развернутая система защиты от несанкционированного доступа не должна привлекать к себе внимания.

    145
    Вопросы для самопроверки:
    1. Дайте определение понятий Защита информации, Объект
    защиты, Цель защиты информации.
    2. Объясните разницу понятий: Защита информации от утечки,
    Защита информации от несанкционированного воздействия, Защита
    информации от непреднамеренного воздействия.
    3. Чем достигается Информационная безопасность компьютерных систем?
    4. Что понимают под целостностью информации?
    5. В чем состоит Идентификация, Аутентификация и
    Авторизация субъекта?
    6. Что понимают под угрозой безопасности ИС?
    7. Что такое Политика безопасности?
    8. В чем состоит Экстранет-технология?
    9. Что такое Межсетевой экран?
    10. В чем различие фрагментарного и комплексного подхода к проблеме обеспечения безопасности информационных систем?
    Литература по теме:
    Основная литература:
    1. Информационная безопасность: учебное пособие. Ковалев Д. В.,
    Богданова Е. А. Издательство Южного федерального университета, 2016 http://biblioclub.ru
    2. Информационная безопасность и защита информации: учебник.
    Прохорова О. В. Издательство: Самарский государственный архитектурно-строительный университет, 2014 http://biblioclub.ru
    Дополнительная литература:
    1. Информационная безопасность в корпоративных системах: практические аспекты. https://www.itweek.ru/infrastructure/article/detail.php?ID=58853 2. Основной инстинкт бизнеса: грани корпоративной безопасности. Электронный ресурс. https://habr.com/ru/company/regionsoft/blog/352708/
    1   2   3   4   5   6   7   8   9


    написать администратору сайта