Соблюдение конфиденциальности информации ограниченного доступа
Скачать 0.73 Mb.
|
Введение Информация в современном мире является крайне важным ресурсом и инструментом. С ее помощью ведутся войны, проводятся избирательные компании и заключаются многомиллионные контракты. В нашем веке информационных технологий информация играет очень важную роль. Неправомерное искажение или фальсификация, любое повреждение или разглашение определенной части информации, равно как и дезорганизация процессов ее обработки и передачи в информационно-управляющих системах наносят серьезный материальный и моральный урон многим субъектам, участвующим в процессах автоматизированного информационного взаимодействия. Именно поэтому очень важно защищать ее. Что такое защита информации? Согласно федеральному закону № 149 "Об информации, информационных технологиях и о защите информации", «защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации» Целью данной работы является разработка сводного комплекса рекомендаций по обеспечению информационной безопасности на предприятии, на основе сбора и анализа мер и средств обеспечения информационной безопасности на крупных и малых предприятиях. Для достижения заявленной цели необходимо: описать меры по обеспечению информационной безопасности не предприятии. анализ угроз информационной безопасности предприятия. анализ средств обеспечения информационной безопасности предприятия. 1 Общая часть Основные понятия защиты информации и безопасности сети Современные методы обработки, передачи и накопления информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям. Поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития ИТ. Рассмотрим основные понятия защиты информации и информационной безопасности компьютерных систем и сетей с учетом определений ГОСТ Р 50922—96. Защита информации — это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Объект защиты — информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации. Цель защиты информации — это желаемый результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию. Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели. Защита информации от утечки — деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа (НСД) к защищаемой информации и получения защищаемой информации злоумышленниками. Защита информации от разглашения — деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации. Защита информации от НСД — деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником либо владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим НСД к защищаемой информации, может выступать государство, юридическое лицо, группа физических лиц, в т. ч. общественная организация, отдельное физическое лицо. Система защиты информации — совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации. Под информационной безопасностью понимают защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение их работоспособности. Природа этих воздействий может быть самой разнообразной. Это и попытки проникновения злоумышленников, и ошибки персонала, и выход из строя аппаратных и программных средств, и стихийные бедствия (землетрясение, ураган, пожар) и т. п. Современная автоматизированная система (АС) обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты АС можно разбить на следующие группы: аппаратные средства — компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры, кабели, линии связи и т. д.); программное обеспечение — приобретенные программы, исходные, объектные, загрузочные модули; ОС и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.; данные — хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.; персонал — обслуживающий персонал и пользователи. Одной из особенностей обеспечения информационной безопасности в АС является то, что таким абстрактным понятиям, как информация, объекты и субъекты системы, соответствуют физические представления в компьютерной среде: для представления информации — машинные носители информации в виде внешних устройств компьютерных систем (терминалов, печатающих устройств, различных накопителей, линий и каналов связи), оперативной памяти, файлов, записей и т. д.; объектам системы — пассивные компоненты системы, хранящие, принимающие или передающие информацию. Доступ к объекту означает доступ к содержащейся в нем информации; субъектам системы — активные компоненты системы, которые могут стать причиной потока информации от объекта к субъекту или изменения состояния системы. В качестве субъектов могут выступать пользователи, активные программы и процессы. Информационная безопасность компьютерных систем достигается обеспечением конфиденциальности, целостности и достоверности обрабатываемых данных, а также доступности и целостности информационных компонентов и ресурсов системы. Перечисленные выше базовые свойства информации нуждаются в более полном толковании. Конфиденциальность данных — это статус, предоставленный данным и определяющий требуемую степень их защиты. К конфиденциальным данным можно отнести, например, следующие: личную информацию пользователей; учетные записи (имена и пароли); данные о кредитных картах; данные о разработках и различные внутренние документы; бухгалтерские сведения. Конфиденциальная информация должна быть известна только допущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной. Установление градаций важности защиты защищаемой информации (объекта защиты) называют категорированием защищаемой информации. Понятие политики безопасности Политика безопасности в организации представляет собой отдельный документ, который имеет четкую структуру и базируется на других документах, определяющих специализированные процедуры по защите данных. Основой построения политики в области информационной безопасности является анализ рисков, актуальных для конкретного предприятия, и определение количества ресурсов, которое руководство считает целесообразным использовать для обеспечения защиты. Периодически эти данные подвергаются пересмотру, чтобы обеспечить актуальность текущей программы защиты. Для реализации политики безопасности выделяются специальные ресурсы, происходит распределение ролей и назначаются ответственные за ее выполнение лица. Сам документ должен быть относительно независим от каких-либо конкретных технологий. Это делается для того, чтобы не приходилось менять его особенно часто. Вся информация, которая циркулирует в рамках конкретного предприятия и относится, например, к учету продаж или индивидуальных данных клиентов, имеет особенно важное значение. Внутри локальной сети происходит создание, хранение, передача и обработка специфичных документов, которые, как правило, используются совместно несколькими операторами. По этой причине каждый компьютер, включенный в локальную сеть организации, нуждается в повышенной защите. Важно с помощью документа политики безопасности донести до сотрудников большое значение сохранности данных. Регламентируется участие работников в защите информации вплоть до описания роли каждого пользователя, подрядчика и поставщика в компьютерной системе. Глобальная цель – обеспечить актуальность, конфиденциальность и доступность данных, а также их целостность. Она реализуется с помощью: анализа информации, которая поступает при регистрации пользователя; обеспечения общей безопасности в локальной сети; существования отчетности по всем действиям, которые пользователи системы производят с информацией; обеспечения соответствия с законами о защите данных, которые существуют в Российской Федерации; соблюдения правил, которые установлены локальными документами. Механизмы обеспечения информационной безопасности реализуются с участием сотрудников предприятия. Руководители подразделений следят за тем, чтобы до каждого работника была доведена актуальная информация. Администраторы отвечают за безопасность локальных сетей, непрерывную работу ее составляющих, обеспечение резервного копирования данных. В их обязанности входит защита компьютера от несанкционированного использования, анализ корректности выполнения процедур идентификации и аутентификации. Они также отвечают за поиск, обнаружение и ликвидацию вредоносного кода. Администраторы сервисов управляют правами доступа пользователей к тем или иным видам документов, регулярно проводят проверку защитных механизмов. Конечные пользователи информационной системы обязаны знать и соблюдать правила работы с ней, работать исключительно с использованием своей личной учетной записи, сообщать руководству или администраторам любую информацию о подозрительных объектах в системе. Нарушение политики безопасности может повлечь за собой катастрофические для бизнеса последствия, поэтому в документе должны быть отражены санкции, налагаемые на сотрудников. Дисциплинарные взыскания могут быть крайне серьезными, вплоть до принудительного увольнения. Для построения политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы: защита объектов информационной системы; защита процессов, процедур и программ обработки информации; защита каналов связи; подавление побочных электромагнитных излучений; управление системой защиты. При этом, по каждому из перечисленных выше направлений политика информационной безопасности должна описывать следующие этапы создания средств защиты информации: определение информационных и технических ресурсов, подлежащих защите; выявление полного множества потенциально возможных угроз и каналов утечки информации; проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки; определение требований к системе защиты; осуществление выбора средств защиты информации и их характеристик; внедрение и организация использования выбранных мер, способов и средств защиты; осуществление контроля целостности и управление системой защиты. Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты. Угроза – это возможная опасность совершения какого-либо деяния, направленного против объекта защиты, которое наносит ущерб собственнику, владельцу или пользователю и проявляется в опасности искажения и потери информации. Инструменты реализации политики безопасности. Выбор оптимального решения Разработка, внедрение и эксплуатация СКЗИ представляет собой многофункциональную динамическую систему, для которой характерны признаки, присущие сложным системам. Сложная система при функциональной декомпозиции расчленяется на более простые подсистемы, каждая из которых, в свою очередь, представляет определенную совокупность еще менее сложных структурных единиц, выполняющих самостоятельные функции. Такая процедура базируется на учете следующих основных закономерностей: - каждая более сложная подсистема декомпозируется на менее сложные до тех пор, пока они не окажутся простыми либо квазипростыми; - каждый уровень структурных единиц системы должен содержать не только необходимые, но и достаточное количество самостоятельных структурных единиц, которые в совокупности удовлетворяют вышестоящим структурным единицам системы с точки зрения необходимости и достаточности для их формализации и оценки; каждая вышестоящая структурная единица системы должна включать нижестоящие структурные единицы по принципу «И», а не «ИЛИ»; структурные единицы должны быть тем более конкретными, точнее и детальнее описанными, чем ниже они расположены по иерархии. Таким образом, функциональная декомпозиция процесса разработки внедрения и эксплуатации СКЗИ предполагает формирование целей и задач, стоящих перед структурными элементами СКЗИ, которые достигаются в процессе решения частных задач, каждая из которых, в свою очередь, достигается за счет решения задач, стоящих перед структурными единицами, расположенными ниже по иерархии. Для описания элементов декомпозированной системы может быть использовано ее представление как стохастической системы с неполной информацией о состояниях. При этом, поскольку задачи, стоящие перед СКЗИ, являются сложно формализуемыми, то, как показывает анализ, наиболее предпочтительными методами описания являются такие, как экспертные оценки, имитационное моделирование, методы теории нечетких множеств, лингвистических переменных, мягких измерений и т.п. Построение функциональной модели сложных систем, таких как система КОИБ, целесообразно проводить в соответствии со стандартами IDEF (IDEF0, IDEF3, IDEF5, DFD и др.). Разработка моделей в данных стандартах позволяет наглядно и эффективно отобразить весь механизм создания, внедрения и эксплуатации системы комплексной защиты информации в нужном разрезе. Стандарт IDEF0 – это технология описания системы в целом как множества взаимозависимых действий или функций. Важно отметить функциональную направленность IDEF0 – функции системы исследуются независимо от объектов, которые обеспечивают их выполнение. «Функциональная» точка зрения позволяет четко отделить аспекты назначения системы от аспектов ее физической реализации. Результаты IDEF0 анализа могут применяться при проведении исследований с использованием моделей IDEF3 и диаграмм потоков данных DFD. Отличительной особенностью языка IDEF0 является использование в качестве основы естественного языка экспертов, который структурируется с помощью графических средств. Это дает возможность эксперту свободно описывать функционирование системы, пользуясь знакомой и удобной терминологией, а затем легко перенести описание на естественном языке в графическое представление языка IDEF0. Кроме того, IDEF0-модели могут быть также использованы для функционально-стоимостного анализа бизнес-процессов. В стандарте IDEF0 описание системы организовано в виде иерархически упорядоченных и взаимосвязанных диаграмм. Вершина этой древовидной структуры представляет собой самое общее описание системы и ее взаимодействия с внешней средой. В основании структуры находятся наиболее детализированные описания выполняемых системой функций. Диаграммы содержат функциональные блоки, соединенные дугами. Дуги отображают взаимодействия и взаимосвязи между блоками. Функциональный блок на диаграммах изображается прямоугольником и представляет собой функцию или активную часть системы. Названиями блоков служат глаголы или глагольные обороты. Каждая сторона блока имеет особое, вполне определенное назначение. К левой стороне блока подходят дуги входов, к верхней – дуги управления, к нижней – дуги механизмов реализации выполняемой функции, а из правой - направлены дуги выходов. Таким образом, инструментарий IDEF0 позволяет эффективно моделировать процесс комплексного обеспечения информационной безопасности с целью оптимизации управления защитой информационных активов. 1.4 Методика построения корпоративной системы защиты информации Современные методики управления рисками, проектирования и сопровождения корпоративных систем защиты информации должны позволять решить ряд задач перспективного стратегического развития компании. Во-первых, количественно оценить текущий уровень информационной безопасности компании, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации. Во-вторых, разработать и реализовать комплексный план совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо: обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения; выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы; определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации; разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий; обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты. Решение названных задач открывает новые широкие возможности перед должностными лицами разного уровня. Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой концепции безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании. Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. |