Реферат: Основні шляхи забезпечення безпеки інформації

План:

1.  Концепція захисту інформації.

2.  Стратегія та архітектура захисту інформації.

3.  Політика безпеки інформації.

4.  Види забезпечення безпеки інформації.

Основні шляхизабезпечення безпеки інформації

1 Концепція захистуінформації

Вразливість інформації вавтоматизованих комплексах обумовлена великою концентрацією обчислювальнихресурсів, їх територіальною розподіленністю, довгостроковим збереженням великогооб’єму даних на магнітних та оптичних носіях, одночасним доступом до ресурсівбагатьох користувачів. У цих умовах необхідність вживання заходів захисту,напевно, не викликає сумнівів. Однак існують певні труднощі:

· немаєєдиної теорії захисту систем;

· виробникизасобів захисту, в основному, пропонують окремі компоненти для рішенняприватних задач, залишаючи питання формування системи захисту і сумісності цихзасобів на розсуд споживачів;

· длязабезпечення надійного захисту необхідно розв’язати цілий комплекс технічних іорганізаційних проблем і розробити відповідну документацію.

Для подолання перерахованихвище труднощів, необхідна координація дій всіх учасників інформаційного процесуяк на окремому підприємстві, так і на державному рівні.

Концепціязахистуінформації — офіційно прийнята система поглядів на проблему інформаційноїбезпеки і шляхи її рішення з урахуванням сучасних тенденцій. Вона єметодологічною основою політики розробки практичних заходів для її реалізації.На базі сформульованих у концепції цілей, задач і можливих шляхів їх рішенняформуються конкретні плани забезпечення інформаційної безпеки.

2 Стратегія та архітектуразахисту інформації

В основі комплексу заходівщодо інформаційної безпеки повинна бути стратегія захисту інформації. У нійвизначаються мета, критерії, принцип і процедури, необхідні для побудовинадійної системи захисту.

Найважливішою особливістюзагальної стратегії інформаційного захисту є дослідження системи безпеки. Можнавиділити два основних напрямки:

· аналіз засобівзахисту;

· визначенняфакту вторгнення.

На основі концепції безпекиінформації розробляються стратегія безпеки інформації та архітектура системизахисту інформації, а далі – політика безпеки інформації (рис.1.1).

/>

Рис. 1.1 Ієрархічний підхіддо забезпечення безпеки інформації

Розробку концепції захистурекомендується проводити в три етапи (рис. 1.2).

На першому етапі повинна бутичітко визначена цільова установка захисту, тобто які реальні цінності,виробничі процеси, програми, масиви даних необхідно захищати. На цьому етапідоцільно диференціювати по значимості окремі об'єкти, що вимагають захисту.

На другому етапі повинен бутипроведений аналіз злочинних дій, що потенційно можуть бути зроблені стосовнооб'єкта, що захищається. Важливо визначити ступінь реальної небезпеки такихнайбільш широко розповсюджених злочинів, як економічне шпигунство, саботаж, крадіжкизі зломом. Потім потрібно проаналізувати найбільш ймовірні дії зловмисниківстосовно основних об'єктів, що потребують захисту.

/>

Рис. 1.2 Етапи розробки концепції захистуінформації

Головною метою третього етапує аналіз обставин, у тому числі місцевих специфічних умов, виробничих процесів,уже встановлених технічних засобів захисту.

Концепція захисту повиннамістити перелік організаційних, технічних і інших заходів, що забезпечуютьмаксимальну безпеку при заданому залишковому ризику і мінімальні витрати на їхреалізацію.

Політика захисту — цезагальний документ, де перераховуються правила доступу, визначаються шляхиреалізації політики та описується базова архітектура середовища захисту.

Сам по собі документскладається з декількох сторінок тексту. Він формує основу фізичної архітектуримережі, а інформація, що знаходиться в ньому, визначає вибір продуктів захисту.При цьому, документ може і не включати список необхідних закупок, але вибірконкретних компонентів після його складання повинен бути очевидним.

Політика захисту повиннаобов'язково відображати наступне:

· контрольдоступу (заборона на доступ користувача до матеріалів, якими йому не дозволенокористуватися);

· ідентифікаціюта аутентифікацію (використання паролів або інших механізмів для перевіркистатусу користувача);

· облік(запис усіх дій користувача в мережі);

· контрольнийжурнал (журнал дозволяє визначити, коли і де відбулося порушення захисту);

· акуратність(захист від будь-яких випадкових порушень);

· надійність(запобігання монополізації ресурсів системи одним користувачем);

· обмінданими (захист усіх комунікацій).

Один з найпростіших способівреалізувати захист — доручити зайнятися цим спеціалізованій компанії.

3 Політика безпеки інформації

При розробці політики безпекиінформації, у загальному випадку, спочатку визначають об'єкти, які требазахистити, і їх функції. Потім оцінюють ступінь інтересу потенційногосупротивника до цих об'єктів, ймовірні види нападу і спричинений ними збиток.Нарешті, визначають вразливі для впливу області, в яких наявні засоби протидіїне забезпечують достатнього захисту. При цьому, розробка політики безпеки інформаціїповинна проводитися з урахуванням задач, рішення яких забезпечить реальнийзахист даного об'єкта (рис. 1.3).

Автоматизований комплексможна вважати захищеним, якщо всі операції виконуються у відповідності з чітковизначеними правилами (рис. 1.4), що забезпечують безпосередній захистоб'єктів, ресурсів і операцій. Основу для формування вимог до захисту складаєсписок загроз. Коли такі вимоги відомі, можуть бути визначені відповідніправила забезпечення захисту. Ці правила, в свою чергу, визначають необхідніфункції і заходи захисту. Чим суворіші вимоги до захисту і більше відповіднихправил, тим ефективніші його механізми і тим більш захищеним виявляєтьсяавтоматизований комплекс.

Отже, захист інформації вкомп'ютерній мережі ефективніший в тому випадку, коли проектування і реалізаціясистеми захисту відбувається в три етапи:

· аналізризику;

· реалізаціяполітики безпеки;

· підтримкаполітики безпеки.

На першому етапі аналізуютьсявразливі елементи комп'ютерної мережі, визначаються й оцінюються загрози іпідбираються оптимальні засоби захисту. Аналіз ризику закінчується прийняттямполітики безпеки. Політикою безпеки (Security Policy) називається комплексвзаємозалежних засобів, спрямованих на забезпечення високого рівня безпеки. Утеорії захисту інформації вважається, що ці засоби повинні бути спрямовані надосягнення наступних цілей:

· конфіденційність(засекречена інформація повинна бути доступна тільки тому, кому вонапризначена);

· цілісність(інформація, на основі якої приймаються рішення, повинна бути достовірною іповною, а також захищена від можливих ненавмисного і злочинного перекручувань);

· готовність(інформація і відповідні автоматизовані служби повинні бути доступні та, у разіпотреби, готові до обслуговування).

Визначення об’єктів, які захищаються:

призначення; вартість заміни; можливість зміни.

↓↓

Визначення критичності:

аналіз призначення; стан в певний момент; простота зміни.

↓↓

Визначення загроз:

шпіонаж; саботаж; тероризм; кримінальні злочинці; незадоволені робітники.

Враховується:

вартість об’єкта; мета агресій; заходи усування наслідків; ризик.

↓↓

Визначення можливості нападу:

так; ні.

↓↓

Визначення видів нападу:

таємний вхід; підрив; розвідка; демонстрація; напад з повітря; напад з зони недосяжності; крадіжка; руйнування; засмічення; несанкціонований доступ.

↓↓

Визначення загрози нападу:

інструмент; зброя.

↓↓

Визначення вразливості:

можливості сил захисту; захист від проникнення; можливості оцінки; можливості виявлення; контроль доступу; контроль процедур; вимоги до будівлі; таємність дій.

↓↓

Визначення обмежень:

фінансові; оперативні.

↓↓

Визначення вимог захисту:

де?

зовнішній периметр; внутрішній периметр; на об’єкті.

що? як?

перешкода; затримка; виявлення; оцінка; контроль доступу; управління і контроль; людські можливості; процедури

Рис. 1.3 Комплекс задач при розробціполітики безпеки

/>

Рис. 1.4 Основні правила забезпеченняполітики безпеки інформації

Вразливість означаєневиконання хоча б однієї з цих властивостей. Для комп'ютерних мереж можнавиділити наступні ймовірні загрози, які необхідно враховувати при визначенніполітики безпеки:

· несанкціонованийдоступ сторонніх осіб, що не належать до числа службовців і ознайомлення зізбереженою конфіденційною інформацією;

· ознайомленнясвоїх службовців з інформацією, до якої вони не повинні мати доступу;

· несанкціонованекопіювання програм і даних;

· перехопленнята ознайомлення з конфіденційною інформацією, переданої по каналах зв'язку;

· крадіжкамагнітних носіїв, що містять конфіденційну інформацію;

· крадіжкароздрукованих документів;

· випадковеабо навмисне знищення інформації;

· несанкціонованамодифікація службовцями документів і баз даних;

· фальсифікаціяповідомлень, переданих по каналах зв'язку;

· відмовавід авторства повідомлення, переданого по каналах зв'язку;

· відмовленнявід факту одержання інформації;

· нав'язуванняраніше переданого повідомлення;

· помилки вроботі обслуговуючого персоналу;

· руйнуванняфайлової структури через некоректну роботу програм або апаратних засобів;

· руйнуванняінформації, викликане вірусними впливами;

· руйнуванняархівної інформації, що зберігається на магнітних носіях;

· крадіжкаустаткування;

· помилки впрограмному забезпеченні;

· відключенняелектроживлення;

· збоїустаткування.

Оцінка імовірності появиданих погроз і очікуваних розмірів втрат — важка задача. Ще складніше визначитивимоги до системи захисту. Політика безпеки повинна визначатися наступнимизаходами:

· ідентифікація,перевірка дійсності і контроль доступу користувачів на об'єкт, у приміщення, доресурсів автоматизованого комплексу;

· поділповноважень користувачів, що мають доступ до обчислювальних ресурсів;

· реєстраціята облік роботи користувачів;

· реєстраціяспроб порушення повноважень;

· шифруванняконфіденційної інформації на основі криптографічних алгоритмів високоїстійкості;

· застосуванняцифрового підпису для передачі інформації по каналах зв'язку;

· забезпеченняантивірусного захисту (у тому числі і для боротьби з невідомими вірусами) івідновлення інформації, зруйнованої вірусними впливами;

· контрольцілісності програмних засобів і оброблюваної інформації;

· відновленнязруйнованої архівної інформації, навіть при значних втратах;

· наявністьадміністратора (служби) захисту інформації в системі;

· виробленняі дотримання необхідних організаційних заходів;

· застосуваннятехнічних засобів, що забезпечують безперебійну роботу устаткування.

Другий етап — реалізаціяполітики безпеки — починається з проведення розрахунку фінансових витрат івибору відповідних засобів для виконання цих задач. При цьому, необхідно врахуватитакі фактори як: безконфліктність роботи обраних засобів, репутаціяпостачальників засобів захисту, можливість одержання повної інформації промеханізми захисту і надані гарантії. Крім того, варто враховувати принципи, вяких відображені основні положення по безпеці інформації:

· економічнаефективність (вартість засобів захисту повинна бути меншою, ніж розміриможливого збитку);

· мінімумпривілей (кожен користувач повинен мати мінімальний набір привілей, необхіднихдля роботи);

· простота(захист буде тим ефективніший, чим легше користувачеві з ним працювати);

· відключеннязахисту (при нормальному функціонуванні захист не повинен відключатися, завинятком особливих випадків, коли співробітник зі спеціальними повноваженнямиможе мати можливість відключити систему захисту);

· відкритістьпроектування і функціонування механізмів захисту (таємність проектування іфункціонування засобів безпеки — кращий підхід до захисту інформації тому, щофахівці, які мають відношення до системи захисту, повинні цілком уявляти собіпринципи її функціонування та, у випадку виникнення скрутних ситуацій,адекватно на них реагувати);

· незалежністьсистеми захисту від суб'єктів захисту (особи, що займалися розробкою системизахисту, не повинні бути в числі тих, кого ця система буде контролювати);

· загальнийконтроль (будь-які виключення з безлічі контрольованих суб'єктів і об'єктівзахисту знижують захищеність автоматизованого комплексу);

· звітністьі підконтрольність (система захисту повинна надавати досить доказів, що показуютькоректність її роботи);

· відповідальність(особиста відповідальність осіб, що займаються забезпеченням безпекиінформації);

· ізоляціяі поділ (об'єкти захисту доцільно розділяти на групи таким чином, щоб порушеннязахисту в одній з груп не впливало на безпеку інших груп);

· відмоваза замовчуванням (якщо відбувся збій засобів захисту і розроблювачі непередбачили такої ситуації, то доступ до обчислювальних ресурсів повинен бутизаборонений);

· повнота іпогодженість (система захисту повинна бути цілком специфікована, протестована іпогоджена);

· параметризація(захист стає більш ефективним і гнучкішим, якщо він допускає зміну своїхпараметрів з боку адміністратора);

· принципворожого оточення (система захисту повинна проектуватися в розрахунку на ворожеоточення і припускати, що користувачі мають найгірші наміри, що вони будутьробити серйозні помилки і шукати шляхи обходу механізмів захисту);

· залученнялюдини (найбільш важливі і критичні рішення повинні прийматися людиною, тому щокомп'ютерна система не може передбачити всі можливі ситуації);

· відсутністьзайвої інформації про існування механізмів захисту (існування механізмівзахисту повинно бути по можливості приховане від користувачів, робота якихконтролюється).

Підтримка політики безпеки — третій, найбільш важливий, етап. Заходи, проведені на даному етапі, вимагаютьпостійного спостереження за вторгненнями у мережу зловмисників, виявлення «дір»у системі захисту об'єкта інформації, обліку випадків несанкціонованого доступудо конфіденційних даних.

При цьому основнавідповідальність за підтримку політики безпеки мережі лежить на системномуадміністраторі, що повинен оперативно реагувати на усі випадки злому конкретноїсистеми захисту, аналізувати їх і використовувати необхідні апаратні і програмнізасоби захисту з урахуванням максимальної економії фінансових засобів.

4 Види забезпечення безпекиінформації

В даний час комп'ютернізлочини надзвичайно різноманітні. Це несанкціонований доступ до інформації, щозберігається в комп'ютері, введення в програмне забезпечення логічних бомб,розробка і поширення комп'ютерних вірусів, розкрадання комп'ютерної інформації,недбалість у розробці, виготовленні та експлуатації програмно-обчислювальнихкомплексів, підробка комп'ютерної інформації.

Всі заходи протидіїкомп'ютерним злочинам, що безпосередньо забезпечують безпеку інформації, можнапідрозділити на:

· правові;

· організаційно-адміністративні;

· інженерно-технічні.

До правових заходів (рис. 1.5) варто віднести розробку норм, щовстановлюють відповідальність за комп'ютерні злочини, захист авторських правпрограмістів, удосконалювання карного і цивільного законодавства, а такожсудочинства. До них відносяться також питання суспільного контролю зарозроблювачами комп'ютерних систем і прийняття відповідних міжнароднихдоговорів про обмеження, якщо вони впливають або можуть уплинути на військові,економічні і соціальні аспекти країн. Тільки в останні роки з'явилися роботи зпроблем правової боротьби з комп'ютерними злочинами. А зовсім недавно івітчизняне законодавство стало на шлях боротьби з комп'ютерною злочинністю.

/>

Рис. 1.5 Правові норми забезпечення безпеки інформації

Доорганізаційно-адміністративних заходів (рис. 1.6) відносяться: охоронакомп'ютерних систем, підбір персоналу, виключення випадків ведення особливоважливих робіт тільки однією людиною, наявність плану відновленняпрацездатності центру після виходу його з ладу, обслуговування обчислювальногоцентру сторонньою організацією або особами, незацікавленими в приховуванніфактів порушення роботи центру, універсальність засобів захисту від усіхкористувачів (включаючи вище керівництво), покладання відповідальності на осіб,що повинні забезпечити безпеку центру, вибір місця розташування центру і т.п.

/>

Рис. 1.6 Основні організаційні таадміністративні заходи по захисту інформації в мережі.

До інженерно-технічнихзаходів (рис. 1.7) можна віднести захист від несанкціонованого доступу докомп'ютерної системи, резервування важливих комп'ютерних систем, забезпеченнязахисту від розкрадань і диверсій, резервне електроживлення, розробку іреалізацію спеціальних програмних і апаратних комплексів безпеки тощо.

Фізичні засоби містять у собірізні інженерні засоби, що перешкоджають фізичному проникненню зловмисників наоб'єкти захисту і захищаючий персонал, особисті засоби безпеки, матеріальнізасоби і фінанси, інформацію від протиправних дій.

До апаратних засобіввідносяться прилади, пристрої, пристосування та інші технічні рішення, яківикористовуються в інтересах забезпечення безпеки. У практиці діяльностібудь-якої організації знаходить широке застосування різна апаратура: відтелефонного апарату до розроблених автоматизованих інформаційних систем, щозабезпечують її виробничу діяльність. Основна задача апаратних засобів — стійкабезпека комерційної діяльності.

/>

Рис. 1.7 Основні інженерні та технічнізаходи по захисту інформації в мережі

Програмні засоби — цеспеціальні програми, програмні комплекси і системи захисту інформації вінформаційних системах різного призначення і засобах обробки даних.

Криптографічні засоби — цяспеціальні математичні та алгоритмічні засоби захисту інформації, переданої помережах зв'язку, збереженої та обробленої на комп'ютерах з використаннямметодів шифрування.

Література

1. СоколовА.В., Степанюк О.М. Защита от компьютерного терроризма. Справочное пособие. –СПб.: БХВ – Петербург; Арлит 2002. – 496 с.;

2. Баранов ВМ. и др. Защита информации в системах и средствах информатизации и связи.Учебное пособие. – СПб.: 1996. – 111 с.

3. МельниковВ.В. Защита информации в компьютерных системах. М.: Финансы и статистика. –1997. – 364 с.