Обеспечения информационной безопасности

Существует два подхода к проблеме обеспечения ИБ: фрагментар­ный и комплексный.

Фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.п.

Достоинством такого подхода является высокая избирательность к конкретной угрозе. Существенным недостатком данного подхода является отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты ин­формации обеспечивают защиту конкретных объектов только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности за­щиты.

Комплексный подход ориентирован на создание защищенной среды обработки информации, объединяющей в единый комплекс разнородные меры проти­водействия угрозам. Организация защищенной среды обработки информации по­зволяет гарантировать определенный уровень безопасности, что является не­сомненным достоинством комплексного подхода. К недостаткам этого подхода относятся: ограничения на свободу действий пользователей, чувствитель­ность к ошибкам установки и настройки средств защиты, сложность управления.

Комплексный подход к проблеме обеспечения безопасности основан на разра­ботанной для конкретной информационной системы политике безопасности. Политика безопасности регламентирует эффективную работу средств защиты ИС. Она охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях.

Безопасной считается такая система, которая "посредством специальных механизмов защиты контролирует доступ к информации таким образом, что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут получить доступ на чтение, запись, создание или удаление информации".

В общем случае классы A,B,C, можно характеризовать, как: уровень C - произвольное управление доступом; уровень B - принудительное управление доступом; уровень A - верифицируемая (подтверждаемая, доказуемая) безопасность.

В класс D попадают системы, оценка которых выявила их несоответствие требованиям всех других классов. Другими словами, уровень D предназначен для систем, признанных неудовлетворительными. В настоящее время он пуст.

Для обеспечения ИБ существуют следующие меры: законодательного (законы, нормативные акты, стандарты и т.п.); административно-организационного (действия общего характера, предпри­нимаемые руководством организации, и конкретные меры безопасности, на­правленные на работу с людьми); программно-технического (конкретные технические меры).

Меры законодательного уровня очень важны для обеспечения ИБ. К этому уровню можно отнести весь комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Боль­шинство людей не совершают противоправных действий потому, что это осуж­дается и/или наказывается обществом, и потому, что так поступать не принято.

Меры административно-организационного уровня. Администрация организа­ции должна сознавать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Основой мер защиты админист­ративно-организационного уровня является политика безопасности и комплекс организационных мер.

К комплексу организационных мер относятся меры безопасности, реализуемые людьми. Можно выделить следующие группы организационных мер: управление персоналом; физическая защита; поддержание работоспособности; реагирование на нарушения режима безопасности; планирование восстановительных работ.

Для каждой группы в любой организации должен существовать набор регла­ментов, определяющих действия персонала.

Меры и средства программно-технического уровня. В рамках современных ИС должны быть доступны, по крайней мере, следующие ме­ханизмы безопасности: применение защищенных виртуальных частных сетей VPN для защиты ин­формации, передаваемой по открытым каналам связи; криптографическое преобразование данных для обеспечения целостности, подлинности и конфиденциальности информации; применение межсетевых экранов для защиты корпоративной сети от вне­шних угроз при подключении к общедоступным сетям связи; управление доступом на уровне пользователей и защита от несанкциониро­ванного доступа к информации; гарантированная идентификация пользователей путем применения токенов (смарт-карты, touch-memory, ключи для USB-портов и т.п.) и других средств аутентификации; защита информации на файловом уровне (путем шифрования файлов и ка­талогов) для обеспечения ее надежного хранения; защита от вирусов с использованием специализированных комплексов ан­тивирусной профилактики и защиты; технологии обнаружения вторжений и активного ис­следования защищенности информационных ресурсов; централизованное управление средствами информационной безопасности.