Методи, заходи та засоби забезпечення інформаційної безпеки підприємства
Для запобігання загрозам інформаційній безпеці та їх усунення використовують правові, програмно-технічні та організаційно-економічні методи.
Правові методи передбачають розроблення комплексу нормативно-правових актів і положень, що регламентують інформаційні відносини в суспільстві, керівних і нормативно-методичних документів щодо гарантування інформаційної безпеки.
Програмно-технічні методи передбачають:
– запобігання витоку інформації;
– усунення можливості несанкціонованого доступу до інформації;
– запобігання впливам, які призводять до знищення, руйнування, переключення інформації, або збоям чи відмовам у функціонуванні засобів інформатизації;
– виявлення вмонтованих пристроїв;
– запобігання перехопленню інформації технічними засобами;
– використання криптографічних засобів захисту інформації під час передачі каналами зв’язку.
Організаційно-економічні методи передбачають:
– формування і забезпечення функціонування систем захисту секретної і конфіденційної інформації;
– сертифікацію цих систем відповідно до вимог інформаційної безпеки;
– ліцензування діяльності у сфері інформаційної безпеки;
– стандартизацію способів і засобів захисту інформації;
– контроль за діями персоналу в захищених інформаційних системах.
Крім цих груп методів використовують ще й такі методи забезпечення інформаційної безпеки:
– ідентифікація та аутентифікації користувачів (так званий комплекс 3А);
– шифрування інформації, що зберігається на комп’ютерах і передається по мережах;
– міжмережеві екрани;
– віртуальні приватні мережі;
– засоби контентної фільтрації;
– інструменти перевірки цілісності вмісту дисків;
– протидія атакам шкідливих програм;
– системи виявлення вразливостей мереж і аналізатори мережевих атак;
–перешкода;
–регламентація;
–примус;
–спонука;
– мотивація, економічне стимулювання і психологічна підтримка діяльності персоналу.
Кожен з перерахованих засобів може використовуватись як самостійно, так і в інтеграції з іншими.
«Комплекс 3А» включає аутентифікацію (або ідентифікацію), авторизацію та адміністрування. Ідентифікація та авторизація – це ключові елементи інформаційної безпеки. При спробі доступу до інформаційних активів функція ідентифікації дає відповідь на питання: чи ви є авторизованим користувачем мережі?. Функція авторизації відповідає за те, до яких ресурсів конкретний користувач має доступ. Функція адміністрування полягає у наділенні користувача певними ідентифікаційними особливостями в рамках даної мережі і визначенні обсягу допустимих для нього дій.
Шифрування – криптографічне закриття інформації. Системи шифрування дозволяють мінімізувати втрати у випадку несанкціонованого доступу до даних, що зберігаються на жорсткому диску або іншому носії, а також перехоплення інформації при її пересилання по електронній пошті або передачу з мережних протоколах. Завдання цього засобу захисту – забезпечення конфіденційності. Основні вимоги, що пред’являються до систем шифрування – високий рівень криптостійкості та легальність використання на території держави.
Міжмережевий екран являє собою систему або комбінацію систем, що утворить між двома чи більш мережами захисний бар’єр, що оберігає від несанкціонованого потрапляння в мережу або виходу з неї пакетів даних.
Основний принцип дії міжмережевих екранів – перевірка кожного пакету даних на відповідність вхідної та вихідної IP адреси базі дозволених адрес. Таким чином, міжмережеві екрани значно розширюють можливості сегментації інформаційних мереж та контролю за циркулюванням даних.
Говорячи про криптографію і міжмережеві екрані, слід згадати про захищені віртуальні приватні мережі (Virtual Private Network – VPN). Їх використання дозволяє вирішити проблеми конфіденційності і цілісності даних при їх передачі по відкритим комунікаційних каналам. Використання VPN можна звести до вирішення трьох основних завдань:
1. Захист інформаційних потоків між різними офісами компанії (шифрування інформації проводиться тільки на виході у зовнішню мережу).
2. Захищений доступ віддалених користувачів мережі до інформаційних ресурсів компанії, як правило, здійснюваний через Internet.
3. Захист інформаційних потоків між окремими додатками всередині корпоративних мереж (цей аспект також дуже важливий, оскільки більшість атак здійснюється з внутрішніх мереж).
Ефективний засіб захисту від втрати конфіденційної інформації – фільтрація вмісту вхідної і вихідної електронної пошти. Перевірка поштових повідомлень на основі правил, встановлених в організації, дозволяє також забезпечити безпеку компанії від відповідальності за судовими позовами і захистити їх співробітників від спаму.
Засоби контентної фільтрації дозволяють перевіряти файли всіх розповсюджених форматів, у тому числі стислі і графічні. При цьому пропускна здатність мережі практично не змінюється.
Всі зміни на робочій станції або на сервері можуть бути відслідковані адміністратором мережі або іншим авторизованим користувачем завдяки технології перевірки цілісності вмісту жорсткого диска (integrity checking). Це дозволяє виявляти будь-які дії з файлами (зміна, видалення або ж просто відкриття) і ідентифікувати активність вірусів, несанкціонований доступ або крадіжку даних авторизованими користувачами. Контроль здійснюється на основі аналізу контрольних сум файлів (CRC сум).
Сучасні антивірусні технології дозволяють виявити практично всі вже відомі вірусні програми через порівняння коду підозрілого файлу із зразками, що зберігаються в антивірусній базі. Крім того, розроблені технології моделювання поведінки, що дозволяють виявляти новостворювані вірусні програми. Виявлені об’єкти можуть піддаватися лікуванню, ізолюватися (міститися в карантин) або видалятися. Захист від вірусів може бути встановлено на робочі станції, файлові і поштові сервера, міжмережеві екрани, що працюють під практично будь-якою з поширених операційних систем (Windows, Unix-і Linux-системи, Novell) на процесорах різних типів.
Фільтри спаму значно зменшують невиробничі затрати праці, пов’язані з розглядом спаму, знижують трафік і завантаження серверів, покращують психологічний фон в колективі і зменшують ризик залучення співробітників компанії в шахрайські операції. Крім того, фільтри спаму зменшують ризик зараження новими вірусами, оскільки повідомлення, що містять віруси (навіть ще не включені до бази антивірусних програм) часто мають ознаки спаму і фільтруються.
Перешкода – метод фізичного втручання на шляху зловмисника до захищеної інформації (до документів, апаратури, носіїв інформації тощо).
Регламентація – створення таких умов автоматизованого опрацювання, зберігання і передавання інформації, що піддягає захисту, за яких норми і стандарти захисту найбільш ефективні.
Примус – метод захисту, за якого користувачі і персонал ІС змушені дотримуватися правил опрацювання, передавання і використання конфіденційної інформації через загрозу матеріальної, адміністративної або кримінальної відповідальності.
Спонука – метод захисту, що спонукає користувачів і персонал ІС не порушувати встановлених порядків за рахунок дотримання моральних і етичних норм, що склалися.
Для протидії природним загрозам інформаційної безпеки в компанії має бути розроблений і реалізований набір процедур щодо запобігання надзвичайних ситуацій (наприклад, щодо забезпечення фізичного захисту даних від пожежі) та мінімізації збитків у тому випадку, якщо така ситуація все-таки виникне. Один з основних методів захисту від втрати даних – резервне копіювання з чітким дотриманням встановлених процедур (регулярність, типи носіїв, методи зберігання копій тощо).
Існують такі засоби забезпечення інформаційної безпеки:
– технічні, які поділяють на апаратні та фізичні;
– програмні;
– організаційні;
– правові;
– морально-етичні.
Апаратні засоби – пристрої, які вбудовують безпосередньо в обчислювальну техніку або пристрої, які з’єднують із нею за стандартним інтерфейсом.
Фізичні засоби – це різні інженерні пристрої і споруди, що перешкоджають фізичному проникненню зловмисників на об’єкти захисту і здійснюють захист персоналу (особисті засоби безпеки), матеріальних засобів і фінансів, інформації від протиправних дій (замки на дверях, фати на вікнах, засоби електронної охоронної сигналізації).
Програмні засоби – спеціальні програми і програмні комплекси, призначені для захисту інформації в ІС.
Організаційні засоби здійснюють регламентацію виробничої діяльності в ІС і взаємин виконавців на нормативно-правовій основі так, що розголошування, витік і несанкціонований доступ до конфіденційної інформації стають неможливими або досить складними за рахунок проведення організаційних заходів. Комплекс цих заходів реалізує група інформаційної безпеки, але має бути під контролем першого керівника.
Законодавчі засоби захисту визначаються законодавчими актами країни, якими регламентуються правила користування, опрацювання і передавання інформації обмеженого доступу і встановлюють заходи відповідальності за порушення цих правил.
Морально-етичні засоби захисту – різні норми поведінки, які традиційно склалися раніше, формуються у спосіб розповсюдження ІС і ІТ в країні і світі або спеціально розробляються. Вони можуть бути неписані (чесність) або оформлені в якесь зведення (статут) правил чи розпоряджень. Ці норми зазвичай не є законодавчо затвердженими, але оскільки їх недотримання призводить до падіння престижу організації, вони вважаються обов’язковими для виконання. Характерним прикладом таких розпоряджень є Кодекс професійної поведінки членів Асоціації користувачів ЕОМ США, Кодекс честі аудиторів.