Особливості захисту електронної корпоративної інформації
Безпека електронної системи, як відомо, – це здатність її протидіяти спробам завдати збитків власникам і користувачам систем у разі появи різних збуджувальних (навмисних і ненавмисних) впливів на неї.
Такими впливами можуть бути:
l спроба проникнення зловмисника;
l помилки персоналу;
l стихійні лиха (ураган, пожежа);
l вихід з ладу окремих ресурсів.
Розрізняють внутрішню і зовнішню безпеку електронної системи.
Внутрішня безпека враховує захист від стихійного лиха, від проникнення зловмисника, отримання доступу до носіїв інформації чи виходу системи з ладу. Предметом внутрішньої безпеки є забезпечення надійної і коректної роботи системи, цілісності її програм і даних.
Нині склалися два підходи до гарантування безпеки електронних систем:
*фрагментарний, за якого створюється протидія суворо визначеним загрозам за певних умов:
− спеціалізовані антивірусні засоби;
− автономні засоби шифрування тощо;
*комплексний, який передбачає створення середовища оброблення
інформації, яке поєднує різні заходи ля протидії загрозам:
− правові;
− організаційні;
− програмно-технічні.
Комплексний підхід використовують переважно для захисту великих систем, типові програмні засоби яких містять вмонтовані засоби яких захисту інформації, але цього недостатньо. В цьому разі потрібно проводити такі заходи:
l організаційні заходи контролю за персоналом, який має високий рівень повноважень щодо дії в системі: за програмістами;
l за адміністраторами баз даних мережі тощо;
l організаційні й технічні заходи резервування критично важливої інформації;
l організаційні заходи з відновлення працездатності системи у разі виникнення непередбачуваних ситуацій;
l організаційні й технічні заходи управління доступом у приміщеннях, де міститься обчислювальна техніка;
l організаційні й технічні заходи з фізичного захисту приміщень, в яких міститься обчислювальна техніка і носії даних, від стихійних лих, масових безпорядків тощо.
Міжнародні стандарти безпеки інформаційно-обчислювальних систем. Аналізуючи ситуацію в світі у сфері стандартизації щодо інформаційної безпеки за роки розвитку індустрії ІБ, можна виділити такі тимчасові періоди, назва яких найбільш чітко характеризує природний розвиток цього процесу: поява стандартів (1988 – 1995 рр.), випробування практикою (1996 – 2000) і виживання сильних (від 2001 р. і дотепер). Зазначимо, що NIST і BSI нині є основними світовими конкурентами у сфері стандартизації.
На практиці вистачає кількох основоположних стандартів, які визнаються фахівцями й використовуються бізнесом на практиці. Таким чином, у цій битві стандартів виживали й вижили сильні, зокрема стандарт ISO 15408, що регламентує вимоги до захищеності ПО, або стандарт управління ISO 27001/17799 . Ці стандарти нині дістали статус міжнародних. Щоправда, є одне “але”. Світ розділився на дві географічно незалежні з огляду на стандартизацію зони: Європа й Азія визнають стандарти ISO, а США вважає за краще використовувати стандарти NIST. Зазначимо маловідомий факт: багато які найбільш відомі стандарти ISO грунтуються на BSI : ISO 17799, ISO 9001, ISO 14001.
На концептуальному рівні служби безпеки специфікують напрями нейтралізації загроз. Усі напрями організації захисту інформації (фізичні, законодавчі, управління доступом, криптографічне закриття) реалізуються механізмами безпеки. В межах ідеології “відкритих систем” служби й механізми безпеки потрібно використовувати на будь-якому рівні еталонної моделі: фізичному; канальному; мережевому; транспортному; сеансному; представницькому; прикладному.
Захист інформації здійснюють:
l комплексним застосуванням різних засобів і методів;
l створенням структури захисту й охорони з кількома рівнями;
l постійним їх удосконаленням.
Успіх справи залежить від збалансованої й налагодженої взаємодії захисту операційних систем і гарантування безпеки баз даних.
У межах цієї програми розрізняють такі пасивні об’єкти захисту: файли; прикладні програми; термінали; ділянки оперативної пам’яті;
Активними є суб’єкти (процеси) захисту, котрі можуть виконувати над об’єктами визначені операції. Захист об’єктів здійснюється операційною системою засобів контролю за виконанням суб’єктами захисту сукупності правил, що регламентують ці операції.