Комплексная система защиты информации

По мнению специалистов, проблема безопасности представляет собой как управленческую, так и техническую задачу и может оказы­вать значительное влияние на прогресс или регресс в использовании компьютерной техники и компьютерных технологий.

Защита осуществляется различными способами. Это может быть и физическая охрана, осуществляемая охранными предприятиями, и тех­ническая защита с использованием специализированных средств и ком­плексов (например, защита от побочных электромагнитных излучений или от высокочастотных излучений). Защита конфиденциальной ин­формации от несанкционированного доступа выполняется с использо­ванием средств шифрования (лицензируется Федеральным агентством правительственной связи и информации - ФАПСИ) и без их примене­ния (лицензируется Государственной технической комиссией - ГТК).

Важно правильно выбрать средства защиты информации, исходя из принципа "необходимой достаточности". Для этого надо реально оценить возможности конкурентов, разработать модель действий на­рушителя, создать концепцию обеспечения безопасности предприятия.

Комплекс требований (рис. 4.1) к системе обеспечения информаци­онной безопасности (СОИБ) разрабатывается в соответствии с нацио­нальными и международными стандартами, например с учетом реко­мендаций международного стандарта ISO 15408 "Общие критерии оценки безопасности информационных технологий".

Комплексная система защиты информации - student2.ru

Рис. 4.1.Структура комплекса требований по информационной безопасности

В зависимости от начальных целей система информационной безо­пасности может развиваться как по направлению обеспечения базового уровня защищенности, так и по принципу обеспечения повышенных требований защиты информации. При построении системы информаци­онной безопасности обязателен всесторонний подход, обеспечивающий предупреждение реализаций возможных угроз информационной безо­пасности. Это предполагает решение следующих задач.

1. В структуре подразделения, обеспечивающего безопасность предприятия в целом, должно быть специализированное инженер­но-техническое подразделение по информационной безопасности. Штатное расписание этого подразделения должно предусматривать привлечение специалистов высокой квалификации в области инфор­мационных технологий и современных систем связи.

2. Подразделение по информационной безопасности, изучив структуры, характеристики и точки уязвимости информационных систем и сетей связи, должно определить предварительную политику информационной безопасности, которая в дальнейшем должна быть закреплена официальными внутренними нормативными документа­ми предприятия, предпроектными и проектными разработками по созданию системы информационной безопасности.

Международный стандарт ISO 17799 "Практические правила управления информационной безопасностью" задает определенную последовательность действий по созданию СОИБ (рис. 4.2).

Комплексная система защиты информации - student2.ru

Рис. 4.2.Этапы создания СОИБ

Все этапы разработок, апробации и практического внедрения за­щитных технологий должны сопровождаться мероприятиями по обу­чению персонала, разъяснению политики информационной безопас­ности, изданию соответствующих нормативных документов для ад­министраторов сетей и систем, программистов, пользователей.

Защита конфиденциальной информации в организации осуществ­ляется путем проведения организационных, организационно-технических, инженерно-технических, программно-аппаратных и правовых мероприятий.

Организационные мероприятия предусматривают:

§ формирование и обеспечение функционирования системы информационной безопасности;

§ организацию делопроизводства в соответствии с требованиями руководящих документов;

§ использование для обработки информации защищенных систем и средств информатизации, а также применение технических и про­граммных средств защиты, сертифицированных в установленном порядке;

§ возможность использования информационных систем для под­готовки документов конфиденциального характера только на учтен­ных установленным порядком съемных магнитных носителях и толь­ко при отключенных внешних линиях связи;

§ организацию контроля за действиями персонала при проведе­нии работ на объектах защиты организации;

§ обучение персонала работе со служебной (конфиденциальной) информацией и др.

Основными организационно-техническими мероприятиями по защите информации являются:

§ экспертиза деятельности организации в области защиты ин­формации;

§ аттестация объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями, состав­ляющими служебную тайну;

§ сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам связи;

§ обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;

§ создание и применение информационных и автоматизирован­ных систем управления в защищенном исполнении;

§ разработка и внедрение технических решений и элементов за­щиты информации при проектировании, строительстве (реконструк­ции) и эксплуатации объектов, систем и средств информатизации и связи;

§ разработка средств защиты информации и контроля за эффек­тивностью их использования;

§ применение специальных методов, технических мер и средств защиты информации, исключающих перехват информации, переда­ваемой по каналам связи.

Для предотвращения угрозы утечки информации по техническим каналам проводятся следующие инженерно-технические мероприятия:

§ предотвращение перехвата техническими средствами инфор­мации, передаваемой по каналам связи;

§ выявление возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств);

§ предотвращение утечки информации за счет побочных электро­магнитных излучений и наводок, создаваемых функционирующими техническими средствами, электроакустических преобразований и др.

Программные (программно-аппаратные) мероприятия по предотвращению утечки информации предусматривают:

§ исключение несанкционированного доступа к информации;

§ предотвращение специальных воздействий, вызывающих раз­рушение, уничтожение, искажение информации или сбои в работе средств информатизации;

§ выявление внедренных программных или аппаратных "закладок";

§ исключение перехвата информации техническими средствами;

§ применение средств и способов защиты информации и контроля эффективности при обработке, хранении и передаче по каналам связи.

Правовые мероприятия - создание в организации нормативной правовой базы по информационной безопасности - предусматривают разработку на основе законодательных актов Российской Федерации необходимых руководящих и нормативно-методических документов, перечней охраняемых сведений, мер ответственности лиц, нарушив­ших установленный порядок работы с конфиденциальной информа­цией, и т.д.

Перечень необходимых мер защиты конфиденциальной инфор­мации должен определяться дифференцированно в зависимости от конкретного объекта защиты информации и условий его расположе­ния. Компания Ernst&Young рекомендует комплекс мероприятий по обеспечению информационной безопасности организации:

§ подписание договора о неразглашении служащими, поставщи­ками и нанятыми по контракту работниками;

§ регулярное создание резервных копий информации, хранящей­ся на мобильных компьютерах;

§ регламентацию правил загрузки информации в мобильные компьютеры и правил использования информации;

§ запрещение пользователям оставлять на рабочих местах па­мятки, содержащие идентификаторы и пароли доступа в корпоратив­ную сеть;

§ запрещение оставлять на корпусах мобильных компьютеров памятки, содержащие идентификаторы и пароли, применяемые для удаленного доступа;

§ запрещение использовать доступ к Интернету в личных целях;

§ обязательное для всех применение пароля на загрузку компью­теров;

§ создание классификации всех данных по категориям важности и усиление контроля над ограничением доступа в соответствии с ней;

§ предотвращение доступа ко всем компьютерным системам по окончании рабочего дня;

§ введение правила использования паролей доступа к файлам, содержащим секретную, конфиденциальную или ответственную ин­формацию.

В результате созданная система обеспечения информационной безопасности должна обеспечить:

§ пресечение и выявление попыток несанкционированного полу­чения информации и доступа к управлению автоматизированной сис­темой;

§ пресечение и выявление попыток несанкционированной моди­фикации информации;

§ пресечение и выявление попыток уничтожения или подмены (фальсификации) информации;

§ пресечение и выявление попыток несанкционированного рас­пространения или нарушения информационной безопасности;

§ ликвидацию последствий успешной реализации угроз инфор­мационной безопасности;

§ выявление и нейтрализацию проявившихся и потенциально возможных дестабилизирующих факторов и каналов утечки инфор­мации;

§ определение лиц, виновных в проявлении дестабилизирующих факторов и возникновении каналов утечки информации, и привлече­ние их к ответственности определенного вида (уголовной или адми­нистративной).

Наши рекомендации