Информационная безопасность

В качестве элементов безопасности информационных систем выделяют:

1) компьютерная безопасность – обеспечивается комплексом технологических и административных мер, применяемых к аппаратным средствам компьютера с целью обеспечения доступности, целостности и конфиденциальности связанных с ними ресурсов;

2) безопасность данных достигается защитой данных от неавтоматизированных случайных или возможных по халатности разрушений;

3) безопасное программное обеспечение – общесистемные и прикладные программы, осуществляющие безопасную обработку данных и безопасно расходующие ресурсы системы;

4) безопасность коммуникаций – обеспечивается посредством определения подлинности коммуникаций за счет предотвращения предоставления неавторизованным лицам критической информации;

Информационная безопасность является важнейшим аспектом государственной безопасности.

В Республике Беларусь в 2001 году принят закон «Об информационной безопасности и об уголовной ответственности за нарушение информационной безопасности, в том числе и через Интернет».

1 февраля 2010 г Указ № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет».

Вопрос №2 Организационные меры информационной безопасности

Основными задачами системы информационной безопасности является:

1. управление доступом пользователей к ресурсам информационной системы;

2. защита данных, передаваемых по каналам связи;

3. регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности;

4. контроль работы пользователя со стороны администрации;

5. контроль и поддержание целостности критичных ресурсов системы и среды исполнения прикладных программ;

6. обеспечение замкнутой среды проверенного программного обеспечения с целью защиты от внедрения опасных программ и вирусов;

7. управление средствами системы защиты.

Существует два подхода к обеспечению информационной безопасности:

— фрагментарный – направлен на противодействие четко определенным угрозам в заданных условиях;

— комплексный – ориентирован на создание защищающей среды обработки информации, объединяет в единый комплекс разнородные меры противодействия угрозам.

Комплексного подхода придерживается большинство государственных и крупных коммерческих организаций. Этот подход нашел свое отражение в стандартах информационной безопасности. Комплексный подход основан на разработке конкретной политики безопасности информационной системы.

Для обеспечения информационной безопасности используются законодательные, административные и программно-технические меры.

К законодательным мерам относятся законы, нормативы, стандарты, руководящие документы.

К административным мерам относятся действия общественного характера, предпринимаемые руководством предприятия, и конкретные меры безопасности, направленные на работу с людьми.

К организационным мерам относятся управление персоналом, средства физической защиты, поддержание работоспособности системы, реагирование на нарушения безопасности, проведение восстановительных работ.

К программно-техническим мерам –

• применение защитных виртуальных частных сетей (VPN) для защиты информации, передаваемым по открытым каналам связи,

• применение межсетевых экранов для защиты корпоративной сети от внешних угроз,

• управление доступом на уровне пользователей и защита от несанкционированного доступа к информации;

гарантированная идентификация пользователей путем применения смарт-карт, ключей для USB-портов и других средств аутентификации;

Существуют следующие универсальные способы защиты информации:

идентификация – процесс распознавания элементов системы обычно с помощью заранее определенного идентификатора или другой уникальной информации, которая определяется однозначно для каждого объекта или субъекта системы;

аутентификация – проверка подлинности процесса, устройства или другого компонента системы, а также проверка целостности и авторства данных при их хранении и передаче;

авторизация – предоставление субъекту прав на доступ к объекту;

контроль доступа – ограничение возможности использования ресурсов системы программами, процессами или другими системами в соответствии с правилами разграничения доступа.

Для аутентификации пользователей применяются:

• Парольные системы (самый простой и распространенный способ)

• Системы PKI (криптографические сертификаты), носителями которых являются USB-ключи или смарт-карты.
Системы одноразовых паролей - токены

• Биометрические системы

• СИСТЕМЫ ОДНОРАЗОВЫХ ПАРОЛЕЙ

•
Данная технология основана на том, что пароль пользователя не постоянен и изменяется с течением времени специальным устройством (аппаратным или программным) - токеном. Данное решение широко используется в системах удаленного доступа, в том числе системах клиент-банк, для аутентификации пользователей при доступе из недоверенной среды (Интернет-кафе, бизнес-центры, и т.д.).

OTP-токен — мобильное персональное устройство, принадлежащее определенному пользователю, генерирующее одноразовые пароли, используемые для аутентификации данного пользователя.

• OTP-токены имеют небольшой размер и выпускаются в виде : карманного калькулятора; брелока; смарт-карты; устройства, комбинированного с USB-ключом; специального программного обеспечения для карманных компьютеров.

• Примера OTP -решений - линейка RSA SecurID, ActivCard Token,комбинированный USB-ключ Aladdin eToken NG-OTP

• Существует 4 способа разграничения доступа:

• 1. физическое – субъекты обращаются к физически различным объектам: однотипным устройствам, наборам данных на различных носителях, программам;

• 2. временное – субъекты с различными правами доступа получают доступ в различные промежутки времени;

• 3. логическое – субъекты получают доступ к объектам в рамках единой операционной среды, но под контролем средств разграничения доступа: разделение оригинала, копий;

• 4. криптографическое – все объекты хранятся в зашифрованном виде.

• Права доступа определяются наличием ключа для расшифрования объекта.

Для организации непрерывного процесса обеспечения информационной безопасности определяются

• Политика информационной безопасности;

• Программа информационной безопасности;

• Служба информационной безопасности;

• Проекты информационной безопасности

Под политикой безопасности понимается совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Политику безопасности целесообразно рассматривать на трех уровнях детализации.

• К верхнему уровню относятся решения, затрагивающие организацию в целом.

• На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности

• К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем.

• Примеры таких вопросов –

• отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?),

• использование домашних компьютеров,

• применение пользователями неофициального программного обеспечения и т.д.

• Политика безопасности нижнего уровня относится к конкретным информационным сервисам.