Понятие и анализ угроз информационной безопасности
Содержание:
Введение
Глобальная сеть Internet в настоящие время — это технология, которая полностью изменила образ жизни человечества. Бурное развитие сети Internet, позволила выявить новые возможности в работе, изменила характер общения людей между собой. Продуктивное использование информационных технологий позволяет увеличить конкурентоспособность предприятий.
Большинство компаний в мире используют технологию Интернета и электронного документооборота, частью которого является электронные транзакции.
Коммерция в электронном виде, покупка и продажа информации, товаров и услуг в режиме онлайн, а также многие другие виды деятельности, связанные с Интернетом, становятся основными видами деятельности для многих компаний, а их корпоративные информационные системы — основным элементами системы защиты.
Электронная коммерция, продажа информации в режиме on-line и многие другие услуги становятся основными видами деятельности для многих компаний, а их корпоративные информационные системы — главным органом управления бизнесом и важнейшем средством производства.
Главный фактор, который влияет на становление корпоративных информационных системы предприятия, это поддержка всевозможных и разносторонних связей предприятия с другими предприятиями с использованием технологий Интернета, при этом обеспечивая безопасность этих связей.
Из этого следует, что решение вопроса информационной безопасности является одной из главных задач, которые стоят перед фирмами, которые занимаются разработкой и поставкой информационных технологий.
Вопросы, которые требуют решения для обеспечения информационной безопасности корпоративных информационных систем, как правило решаются с помощью построения защиты сетевой инфраструктуры предприятия, главным требованием к которым является сохранение информации предприятия.
Иначе говоря, защита сетевой инфраструктуры предприятия должна функционировать абсолютно прозрачно для уже существующих в корпоративных информационных систем приложений и быть полностью совместимой с используемыми в корпоративных информационных системах сетевыми технологиями.
Создаваемая защиты сетевой инфраструктуры предприятия должна учитывать появление новых технологий и сервисов, а также удовлетворять общим требованиям, предъявляемым сегодня к любым элементам корпоративные информационные системы, таким как:
− применение открытых стандартов;
− использование интегрированных решений;
− обеспечение масштабирования в широких пределах.
Глава 1 Понятие и анализ угроз информационной безопасности
1.1. Понятия защиты информации и информационной безопасности
Новые информационные технологии все более энергично продвигаются во все направления народного хозяйства. Возникновение локальных вычислительных и глобальных информационных сетей передачи данных дало возможность пользователям компьютеров, новые возможности для быстрого, качественного (без потери информации) обмена информацией и данными. Рост возможностей Internet дало шанс, практически любому человеку, использовать глобальную сеть для передачи информации как личного, так и конфиденциального характера. С развитием и усложнением компьютеров, локальных вычислительных сетей, способов передачи данных, увеличивается зависимость пользователей от состояния безопасности эксплуатируемых информационных технологий.
В настоящие время способы накопления, передачи и обработки информации повлияли на возникновения угроз, которые связаны с вероятностью потери и попадании данных в открытый доступ конкретных пользователей. Следовательно, гарантия безопасности есть приоритет направлений развития информационных технологий.
1.2. Анализ угроз информационной безопасности
Под угрозой (в обычном смысле) как правило понимают допустимое вероятное событие, приведшие к возникновению ущерба чьим-либо интересам. В последующем под угрозой безопасности автоматизированных систем обработки информации будем понимать вероятность влияния на автоматизированные системы, угрозы которое в той или иной степени вероятности нанесут вред ее безопасности.
Сегодня существует большой список угроз информационной безопасности автоматизированных систем, который содержит сотни пунктов.
Анализ вероятных угроз информационной безопасности осуществляется с целью формирования всего свода требований к проектируемой системе зашиты.
Список угроз, возможности их реализации, а также прототип нарушителя служат базой для классификации риска осуществления угроз и формулирования требований к системе зашиты автоматизированных систем. Помимо раскрытия вероятных угроз, разумно осуществлять анализа этих угроз. Основой для анализа служит их разделения по ряду признаков. Всякий из признаков разделения отображает одно из типичных требований к системе защиты. Угрозы, которые соответствуют каждому признаку разделения, дают возможность конкретизировать указанное этим признаком требование.
Потребность в разделении угроз информационной безопасности автоматизированных систем вызвано тем, что информация, которая хранится и обрабатывается в современных автоматизированных систем, склонна к влиянию множества факторов. Отсюда следует вывод о невозможности конкретизации задач описания всего спектра угроз. Следовательно, для системы, которой требуется защита как правило рассматривается не полный перечень угроз, а перечень классов угроз.
Разделение вероятных угроз информационной безопасности автоматизированных систем может быть проведена по следующим базовым признакам:
− по природе возникновения;
− по непосредственному источнику угроз;
− по положению источника угроз;
− по степени зависимости от активности автоматизированных систем;
− по этапам доступа пользователей или программ к ресурсам;
− по способу доступа к ресурсам автоматизированных систем;
− по текущему месту расположения информации, хранимой и обрабатываемой в автоматизированных систем.
Раннее было отмечено, что угрожающе влияние на автоматизированные системы разделяют на случайные и преднамеренные угрозы. При анализе работы автоматизированных систем, установлено, что информация, расположенная на компьютерах или серверах, становится объектом разнообразных вероятностных воздействий.
Поводом случайных влияний при работе автоматизированных систем могут быть:
− аварии, связанные со стихийными бедствиями, перебоями с электроснабжением;
− аварии, связанные с отказом и сбоем аппаратуры
− некорректная работа, обусловленная ошибками в программном кодом;
− непрофессиональная работа обслуживающего персонал и пользователей при работе автоматизированных систем;
− нестабильна работа линий передачи информации из-за влияния окружающей среды.
Сбои в программном обеспечении являются наиболее частыми в области компьютерных нарушений. Программном обеспечении серверов, компьютеров и т.д. имеет ошибки в программном коде, которые практически всегда обнаруживаются при эксплуатации, так как написано людьми, которым свойственно ошибаться. Чем сложнее программное обеспечение, тем выше вероятность нахождения в нем ошибок и уязвимостей. Подавляющие количество ошибок не несут никакого вреда. Однако некоторые ошибки могут привести к печальным результатам. К ним относится: влияние на работу сервера (сбой в работе всей сети), нелегальное использование компьютеров и много другое. Как привило данные ошибки исправляются при помощи пакетов обновления, которые выпускают разработчики программного обеспечения. В связи с этим становится актуально своевременная установка этих пакетов, так как это является необходимым условием безопасности информации.
Преднамеренные угрозы как правило обусловлены адресными (направлены на конкретную цель) действиями взломщика компьютерных сетей. В качестве взломщика может выступать пользователь, гость, конкурирующий элемент, наемный сотрудник и т. д. Мотивы для проникновения в чужую локальную вычислительна сеть или компьютер могут различны. К ним относятся: вредительство, любопытство, материальная выгода и т. п.
Несанкционированный доступ — частый и разнообразный вид компьютерных нарушений. Смысл несанкционированного доступа — в получении взломщиком доступа к объекту нарушения, также в нарушение правил разграничения доступа, которые устанавливаются согласно списку допуска к определенным ресурсам локальной вычислительной сети.
Несанкционированный доступ к информации использует каждую ошибку в системе зашиты. Несанкционированный доступ возможен при неправильном подборе средств защиты, их неправильной установки и настройки.
Несанкционированный доступ осуществляется как средствами входящие в автоматизированные системы, так и специально разработанные средствами (программы, различные технические устройства).
Согласно имеющимся подходам считают, что информационная безопасность автоматизированных систем обеспечена тогда и только тогда, когда для информации в системе поддерживаются определенные уровни:
− конфиденциальности (отсутствие возможности получения какой-либо информации без должного доступа);
− целостности (отсутствие возможности перезаписи информации);
− доступности (возможности получения конкретной информации за минимальное время);
Когда эти угрозы воплощены в жизнь то информация становится доступной людям не имеющие к ней доступа.
Получения несанкционированного доступа к информации, которая представляет собой ценность и хранится в локальной вычислительной сети и передается из системы в систему − есть угроза конфиденциальности.
Нарушения качества или полное уничтожение информации, которая хранится в локальной вычислительной сети или передаваемая по защищенным или незащищенным каналам связи − есть угроза нарушения целостности информации.
Также возможно умышленное нарушение целостность информации. Нарушение целостность информации возможно и под влиянием окружающей среды.
Эта угроза важна для систем передачи информации — компьютерных локальных вычислительных сетей, глобальной сети и систем телекоммуникаций. Заведомую порчу целостности информации не надо путать с ее разрешенными изменениями, которые выполняют лица с определенны кругом допуска, соответствующей квалификацией, и соответствующей целесообразностью (периодическое сохранения резервных копий информации, хранящиеся в локальной сети предприятия)
При возникновении ситуаций, когда действия одного пользователя локальной вычислительной сети снижает скорость работы всей локальной сети или полностью блокируют ее работу − есть угроза нарушения работоспособности.
К примеру, если, когда пользователь локальной вычислительной сети обращается к одной из служб сети или ресурсу, а другой пользователь блокирует этот ресурс, то первый пользователь не сможет воспользоваться данным ресурсом, то есть получает отказ в обслуживании. Отказ в обслуживании или блокировка ресурса как правило бывает постоянным или временным
Данный вид угроз считаются непосредственными, так как эти угрозы выполнение данных угроз ведет к непосредственному влиянию на информацию, которая нуждается в защите.
В настоящие время подсистемы защиты информации и информационных технологий представляет собой одну из частей автоматизированных систем обработки информации. Сторона, ведущая атаку на локальную сеть или другой сетевой ресурс обязана обойти подсистему зашиты, чтобы изменить информацию хранящеюся в сети (целостность информации). При этом нужно помнить, что любую систему защиты можно преодолеть, все зависит от времени и средств, которые требуются на обход защиты.
Исходя из данных условий, рассмотрим следующую модель: защита информационной системы считается преодоленной, если в ходе исследования этой системы определены все ее уязвимости.
Преодоление защиты также представляет собой угрозу, поэтому для защищенных систем можно рассматривать четвертый вид угрозы — угрозу раскрытия параметров автоматизированных систем, включающей в себя подсистему защиты. На практике любое проводимое мероприятие предваряется этапом разведки, в ходе которого определяются основные параметры системы, ее характеристики и т. п. Результатом этого этапа является уточнение поставленной задачи, а также выбор наиболее оптимального технического средства.
Угрозу раскрытия параметров автоматизированных систем можно считать опосредованной угрозой. Последствия ее реализации не причиняют какой-либо ущерб обрабатываемой информации, но дают возможность реализовать первичные или непосредственные угрозы, перечисленные выше.
При рассмотрении вопросов защиты автоматизированных систем целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой автоматизированных систем информации. Такая градация доступа поможет систематизировать как возможные угрозы, так и меры по их нейтрализации и парированию, т. е. поможет систематизировать весь спектр методов обеспечения защиты, относящихся к информационной безопасности. Это следующие уровни доступа:
− уровень носителей информации;
− уровень средств взаимодействия с носителем;
− уровень представления информации;
− уровень содержания информации.
Введение этих уровней обусловлено следующими соображениями.
Во-первых, информация для удобства манипулирования чаше всего фиксируется на некотором материальном носителе, которым может быть дискета или что-нибудь подобное.
Во-вторых, если способ представления информации таков, что она не может быть непосредственно воспринята человеком, возникает необходимость в преобразователях информации в доступный для человека способ представления. Например, для чтения информации с дискеты необходим компьютер, оборудованный дисководом соответствующего типа.
Таблица 1
Основные методы реализации угроз информационной безопасности
|
Уровень доступа к информации в автоматизированных систем |
Угроза раскрытия параметров системы |
Угроза нарушения конфиденциальности |
Угроза нарушения целостности |
Угроза отказа служб (отказа доступа к информации) |
|
Уровень носителей информации |
Определение типа и параметров носителей информации |
Хищение (копирование) носителей информации Перехват ПЭМИН |
Уничтожение машинных носителей информации |
Выведение из строя машинных носителей информации |
|
Уровень средств взаимодействия с носителем |
Получение информации о программно-аппаратной среде Получение детальной информации о функциях, выполняемых автоматизированных систем Получение данных о применяемых системах зашиты |
Несанкционированный доступ к ресурсам автоматизированных систем Совершение пользователем несанкционированных действий Несанкционированное копирование программного обеспечения Перехват данных, передаваемых по каналам связи |
Внесение пользователем несанкционированных изменений в программы и данные Установка и использование нештатного программного обеспечения Заражение программными вирусами |
Проявление ошибок проектирования и разработки программно-аппаратных компонентах автоматизированных систем Обход механизмов защиты автоматизированных систем |
|
Уровень представления информации |
Определение способа представления информации |
Визуальное наблюдение Раскрытие представления информации (дешифрование) |
Внесение искажения в представление данных; уничтожение данных |
Искажение соответствия синтаксических и семантических конструкций языка |
|
Уровень содержания информации |
Определение содержания данных на качественном уровне |
Раскрытие содержания информации |
Внедрение дезинформации |
Запрет на использование информации |
В-третьих, как уже было отмечено, информация может быть охарактеризована способом своего представления: языком символов, языком жестов и т. п.
В-четвертых, человеку должен быть доступен смысл представленной информации, ее семантика.
К основным направлениям реализации злоумышленником информационных угроз относятся:
непосредственное обращение к объектам доступа;
создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;
модификация средств защиты, позволяющая реализовать угрозы информационной безопасности;
внедрение в технические средства автоматизированных систем программных или технических механизмов, нарушающих предполагаемую структуру и функции автоматизированных систем.
В табл. 1 перечислены основные методы реализации угроз информационной безопасности.
Для достижения требуемого уровня информационной безопасности автоматизированных систем необходимо обеспечить противодействие различным техническим угрозам и минимизировать возможное влияние «человеческого фактора».
2. Защита сетевой инфраструктуры предприятия
2.1. Основные понятия защиты сетевой инфраструктуры предприятия
Защита сетевой инфраструктуры предприятия определяет стратегию управления в области защиты информации, сетевого оборудования, персонала (который имеют доступ к информации, которая составляет коммерческую, государственную или другую иную тайну), а также меру внимания и количество производственных, денежных и людских ресурсов, которые считается целесообразным выделить руководством предприятия для защиты информации, сетевого оборудования, персонала предприятия.
Защита сетевой инфраструктуры предприятия основана на анализе уровня угроз, которые представляют реальную опасность для информационной системы предприятия.
Защита сетевой инфраструктуры предприятия должна иметь стиль удобопонятного документа высокого уровня, который поддерживается определенными документами конкретных политик и определенных процедур безопасности.
Высокоуровневая защита сетевой инфраструктуры предприятия как правило регулярно обновляется, обеспечивая тем самым принятии во внимания потребности организации, которые актуальны на данный момент. Документ защиты сетевой инфраструктуры предприятия составляют таким образом, что политика относительно независима от конкретных технологий, и в этом случае документ не нужно будет менять слишком часто.
Для того чтобы изучит базовые определения защиты сетевой инфраструктуры предприятия, обратим внимание на конкретную вымышленную локальную сеть, которая принадлежит гипотетическому предприятию и сопряженную с ней защиту сетевой инфраструктуры предприятия.
Защита сетевой инфраструктуры предприятия как правило представлена в виде документа, в состав которого как правило входят следующие разделы;
− описание проблемы,
− область применения,
− позиция организации,
− распределение ролей и обязанностей,
− санкции и т. д.
Описание проблемы. Информация, которая находится на жестких дисках компьютеров, соединенных в локальной сети, имеет коммерческое или иное значение и предполагает использование ее только внутри предприятия. Локальная сеть дает возможность пользователям передавать друг другу данными, что увеличивает вероятность утери или кражи документов составляющею коммерческую или иную тайну. Отсюда следует, что любой компьютер включенный локальную сеть требует повышенной защиты, находящейся на нем информации. Эти повышенные меры защиты информации являются предметом документа, который призывает объяснить пользователям локальной сети предприятия как важна защита сетевой среды, разъясняет роль пользователей локальной сети в гарантии безопасности и возложить конкретные обязанности по защите информации, циркулирующей в сети.
Область применения. В область защиты сетевой инфраструктуры предприятия включают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия, а также предусматривает защиту людей, которые работают с локальной сетью;
− пользователей,
− субподрядчиков
− поставщиков.
Позиция организации. Основными задачами предприятия в области защиты информации являются целостность, доступность и конфиденциальность данных, а также их полнота и актуальность.
Распределение ролей и обязанностей. За выполнение задач, связанных с защитой сетевой инфраструктуры предприятия, отвечают конкретные должностные лица и пользователи сети.
Начальники соответствующих подразделений предприятия доводят цели и задачи политики защиты информации до сведения работников и пользователей подразделения.
Администраторы локальной вычислительной сети предприятия отвечают за постоянную работу локальной вычислительной сети предприятия и несут ответственность за внедрение новых технологий, которые необходимы для защиты информации находящихся на компьютерах предприятия.
Режим санкций. Невыполнение политики безопасности защиты информации подвергает локальную вычислительную сеть предприятия и находящиеся в ней информацию риску быть уничтоженной или переданной в «чужие руки». К сотрудникам предприятия нарушившие меры безопасности направленные на защиту информации должны немедленно применены дисциплинарные меры вплоть до увольнения.
Дополнительная информация. К отдельным группам пользователям могут предъявляться дополнительные требования в области защиты информации. Дополнительные меры по защите предприятия зависят от размеров предприятия, сложности организационной структуры предприятия, численности сотрудников.
Для больших предприятий со сложной организационной структурой требуются дополнительные меры защиты сетевой информации.
Организации с небольшим числом сотрудников нуждаются только в стандартных мерах защиты информации.
Основной целью мер, которые предпринимаются на уровне директора предприятии и его заместителей, создание плана работ в области защиты сетевой информации и ее реализация путем направления необходимых достаточных материальных ресурсов и осуществления постоянного контроля положения дел в этом направлении.
На практике защита сетевой информации подразделяется на три уровня: верхний, средний и нижний [5, 6].
Верхний уровень защиты сетевой инфраструктуры предприятия подразумевает решения, которые касаются предприятия в целом. Эти решения представляют собой набор общих требований, предъявляемых к защите информации и представлены руководством предприятия. Верхней уровень защиты информации определяют цели предприятия в области информационной безопасности для обеспечения целостности, доступности и конфиденциальности хранимой информации.
Если предприятии занимается разработкой, созданием, внедрением, восстановлением баз данных, то на первом месте должна производится защита именно этой информации, так как она является основным продуктом предприятия.
Если предприятие занимается продажей какого-либо товара или группы товаров, то для этого предприятия важна сохранения информации об услугах, ценах, клиентах и другой конфиденциальной информации.
Верхний уровень защиты информации подразумевает под собой руководство ресурсами, которые обеспечивают безопасность информации. Для этого в штате предприятия формируется должность заместителя директора по информационной безопасности (с соответствующем подразделением) для защиты
Верхний уровень защиты информации должен конкретно определить круг своих обязанностей. В этот круг также должны быть включены компьютеры находящиеся дома у сотрудников, если обеспечения регламент защиты сетевой информации требует это. Возможна и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.
В политике защиты информации должны быть установлены должностные лица, которые отвечают за разработку программы по защите сетевой инфраструктуры предприятия и внедрению ее в жизнь.
Вся политика защиты информации должны должна основывается на трех аспектах:
1. соблюдения существующих законов;
2. контроль за действиями лиц, которые ответственны за разработку программы безопасности;
3. обеспечения дисциплины персонала на рабочем месте при помощи наказаний и поощрений.
Защита сетевой инфраструктуры предприятия, средний уровень: задает аспект вопросов, который касается отдельных участков информационной безопасности, но имеющее важное значение для определенных подсистем, находящихся в эксплуатации предприятия.
Один из примеров применения среднего уровня защиты сетевой инфраструктуры предприятии — доступ в глобальную сеть Internet (соотношения между доступом к получению свободной информации с зашитой от внешних угроз), подключения домашних компьютеров через сеть Internet к серверам предприятия и т. д.
Защита сетевой инфраструктуры предприятия, низший уровень задает аспект вопросов, который касается конкретных сервисов. В отличие от двух верхних уровней, рассматриваемая политика нижнего уровня более детально описывает отвечает на следующие вопросы:
круг лиц имеющий доступ к объектам сетевой инфраструктуры предприятия;
условия допуска для персонала к чтению и перезаписи данных;
как организован удаленный доступ к сервису.
Защита сетевой инфраструктуры предприятия для низшего уровня должна основываться на целостности, доступности и конфиденциальности информации
Из целей защиты сетевой инфраструктуры предприятия пишутся правила безопасности, где дается разъяснение, кто, когда и при каких обстоятельствах имеет доступ к конкретному виду сетевой инфраструктуры предприятия.
Чем детальнее описаны права персонала для доступа к информации, чем четко и формально они изложены, тем проoе контролировать их выполнение.
2.2. Структура понятия безопасности организации
Для большинства организаций защита сетевой инфраструктуры предприятия необходимое условие ее существования. Она позволяет задать такие отношение предприятия к обеспечению безопасности сетевой инфраструктуры, которые необходимо предпринять организации по защите своих ресурсов и активов. На основе защиты сетевой инфраструктуры предприятия, предпринимаются конкретные средства и процедуры безопасности, а также назначают ответственных сотрудников организации за конкретным объектом локальной вычислительной сети.
Основные положения защиты сетевой инфраструктуры предприятия записаны в следующих документах:
обзор политики защиты сетевой инфраструктуры предприятия — где указана цель политики защиты, отображена структура защиты сетевой инфраструктуры, досконально расписано, кто и за что отвечает, устанавливается регламент и предусматривается временной интервал для внесения изменений;
описание базовой политики защиты сетевой инфраструктуры предприятия — прописывает действия которые разрешены и запрещены в рамках созданной системы защиты;
руководство по системе защиты — описывает внедрение механизмов безопасности в системы защиты, которая используется в локальной вычислительной сети предприятия.
Главным компонентом политики защита сетевой инфраструктуры предприятия является базовая политика безопасности [9].
2.3. Базовая защита сетевой инфраструктуры предприятия
Базовая политика защита сетевой инфраструктуры предприятия показывает, как предприятие располагает информацию в локальной сети предприятия и кто, как и под каким предлогом может получить к ней доступ.
Нисходящий подход, реализуемый базовой политикой защиты сетевой инфраструктуры предприятия, позволяет равномерно и планомерно выполнять работу по организации системы защиты. Базовая политика дает возможность в любое время ознакомиться с системой защиты сетевой инфраструктуры предприятия в достаточном объеме и понять текущее состояние защиты инфраструктуры в организации.
Структура и состав политики защиты сетевой инфраструктуры предприятия зависит от организационной структуры, также целей преследуемой компанией компании. Обычно базовая политика защиты сетевой инфраструктуры предприятия подкрепляется набором специализированных актов и процедур безопасности.
2.4. Специализированные методики защиты сетевой инфраструктуры предприятия
В мире разработаны десятки специальных методик, которые могут быть применены в большинстве предприятий с организационной структуры среднего и большого объема Некоторые методики стандартны и могут применятся для большинства организации, другие — имеют предназначения для предприятий занимающиеся нестандартными видами деятельности.
С учетом особенностей применения специализированных политик защиты сетевой инфраструктуры предприятия их можно разделить на две группы:
политики, которые касаются большинства пользователей;
политики, которые касаются конкретных технических областей.
К специализированным политикам, которые касаются большинства пользователей, относятся:
− политика допустимого использования;
− политика удаленного доступа к ресурсам сети;
− политика защиты информации;
− политика зашиты паролей и др.
К специализированным политикам, которые касаются конкретных технических областей, относятся:
− политика конфигурации межсетевых экранов;
− политика по шифрованию и управлению криптоключами;
− политика безопасности виртуальных защищенных сетей VPN;
− политика по оборудованию беспроводной сети и др.
Рассмотрим конкретнее отдельные специализированные политики.
Политика допустимого использования. Цель это политики — введение стандартизированных норм, которые позволяют безопасно использовать компьютеры, сервера и другое сетевое оборудования и сервисы в компании.
Некорректное использование компьютеров, серверов и другого сетевого оборудования, а также сервисов подвергает компанию рискам, связанные с вирусными атаками, и другими несанкционированными действиями при попытке проникновения в локальную вычислительную сеть предприятия. Конкретный тип и количество политик допустимого использования зависят от результатов анализа требований бизнеса, оценки рисков и корпоративной культуры в организации.
Политика допустимого использования применяется к сотрудникам, консультантам, временным служащим и другим работникам компании, включая сотрудников сторонних организаций. Политика допустимого использования предназначена в основном для конечных пользователей и указывает им, какие действия разрешаются, а какие запрещены. Без зафиксированной в соответствующем документе политики допустимого использования, штатные сотрудники управления и поддержки сети не имеют формальных оснований для применения санкций к своему или стороннему сотруднику, который допустил грубое нарушение правил безопасной работы на компьютере или в сети.
Политика допустимого использования устанавливает:
ответственность пользователей за защиту любой информации, используемой и/или хранимой их компьютерами;
правомочность пользователей читать и копировать файлы, которые не являются их собственными, но доступны им;
уровень допустимого использования электронной почты и Web-доступа.
Для образовательных и государственных учреждений политика допустимого использования, по существу, просто обязательна.
Специального формата для политики допустимого использования не существует: должно быть указано имя сервиса, системы или подсистемы (например, политика использования компьютера, электронной почты, компактных компьютеров и паролей) и описано в самых четких терминах разрешенное и запрещенное поведение, а также последствия нарушения ее правил и санкции, накладываемые на нарушителя.
Разработка политики допустимого использования выполняется квалифицированными специалистами по соответствующему сервису, системе или подсистеме под контролем комиссии (команды), которой поручена разработка политики безопасности организации.
Политика удаленного доступа. Ее цель — установление стандартных норм безопасного удаленного соединения любого хоста с сетью компании. Стандартные нормы призваны минимизировать ущерб компании из-за возможного неавторизованного использования ресурсов компании. К такому ущербу относятся: утрата интеллектуальной собственности компании, потеря конфиденциальных данных, искажение имиджа компании, повреждения критических внутренних систем компании и т. д.
Эта политика касается всех сотрудников, поставщиков и агентов компании при использовании ими для удаленного соединения с сетью компании компьютеров или рабочих станций, являющихся собственностью компании или находящихся в личной собственности.
Политика удаленного доступа:
− намечает и определяет допустимые методы удаленного соединения с внутренней сетью;
− существенна в большой организации, где сети территориально распределены;
− должна охватывать по возможности все распространенные методы удаленного доступа к внутренним ресурсам.
Политика удаленного доступа определяет:
− какие методы разрешаются для удаленного доступа;
− ограничения на данные, к которым можно получить удаленный доступ;
− кто может иметь удаленный доступ.
Защищенный удаленный доступ должен быть строго контролируемым. Применяемая процедура контроля должна гарантировать, что доступ к надлежащей информации или сервисам получат только прошедшие проверку люди. Сотрудник компании не должен передавать свой логин и пароль никогда и никому, включая членов семьи. Управление удаленным доступом не должно быть сложным и приводить к возникновению ошибок.
Контроль доступа целесообразно выполнять с помощью одноразовой парольной аутентификации или с помощью открытых/секретных ключей. Сотрудники компании с правами удаленного доступа должны гарантировать, что принадлежащие им или компании персональный компьютер или рабочая станция, которые удаленно подсоединены к корпоративной сети компании, не будут связаны в это же время с какой-либо другой сетью, за исключением персональных сетей, находящихся под полным контролем пользователя. Кроме того, их соединение удаленного доступа должно иметь такие же характеристики безопасности, как обычное локальное соединение с компанией.
Все хосты, которые подключены к внутренним сетям компании с помощью технологий удаленного доступа, должны использовать самое современное антивирусное обеспечение. Это требование относится и к персональным компьютерам компании.
Любой сотрудник компании, уличенный в нарушении данной политики, может быть подвергнут дисциплинарному взысканию вплоть до увольнения с работы.
2.5. Процедуры безопасности
Процедуры безопасности являются необходимым и важным дополнением к политикам безопасности. Политики безопасности только описывают, что должно быть защищено и каковы основные правила зашиты. Процедуры безопасности определяют, как защитить ресурсы и каковы механизмы исполнения политики, т. е. как реализовывать политики безопасности.
Существу процедуры безопасности представляют собой пошаговые инструкции для выполнения оперативных задач. Часто процедура является тем инструментом, с помощью которого политика преобразуется в реальное действие. Например, политика паролей формулирует правила конструирования паролей, правила о том, как защитить пароль и как часто его заменять. Процедура управления паролями описывает процесс создания новых паролей, их распределения, а также процесс гарантированной смены паролей на критичных устройствах.
Процедуры безопасности детально определяют действия, которые нужно предпринять при реагировании на конкретные события; обеспечивают быстрое реагирование в критической ситуации; помогают устранить проблему единой точки отказа в работе, если, например, во время кризиса работник неожиданно покидает рабочее место или оказывается недоступен.
Многие процедуры, связанные с безопасностью, должны быть стандартными средствами в любом подразделении. В качестве примеров можно указать процедуры для резервного копирования и внесистемного хранения защищенных копий, а также процедуры для вывода пользователя из активного состояния и/или архивирования логина и пароля пользователя, применяемые сразу, как только данный пользователь увольняется из организации.
Выводы
Безопасность — это динамично развивающийся процесс. Безопасность информации, которую обеспечивают программные и технические средства сегодня не дают гарантию безопасности информации завтра.
Использование новейших программно-аппаратные мер при защите информации, не предоставят 100%-ой гарантии от всевозможных, различных попыток несанкционированного доступа.
Необходимо строить защиту сетевой инфраструктуры предприятия — как совокупность организационных и инженерных мер, программно-аппаратных средств, которые обеспечивают защиту информации в автоматизированных системах.
Хотелось бы выделить такую составляющую защиты сетевой инфраструктуры предприятия, как организационные меры. Хотя многие предприятия при построении систем защиты игнорируют их, на самом деле они являются еще более важными, чем инженерно-технические.
Вопросы защиты информации стоят больших денег и довольно дорого обходится предприятиям, при этом не каждый руководитель предприятия готов инвестировать средства на защиту информации находящееся на компьютерах и серверах предприятия.
Отделы информационной безопасности финансируются по остаточному принципу. Системные администраторы совмещают в себе функции администраторов безопасности, что не может ни сказаться на уровне обеспечения информационной безопасности.
Список литературы.
1. Астахов А. М. Аудит безопасности информационных систем. Конфидент. 2003. N& 2.
2. Галатенко В. А. Информационная безопасность — грани практического подхода. Конференция «Корпоративные Информационные Системы». М., 1999.
3. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. М., 2002.
4. Иванов П. IPSec: защита сетевого уровня // Сети. 2000. № 2.
5. Касперский Е. Компьютерные вирусы: что это такое и как с ними бороться. М.: СК Пресс, 1998.
6. Костров Д. Системы обнаружения атак // BYTE Россия. 2002. № 8.
7. Панасенко С. П., Петренко С. А. Криптографические методы защиты информации для российских корпоративных систем // Конфидент. 2001. № 5.
8. Петренко С. А. Реорганизация корпоративных систем безопасности // Конфидент. 2002. № 2.
9. Скородумов Б. Безопасность союза интеллектуальных карточек и персональных компьютеров // Мир карточек. 2002. № 5—6.
10. Соколов А. В., Шаньгин В. Ф. Защита информации в распределенных корпоративных сетях и системах. М.: ДМК Пресс, 2002.
- Эффективность менеджмента организации ООО «Гранд Сервис»
- Аналитический обзор развития технологий Интернета(Теоретические аспекты развития Интернет - технологий)
- Проектирование реализации операций бизнес-процесса «Управление товарными потоками»
- Понятие предпринимательского договора (Понятие предпринимательских договоров).
- Аудиторская деятельность как вид предпринимательства: общая характеристика (Понятие, виды аудиторской деятельности)
- Управление поведением в конфликтных ситуациях. Концепция основ управления конфликтными ситуациями.
- Инвентаризация основных средств организации
- Системный подход при анализе потенциала организации(Сущность и характеристика составляющих ресурсного предприятия)
- Нотариат и его роль в защите гражданских прав и охраняемых законом интересов(Понятие и принципы государственного регулирования нотариальной деятельности)
- Понятие и правовые основы предпринимательской деятельности в Российской Федерации
- Системы программирования(Система программирования как неотъемлемая часть современных ЭВМ)
- Анализ предметной области и постановка задачи