Способы обеспечения информационной безопасности

Существует два подхода к проблеме обеспечения безопасности компьютерных систем и сетей (КС): «фрагментарный» и комплексный.

«Фрагментарный» подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т. п. Достоинством такого подхода является высокая избирательность к конкретной угрозе. Существенный недостаток — отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов КС только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.

Комплексный подход ориентирован на создание защищенной среды обработки информации в КС, объединяющей в единый комплекс разнородные меры противодействия угрозам. Организация защищенной среды обработки информации позволяет гарантировать определенный уровень безопасности КС, что является несомненным достоинством комплексного подхода. К недостаткам этого подхода относятся: ограничения на свободу действий пользователей КС, чувствительность к ошибкам установки и настройки средств защиты, сложность управления.

Комплексный подход применяют для защиты КС крупных организаций или небольших КС, выполняющих ответственные задачи или обрабатывающих особо важную информацию. Нарушение безопасности информации в КС крупных организаций может нанести огромный материальный ущерб как самим организациям, так и их клиентам. Поэтому такие организации вынуждены уделять особое внимание гарантиям безопасности и реализовы-вать комплексную защиту. Комплексного подхода придерживаются большинство государственных и крупных коммерческих предприятий и учреждений. Этот подход нашел свое отражение в различных стандартах.

Комплексный подход к проблеме обеспечения безопасности основан на разработанной для конкретной КС политике безопасности. Политика безопасности регламентирует эффективную работу средств защиты КС. Она охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях. Надежная система безопасности сети не может быть создана без эффективной политики сетевой безопасности. Политики безопасности подробно рассматриваются в гл. 3.

Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

• законодательного (стандарты, законы, нормативные акты и т. п.);
• административно-организационного (действия общего характера, предпринимаемые руководством организации, и конкретные меры безопасности, имеющие дело с людьми);
• программно-технического (конкретные технические меры). Меры законодательного уровня очень важны для обеспечения информационной безопасности. К этому уровню относится комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности.

Информационная безопасность — это новая область деятельности, здесь важно не только запрещать и наказывать, но и учить, разъяснять, помогать. Общество должно осознать важность данной проблематики, понять основные пути решения соответствующих проблем. Государство может сделать это оптимальным образом. Здесь не нужно больших материальных затрат, требуются интеллектуальные вложения.

Меры административно-организационного уровня. Администрация организации должна сознавать необходимость поддержания режима безопасности и выделять на эти цели соответствующие ресурсы. Основой мер защиты административно-организационного уровня является политика безопасности и комплекс организационных мер.

К комплексу организационных мер относятся меры безопасности, реализуемые людьми. Выделяют следующие группы организационных мер:

• управление персоналом;
• физическая защита;
• поддержание работоспособности;
• реагирование на нарушения режима безопасности;
• планирование восстановительных работ.

Для каждой группы в каждой организации должен существовать набор регламентов, определяющих действия персонала.

Меры и средства программно-технического уровня. Для поддержания режима информационной безопасности особенно важны меры программно-технического уровня, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п. В рамках современных информационных систем должны быть доступны следующие механизмы безопасности:

•  идентификация и проверка подлинности пользователей;
• управление доступом;
• протоколирование и аудит;
• криптография;
• экранирование;
• обеспечение высокой доступности.

Необходимость применения стандартов. Информационные системы (ИС) компаний почти всегда построены на основе программных и аппаратных продуктов различных производителей. Пока нет ни одной компании-разработчика, которая предоставила бы потребителю полный перечень средств (от аппаратных до программных) для построения современной ИС. Чтобы обеспечить в разнородной ИС надежную защиту информации требуются специалисты высокой квалификации, которые должны отвечать за безопасность каждого компонента ИС: правильно их настраивать, постоянно отслеживать происходящие изменения, контролировать работу пользователей. Очевидно, что чем разнороднее ИС, тем сложнее обеспечить ее безопасность. Изобилие в корпоративных сетях и системах устройств защиты, межсетевых экранов (МЭ), шлюзов и VPN, а также растущий спрос на доступ к корпоративным данным со стороны сотрудников, партнеров и заказчиков приводят к созданию сложной среды защиты, трудной для управления, а иногда и несовместимой.

Интероперабельность продуктов защиты является неотъемлемым требованием для КИС. Для большинства гетерогенных сред важно обеспечить согласованное взаимодействие с продуктами других производителей. Принятое организацией решение безопасности должно гарантировать защиту на всех платформах в рамках этой организации. Поэтому вполне очевидна потребность в применении единого набора стандартов как поставщиками средств защиты, так и компаниями — системными интеграторами и организациями, выступающими в качестве заказчиков систем безопасности для своих корпоративных сетей и систем.

Стандарты образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности, и определяют критерии, которым должно следовать управление безопасностью. Стандарты являются необходимой основой, обеспечивающей совместимость продуктов разных производителей, что чрезвычайно важно при создании систем сетевой безопасности в гетерогенных средах.

Комплексный подход к решению проблемы обеспечения безопасности, рациональное сочетании законодательных, административно-организационных и программно-технических мер и обязательное следование промышленным, национальным и международным стандартам — это тот фундамент, на котором строится вся система защиты корпоративных сетей.

Пути решения проблем защиты информации в сетях

Для поиска решений проблем информационной безопасности при работе в сети Интернет был создан независимый консорциум ISTF (Internet Security Task Force) — общественная организация, состоящая из представителей и экспертов компаний-поставщиков средств информационной безопасности, электронных бизнесов и провайдеров Internet-инфраструктуры. Цель консорциума — разработка технических, организационных и операционных руководств по безопасности работы в Internet.

Консорциум ISTF выделил 12 областей информационной безопасности, на которых в первую очередь должны сконцентрировать свое внимание создатели электронного бизнеса, чтобы обеспечить его работоспособность. Этот список, в частности, включает:

• аутентификацию (механизм объективного подтверждения идентифицирующей информации);
• право на частную, персональную информацию (обеспечение конфиденциальности информации);
• определение событий безопасности (Security Events);
• защиту корпоративного периметра;
• определение атак;
• контроль за потенциально опасным содержимым;
• контроль доступа;
• администрирование;
• реакцию на события (Incident Response). Рекомендации ISTF предназначены для существующих или вновь образуемых компаний электронной коммерции и электронного бизнеса.

Их реализация означает, что защита информации в системе электронного бизнеса должна быть комплексной.

Для комплексной зашиты от угроз и гарантии экономически выгодного и безопасного использования коммуникационных ресурсов для электронного бизнеса необходимо:

• проанализировать угрозы безопасности для системы электронного бизнеса;
• разработать политику информационной безопасности;
• защитить внешние каналы передачи информации, обеспечив конфиденциальность, целостность и подлинность передаваемой по ним информации;
• гарантировать возможность безопасного доступа к открытым ресурсам внешних сетей и Internet, а также общения с пользователями этих сетей;
• защитить отдельные наиболее коммерчески значимые ИС независимо от используемых ими каналов передачи данных;
• предоставить персоналу защищенный удаленный доступ к информационным ресурсам корпоративной сети;
• обеспечить надежное централизованное управление средствами сетевой защиты.

Согласно рекомендациям ISTF, первым и важнейшим этапом разработки системы информационной безопасности электронного бизнеса являются механизмы управления доступом к сетям общего пользования и доступом из них, а также механизмы безопасных коммуникаций, реализуемые МЭ и продуктами защищенных виртуальных сетей VPN.

Сопровождая их средствами интеграции и управления всей ключевой информацией системы защиты (PKI — инфраструктура открытых ключей), можно получить целостную, централизованно управляемую систему информационной безопасности.

Следующий этап включает интегрируемые в общую структуру средства контроля доступа пользователей в систему вместе с системой однократного входа и авторизации (Single Sign On).

Антивирусная защита, средства аудита и обнаружения атак, по существу, завершают создание интегрированной целостной системы безопасности, если речь не идет о работе с конфиденциальными данными. В этом случае требуются средства криптографической защиты данных и электронно-цифровой подписи.

Для реализации основных функциональных компонентов системы безопасности для электронного бизнеса применяются различные методы и средства защиты информации:

• защищенные коммуникационные протоколы;
• средства криптографии;
• механизмы аутентификации и авторизации;
• средства контроля доступа к рабочим местам сети и из сетей общего пользования;
• антивирусные комплексы;
• программы обнаружения атак и аудита;
• средства централизованного управления контролем доступа пользователей, а также безопасного обмена пакетами данных и сообщениями любых приложений по открытым IP-сетям.

Компания «Современные системы безопасности бизнеса» активно внедряет передовые технологии в сферы безопасности бизнеса и технической защиты информации. Основными направлениями нашей деятельности являются: поиск закладных устройств (защита от прослушки, скрытых камер и т.д.); проектирование, монтаж и обслуживание систем безопасности бизнеса: видеонаблюдение; контроль доступа; учет рабочего времени; охранная и пожарная сигнализация; измерения теплопотерь помещений и рекомендации по теплоизоляции; измерения радиоактивного фона в помещениях и на территориях. Звоните нам по указанному номеру телефона и мы ответим на все интересующие Вас вопросы:

(044) 227-90-21

(096) 875-77-51

(099) 448-83-83