Способи забезпечення інформаційної безпеки

Способи забезпечення інформаційної безпеки

Існує два підходи до проблеми забезпечення безпеки комп'ютерних систем та мереж (КС): «фрагментарний» і комплексний.

«Частковий» підхід спрямований на протидію чітко визначеним загрозам у заданих умовах. В якості прикладів реалізації такого підходу можна вказати окремі засоби управління доступом, автономні засоби шифрування, спеціалізовані антивірусні програми і т. П. Перевагою такого підходу є висока вибірковість до конкретної загрози. Істотний недолік - відсутність єдиної захищеної середовища обробки інформації. Фрагментарні заходи захисту інформації забезпечують захист конкретних об'єктів КС тільки від конкретної загрози. Навіть невелике видозміна загрози веде до втрати ефективності захисту.

Комплексний підхід орієнтований на створення захищеного середовища обробки інформації в КС, що об'єднує в єдиний комплекс різнорідні заходи протидії загрозам. Організація захищеного середовища обробки інформації дозволяє гарантувати певний рівень безпеки КС, що є безсумнівним достоїнством комплексного підходу. До недоліків цього підходу відносяться: обмеження на свободу дій користувачів КС, чутливість до помилок установки і налаштування засобів захисту, складність управління. Комплексний підхід застосовують для захисту КС великих організацій або невеликих КС, що виконують відповідальні завдання або обробних особливо важливу інформацію. Порушення безпеки інформації в КС великих організацій може нанести величезний матеріальний збиток як самим організаціям, так і їх клієнтам. Тому такі організації змушені приділяти особливу увагу гарантіям безпеки і реалізови-вать комплексний захист. Комплексного підходу дотримуються більшість державних і великих комерційних підприємств та установ. Цей підхід знайшов своє відображення в різних стандартах. Комплексний підхід до проблеми забезпечення безпеки заснований на розробленій для конкретної КС політики безпеки. Політика безпеки регламентує ефективну роботу засобів захисту КС. Вона охоплює всі особливості процесу обробки інформації, визначаючи поведінку системи в різних ситуаціях. Надійна система безпеки мережі не може бути створена без ефективної політики мережевої безпеки. Політики безпеки докладно розглядаються в гл. 3.

Для захисту інтересів суб'єктів інформаційних відносин необхідно поєднувати заходи наступних рівнів:

  • законодавчого (стандарти, закони, нормативні акти і т. П.);
  • адміністративно-організаційного (дії загального характеру, що починаються керівництвом організації, і конкретні заходи безпеки, що мають справу з людьми);
  • програмно-технічного (конкретні технічні заходи). Заходи законодавчого рівня дуже важливі для забезпечення інформаційної безпеки. До цього рівня відноситься комплекс заходів, спрямованих на створення і підтримку в суспільстві негативного (у тому числі карального) відношення до порушень і порушників інформаційної безпеки.

Інформаційна безпека - це нова галузь діяльності, тут важливо не тільки забороняти і карати, а й вчити, роз'яснювати, допомагати. Суспільство має усвідомити важливість даної проблематики, зрозуміти основні шляхи вирішення відповідних проблем. Держава може зробити це оптимальним чином. Тут не потрібно великих матеріальних витрат, потрібні інтелектуальні вкладення.

Заходи адміністративно-організаційного рівня. Адміністрація організації повинна усвідомлювати необхідність підтримки режиму безпеки і виділяти на ці цілі відповідні ресурси. Основою заходів захисту адміністративно-організаційного рівня є політика безпеки (див. Гл. 3) і комплекс організаційних заходів.

До комплексу організаційних заходів належать заходи безпеки, реалізовані людьми. Виділяють наступні групи організаційних заходів:

  • управління персоналом;
  • фізичний захист;
  • підтримку працездатності;
  • реагування на порушення режиму безпеки;
  • планування відновлювальних робіт.

Для кожної групи в кожній організації повинен існувати набір регламентів, що визначають дії персоналу.

Заходи і засоби програмно-технічного рівня. Для підтримки режиму інформаційної безпеки особливо важливі заходи програмно-технічного рівня, оскільки основна загроза комп'ютерних систем виходить від них самих: збої обладнання, помилки програмного забезпечення, промахи користувачів і адміністраторів і т. П. В рамках сучасних інформаційних систем повинні бути доступні наступні механізми безпеки :

  • ідентифікація та перевірка справжності користувачів;
  • управління доступом;
  • протоколювання і аудит;
  • криптографія;
  • екранування;
  • забезпечення високої доступності.

Необхідність застосування стандартів. Інформаційні системи (ІС) компаній майже завжди побудовані на основі програмних і апаратних продуктів різних виробників. Поки немає жодної компанії-розробника, яка надала б споживачеві повний перелік засобів (від апаратних до програмних) для побудови сучасної ІС. Щоб забезпечити в різнорідної ІС надійний захист інформації потрібні фахівці високої кваліфікації, які повинні відповідати за безпеку кожного компонента ІС: правильно їх налаштовувати, постійно відслідковувати зміни, контролювати роботу користувачів. Очевидно, що чим різноманітніше ІС, тим складніше забезпечити її безпеку. Достаток в корпоративних мережах і системах пристроїв захисту, міжмережевих екранів (МЕ), шлюзів і VPN, а також зростаючий попит на доступ до корпоративних даних з боку співробітників, партнерів і замовників призводять до створення складного середовища захисту, важкою для управління, а іноді і несумісною .

Інтероперабельність продуктів захисту є невід'ємною вимогою для КІС. Для більшості гетерогенних середовищ важливо забезпечити узгоджене взаємодія з продуктами інших виробників. Прийняте організацією рішення безпеки має гарантувати захист на всіх платформах в рамках цієї організації. Тому цілком очевидна потреба в застосуванні єдиного набору стандартів як постачальниками засобів захисту, так і компаніями - системними інтеграторами і організаціями, що виступають в якості замовників систем безпеки для своїх корпоративних мереж і систем.

Стандарти утворюють понятійний базис, на якому будуються всі роботи щодо забезпечення інформаційної безпеки, і визначають критерії, яким має слідувати управління безпекою. Стандарти є необхідною основою, що забезпечує сумісність продуктів різних виробників, що надзвичайно важливо при створенні систем мережевої безпеки в гетерогенних середовищах.

Комплексний підхід до вирішення проблеми забезпечення безпеки, раціональне поєднанні законодавчих, адміністративно-організаційних та програмно-технічних заходів і обов'язкове проходження промисловим, національним і міжнародним стандартам - це той фундамент, на якому будується вся система захисту корпоративних мереж.

Шляхи вирішення проблем захисту інформації в мережах

Для пошуку рішень проблем інформаційної безпеки при роботі в мережі Інтернет був створений незалежний консорціум ISTF (Internet Security Task Force) - громадська організація, що складається з представників і експертів компаній-постачальників засобів інформаційної безпеки, електронних бізнесів і провайдерів Internet-інфраструктури. Мета консорціуму - розробка технічних, організаційних та операційних керівництв з безпеки роботи в Internet.

Консорціум ISTF виділив 12 областей інформаційної безпеки, на яких в першу чергу повинні сконцентрувати свою увагу творці електронного бізнесу, щоб забезпечити його працездатність. Цей список, зокрема, включає:

  • аутентифікацію (механізм об'єктивного підтвердження ідентифікуючої інформації);
  • право на приватну, персональну інформацію (забезпечення конфіденційності інформації);
  • визначення подій безпеки (Security Events);
  • захист корпоративного периметра;
  • визначення атак;
  • контроль за потенційно небезпечним вмістом;
  • контроль доступу;
  • адміністрування;
  • реакцію на події (Incident Response). Рекомендації ISTF призначені для існуючих або знову утворених компаній електронної комерції та електронного бізнесу.

Їх реалізація означає, що захист інформації в системі електронного бізнесу повинна бути комплексною. Для комплексної зашиті від загроз і гарантії економічно вигідного й безпечного використання комунікаційних ресурсів для електронного бізнесу необхідно:

  • проаналізувати загрози безпеки для системи електронного бізнесу;
  • розробити політику інформаційної безпеки;
  • захистити зовнішні канали передачі інформації, забезпечивши конфіденційність, цілісність і справжність переданої по ним інформації;
  • гарантувати можливість безпечного доступу до відкритих ресурсів зовнішніх мереж і Internet, а також спілкування з користувачами цих мереж;
  • захистити окремі найбільш комерційно значимі ІС незалежно від використовуваних ними каналів передачі даних;
  • надати персоналу захищений віддалений доступ до інформаційних ресурсів корпоративної мережі;
  • забезпечити надійне централізоване управління коштами мережевого захисту.

Згідно з рекомендаціями ISTF, першим і найважливішим етапом розробки системи інформаційної безпеки електронного бізнесу є механізми управління доступом до мереж загального користування та доступом з них, а також механізми безпечних комунікацій, реалізовані МЕ і продуктами захищених віртуальних мереж VPN.

Супроводжуючи їх засобами інтеграції та управління всією ключовою інформацією системи захисту (PKI - інфраструктура відкритих ключів), можна отримати цілісну, централізовано керовану систему інформаційної безпеки. Наступний етап включає інтегровані в загальну структуру засоби контролю доступу користувачів в систему разом з системою одноразового входу і авторизації (Single Sign On).

Антивірусний захист, засоби аудиту та виявлення атак, по суті, завершують створення інтегрованої цілісної системи безпеки, якщо мова не йде про роботу з конфіденційними даними. У цьому випадку потрібні засоби криптографічного захисту даних і електронно-цифрового підпису.

Для реалізації основних функціональних компонентів системи безпеки для електронного бізнесу застосовуються різні методи та засоби захисту інформації:

  • захищені комунікаційні протоколи;
  • засоби криптографії;
  • механізми аутентифікації та авторизації;
  • засоби контролю доступу до робочих місць мережі та з мереж загального користування;
  • антивірусні комплекси;
  • програми виявлення атак та аудиту;
  • засоби централізованого управління контролем доступу користувачів, а також безпечного обміну пакетами даних і повідомленнями будь-яких додатків за відкритими IP-мереж.

Компанія «Сучасні системи безпеки бізнесу» активно впроваджує передові технології в сфери безпеки бізнесу та технічного захисту інформації. Основними напрямками нашої діяльності є: пошук закладних пристроїв (захист від прослуховування, прихованих камер і т.д.); проектування, монтаж і обслуговування систем безпеки бізнесу: відеоспостереження; контроль доступу; облік робочого часу; охоронна і пожежна сигналізація; вимірювання тепловтрат приміщень та рекомендації щодо теплоізоляції; вимірювання радіоактивного фону в приміщеннях і на територіях. Дзвоніть нам за вказаним номером телефону і ми відповімо на всі Ваші запитання:

(044) 227-90-21

(096) 875-77-51

(099) 448-83-83



Інтернет-магазин
Відеонагляд Відеонагляд
Цiкавi записи Останні новини