Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности

Подождите немного. Документ загружается.

Осознание необходимости стратегического подхода в организации

безопасной информационной среды формируется у руководителей по мере

осознания важности, многоаспектности и трудности защиты информации.

Стратегия – общая направленность в организации деятельности с

учетом объективных потребностей, возможных условий осуществления и

возможностей предприятия. Различают три вида стратегий: оборонительная,

наступательная и упреждающая стратегии. Основные характеристики

стратегий комплексной защиты информации приведены в табл. 7.

Таблица 7

Основные характеристики стратегий комплексной защиты информации

Наименование

характеристики

Стратегии комплексной защиты информации

Оборонительная Наступательная Упреждающая

Возможный

уровень защиты

Достаточно высок,

но только в

отношении

известных угроз

Очень высок, но

только в пределах

существующих

представлений о

природе угроз и

возможностях их

проявления

Уровень защиты

гарантированно

очень высок

Необходимые

условия

реализации

Наличие методов и

средств реализации

1. Наличие перечня

и характеристик

полного множества

потенциально

возможных угроз

2. Наличие

развитого арсенала

методов и средств

защиты

3. Наличие

возможности влиять

на архитектуру ИС

и технологию

обработки

информации

Наличие

защищенных

информационных

технологий

141

Продолжение табл. 7

Наименование

характеристики

Стратегии комплексной защиты информации

Оборонительная Наступательная Упреждающая

Ресурсоемкость Незначительная по

сравнению с

другими

стратегиями

Значительная (с

ростом требований

по защите растет по

экспоненте)

1. Высокая в

плане

капитальных

затрат

2. Незначительная

в каждом

конкретном

случае при

наличии

унифицированной

защищенной

информационной

технологии

Рекомендации по

применению

Невысокая степень

секретности

защищаемой

информации и не

очень большие

ожидаемые потери

Достаточно высокая

степень секретности

защищаемой

информации и

возможность

значительных

потерь при

нарушении защиты

Перспективная

Оборонительная стратегия защиты – защита от уже известных угроз,

осуществляемая автономно, без влияния на существующую ИС.

Наступательная стратегия защиты – защита от всего множества

потенциальных угроз. Архитектура информационной системы и технология

ее функционирования обязаны учитывать потребности защиты.

Упреждающая стратегия защиты – создание изначально такой

информационной среды, в которой угрозы не имели бы условий для

возникновения.

9.3. Этапы построения КЗИ для различных стратегий

Основные этапы построения стратегий КЗИ приведены в табл. 8.

142

Таблица 8

Основные этапы построения стратегий КЗИ

Наименование

этапов

построения

Стратегии комплексной защиты информации

Оборонительная Наступательная Упреждающая

Формирование

среды защиты

Отсутствует 1. Структурированная

архитектура ИС

2. Структурированная

технология обработки

защищаемой

информации

3. Четкая организация

работ по защите

Защищенная

информационная

технология в

унифицированном

исполнении

Анализ средств

защиты

1. Представление организационной

структуры ИС в виде графа, узлы которого –

типовые структурные компоненты, а дуги –

взаимосвязи между компонентами

2. Представление технологии обработки

защищаемой информации в виде строго

определенной схемы

3. Определение параметров защищаемой

информации и условий ее обработки

Отсутствует

Оценка

уязвимости

информации

1. Определение значений вероятности

нарушения защиты информации в условиях

ее обработки

2. Оценка размеров возможного ущерба при

нарушении защиты

Отсутствует

Определение

требований к

защите

Определение вероятности нарушения защиты информации, которая

должна быть обеспечена при обработке защищаемой информации

Построение

системы

комплексной

защиты

Определение

технических

средств, которые

должны быть

использованы при

обработке ЗИ

Выбор типового

варианта (профиля)

либо проектирование

индивидуальной

системы КЗИ

Определение

механизмов защиты,

которые должны быть

задействованы при

создании КЗИ

Требования

к среде

защиты

Отсутствует Определяется в

зависимости от

требований к защите

информации

Реализуется на базе

унифицированной

защищенной

информационной

технологии

143

Основные принципы построения КЗИ следующие:

1. Простота механизма защиты:

Механизм должен быть интуитивно понятен и прост в использовании.

Применение механизма защиты не должно требовать знания языков и быть

трудоемким, если это обычный пользователь, то есть пользователь среднего

уровня квалификации.

2. Постоянство защиты:

Механизм защиты должен быть постоянно защищен от

несанкционированных изменений. Ни одна КИС не является безопасной,

если механизм защиты может стать объектом модификации и изменения.

3. Полнота контроля:

Проверка полномочий любого обращения к любому объекту – это

основа комплексной защиты информации.

4. Открытость проектирования:

КЗИ должна эффективно функционировать, даже если она известна

противнику. То есть должна поддерживаться независимость от опыта

противника. А также знание алгоритма защиты недолжно способствовать

преодолению защиты даже автору.

5. Идентификация:

Каждый объект КИС должен быть однозначно идентифицирован.

Пользователь – полномочия, файл – уровень доступа.

6. Разделени полномочий:

Применением нескольких ключей защиты, что позволяет разрешить

доступ только при выполнении ряда условий.

7. Минимизация полномочий:

Пользователь получает только то, что необходимо для исполнения

функциональных обязанностей.

8. Надежность:

Должен быть механизм постоянной оценки надежности (исправности)

функционирования КЗИ.

9. Максимальная обособленность защиты:

Защита должна быть отделена от функций управления данными и ИС.

10. Защита памяти:

144

Наличие программ защиты защищаемых полей памяти для локализации

попыток проникновения. При этом все попытки фиксировать,

документировать и отвергать, если не корректны.

11. Непрерывность:

КЗИ не разовое мероприятие и не совокупность мероприятий по

защите, либо установок средств защиты. КЗИ это непрерывный

целенаправленный процесс.

12. Гибкость:

Гибкость особенно важна в начале эксплуатации, т.к. существует

возможность чрезмерной либо недостаточной защиты и при установке на

действующей ИС, когда нельзя нарушить нормальное функционирование.

13. Неизбежность наказания нарушений:

Самый простой и действенный способ наказания нарушений – отказ в

доступе.

14. Экономичность:

Минимум расходов на создание и эксплуатацию.

15. Специализированность:

КЗИ только тогда надежна, когда реализована и эксплуатируется

специалистами.

9.4. Структура КЗИ

0. Информация

1. Документ

2. Режим

3. Программа

4. Аппарат

5. Охрана

6. Техника

7. Инженерные сооружения

9.5. Основные характеристики КЗИ

1. Надежность – эшелонированность, многоуровневость.

Для достижения цели нарушитель вынужден преодолеть несколько

рубежей (слоев, уровней) защиты. Цель состоит в повышении

145

неопределенности ожидания нарушителя относительно свойств системы

защиты:

 длительность и трудоемкость подготовки;

 возможность неудачи и отказ от продолжения нападения.

2. Отказоустойчивость – минимизация последствий отказов рубежей

защиты.

Безотказную систему создать сложно. Следовательно, очень важно

иметь четкий план восстановления после отказа. Желательно

автоматизировать ввод резерва защиты.

3. Равнопрочность – нарушитель должен преодолевать рубежи защиты

с одинаковой трудностью, независимо от направления атаки.

Время преодоления и вероятность обнаружения должны быть равны

независимо от пути вторжения.

9.6. Этапы разработки КЗИ

Процесс разработки КЗИ состоит из следующих этапов:

1. Определение информации, подлежащей защите;

4. Выявление полного множества угроз и каналов утечки информации;

5. Проведение оценки уязвимости и рисков информации по имеющимся

угрозам и каналам утечки;

6. Определение требований к комплексной защите;

7. Осуществление выбора средств защиты информации по их

характеристикам;

8. Внедрение и организация использования выбранных мер, способов и

средств защиты;

9. Осуществление контроля целостности и управления системой

защиты.

На всех этапах разработки КЗИ происходит постоянный анализ и

уточнение требований к комплексной защите информации.

Контрольные вопросы

1. Является ли задачей КЗИ обнаружение протеканий системы

центрального отопления?

10.В чем разница упреждающей и наступательной стратегии?

11.Назовите наиболее действенный метод наказания за нарушения

правил ИБ?

146

12.Каково количество уровней в структуре КЗИ?

13.Перечислите три основные характеристики КЗИ?

147

ГЛАВА 10. ДОКУМЕНТ КОНФИДЕНЦИАЛЬНЫЙ

10.1. Безопасность ценных информационных ресурсов

Одна из основных функций системы безопасности есть обеспечение

безопасности информации, циркулирующей на уровне руководства. Для

этого необходимо знать:

 критерии ценности информации;

 методы выделения конфиденциальных документов;

 порядок документирования ценных сведений;

 порядок работы персонала с конфиденциальными материалами;

 построение системы движения, обработки, и хранения

конфиденциальных документов;

 методы защиты при работе с носителями;

 методы защиты при проведении совещаний и переговоров.

Безопасность ценных информационных ресурсов всегда выступает

необходимым условием успеха в деле, получения прибыли, сохранения

целостности предприятия и поддержания его эффективного

функционирования.

Цель ИБ – безопасность информационных ресурсов в любой момент

времени в любой обстановке. Безопасность информационных ресурсов

относительно гарантированная в конкретной ситуации защищенность

информации во времени и пространстве от любых объективных и

субъективных угроз, для обычных и экстремальных условий

функционирования предприятия.

Первоначально всегда необходимо решить следующие вопросы:

 Что защищать?

 Почему защищать?

 От кого защищать?

 Как защищать?

Проблемы ИБ становятся более сложными и значительными со

временем, это связано с массовым переходом на безбумажные технологии в

управлении, введением электронного документооборота.

Все это существенно расширяет и содержательно обновляет комплекс

организационно-технических и технологических трудностей в

148

предотвращении преступного и достаточно простого вмешательства в

информационные ресурсы.

Если раньше главными опасностями были утрата конфиденциального

документа, разглашение конфиденциальных сведений или утечка по

техническим каналам. То в настоящее время все чаще приходится

сталкиваться с незаконным тайным оперированием электронными

документами без кражи из БД и незаконным использованием

информационных ресурсов для извлечения материальной выгоды.

Текущие и перспективные задачи обеспечения ИБ и ЗИ формируются в

рамках программы информационной безопасности предприятия. Задачи

определяют формирование и актуализацию технологического процесса

защиты, предупреждающего нарушения доступности, сохранности,

целостности и достоверности информационных ресурсов.

Основа решения – принцип персональной ответственности руководства

всех уровней, службы безопасности и сотрудников за использование

информации в соответствии с законодательством и функциональными

обязанностями.

Задачи защиты реализуются системой защиты информации. Главная

опасность это несанкционированный доступ (несанкционированное

ознакомление). Кража, копирование, разглашение, уничтожение,

фальсификация, искажение, модификация и подмена информационных

ресурсов являются следствиями главной опасности.

Архитектура систем защиты информации (СЗИ) обязана охватывать:

 Электронные информационные системы;

 Весь комплекс управления предприятием в единстве его

функциональных и структурных систем;

 Традиционные документационные процессы.

Комплексность СЗИ обеспечивается включением обязательных

элементов, соответствующих основным элементам защиты. К обязательным

элементам относятся:

 правовые;

 организационные;

 инженерно-технические;

 программно-аппаратные;

 криптографические.

149

При игнорировании этого уязвимость информации на любом носителе

резко возрастает.

10.2. Критерии ценности информации

Предпринимательская деятельность всегда связана с созданием,

использованием и хранением значительных объемов информационных

ресурсов. Документированные (т.е. реализованные на каких либо носителях)

информационные ресурсы, используемые в деле или в управлении

предприятием, являются собственной (частной) информацией

предпринимателя.

Документированные информационные ресурсы есть интеллектуальная

собственность. Интеллектуальная собственность состоит из элементов –

информационных продуктов (коммерчески ценных идей), реализованных в

информационном виде.

Информационный продукт (ИП) – есть результат творческого труда

предпринимателя (коллектива предприятия), имеющего конкретную ценность

для собственника или владельца.

Ценность ИП можно определить через:

 стоимость:

 размер прибыли при использовании,

 размер убытков при утрате;

 правовое значение для фирмы (для дела):

 учредительные документы,

 программы и планы,

 договоры с партнерами и посредниками;

 перспективно научное значение;

 техническое значение;

 технологическое значение.

Существует следующие виды ценной информации:

1. Техническая и технологическая:

 химическая формула;

 рецепт;

 результат испытаний;

 данные контроля качества;

150