реклама
ЭКСПЕРТИЗА САЙТОВ НА СЛИВ ИНФОРМАЦИИ

ВОССТАНОВЛЕНИЕ ИНФОРМАЦИИ С РАЗЛИЧНЫХ НАКОПИТЕЛЕЙ В КИЕВЕ
реклама

proxy  статьи  библиотека  softice  free_юр.консультация  hard
рекламодателям  расшифровка штрих-кодов  links/add

http://kiev-security.org.ua

Содержание

21. Концептуальный подход к защите информации коммерческого объекта

КОНЦЕПТУАЛЬНЫЙ  ПОДХОД  К ЗАЩИТЕ ИНФОРМАЦИИ КОММЕРЧЕСКОГО ОБЪЕКТА
Надеюсь,  что  Вы  уже имеете достаточное представление о каналах
утечки  информации,  методах  злоумышленного  съема или перехвата
конфиденциальной  информации  и  к  чему  может  привести  утечка
коммерческих  секретов,  если  она  попадет  в  руки  конкурента.
Защищать  или  не  защищать?  На  этот  вопрос ответ однозначен -
защищать!  Но как? С чего начать? Наиболее полно концепция защиты
коммерческого       объекта       показана       на      рисунке.
здддддддддддддддддддддддддд©   Ё   КОНЦЕПЦИЯ   ЗАЩИТЫ  ОБЪЕКТА  Ё
юддддддддддддбддддддддддддды        зддддддддддддадддддддддддддд©
здддддддддаддддддддддд©  зддддддадддддддддддддд©  Ё Определение и
оценкаЁ  Ё  Разработка  Ё  Ё  угроз  Ё  Ёадекватных  мер  защитыЁ
юдддддддддбддддддддддды         юддддддддддддддддддддды         Ё
зддддддддддддддддддддд©    юдддд¦    Угозы   безопасности   Ё   Ё
деятельности           объектаЁ           юддддддддбдддддддддддды
здддддддддддддддддддеддддддддддддддддддддддддд©
здддддддадддддддд©    зддддддаддддддддддд©    зддддддддддадддддд©
ЁЧрезвычайные    Ё   ЁПроникновение   Ё   ЁСъем   информации:   Ё
Ёобстоятельства:  Ё  Ёна  объект:  Ё  Ёподслушивание,  Ё  Ёпожар,
стихийныеЁ  Ёкражи,хулиганство,Ё  Ёконтроль  коммуни-Ё Ёбедствия,
терро-Ё    Ёхищения    Ё    Ёкаций   и   техники   Ё   Ёризм   ц©
юдддддбдддддддддддбы  юддддддбдддддддддды юддддддддддддддддыЁ Ё Ё
Ё иммммммммммммммммммммммммммммммммммммммммммммммммммммммммммммм¦
¦зддддддддддд©  Ё  Ё  Ё  Ё  ¦  ¦Ё  Персонал,  цдддд¦  Ё  Ё Ё ¦ ¦Ё
посетителиЁ  Ё здддддаддддд© Ё Ё ¦ ¦юддддддддддды Ё Ё Имущество,Ё
Ё  зддддддаддддддд©  ¦ ¦ цдд¦ ценности Ё юддд¦ Служебная, Ё ¦ ¦ Ё
юддддддддддды  Ё  коммерческая,Ё  ¦  ¦ юдддддддддддддддддддддддд¦
личная  Ё  ¦  ¦  О  Б  Ъ  Е  К  Т  З А Щ И Т Ы Ё информация Ё ¦ ¦
юдддддддддддддды                                                ¦
хммммммммммммммммммммммммммммммммммммммммммммммммммммммммммммм+
здддадд©   зддддадддддд©зддддадддд©   зддддаддддд©  здддддаддддд©
ЁСлужбаЁ  Ё  Средства  ЁЁ  СредстваЁ  Ё  Средства Ё ЁСпециальнаяЁ
ЁохраныЁ   ЁобнаруженияЁЁотраженияЁ   ЁликвидацииЁ   Ё  защита  Ё
юдддбдды   юддддбддддддыюддддбдддды   юдддддбдддды  юдддддбддддды
здддадддддддддаддддддддддддаддддддддддддаддддддддддддаддддд©    Ё
Система               защиты               объекта              Ё
юдддддддддддддддддддддддддддддддддддддддддддддддддддддддддды
Начинать   надо   с   определения  и  оценки  угроз  безопасности
деятельности  объекта  (банка,  фирмы), а исходя из этого анализа
принимается решение о построении всей системы защиты и выбираются
необходимые  средства.  Оценка  угроз  Оценка угроз проводится по
следующим    направлениям:    -    безопасность    персонала    и
посетителей:неэффективная защита может привести к ущербу здоровью
или  даже  угрозе  жизни  людей на объекте; - угрозы материальным
ценностям,  имуществу  и оборудованию: - безопасность информации,
сохранность   государственной   и   коммерческой   тайны.   Такая
последовательность  соответствует  современным мировым нормативам
безопасности.   Определение   приоритетов  в  перечисленных  выше
направлениях  в  большей степени зависит от того, кто финансирует
создание  и  функционирование системы защиты конкретного объекта.
Такое   положение   часто   вносит   элементы  директивы  и  даже
субъективизма,  которые  могут  в дальнейшем привести к серъезным
просчетам.   Принцип   построения   системы   защиты  Генеральным
направлением поисков защиты информации стало неуклонное повышение
системности  подхода  к самой проблеме защиты информации. Понятие
системности  интерпретировалось  прежде  всего  в том смысле, что
защита    информации    заключается    не   просто   в   создании
соответствующих   механизмов,  а  представляет  собой  регулярный
процесс,  осуществляемый  на  всех этапах жизненного цикла систем
обработки  данных  при  комплексном  использовании всех имеющихся
средств  защиты.  При  этом  все  средства, методы и мероприятия,
используемые   для   защиты  информации,  непременно  и  наиболее
рациональным  образом  объединяются в единый целостный механизм -
систему  защиты,  которая  должна  обеспечивать,  говоря  военным
языком,   глубокоэшелонированную   оборону,причем  на  только  от
злоумышленников,   но   и   от  некомпетентных  или  недостаточно
подготовленных  пользователей  и персонала. В этой системе должно
быть,  по  крайней  мере,  четыре  защитных  пояса: внешний пояс,
охватывающий  всю  территорию, на которой расположены сооружения;
пояс   сооружений,   помещений   или   устройств   системы;  пояс
компонентов    системы    (технических    средств,   программного
обеспечения,   элементов   баз  данных)  и  пояс  технологических
процессов  обработки  данных (ввод/ вывод, внутренняя обработка и
т.п.). Основные трудности реализации систем защиты состоят в том,
что   они   должны   удовлетворять  двум  группам  противоречивых
требований. С одной стороны должна обеспечиваться надежная защита
находящейся   в   системе  информации,  что  в  более  конкретном
выражении  формулируется в виде двух обобщенных задач: исключение
случайной  и преднамеренной выдачи информации посторонним лицам и
разграничение  доступа  к  устройствам  и  ресурсам  системы всех
пользователей, администрации и обслуживающего персонала. С другой
стороны,  системы  защиты  не должны создавать заметных неудобств
пользователям  в  процессе  их  работы  с использованием ресурсов
системы.   В  частности  должны  обеспечиваться:  полная  свобода
доступа   каждого  пользователя  и  независимость  его  работы  в
пределах  представленных ему прав и полномочий; удобство работы с
информацией  для групп взаимосвязанных пользователей; возможности
пользователям  допускать  друг друга к своей информации. Основные
правила,   которыми   рекомендуют   руководствоваться  зарубежные
специалисты  при организации работ по защите информации, сводятся
к   следующему:   1.  Обеспечение  безопасности  информации  есть
непрерывный  процесс,  заключающийся  в  систематическом контроле
защищенности,  выявлении узких мест в системе защиты, обосновании
и  реализации  наиболее  рациональных  путей  совершенствования и
развития  системы  защиты.  2.  Безопасность информации в системе
обработки  данных  может  быть  обеспечена  лишь  при комплексном
использовании всего арсенала имеющихся средств защиты. 3. Никакая
система   защиты   на   обеспечит   безопасности  информации  без
надлежащей  подготовки пользователей и соблюдения ими всех правил
защиты.  4.  Никакую  систему  защиты  нельзя  считать  абсолютно
надежной, надо исходить из того, что может найтись такой искусный
злоумышленник, который отыщет лазейку для доступа к информации. В
последние  15-20  лет  в развитых странах предпринимаются большие
усилия и расходуются значительные средства на защиту информации в
автоматизированных  системах  обработки  данных.  Все более четко
вырисовываются  контуры  нового научного направления и инженерной
дисциплины  -  "Безопасность информационновычислительных систем и
сетей".   Таким   образом,  есть  основания  говорить  о  наличии
достаточного  материала  для  синтезированного  анализа  развития
концептуальных  подходов  к  защите  информации.  С  самых первых
этапов,  то  есть  с той поры, когда проблема защиты информации в
системах   обработки  данных  стала  рассматриваться  в  качестве
самостоятельной,  основными  средствами, используемыми для защиты
были   технические  и  программные.  Техническими  названы  такие
средства,     которые    реализуют    в    виде    электрических,
электромеханических,   электронных  устройств.  Всю  совокупность
технических  средств  принято  делить на аппаратные и физические.
Под   аппаратными   техническими   средствами  защиты  понимаются
устройства,  встраиваемые  непосредственно в аппаратуру обработки
данных, или устройства, которые сопрягаются с ней по стандартному
интерфейсу.  Наиболее известные аппаратные средства, используемые
на  первом  этапе  -  это  схемы контроля информации по четности,
схемы   защиты   полей  памяти  по  ключу,  специальные  регистры
(например, регистры границ поля ЗУ) и т.п. Физическими средствами
названы  такие, которые реализуются в виде автономных устройств и
систем     (электронно-механическое     оборудование     охранной
сигнализации  и  наблюдения,  замки на дверях, решетки на окнах и
т.п.).   Программные  средства  защиты,  как  известно,  образуют
программы  специально  предназначенные  для  выполнения  функций,
связанных   с   защитой   информации.  Первоначально  программные
механизмы  защиты  включались  в  состав  операционных систем или
систем управления базами данных. Этим, видимо, и объясняется, что
практически  все  без  исключения  операционные  системы содержат
механизмы  защиты.  Например,  одна  из наиболее распространенных
операционных  систем  фирмы  IВМ  О  /360  имеет  в своем составе
механизмы,  выполняющие  следующие  функции  защиты информации от
несанкционированного   доступа:   1)  динамическое  распределение
ресурсов    вычислительной    системы    и   запрещение   задачам
пользователей   использовать   "чужие"  ресурсы;  2)разграничение
доступа   пользователей   к   ресурсам  системы  по  паролям;  3)
разграничение  доступа  к  полям  ЗУ  по ключам защиты; 4) защита
таблицы  паролей  с  помощью  так  называемого  главного  пароля.
Практика   показала,   что   надежность  механизмов  защиты  типа
рассмотренного  выше является явно недостаточной. Особенно слабым
звеном  оказалась  защита по паролям: пароль можно подслушать или
подсмотреть,   перехватить,  а  то  и  просто  разгадать.  Особую
опасность   представляла  возможность  хищения  или  разгадывания
главного  пароля. Следующей попыткой расширения рамок и повышения
эффективности     программной     защиты     стала    организация
дифференцированного разграничения доступа пользователей к данным,
находящимся    в    системе    обработки    данных.   Для   этого
идентифицировались  все  пользователи  и  все элементы защищаемых
данных,  устанавливалось  каким-либо  образом  соответствие между
идентификаторами   пользователей   и  идентификаторами  элементов
данных  и строилась алгоритмическая процедура проверки лояльности
каждого   запроса   пользователя.  Известно  несколько  различных
способов  разграничения  доступа:  по  матрице  доступа,  профилю
полномочий,   уровню  секретности  данных,  содержанию  данных  и
некоторым  другим. Следующие попытки расширения рамок и повышения
эффективности     программной    защиты    стало    использование
криптографических  методов то есть при таком закрытии, защищаемые
данные шифруются так, чтобы их содержание было доступно лишь тем,
кому она предназначается, и которые имеют ключ для расшифрования.

Содержание

HOME


Если у вас есть сайт или домашняя страничка - поддержите пожайлуста наш ресурс, поставьте себе кнопочку, скопировав этот код:

<a href="http://kiev-security.org.ua" title="Самый большой объем в сети онлайн инф-ции по безопасности на rus" target="_blank"><img src="http://kiev-security.org.ua/88x31.gif" width="88" height="31" border="0" alt="security,безопасность,библиотека"></a>

Идея проекта(C)Anton Morozov, Kiev, Ukraine, 1999-2019, security2001@mail.ru