kiev-security.org.ua-Безопасность бизнеса.Концептуальный подход к защите информации коммерческого объекта

КОНЦЕПТУАЛЬНЫЙ ПОДХОД К ЗАЩИТЕ ИНФОРМАЦИИ КОММЕРЧЕСКОГО ОБЪЕКТА Надеюсь, что Вы уже имеете достаточное представление о каналах утечки информации, методах злоумышленного съема или перехвата конфиденциальной информации и к чему может привести утечка коммерческих секретов, если она попадет в руки конкурента. Защищать или не защищать? На этот вопрос ответ однозначен - защищать! Но как? С чего начать? Наиболее полно концепция защиты коммерческого объекта показана на рисунке. здддддддддддддддддддддддддд© Ё КОНЦЕПЦИЯ ЗАЩИТЫ ОБЪЕКТА Ё юддддддддддддбддддддддддддды зддддддддддддадддддддддддддд© здддддддддаддддддддддд© зддддддадддддддддддддд© Ё Определение и оценкаЁ Ё Разработка Ё Ё угроз Ё Ёадекватных мер защитыЁ юдддддддддбддддддддддды юддддддддддддддддддддды Ё зддддддддддддддддддддд© юдддд¦ Угозы безопасности Ё Ё деятельности объектаЁ юддддддддбдддддддддддды здддддддддддддддддддеддддддддддддддддддддддддд© здддддддадддддддд© зддддддаддддддддддд© зддддддддддадддддд© ЁЧрезвычайные Ё ЁПроникновение Ё ЁСъем информации: Ё Ёобстоятельства: Ё Ёна объект: Ё Ёподслушивание, Ё Ёпожар, стихийныеЁ Ёкражи,хулиганство,Ё Ёконтроль коммуни-Ё Ёбедствия, терро-Ё Ёхищения Ё Ёкаций и техники Ё Ёризм ц© юдддддбдддддддддддбы юддддддбдддддддддды юддддддддддддддддыЁ Ё Ё Ё иммммммммммммммммммммммммммммммммммммммммммммммммммммммммммммм¦ ¦зддддддддддд© Ё Ё Ё Ё ¦ ¦Ё Персонал, цдддд¦ Ё Ё Ё ¦ ¦Ё посетителиЁ Ё здддддаддддд© Ё Ё ¦ ¦юддддддддддды Ё Ё Имущество,Ё Ё зддддддаддддддд© ¦ ¦ цдд¦ ценности Ё юддд¦ Служебная, Ё ¦ ¦ Ё юддддддддддды Ё коммерческая,Ё ¦ ¦ юдддддддддддддддддддддддд¦ личная Ё ¦ ¦ О Б Ъ Е К Т З А Щ И Т Ы Ё информация Ё ¦ ¦ юдддддддддддддды ¦ хммммммммммммммммммммммммммммммммммммммммммммммммммммммммммммм+ здддадд© зддддадддддд©зддддадддд© зддддаддддд© здддддаддддд© ЁСлужбаЁ Ё Средства ЁЁ СредстваЁ Ё Средства Ё ЁСпециальнаяЁ ЁохраныЁ ЁобнаруженияЁЁотраженияЁ ЁликвидацииЁ Ё защита Ё юдддбдды юддддбддддддыюддддбдддды юдддддбдддды юдддддбддддды здддадддддддддаддддддддддддаддддддддддддаддддддддддддаддддд© Ё Система защиты объекта Ё юдддддддддддддддддддддддддддддддддддддддддддддддддддддддддды Начинать надо с определения и оценки угроз безопасности деятельности объекта (банка, фирмы), а исходя из этого анализа принимается решение о построении всей системы защиты и выбираются необходимые средства. Оценка угроз Оценка угроз проводится по следующим направлениям: - безопасность персонала и посетителей:неэффективная защита может привести к ущербу здоровью или даже угрозе жизни людей на объекте; - угрозы материальным ценностям, имуществу и оборудованию: - безопасность информации, сохранность государственной и коммерческой тайны. Такая последовательность соответствует современным мировым нормативам безопасности. Определение приоритетов в перечисленных выше направлениях в большей степени зависит от того, кто финансирует создание и функционирование системы защиты конкретного объекта. Такое положение часто вносит элементы директивы и даже субъективизма, которые могут в дальнейшем привести к серъезным просчетам. Принцип построения системы защиты Генеральным направлением поисков защиты информации стало неуклонное повышение системности подхода к самой проблеме защиты информации. Понятие системности интерпретировалось прежде всего в том смысле, что защита информации заключается не просто в создании соответствующих механизмов, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла систем обработки данных при комплексном использовании всех имеющихся средств защиты. При этом все средства, методы и мероприятия, используемые для защиты информации, непременно и наиболее рациональным образом объединяются в единый целостный механизм - систему защиты, которая должна обеспечивать, говоря военным языком, глубокоэшелонированную оборону,причем на только от злоумышленников, но и от некомпетентных или недостаточно подготовленных пользователей и персонала. В этой системе должно быть, по крайней мере, четыре защитных пояса: внешний пояс, охватывающий всю территорию, на которой расположены сооружения; пояс сооружений, помещений или устройств системы; пояс компонентов системы (технических средств, программного обеспечения, элементов баз данных) и пояс технологических процессов обработки данных (ввод/ вывод, внутренняя обработка и т.п.). Основные трудности реализации систем защиты состоят в том, что они должны удовлетворять двум группам противоречивых требований. С одной стороны должна обеспечиваться надежная защита находящейся в системе информации, что в более конкретном выражении формулируется в виде двух обобщенных задач: исключение случайной и преднамеренной выдачи информации посторонним лицам и разграничение доступа к устройствам и ресурсам системы всех пользователей, администрации и обслуживающего персонала. С другой стороны, системы защиты не должны создавать заметных неудобств пользователям в процессе их работы с использованием ресурсов системы. В частности должны обеспечиваться: полная свобода доступа каждого пользователя и независимость его работы в пределах представленных ему прав и полномочий; удобство работы с информацией для групп взаимосвязанных пользователей; возможности пользователям допускать друг друга к своей информации. Основные правила, которыми рекомендуют руководствоваться зарубежные специалисты при организации работ по защите информации, сводятся к следующему: 1. Обеспечение безопасности информации есть непрерывный процесс, заключающийся в систематическом контроле защищенности, выявлении узких мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты. 2. Безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты. 3. Никакая система защиты на обеспечит безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех правил защиты. 4. Никакую систему защиты нельзя считать абсолютно надежной, надо исходить из того, что может найтись такой искусный злоумышленник, который отыщет лазейку для доступа к информации. В последние 15-20 лет в развитых странах предпринимаются большие усилия и расходуются значительные средства на защиту информации в автоматизированных системах обработки данных. Все более четко вырисовываются контуры нового научного направления и инженерной дисциплины - "Безопасность информационновычислительных систем и сетей". Таким образом, есть основания говорить о наличии достаточного материала для синтезированного анализа развития концептуальных подходов к защите информации. С самых первых этапов, то есть с той поры, когда проблема защиты информации в системах обработки данных стала рассматриваться в качестве самостоятельной, основными средствами, используемыми для защиты были технические и программные. Техническими названы такие средства, которые реализуют в виде электрических, электромеханических, электронных устройств. Всю совокупность технических средств принято делить на аппаратные и физические. Под аппаратными техническими средствами защиты понимаются устройства, встраиваемые непосредственно в аппаратуру обработки данных, или устройства, которые сопрягаются с ней по стандартному интерфейсу. Наиболее известные аппаратные средства, используемые на первом этапе - это схемы контроля информации по четности, схемы защиты полей памяти по ключу, специальные регистры (например, регистры границ поля ЗУ) и т.п. Физическими средствами названы такие, которые реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения, замки на дверях, решетки на окнах и т.п.). Программные средства защиты, как известно, образуют программы специально предназначенные для выполнения функций, связанных с защитой информации. Первоначально программные механизмы защиты включались в состав операционных систем или систем управления базами данных. Этим, видимо, и объясняется, что практически все без исключения операционные системы содержат механизмы защиты. Например, одна из наиболее распространенных операционных систем фирмы IВМ О /360 имеет в своем составе механизмы, выполняющие следующие функции защиты информации от несанкционированного доступа: 1) динамическое распределение ресурсов вычислительной системы и запрещение задачам пользователей использовать "чужие" ресурсы; 2)разграничение доступа пользователей к ресурсам системы по паролям; 3) разграничение доступа к полям ЗУ по ключам защиты; 4) защита таблицы паролей с помощью так называемого главного пароля. Практика показала, что надежность механизмов защиты типа рассмотренного выше является явно недостаточной. Особенно слабым звеном оказалась защита по паролям: пароль можно подслушать или подсмотреть, перехватить, а то и просто разгадать. Особую опасность представляла возможность хищения или разгадывания главного пароля. Следующей попыткой расширения рамок и повышения эффективности программной защиты стала организация дифференцированного разграничения доступа пользователей к данным, находящимся в системе обработки данных. Для этого идентифицировались все пользователи и все элементы защищаемых данных, устанавливалось каким-либо образом соответствие между идентификаторами пользователей и идентификаторами элементов данных и строилась алгоритмическая процедура проверки лояльности каждого запроса пользователя. Известно несколько различных способов разграничения доступа: по матрице доступа, профилю полномочий, уровню секретности данных, содержанию данных и некоторым другим. Следующие попытки расширения рамок и повышения эффективности программной защиты стало использование криптографических методов то есть при таком закрытии, защищаемые данные шифруются так, чтобы их содержание было доступно лишь тем, кому она предназначается, и которые имеют ключ для расшифрования.

21. Концептуальный подход к защите информации коммерческого объекта