Захист електронної інформації
Поняття безпеки електронної інформації.
Поняття безпеки електронної системи.
Під безпекою електронної системи розуміють її здатність протидіяти спробам нанести збитки власникам та користувачам систем при появі різноманітних збуджуючих (навмисних і ненавмисних) впливів на неї. Природа впливів може бути різноманітною: спроба проникнення зловмисника, помилки персоналу, стихійні лиха (ураган, пожежа), вихід з ладу окремих ресурсів., як правило, розрізняють внутрішню і зовнішню безпеку. Внутрішня безпека враховує захист від стихійного лиха, від проникнення зловмисника, отримання доступу до носіїв інформації чи виходу системи з ладу. Предметом внутрішньої безпеки є забезпечення надійної і коректної роботи системи, цілісності її програм і даних.
На сьогодні склалися два підходи до забезпечення безпеки електронних систем:
Фрагментарний підхід, при якому проводиться протидія строго визначеним загрозам при певних умовах (спеціалізовані антивірусні засоби, автономні засоби шифрування, тощо);
Комплексний підхід, який передбачає створення середовища обробки інформації, яке об’єднує різноманітні (правові, організаційні, програмно-технічні) заходи для протидії загрозам.
Комплексний підхід, як правило, використовується для захисту великих систем. Хоча часто і типові програмні засоби містять вбудовані засоби захисту інформації, але цього не цілком достатньо. В цьому випадку необхідно забезпечити виконання наступних заходів:
організаційні заходи по контролю за персоналом, який має високий рівень повноважень на дії в системі (за програмістами, адміністраторами баз даних мережі і т.д.);
організаційні та технічні заходи по резервуванню критично важливої інформації;
організаційні заходи по відновленню працездатності системи у випадку виникнення нештатних ситуацій;
організаційні та технічні заходи по управлінню доступом в приміщеннях, в яких знаходиться обчислювальна техніка;
організаційні та технічні заходи по фізичному захисту приміщень, в яких знаходиться обчислювальна техніка і носії даних, від стихійних лих, масових безпорядків і т.д.
Міжнародні стандарти безпеки інформаційно-обчислювальних систем.
В 1985 році Національним центром комп’ютерної безпеки Міністерства оборони США була опублікована, так звана “Оранжева книга” (“Критерії оцінки достовірності обчислювальних систем Міністерства оборони”). В ній були приведені основні положення, по яких американське відомство оборони визначало ступінь захищеності інформаційно-обчислювальних систем. В ній у систематизованому вигляді наводились основні поняття, рекомендації і класифікація по видах загроз безпеці інформаційних систем і методи захисту від них. В подальшому книга перетворилась в збірку науково-обгрунтованих норм і правил, що описують системний підхід для забезпечення безпеки інформаційних систем і їх елементів, і стала настільною книгою для спеціалістів в галузі захисту інформації. Запропонована в “Оранжевій книзі” методологія по суті стала загальноприйнятою і в тій чи іншій мірі увійшла в національні стандарти.
Системний підхід згідно з “Оранжевою книгою” вимагає:
прийняття принципових рішень в галузі безпеки на основі поточного стану інформаційної системи;
прогнозування можливих загроз і аналізу пов’язаного з ними ризику для інформаційної системи;
планування заходів по запобіганню виникнення критичних ситуацій;
планування заходів по виходу з критичних ситуацій на випадок, коли вони виникнуть.
Одне з основних понять, введених в “Оранжевій книзі”, це політика безпеки. Політика безпеки - це сукупність норм, правил і методик, на основі яких в подальшому будується діяльність інформаційної системи в галузі обробки, зберігання і розподілення критичної інформації. При цьому під інформаційною системою підрозумівається не тільки апаратно-програмний комплекс, але і обслуговуючий персонал.
Поняття політика безпеки.
Політика безпеки формується на основі аналізу поточного стану і перспективи розвитку інформаційної системи, можливих загроз і визначає:
мету, задачі і пріоритети системи безпеки;
галузь дії окремих підсистем;
гарантований мінімальний рівень захисту;
обов’язки персоналу по забезпеченню захисту;
санкції за порушення захисту.
Якщо виконання політики безпеки проводиться не в повній мірі або непослідовно, тоді імовірність порушення захисту інформації різко зростає. Під захистом інформації розуміють комплекс заходів, який забезпечує:
збереження конфіденційності інформації - запобігання ознайомлення з інформацією невповноважених осіб;
збереження інформації - запобігання пошкодження чи знищення інформації внаслідок свідомих дій зловмисника, помилок персоналу, стихійного лиха;
прозорість, тобто наявність системи безпеки не повинна створювати перешкод для нормальної роботи системи.
Аналіз ризику безпеки інформаційно-обчислювальних систем.
Визначення політики безпеки неможливе без аналізу ризику. Аналіз ризику підвищує рівень поінформованості про слабкі та сильні сторони захисту, створює базу для підготовки і прийняття рішень, оптимізує розмір затрат на захист, оскільки більша частина ресурсів спрямовується на блокування загроз, що можуть принести найбільшу шкоду. Аналіз ризику складається з наступних основних етапів:
Опис складу системи: апаратних засобів, програмного забезпечення, даних, документації, персоналу.
Визначення слабких місць - виясняються слабкі місця по кожному елементу системи з оцінкою можливих джерел загроз.
Оцінка імовірності реалізації загроз.
Оцінка очікуваних розмірів втрат - цей етап складний, оскільки не завжди можлива кількісна оцінка даного показника.
Аналіз можливих методів і засобів захисту.
Оцінка виграшу від прийнятих заходів. Якщо очікувані втрати більші допустимого рівня, необхідно посилити заходи безпеки.
Аналіз ризику завершається прийняттям політики безпеки і складанням плану захисту з наступними розділами:
Поточний стан. Опис статусу системи безпеки в момент підготовки плану.
Рекомендації. Вибір основних засобів захисту, що реалізують політику безпеки.
Відповідальність. Список відповідальних працівників і зон відповідальності.
Розклад. Визначення порядку роботи механізмів захисту, в тому числі і засобів контролю.
Перегляд положень плану, які повинні періодично переглядатися.
Організація системи безпеки в організації.
Основним питанням початкового етапу впровадження системи безпеки є призначення відповідальних осіб за безпеку і розмежування сфер їх впливу., як правило, ще на етапі початкової постановки питань виясняється, що за цей аспект безпеки організації ніхто відповідати не хоче. Системні програмісти і адміністратори схильні відносити цю задачу до компетенції загальної служби безпеки, тоді, як остання вважає, що це питання знаходиться в компетенції спеціалістів по комп’ютерах.
При вирішенні питань розподілу відповідальності за безпеку комп’ютерної системи необхідно враховувати наступні положення:
ніхто, крім керівництва, не може прийняти