Анализ деятельности ТОО 'Promo Park' в области защиты информации
Содержание
Введение
Раздел 1. Проблема обеспечения защиты информации
.1 Классификация угроз информационной безопасности
.2 Ущерб как категория классификации угроз
.3 Классификация источников угроз
.4 Классификация уязвимостей безопасности
.5 Классификация мер противодействия угрозам информационной безопасности
.6 Системное администрирование
Раздел 2. Анализ системы защиты информации на предприятии
.1 Методика анализа защищенности
.2 Общая характеристика предприятия и мер безопасности
.3 Обеспечение Интернет-безопасности на предприятии
.4 Совершенствование комплексной системы защиты информации на предприятии
Раздел 3. Охрана труда и техника безопасности
.1 Анализ и идентификация опасных и вредных факторов
.1.1 Требования безопасности труда к помещениям
.1.2 Требования к микроклимату
.1.3 Анализ освещённости
.1.4 Анализ электробезопасности
.1.5 Анализ шума
.1.6 Ионизация воздуха
.1.7 Анализ электромагнитного излучения
.2 Мероприятия по обеспечению безопасности и экологичности условий труда
Заключение
Список литературы
Введение
Мы живем на стыке двух тысячелетий, когда человечество вступило в эпоху новой научно-технической революции.
К концу двадцатого века люди овладели многими тайнами превращения вещества и энергии и сумели использовать эти знания для улучшения своей жизни. Но кроме вещества и энергии в жизни человека огромную роль играет еще одна составляющая - информация. Это самые разнообразные сведения, сообщения, известия, знания, умения.
В середине прошлого столетия появились специальные устройства - компьютеры, ориентированные на хранение и преобразование информации и произошла компьютерная революция.
Информацией владеют и используют её все люди без исключения. Каждый человек решает для себя, какую информацию ему необходимо получить, какая информация не должна быть доступна другим и т.д. Человеку легко, хранить информацию, которая у него в голове, а как быть, если информация занесена в «мозг машины», к которой имеют доступ многие люди.
Многие знают, что существуют различные способы защиты информации. А от чего, и от кого её надо защищать? И как это правильно сделать?
То, что эти вопросы возникают, говорит о том, что тема в настоящее время актуальна.
Актуальность проблемы защиты информационных технологий в современных условиях определяется следующими основными факторами [1]:
1)обострением противоречий между объективно существующими потребностями общества в расширении свободного обмена информацией и чрезмерными или наоборот недостаточными ограничениями на ее распространение и использование
2)расширением сферы использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, высокими темпами увеличения парка средств вычислительной техники и связи
)повышением уровня доверия к автоматизированным системам управления и обработки информации, использованием их в критических областях деятельности
)вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей, наличием интенсивного обмена информацией между участниками этого процесса
)концентрацией больших объемов информации различного назначения и принадлежности на электронных носителях
)количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам
)отношением к информации, как к товару, переходом к рыночным отношениям в области предоставления информационных услуг с присущей им конкуренцией и промышленным шпионажем
)многообразием видов угроз и возникновением новых возможных каналов несанкционированного доступа к информации
)ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими нежелательных программно-математических воздействий на системы обработки информации
)увеличением потерь (ущерба) от уничтожения, фальсификации, разглашения или незаконного тиражирования информации (возрастанием уязвимости различных затрагиваемых субъектов)
)развитием рыночных отношений (в области разработки, поставки, обслуживания вычислительной техники, разработки программных средств, в том числе средств защиты).
Острота проблемы обеспечения безопасности субъектов информационных отношений, защиты их законных интересов при использовании информационных и управляющих систем, хранящейся и обрабатываемой в них информации все более возрастает.
Актуальность рассмотренной проблемы определила тему дипломной работы «Анализ деятельности ТОО «Promo Park» в области защиты информации».
Цель работы - разработать рекомендации по улучшению системы безопасности указанного предприятия.
Из цели работы следуют задачи:
1)Изучить литературу по обеспечению безопасности пользователей на предприятии, методах защиты информации, способах организации информационных потоков.
2)Составить схему информационных потоков на предприятии в соответствии с его структурой.
)Определить сетевую архитектуру, конфигурацию сетевого оборудования.
)Рассмотреть вопросы обеспечения безопасности информации на предприятии.
)Составить рекомендации к улучшению системы безопасности на данном предприятии.
Работа состоит из введения, 3 разделов, заключения, списка литературы.
Раздел 1. Проблема обеспечения защиты информации
.1 Классификация угроз информационной безопасности
При смене способа хранения информации с бумажного вида на цифровой, появился главный вопрос - как эту информацию защитить, ведь очень большое количество факторов влияет на сохранность конфиденциальных данных. Для того чтобы организовать безопасное хранение данных, необходимо провести анализ угроз для правильного проектирования схем информационной безопасности.
Терминология и подходы к классификации
Организация обеспечения безопасности информации должна носить комплексный характер и основываться на глубоком анализе возможных негативных последствий. При этом важно не упустить какие-либо существенные аспекты. Анализ негативных последствий предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению и, как следствие, определение актуальных угроз безопасности информации [1].
В ходе такого анализа необходимо убедиться, что все возможные источники угроз идентифицированы и сопоставлены с источниками угроз все возможные факторы (уязвимости), присущие объекту защиты, всем идентифицированным источникам и факторам сопоставлены угрозы безопасности информации.
Исходя их данного принципа, моделирование и классификацию источников угроз и их проявлений, целесообразно проводить на основе анализа взаимодействия логической цепочки:
Источник угрозы - фактор (уязвимость) - угроза (действие) - последствия (атака).
Под этими терминами понимается [2]:
Источник угрозы - это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.
Угроза (действие) [Threat]- это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации.
Фактор (уязвимость) [Vulnerability]- это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры автоматизированной системы, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации.
Последствия (атака) - это возможные последствия реализации угрозы (возможные действия) при взаимодействии источника угрозы через имеющиеся факторы (уязвимости).
Как видно из определения, атака - это всегда пара «источник - фактор», реализующая угрозу и приводящая к ущербу. При этом, анализ последствий предполагает проведение анализа возможного ущерба и выбора методов парирования угроз безопасности информации.
Угроз безопасности информации не так уж и много. Угроза, как следует из определения, это опасность причинения ущерба, то есть в этом определении проявляется жесткая связь технических проблем с юридической категорией, каковой является «ущерб».
Проявления возможного ущерба могут быть различны [3]:
1)моральный и материальный ущерб деловой репутации организации;
2)моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;
)материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;
)материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;
)материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;
)моральный и материальный ущерб от дезорганизации деятельности организации;
)материальный и моральный ущерб от нарушения международных отношений.
Ущерб может быть причинен каким-либо субъектом и в этом случае имеется на лицо правонарушение, а также явиться следствием независящим от субъекта проявлений (например, стихийных случаев или иных воздействий, таких как проявления техногенных свойств цивилизации). В первом случае налицо вина субъекта, которая определяет причиненный вред как состав преступления, совершенное по злому умыслу (умышленно, то есть деяние, совершенное с прямым или косвенным умыслом) или по неосторожности (деяние, совершенное по легкомыслию, небрежности, в результате невиновного причинения вреда) и причиненный ущерб должен квалифицироваться как состав преступления, оговоренный уголовным правом.
Во втором случае ущерб носит вероятностный характер и должен быть сопоставлен, как минимум с тем риском, который оговаривается гражданским, административным правом, как предмет рассмотрения.
В теории права под ущербом понимается невыгодные для собственника имущественные последствия, возникшие в результате правонарушения. Ущерб выражается в уменьшении имущества, либо в недополучении дохода, который был бы получен при отсутствии правонарушения (упущенная выгода).
При рассмотрении в качестве субъекта, причинившего ущерб какую-либо личность, категория «ущерб» справедлива только в том случае, когда можно доказать, что он причинен, то есть деяния личности необходимо квалифицировать в терминах правовых актов, как состав преступления. Поэтому, при классификации угроз безопасности информации в этом случае целесообразно учитывать требования действующего уголовного права, определяющего состав преступления.
Вот некоторые примеры составов преступления, определяемых Уголовным Кодексом Республики Казахстан:
Хищение - совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества.
Копирование компьютерной информации - повторение и устойчивое запечатление информации на машинном или ином носителе.
Уничтожение - внешнее воздействие на имущество, в результате которого оно прекращает свое физическое существование либо приводятся в полную непригодность для использования по целевому назначению. Уничтоженное имущество не может быть восстановлено путем ремонта или реставрации и полностью выводится из хозяйственного оборота.
Уничтожение компьютерной информации - стирание ее в памяти ЭВМ.
Повреждение - изменение свойств имущества, при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становится полностью или частично непригодным для целевого использования.
Модификация компьютерной информации - внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз данных.
Блокирование компьютерной информации - искусственное затруднение доступа пользователей к информации, не связанное с ее уничтожением.
Несанкционированное уничтожение, блокирование модификация, копирование информации - любые не разрешенные законом, собственником или компетентным пользователем указанные действия с информацией.
Обман (отрицание подлинности, навязывание ложной информации) - умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество и таким образом добиться от него добровольной передачи имущества, а также сообщение с этой целью заведомо ложных сведений.
Однако говорить о злом умысле личности в уничтожении информации в результате стихийных бедствий не приходится, как и тот факт, что вряд ли стихия сможет воспользоваться конфиденциальной информацией для извлечения собственной выгоды. Хотя и в том и в другом случае собственнику информации причинен ущерб. Здесь правомочно применение категории «причинение вреда имуществу». При этом речь пойдет не об уголовной ответственности за уничтожение или повреждение чужого имущества, а о случаях, попадающих под гражданское право в части возмещения причиненного ущерба (риск случайной гибели имущества - то есть риск возможного нанесения убытков в связи с гибелью или порчей имущества по причинам, не зависящим от субъектов). По общему правилу в этом случае убытки в связи с гибелью или порчей имущества несет собственник, однако, гражданское право предусматривает и другие варианты компенсации причиненного ущерба.
При рассмотрении в качестве субъекта, причинившего ущерб, какое-либо природное или техногенное явление, под ущербом можно понимать невыгодные для собственника имущественные последствия, вызванные этими явлениями и которые могут быть компенсированы за счет средств третьей стороны (страхование рисков наступления события) или за счет собственных средств собственника информации.
Например, страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов. Объектами страхования могут быть не противоречащие законодательству Республики Казахстан имущественные интересы, связанные с возмещением страхователем причиненного им вреда личности или имуществу физического лица, а также вреда, причиненного юридическому лицу.
Обобщая изложенное, можно утверждать, что угрозами безопасности информации являются:
1)хищение (копирование) информации;
2)уничтожение информации;
)модификация (искажение) информации;
)нарушение доступности (блокирование) информации;
)отрицание подлинности информации;
)навязывание ложной информации.
.3 Классификация источников угроз
Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации - внутренние источники, так и вне ее - внешние источники. Деление источников на субъективные и объективные оправдано исходя из предыдущих рассуждений по поводу вины или риска ущерба информации. А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутренних источников могу быть разными.
Все источники угроз безопасности информации можно разделить на три основные группы [4]:
1)обусловленные действиями субъекта (антропогенные источники угроз).
2)обусловленные техническими средствами (техногенные источники угроз).
)обусловленные стихийными источниками.
Антропогенные источники угроз
Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорить о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации.
В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние, так и внутренние.
Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся [5]:
1)криминальные структуры;
2)потенциальные преступники и хакеры;
)недобросовестные партнеры;
)технический персонал поставщиков телематических услуг;
)представители надзорных организаций и аварийных служб;
)представители силовых структур.
Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:
1)основной персонал (пользователи, программисты, разработчики);
2)представители службы защиты информации;
)вспомогательный персонал (уборщики, охрана);
)технический персонал (жизнеобеспечение, эксплуатация).
Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия.
Квалификация антропогенных источников информации играют важную роль в оценке их влияния и учитывается при ранжировании источников угроз.
Техногенные источники угроз
Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако, последствия, вызванные такой деятельностью, вышли из под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление.
Технические средства, являющиеся источниками потенциальных угроз безопасности информации так же могут быть внешними [3, 4, 5]:
1)средства связи;
2)сети инженерных коммуникаций (водоснабжения, канализации);
)транспорт;
)и внутренними;
)некачественные технические средства обработки информации;
)некачественные программные средства обработки информации;
)вспомогательные средства (охраны, сигнализации, телефонии);
)другие технические средства, применяемые в учреждении;
Стихийные источники угроз
Третья группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда.
Стихийные источники потенциальных угроз информационной безопасности, как правило, являются внешними по отношению к защищаемому объекту и под ними понимаются, прежде всего, природные катаклизмы:
1)пожары;
)наводнения;
)ураганы;
)различные непредвиденные обстоятельства;
)необъяснимые явления;
)другие форс-мажорные обстоятельства.
.4 Классификация уязвимостей безопасности
Угрозы как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости (факторы), приводящие к нарушению безопасности информации на конкретном объекте информатизации.
Уязвимости присущи объекту информатизации, неотделимы от него и обуславливаются недостатками процесса функционирования, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.
Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации) Кроме того, возможно не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред [6-8].
Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.
Для удобства анализа, уязвимости разделены на классы (обозначаются заглавными буквами), группы (обозначаются римскими цифрами) и подгруппы (обозначаются строчными буквами). Уязвимости безопасности информации могут быть [3]:
1)объективными
2)субъективными
)случайными.
Объективные уязвимости
Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации. К ним можно отнести:
)сопутствующие техническим средствам излучения
a)электромагнитные (побочные излучения элементов технических средств, кабельных линий технических средств, излучения на частотах работы генераторов, на частотах самовозбуждения усилителей)
b)электрические (наводки электромагнитных излучений на линии и проводники, просачивание сигналов в цепи электропитания, в цепи заземления, неравномерность потребления тока электропитания)
c)звуковые (акустические, виброакустические)
2)активизируемые
a)аппаратные закладки (устанавливаемые в телефонные линии, в сети электропитания, в помещениях, в технических средствах)
b)программные закладки (вредоносные программы, технологические выходы из программ, нелегальные копии ПО)
)определяемые особенностями элементов
a) элементы, обладающие электроакустическими преобразованиями (телефонные аппараты, громкоговорители и микрофоны, катушки индуктивности, дроссели, трансформаторы и пр.)
b) элементы, подверженные воздействию электромагнитного поля (магнитные носители, микросхемы, нелинейные элементы, поверженные ВЧ навязыванию)
4) определяемые особенностями защищаемого объекта
a) местоположением объекта (отсутствие контролируемой зоны, наличие прямой видимости объектов, удаленных и мобильных элементов объекта, вибрирующих отражающих поверхностей)
b) организацией каналов обмена информацией (использование радиоканалов, глобальных информационных сетей, арендуемых каналов).
Субъективные уязвимости
Субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и программно-аппаратными методами [7]:
) ошибки
a) при подготовке и использовании программного обеспечения (при разработке алгоритмов и программного обеспечения, инсталляции и загрузке программного обеспечения, эксплуатации программного обеспечения, вводе данных)
b) при управлении сложными системами (при использовании возможностей самообучения систем, настройке сервисов универсальных систем, организации управления потоками обмена информации)
c) при эксплуатации технических средств (при включении/выключении технических средств, использовании технических средств охраны, использовании средств обмена информацией)
) нарушения
a) режима охраны и защиты (доступа на объект, доступа к техническим средствам)
b) режима эксплуатации технических средств (энергообеспечения, жизнеобеспечения)
c) режима использования информации (обработки и обмена информацией, хранения и уничтожения носителей информации, уничтожения производственных отходов и брака)
d) режима конфиденциальности (сотрудниками в нерабочее время, уволенными сотрудниками).
Случайные уязвимости
Случайные уязвимости зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств. Эти факторы, как правило, мало предсказуемы и их устранение возможно только при проведении комплекса организационных и инженерно-технических мероприятий по противодействию угрозам информационной безопасности:
) сбои и отказы
a) отказы и неисправности технических средств (обрабатывающих информацию, обеспечивающих работоспособность средств обработки информации, обеспечивающих охрану и контроль доступа)
b) старение и размагничивание носителей информации (дискет и съемных носителей, жестких дисков, элементов микросхем, кабелей и соединительных линий)
c) сбои программного обеспечения (операционных систем и СУБД, прикладных программ, сервисных программ, антивирусных программ)
d) сбои электроснабжения(оборудования, обрабатывающего информацию, обеспечивающего и вспомогательного оборудования)
) повреждения
a) жизнеобеспечивающих коммуникаций (электро-, водо-, газо-, теплоснабжения, канализации, кондиционирования и вентиляции)
b) ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий, корпусов технологического оборудования)
Отдельная категория электронных методов воздействия - компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании [8].
Спам
Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности [6]:
1)электронная почта в последнее время стала главным каналом распространения вредоносных программ;
2)спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта;
)как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами (зачастую подобного рода события потерпевшие стараются не разглашать);
)вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям; опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других "грубых" методов фильтрации спама.
.5 Классификация мер противодействия угрозам информационной безопасности
Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно подразделить на пять уровней [9]:
1)законодательный (законы, нормативные акты, стандарты и т.п.);
2)морально-этический (всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации);
)административный (действия общего характера, предпринимаемые руководством организации);
)физический (механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей);
)аппаратно-программный (электронные устройства и специальные программы защиты информации).
Правовые (законодательные) меры
1)Законы
2)Указы
Другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и права и обязанности участников информационного обмена в процессе получения, обработки, использования информации, а также устанавливающие ответственность за нарушение данных правил, препятствуя тем самым неправомерному использованию информации и сдерживающие потенциальных нарушителей [10].
Вместе с тем стоит учесть, что правовые меры защиты носят упреждающий и профилактический характер, требуя постоянной разъяснительной работы с персоналом и пользователями системы.
Морально-этические меры
Следует учесть, что морально-этические меры бывают как неписанные (например, общепризнанные нормы патриотизма, честности, морали и т.д.) так и писанные, оформленные в некий устав, кодекс чести и т.д. Морально-этические меры защиты являются профилактическими и нуждаются в постоянной работе по укреплению здорового морального климата в коллективах пользователей и обслуживающего персонала корпоративной сети.
Административные меры
К данному классу можно отнести меры административного и процедурного характера, которые регламентируют процессы функционирования систем обработки данных, использование ресурсов, действия обслуживающего персонала, порядок взаимодействия пользователей и обслуживающего персонала, таким образом, чтобы максимально затруднить возможную реализацию угроз безопасности или снизить величину возможных потерь.
К административным мерам относят [11]:
1)охрану вычислительного центра;
2)тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком;
)наличие плана восстановления работоспособности центра после выхода его из строя;
)организацию обслуживания вычислительного центра посторонней организацией или лицами, не заинтересованными в сокрытии фактов нарушения работы центра;
)универсальность средств защиты от всех пользователей (включая высшее руководство);
)возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.
Меры физической защиты
Физические меры защиты основаны на применении различного рода электронных, механических, электрических или других устройств и сооружений, предназначенных для создания физических препятствий на путях проникновения доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации. К данному типу мер также можно отнести пломбы, наклейки и т.д.
К техническим мерам можно отнести [12]:
1)защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем;
2)организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев;
)установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды;
)принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов;
)установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.
Аппаратно-программные средства защиты информации
Несмотря на то, что современные ОС для персональных компьютеров, такие, как Windows 2000, Windows XP и Windows NT, имеют собственные подсистемы защиты, актуальность создания дополнительных средств защиты сохраняется. Дело в том, что большинство систем не способны защитить данные, находящиеся за их пределами, например при сетевом информационном обмене.
Аппаратно-программные средства защиты информации можно разбить на пять групп [13]:
1)Системы идентификации (распознавания) и аутентификации (проверки подлинности) пользователей.
2)Системы шифрования дисковых данных.
)Системы шифрования данных, передаваемых по сетям.
)Системы аутентификации электронных данных.
)Межсетевое экранирование
)Антивирусное обеспечение
Системы идентификации и аутентификации пользователей
Применяются для ограничения доступа случайных и незаконных пользователей к ресурсам компьютерной системы. Общий алгоритм работы таких систем заключается в том, чтобы получить от пользователя информацию, удостоверяющую его личность, проверить ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой.
При построении этих систем возникает проблема выбора информации, на основе которой осуществляются процедуры идентификации и аутентификации пользователя. Можно выделить следующие типы [8]:
1)секретная информация, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.); пользователь должен запомнить эту информацию или же для нее могут быть применены специальные средства хранения;
2)физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т.п.) или особенности поведения (особенности работы на клавиатуре и т.п.).
Системы, основанные на первом типе информации, считаются традиционными. Системы, использующие второй тип информации, называют биометрическими. Следует отметить наметившуюся тенденцию опережающего развития биометрических систем идентификации.
Системы шифрования дисковых данных
Чтобы сделать информацию бесполезной для противника, используется совокупность методов преобразования данных, называемая криптографией [от греч. kryptos - скрытый и grapho - пишу].
Системы шифрования могут осуществлять криптографические преобразования данных на уровне файлов или на уровне дисков. К программам первого типа можно отнести архиваторы типа ARJ и RAR, которые позволяют использовать криптографические методы для защиты архивных файлов. Примером систем второго типа может служить программа шифрования Diskreet, входящая в состав популярного программного пакета Norton Utilities, Best Crypt.
Другим классификационным признаком систем шифрования дисковых данных является способ их функционирования. По способу функционирования системы шифрования дисковых данных делят на два класса [2]:
1)системы "прозрачного" шифрования;
2)системы, специально вызываемые для осуществления шифрования.
В системах прозрачного шифрования (шифрования "на лету") криптографические преобразования осуществляются в режиме реального времени, незаметно для пользователя. Например, пользователь записывает подготовленный в текстовом редакторе документ на защищаемый диск, а система защиты в процессе записи выполняет его шифрование.
Системы второго класса обычно представляют собой утилиты, которые необходимо специально вызывать для выполнения шифрования. К ним относятся, например, архиваторы со встроенными средствами парольной защиты.
Большинство систем, предлагающих установить пароль на документ, не шифрует информацию, а только обеспечивает запрос пароля при доступе к документу. К таким системам относится MS Office, 1C и многие другие.
Системы шифрования данных, передаваемых по сетям
Различают два основных способа шифрования: канальное шифрование и оконечное (абонентское) шифрование.
В случае канального шифрования защищается вся информация, передаваемая по каналу связи, включая служебную. Этот способ шифрования обладает следующим достоинством - встраивание процедур шифрования на канальный уровень позволяет использовать аппаратные средства, что способствует повышению производительности системы. Однако у данного подхода имеются и существенные недостатки [13]:
1)шифрование служебных данных осложняет механизм маршрутизации сетевых пакетов и требует расшифрования данных в устройствах промежуточной коммуникации (шлюзах, ретрансляторах и т.п.);
2)шифрование служебной информации может привести к появлению статистических закономерностей в шифрованных данных, что влияет на надежность защиты и накладывает ограничения на использование криптографических алгоритмов.
Оконечное (абонентское) шифрование позволяет обеспечить конфиденциальность данных, передаваемых между двумя абонентами. В этом случае защищается только содержание сообщений, вся служебная информация остается открытой. Недостатком является возможность анализировать информацию о структуре обмена сообщениями, например об отправителе и получателе, о времени и условиях передачи данных, а также об объеме передаваемых данных.
Системы аутентификации электронных данных
При обмене данными по сетям возникает проблема аутентификации автора документа и самого документа, т.е. установление подлинности автора и проверка отсутствия изменений в полученном документе. Для аутентификации данных применяют код аутентификации сообщения (имитовставку) или электронную подпись [14].
Имитовставка вырабатывается из открытых данных посредством специального преобразования шифрования с использованием секретного ключа и передается по каналу связи в конце зашифрованных данных. Имитовставка проверяется получателем, владеющим секретным ключом, путем повторения процедуры, выполненной ранее отправителем, над полученными открытыми данными.
Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной аутентифицирующей информации, передаваемой вместе с подписываемым текстом. Отправитель формирует цифровую подпись, используя секретный ключ отправителя. Получатель проверяет подпись, используя открытый ключ отправителя.
Таким образом, для реализации имитовставки используются принципы симметричного шифрования, а для реализации электронной подписи - асимметричного. Подробнее эти две системы шифрования будем изучать позже.
Межсетевое экранирование
Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных [10].
Основной принцип действия межсетевых экранов - проверка каждого пакета данных на соответствие входящего и исходящего IP-адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.
Антивирусное обеспечение
Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linux-системы, Novell) на процессорах различных типов [8].
Фильтры спама значительно уменьшают непроизводительные трудозатраты, связанные с разбором спама, снижают трафик и загрузку серверов, улучшают психологический фон в коллективе и уменьшают риск вовлечения сотрудников компании в мошеннические операции. Кроме того, фильтры спама уменьшают риск заражения новыми вирусами, поскольку сообщения, содержащие вирусы (даже еще не вошедшие в базы антивирусных программ) часто имеют признаки спама и отфильтровываются. Правда положительный эффект от фильтрации спама может быть перечеркнут, если фильтр наряду с мусорными удаляет или маркирует как спам полезные сообщения, а также деловые или личные.
Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты.
Надежная система защиты должна соответствовать следующим принципам [15]:
1)Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба.
2)Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы.
)Защита тем более эффективна, чем проще пользователю с ней работать.
)Возможность отключения в экстренных случаях.
)Специалисты, имеющие отношение к системе защиты должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать.
)Под защитой должна находиться вся система обработки информации.
)Разработчики системы защиты, не должны быть в числе тех, кого эта система будет контролировать.
)Система защиты должна предоставлять доказательства корректности своей работы.
)Лица, занимающиеся обеспечением информационной безопасности, должны нести личную ответственность.
)Надежная система защиты должна быть полностью протестирована и согласована.
)Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора.
)Система защиты должна разрабатываться, исходя из предположения, что пользователи будут совершать серьезные ошибки и, вообще, имеют наихудшие намерения.
)Наиболее важные и критические решения должны приниматься человеком.
)Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых находится под контролем.
Для выявления основных слагаемых успеха в борьбе против информационных опасностей начинать надо с нормативной базы. Во-первых, это статьи Уголовного кодекса. Во-вторых - обязательное наличие или политики безопасности, или построенного на ее основе кодекса поведения сотрудника, с которым все должны быть ознакомлены под роспись. Это не является репрессивной мерой, а лишь позволяет быть уверенными, что сотрудники ознакомлены с правилами работы с информационными системами предприятия.
Второй составляющей успеха является техническая сторона, а неотъемлемой частью общекорпоративной системы безопасности является принцип минимальных полномочий. Каждый сотрудник должен обладать только тем набором полномочий, который необходим для выполнения его должностных обязанностей. Здесь основным техническим средством для реализации этого принципа являются системы аутентификации и авторизации сотрудников, включая многофакторные, а так же метод разделения сети и информационных систем на различные зоны доверия в зависимости от обрабатываемой информации и/или групп сотрудников, имеющих к ней доступ и обеспечение контроля доступа между ними. Важный вклад в борьбу вносят системы контроля поведения сотрудника и приложений, установленные на рабочих местах, включая доступ к внешним сетевым ресурсам и съемным носителям информации, а также системы контроля над доступом сотрудников к внешним информационным ресурсам - например, интернет, электронная почта и пр.
Второй принцип - это обязательное ведение журналов учета. Необходимо протоколировать доступ к информационным ресурсам предприятия, доступ к публичным информационным ресурсам, административный доступ к системам и оборудованию и т.п. Третий принцип - блокирование того, что не отвечает требованиям первых двух принципов, например различных интернет-пейджеров, одноранговых сетей и т.п.
.6 Системное администрирование
Организация группы управления защитой информации, включающей специалистов в этой области - одна из наиболее важных задач управления защитой информационной системы.
В обязанности входящих в эту группу сотрудников должно быть включено не только исполнение директив вышестоящего руководства, но и участие в выработке решений по всем вопросам, связанным с процессом обработки информации с точки зрения обеспечения его защиты. Более того, все их распоряжения, касающиеся той области, обязательны к исполнению сотрудниками всех уровней и организационных звеньев. Кроме того, организационно эта группа должна быть обособлена от всех отделов или групп, занимающихся управлением самой системой, программирование и другими относящимися к системе задачами во избежание возможного столкновения интересов.
Несмотря на то, что обязанности и ответственность сотрудников группы информационной безопасности варьируются в разных учреждениях, можно выделить несколько основных положений, которым должны соответствовать функциональные обязанности во всех организациях.
В обязанности сотрудников группы информационной безопасности входит [16]:
1)Управление доступом пользователей системы к данным, включая установку и периодическую смену паролей, управление средствами защиты коммуникаций и криптозащиту передаваемых, хранимых и обрабатываемых данных.
2)Разработка планов защиты и контроль за их соблюдением, а также контроль за хранением резервных копий.
)Доведение до пользователей изменений в области защиты, которые имеют к ним отношение, обучение персонала и пользователей информационной системы.
)Взаимодействие со службой менеджмента информационной системы по вопросы защиты информации.
)Совместная работа с представителями других организаций по вопросам безопасности - непосредственный контакт или консультации с партнерами или клиентами.
)Тесное сотрудничество и дружественные отношения со службой менеджмента и администрацией информационной системы.
)Расследование причин нарушений защиты.
)Координация действий с аудиторской службой, совместное проведение проверок.
)Постоянная проверка соответствия принятых в организации правил безопасности обработки информации существующим правовым нормам, контроль за соблюдением этого соответствия.