Классы безопасности. Стандарты информационной безопасности.

Существует два подхода к проблеме обеспечения ИБ: фрагментар­ный и комплексный.

Фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.п.

Достоинством такого подхода является высокая избирательность к конкретной угрозе. Существенным недостатком данного подхода является отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты ин­формации обеспечивают защиту конкретных объектов только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности за­щиты.

Комплексный подход ориентирован на создание защищенной среды обработки информации, объединяющей в единый комплекс разнородные меры проти­водействия угрозам. Организация защищенной среды обработки информации по­зволяет гарантировать определенный уровень безопасности, что является не­сомненным достоинством комплексного подхода. К недостаткам этого подхода относятся: ограничения на свободу действий пользователей, чувствитель­ность к ошибкам установки и настройки средств защиты, сложность управления.

Комплексного подхода придерживаются большинство государственных и круп­ных коммерческих предприятий и учреждений. Этот подход нашел свое отра­жение в различных стандартах.

Комплексный подход к проблеме обеспечения безопасности основан на разра­ботанной для конкретной информационной системы политике безопасности. Политика безопасности регламентирует эффективную работу средств защиты ИС. Она охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях.

Для обеспечения ИБ существуют следующие меры:

законодательного (законы, нормативные акты, стандарты и т.п

канала связи с глобальными сетями при отсутствии должного контроля за его работой может дополнительно способствовать такой де­ятельности.

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннули­ровались.

Преднамеренные попытки получения несанкционированного доступа через внешние коммуникации занимают в настоящее время около 10% всех возможных нарушений. Хотя эта величина кажется не столь значительной, опыт работы в Интернет показывает, что почти каждый Интернет-сервер по нескольку раз в день подвергается попыткам проникновения.

Угрозы информационной безопасности можно разделить на два класса:

§ конструктивный, когда основной целью несанкционированного доступа является получение копии конфиденциальной информации, т.е. можно говорить о разведывательном характере воздействия

§ деструктивный, когда несанкционированный доступ приводит к потере (изменению) данных или прекращению сервиса.

В общем случае источники угроз определить нелегко. Они могут варьироваться от неавторизован­ных вторжений злоумышленников до компьютерных вирусов, при этом весьма существенной угрозой безопасности являются человеческие ошибки. Нужно заниматься проблемами физической безопасности и принимать меры по снижению негативного воздействия на безопасность ошибок человека, но в то же время необходимо уделить самое серьезное внимание решению задач сетевой бе­зопасности по предотвращению атак на информационную систему как извне, так и изнутри.

Инф. безопасность (ИБ) корпоративной сети (КС).

Инф. ресурс уровня КС особенно уязвим и требует защиты, т.к. инф. структура разнородна и сост. из распр-х сис-м, технологий, баз и банков данных. Меропр-я по защите корп. инфы должны обесп-ть выпол-е сл. задач: защита от проникновения в КС и утечки инфы, разграничение потоков инфы м-ду сегментами сети, защита наиболее критичных ресурсов сети от вмешательства в нормальный процесс функц-я, защита важных раб. мест и ресурсов, криптографическая защита ресурсов. Для поддержания режима ИБ важно сл-е: идентификация и аутентификация, упр-ние доступом, технологии обнаружения атак, протоколирование и рег-ция, криптография и сетевая защита, экранирование. Исп-е в КС межсетевых экранов предотвращает возм-сть нарушения пользователями правил без-сти инфы.

В св. с пост. изм-ями в сети важно выяв-е новых угроз и атак на инф. ресурсы. Для этого раб. место админа сис-мы должно быть оснащено спец. прог. ср-вами (ср-ва компании internet security systems и cisco). Поддер-а процесса идентификации пользователей и всех компонентов подсис-ы без-ти осущ-ся на осн. техн-гий PKI. Осн. ф-ии PKI – поддержка жизненного цикла цифровых ключей и сертификатов. Наиболее критичный с т. зрения без-сти ресурс в КС – сервер. Осн. способ вмешательства в его функц-е – проведение атак с исп=ем уязвимых мест сетевого аппаратного и ПО. Защита важных раб. мест и рес-сов от несанкц. доступа проводится с пом. криптографич-х ср-в защиты, регламент-ния и протоколир-ия действий пользователя и разграничения прав польз-лей по доступу к локальным ресурсам. Важнейшими методами повышения без-сти сетей явл-ся: орг-ция доменов без-сти на ур-не транспортной сети, регистрация потыток польз-лей уст-ния соединений вне заданных доменов без-сти, опред-е доступного сервиса для каждого конкретного абонента. В проблеме защиты инфы сети интернет выделяют две категории: общая без-сть и надёжность фин. оп-ций. Обесп-е без-сти сети осущ-ся на сл. уровнях: прикладной, сеансовый, транспортный и сетевой. В кач. протокола сет-го уровня в наст. время исп-ся протокол IPv6, к-ый обесп-ет расшир-ное адресное пространство, улучшенные возм-сти маршрутизации, упр-ние доставкой инфы. В сост. стан-та IPv6 входит протокол IPsec(предусм-т станд-ный способ шифрования трафика на сетевом ур-не IP и обесп-ет защиту на осн. сквозного шифрования). Протокол IPsec созд-ся в рамках разработок ср-в защищённой передачи пакетов в сети интернет-2.

Политика безопасности (ПБ)

ПБ – это совокупность норм и правил, опр-х принятые в организации меры по обеспечению безопасности инфы, св. с деятельностью орг-ции. Цель её формулирования для инф-ой системы – изложение взглядов руководства орг-ции на сущность угроз инф. безопасности. ПБ должна быть оформлена документально на нескольких уровнях управления: высшее руководство (подготавливается и утв-ся док-т, в к-ом определены цели ПБ, структура и перечень решаемых задач и ответственные за реализ ПБ), администраторы (детализируется документ с учётом принципов деятельности орг-ции, важности целей и наличия ресурсов). ПБ сост. из общих принципов и конкретных правил работы с инф. с-мой для различных категорий пользователей. В руководство по компьютерной безопасности, разраб. Нац. институтом стандартов и технологий США, рекомендовано вкл. в описание ПБ сл. разделы: предмет ПБ (цели и причины разработки политики, область применения, задачи, термины и определения), описание позиции орг-ции (ресурсы инф. сис-мы, перечень допущенных к ресурсам лиц и процессов), применимость (порядок доступа к данным инф. сис-мы, ограничения или технол. цепочки), роли и обяз-сти (ответственные должностные лица и их обяз-сти в отн. разработки и внедрения эл-тов политики), соблюдение ПБ (права и обяз-сти пользователей ИС, недопустимые действия при осущ-нии доступа к инф. ресурсам и наказания за нарушения режимов требований, технология фиксации фактов нарушения ПБ и применения адм. мер воздействия).