Защита информации

С другой стороны, в большинстве  крупных компаний имеет место  унаследованная «лоскутная» автоматизация. Развитие корпоративной информационной системы (ИС) осуществляется довольно хаотично; немногие компании опираются  на продуманную ИТ-стратегию или планы развития ИС. Обычно используется политика «латания дыр», новые ИТ-сервисы добавляются без привязки к уже существующим и без учета их взаимосвязи. И точно так же отсутствует продуманная архитектура системы ИБ, мало кто до настоящего времени определял, насколько система ИБ полная, насколько она покрывает риски, избыточна она или, наоборот, недостаточна и т.д. И что немаловажно – система ИБ редко бывает обоснованной экономически.

Опыт работы нашей  компании свидетельствует, что построение эффективной системы ИБ должно опираться на анализ рисков (в том числе анализ возможного ущерба), который является основой при выборе технических подсистем, их экономическом обосновании. Плюс комплекс организационных мер и создание системы управления ИБ (системы управления информационными рисками). И, наконец, соблюдение выверенных на практике принципов построения системы ИБ, например, принципа «многоэшелонированной» защиты.

 

^{Полный  цикл работ по обеспечению  информационной безопасности}    _Рис.1

Таким образом, при построении (модернизации) системы ИБ целесообразно  реализовывать цикл работ (рис. 1), включающий обязательный этап диагностического обследования с оценкой уязвимостей информационной системы и угроз, на основе которого производится проектирование системы и ее внедрение.

 

 

 

2.2 Построение  системы информационной безопасности

 

Для построения эффективной  системы информационной безопасности, выбор и внедрение адекватных технических средств защиты должен предваряться анализом угроз, уязвимостей информационной системы и на их основе - анализом рисков информационной безопасности. Выбор программно-аппаратного обеспечения защиты и проектирование систем ИБ основывается на результатах такого анализа с учетом экономической оценки соотношения «стоимость контрмер по снижению рисков / возможные потери компании от инцидентов информационной безопасности».

Таким образом, построение системы ИБ компании целесообразно  начинать с комплексного диагностического обследования основных бизнес-процессов и информационной системы компании, а также существующих средств контроля ИБ. Обследование (аудит) существующей системы информационной безопасности позволит установить, соответствует ли уровень безопасности информационно-технологических ресурсов компании выдвигаемым требованиям, то есть обеспечиваются ли необходимые параметры конфиденциальности, целостности и доступности ресурсов информационной системы. В ходе диагностического обследования проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию иногда целесообразно выполнять тесты на проникновение.

Существует несколько  видов обследования:

• предпроектное диагностическое обследование, которое выполняется при модернизации или построении системы ИБ;
• аудит системы ИБ (или системы управления ИБ) на соответствие требованиям внутрикорпоративным стандартам или международным/национальным стандартам. Примером может служить сертификационный аудит системы управления ИБ по ISO 27001;
• специальные виды обследования, например, при расследовании компьютерных инцидентов.

При проведении диагностического обследования/аудита системы ИБ последовательно  выполняются следующие работы:

 

 

^{Работы, выполняемые при  диагностики системы  информационной}

                                         ^{безопасности}                                          _Рис.2

 

Каждый этап работ  имеет реальные, контролируемые результаты, что позволяет обеспечить эффективный  контроль проекта на всем его протяжении.

В процессе обследования и анализа системы информационной безопасности также идентифицируются «владельцы» ИТ-ресурсов (включая автоматизированные системы и корпоративные данные) и лица, ответственные за целостность этих ресурсов. Устанавливаются требования к системе разделения прав доступа (пароли, разрешения), включая все правила доступа к информационной системе компании. ИТ-ресурсы классифицируются по степени важности/критичности.

Проверяются все процедуры  безопасности, в том числе поддержка  системы ИБ, процесс расследования  нарушений ИБ, организация системы  резервного копирования, разграничение  прав пользователей, процедуры удаленного доступа, защиты учетных записей и др. Определяются лица, ответственные за развитие и поддержку системы ИБ.

В ходе анализа и моделирования  возможных сценариев атак на систему  ИБ выявляются ситуации, которые могут  привести к нарушению нормального «течения» бизнес-процессов. Определяются возможные последствия несоответствия системы ИБ политике безопасности компании.

Если обследование выполняется  сторонней организацией, то на всех стадиях проекта необходимо привлечение  к работам персонала компании-заказчика. Это гарантирует учет основных требований, специфики и интересов обследуемой компании.

Следующим этапом построения системы ИБ является ее проектирование, включая систему управления ИБ.

Задача проектирования системы ИБ тесно связана с  понятием архитектуры системы ИБ. Построение архитектуры системы ИБ, как интегрированного решения, соблюдение баланса между уровнем защиты и инвестициями в систему ИБ обеспечивают ряд преимуществ: интеграция подсистем позволяет снизить совокупную стоимость владения, повысить коэффициент возврата инвестиций при внедрении и улучшает управляемость системы ИБ, а следовательно, возможности отслеживания событий, связанных с ИБ.

Этапы работ по проектированию системы ИБ

1. Разработка Концепции обеспечения информационной безопасности. Определяются основные цели, задачи и требования, а также общая стратегия построения системы ИБ. Идентифицируются критичные информационные ресурсы. Вырабатываются требования к системе ИБ и определяются базовые подходы к их реализации.

2. Создание / развитие политики ИБ.

3. Построение модели системы управления ИБ (на основе процессно-ролевой модели).

4. Подготовка технического задания на создание системы информационной безопасности.

5. Создание модели системы ИБ.

6. Разработка техническо-рабочего проекта (ТРП) создания системы ИБ и архитектуры системы ИБ. ТРП по созданию системы ИБ включает следующие документы.

• Пояснительную записку, содержащую описание основных технических решений по созданию системы ИБ и организационных мероприятий по подготовке системы ИБ к эксплуатации.
• Обоснование выбранных компонентов системы ИБ и определение мест их размещения. Описание разработанных профилей защиты.
• Спецификацию на комплекс технических средств системы ИБ.
• Спецификацию на комплекс программных средств системы ИБ.
• Определение настроек и режима функционирования компонентов системы ИБ.

7. Тестирование на стенде спроектированной системы ИБ.

8. Разработка организационно-распорядительных документов системы управления ИБ (политик по обеспечению информационной безопасности, процедур, регламентов и др.).

9. Разработка рабочего проекта (включая документацию на используемые средства защиты и порядок администрирования, план ввода системы ИБ в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы.

2.3 Внедрение системы  безопасности информации на предприятии

 

После проведения полного  тестирования спроектированной системы  ИБ, можно приступать к ее внедрению. Работы по внедрению системы включают выполнение следующих задач:

• поставку программных и технических средств защиты информации;
• инсталляцию программных компонентов;
• настройку всех компонентов и подсистем;
• проведение приемо-сдаточных испытаний;
• внедрение системы управления ИБ;
• обучение пользователей;
• ввод системы ИБ в промышленную эксплуатацию.

Для эффективной дальнейшей эксплуатации системы необходимо обеспечить ее поддержку и сопровождение (собственными силами компании или силами привлекаемых специалистов).

При проведении работ  по созданию или модернизации системы  информационной безопасности компания часто обращается за помощью к внешним консультантам. Как выбрать надежного партнера, которому можно было бы доверить одну из самых критичных областей бизнеса?

В первую очередь, компания-консультант  должна иметь хорошую репутацию  на рынке. Во-вторых, необходимо убедиться в обширном опыте работы в сфере ИБ как самой компании-консультанта, так и конкретных сотрудников, задействованных в проекте. В-третьих, необходимо наличие у исполнителя программно-аппаратных средств для построения тестовых стендов, проведения работ по проектированию и моделированию системы ИБ.

Кроме того, дополнительные выгоды принесет наличие у исполнителя  высоких партнерских статусов с  поставщиками программно-аппаратных комплексов (это также является определенной гарантией опыта компании-консультанта). И, главное, - необходимо наличие у исполнителя центра поддержки, работающего в круглосуточном режиме. Услуги службы технической поддержки исполнителя могут включать и аутсорсинг, и удаленный мониторинг состояния средств защиты информации, и обслуживание поддерживаемых средств.

Исполнители могут выполнять  работы по сопровождению продуктов  – плановой замене их версий, консультированию пользователей и др. То есть обеспечивается технологическая основа для того, чтобы система ИБ «жила» и развивалась.

безопасность  информация защищенность

 

Заключение

 

Проблемы, связанные с повышением безопасности информационной сферы, являются сложными, многоплановыми и взаимосвязанными. Они требуют постоянного, неослабевающего  внимания со стороны государства  и общества. Развитие информационных технологий побуждает к постоянному приложению совместных усилий по совершенствованию методов и средств, позволяющих достоверно оценивать угрозы безопасности информационной сферы и адекватно реагировать на них.

Под защитой информации принято понимать использование различных средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения надежности передаваемой, хранимой и обрабатываемой информации.

Можно выделить несколько  основных задач, решение которых в информационных системах и телекоммуникационных сетях обеспечивает защиту информации.

Это:

- организация доступа  к информации только допущенных  к ней лиц;

- подтверждение истинности  информации;

- защита от перехвата  информации при передаче ее  по каналам связи;

- защита от искажений  и ввода ложной информации.

Защитить информацию – это значит:

• обеспечить физическую целостность информации, т.е. не допустить искажений или уничтожения элементов информации;
• не допустить подмены (модификации) элементов информации при сохранении ее целостности;
• не допустить несанкционированного получения информации лицами или процессами, не имеющими на это соответствующих полномочий;
• быть уверенным в том, что передаваемые (продаваемые) владельцем информации ресурсы будут использоваться только в соответствии с обговоренными сторонами условиями.

Радикальное решение  проблем защиты электронной информации может быть получено только на базе использования криптографических  методов, которые позволяют решать важнейшие проблемы защищённой автоматизированной обработки и передачи данных. При этом современные скоростные методы криптографического преобразования позволяют сохранить исходную производительность автоматизированных систем.

 

 

Список использованной литературы

 

1. Биячуев, Т.А. Безопасность корпоративных сетей / Т.А. Биячуев. – СПб: СПб ГУ ИТМО, 2008.- 161 с.
2. Вихорев, С. Как определить источники угроз / С. Вихорев, Р.Кобцев //Открытые системы. – 2002. - №07-08.-С.43.
3. Волчков, А. Современная криптография / А.Волчков // Открытые системы.- 2005. - №07-08. –С.48.
4. Гмурман, А.И. Информационная безопасность/ А.И. Гмурман - М.: «БИТ-М», 2004.-387с.
5. Дъяченко, С.И. Правовые аспекты работы в ЛВС/ С.И. Дъяченко–СПб.: «АСТ», 2008.- 234с.
6. Зима, В. Безопасность глобальных сетевых технологий / В.Зима, А. Молдовян, Н. Молдовян – СПб.: BHV, 2000. – 320 с.
7. Конахович, Г. Защита информации в телекоммуникационных системах/ Г.Конахович.-М.:МК-Пресс, 2005.- 356с.
8. Коржов, В. Стратегия и тактика защиты / В.Коржов //Computerworld Россия.- 2004.-№14.-С.26.
9. Мельников, В. Защита информации в компьютерных системах / В.Мельников - М.: Финансы и статистика, Электронинформ, 2007. – 400с.
10. Острейковский, В.А. Информатика: Учеб. пособие для студ. сред. проф. учеб. Заведений/ В.А. Острейковский– М.: Высш. шк., 2001. – 319с.:ил.
11. Семенов, Г. Цифровая подпись. Эллиптические кривые / Г.Семенов // Открытые системы.- 2002. - №07-08. – С.67-68.
12. Титоренко, Г.А. Информационные технологии управления/ Г.А. Титоренко - М.: Юнити, 2009.-376с.
13. Устинов, Г.Н. Уязвимость и информационная безопасность телекоммуникационных технологий/ Г.Н. Устинов– М.: Радио и связь, 2008.-342с.
14. Шахраманьян, М.А. Новые информационные технологии в задачах обеспечения национальной безопасности России/ Шахраманьян, М.А. – М.: ФЦ ВНИИ ГОЧС, 2008.- 222с.
15. Экономическая информатика / под ред. П.В. Конюховского и Д.Н. Колесова. – СПб.: Питер, 2008. – 560с.:ил.