Про визначення та значення політики безпеки

Фундаментальну роль у забезпеченні безпеки інформаційних технологій (ІТ-безпеки) відіграє політика безпеки інформації (ПБІ). Політика безпеки це основа створення та ефективного функціонування комплексної системи захисту інформації (КСЗІ). Безпека інформаційних систем (ІС) пов’язана перш за все із захистом інформаційних ресурсів. Необхідно чітко розуміти, що інформація (інформаційний ресурс системи) – це найбільш цінний актив установи чи фірми. Відсутність продуманої політики безпеки приводить до руйнування методологічного та організаційного фундаменту забезпечення безпеки інформаційних ресурсів та інформаційної інфраструктури комп’ютерних систем.

1.1. Визначення терміну “політика безпеки інформації”. За збереження інформації відповідає власник ІС, для якого такі ресурси мають цінність. Головна мета мір адміністративного рівня - сформувати програму робіт в області інформаційної безпеки і забезпечити її виконання, виділяючи необхідні ресурси і контролюючи стан справ. Основою програми є політика безпеки, що відбиває підхід організації до захисту своїх інформаційних активів. Керівник кожної організації повинний усвідомити необхідність підтримки режиму безпеки і виділення на ці мети значних ресурсів. Політика безпеки будується на основі аналізу ризиків, що визнаються реальними для інформаційної системи організації. Коли ризики проаналізовані і стратегія захисту визначена, складається програма забезпечення інформаційної безпеки. Під цю програму виділяються ресурси, призначаються відповідальні, визначається порядок контролю виконання програми і т.п. Під політикою безпеки інформації слід розуміти набір законів, правил, обмежень, рекомендацій і т. ін. Політика інформаційної безпеки це набір законів, правил і практичних рекомендацій і практичного досвіду, що визначають управлінські і проектні рішення які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз. Термін " політика безпеки" може бути застосовано щодо організації, ІС, ОС, послуги, що реалізується системою (набору функцій), і т. ін. Визначення політики безпеки відображає традиційні, класичні погляди на сутність політики безпеки, воно зручне для її аналізу з точки зору складу та змісту правил безпеки. Доцільно визначити які конкретно правила безпеки повинні бути включені до політики, на основі яких принципів здійснюється забезпечення безпеки інформації в ІС, які основні напрямки захисту інформації обрані у системі. Політика безпеки – це система взаємопов’язаних та погоджених правил безпеки, що регламентують порядок обробки інформації в ІС і направлених на відвертання визначеної множини загроз безпеці, до того ж. правила безпеки повинні являти собою не просто деякий набір, а систему, з усіма системними властивостями.

На основі ПБІ будується керування, захист і розподіл критичної інформації в системі. Вона повинна охоплювати всі особливості процесу обробки інформації, визначаючи поводження ІС у різних ситуаціях. ПБІ є стратегію організації в області інформаційної безпеки. Для вироблення стратегії і проведення її в життя потрібні політичні рішення, що приймають на найвищому рівні, а відповідальність персоналу за виконання положень політики безпеки має бути персонiфікована. Політика безпеки інформації в ІС є частиною загальної політики безпеки організації і може успадковувати, зокрема, положення державної політики у галузі захисту інформації. Для конкретної інформаційної системи (ІС) політика безпеки інформації (ПБІ) повинна бути індивідуальної. Вона залежить від технології обробки інформації, використовуваних програмних і технічних засобів, структури організації т.д. ІС може реалiзовувати декілька різноманітних технологій обробки інформації. Тоді і політика безпеки інформації в такій ІС буде складеною із її частини, що відповідають різним технологіям і тому можуть істотно відрізнятись. Політика безпеки повинна визначати ресурси ІС, що потребують захисту, зокрема установлювати категорії інформації, оброблюваної в ІС. Мають бути сформульовані основні загрози для ІС, персоналу, інформації різних категорій і вимоги до захисту від цих загроз.

1.2. Заходи політики інформаційної безпеки. Політика (ЗАХОДИ) інформаційної безпеки (003) реалізується відповідною СТРУКТУРОЮ органів (002) на основі нормативно-методичної БАЗИ (001) з використанням програмно-технічних методів і ЗІСОБІВ (004), що визначають склад та архітектуру системи захисту. Політика інформаційної безпеки повинна передбачати виконання наступних організаційних та технічних заходів.

1.3. Захист об'єктів інформаційних систем. 011 Захист об'єктів інформаційних систем, а саме: засоби обчислювальної техніки, периферійне обладнання, пристрої друку, пристрої зберігання інформації. Таким чином необхідно передбачити заходи ПБІ, які забезпечують: 113 своєчасне і якісне визначення переліку відомостей, що підлягають захисту на об'єктах ІС; 213 виявлення потенційних загроз та каналів витоку інформації на об'єктах ІС. Основними загрозами в ІС є:

- втрата (порушення) конфіденційності інформації та ресурсів, тобто розкриття змісту інформаційного ресурсу несанкціонованим користувачем;

- втрата (порушення) цілісності інформації та ресурсів внаслідок впливів як природного, так і штучного характеру;

- втрата або неякісна доступність до інформації та ресурсів користувачів, а також можливість доступу до інформації зловмисників;

- неякісна спостережність власників та/або користувачів за інформацією та ресурсами. 313 проведення оцінки уразливості і ризиків для інформації на об'єктах ІС; 413 визначення переліку вимог до КСЗИ на об'єктах ІС; 513 здійснення вибору засобів захисту, на об'єктах ІС; 613 порядок впровадження і використання обраних заходів і засобів захисту на об'єктах ІС; 713 порядок контролю цілісності і керування захистом на об'єктах ІС.

1.4. Захист процесів, процедур і програм обробки інформації. 021 Захист процесів, процедур і програм обробки інформації до яких можна віднести операційні системи серверів, операційні системи універсальних високопродуктивних ЕОМ, операційні системи робочих станцій, операційні системи, що забезпечують виконання мережевих функцій, програмні засоби, що підтримують реалізацію протоколів передачі даних обчислювальної мережі, програмні засоби активних компонентів мережі, що реалізують спеціальні алгоритми управління мережею, системи керування базами даних серверів, високопродуктивних універсальних ЕОМ, робочих станцій, функціональне програмне забезпечення. Таким чином необхідно передбачити заходи ПБІ, які забезпечують: 123 визначення переліку відомостей, що підлягають захисту при використанні їх у процесах і програмах ІС; 223 виявлення потенційних загроз та каналів витоку інформації в процесах і програмах ІС; 323 проведення оцінки уразливості і ризиків для інформації в процесах і програмах ІС; 423 визначення вимог до СЗИ в процесах і програмах ІС; 523 здійснення вибору засобів захисту інформації в процесах і програмах ІС; 623 впровадження і використання обраних способів і засобів захисту інформації в процесах і програмах ІС; 723 своєчасний і якісний контроль цілісності і керування захистом для інформації в процесах і програмах ІС.

1.5. Захист підсистеми обміну даними (каналів зв'язку). 031 Захист підсистеми обміну даними яка забезпечує взаємодію робочих станцій із засобами підсистеми обробки інформації, а також робочих станцій між собою на основі визначених правил, процедур обміну даними з реалізацією фаз встановлення, підтримання та завершення з’єднання. Підсистема обміну даними складається з пасивної мережі для обміну даними (кабельна мережа), активного обладнання (комутаторів, концентраторів, маршрутизаторів, шлюзів тощо), що об’єднує в єдине ціле пасивну мережу з обладнанням інших підсистем для забезпечення інформаційної взаємодії. Таким чином необхідно передбачити заходи ПБІ, які забезпечують: 133 визначення переліку відомостей, що підлягають захисту при передачі їх по каналах зв'язку; 233 виявлення потенційних загроз та каналів витоку відомостей, при передачі їх по каналах зв'язку; 333 проведення оцінки уразливості і ризиків для інформації при передачі її по каналах зв'язку; 433 визначення вимог до КСЗИ при передачі її по каналах зв'язку; 533 здійснення вибору засобів захисту інформації при передачі її по каналах зв'язку; 633 впровадження і використання обраних способів і засобів захисту інформації при передачі її по каналах зв'язку; 733 здійснення контролю цілісності і керування захистом для інформації при передачі її по каналах зв'язку.

1.6. Придушення побічних електромагнітних випромінювань. 041 Придушення побічних електромагнітних випромінювань. Таким чином необхідно передбачити заходи ПБІ, які забезпечують: 143 визначення переліку відомостей, що підлягають захисту в умовах можливого витоку за рахунок ПЕМВН; 243 виявлення потенційних загроз та каналів витоку інформації за рахунок ПЕМВН; 343 проведення оцінки уразливості і ризиків для інформації, виток якої можливий за рахунок ПЕМВН; 443 визначення вимог до СЗИ для інформації, виток якої можливий за рахунок ПЕМВН; 543 здійснення вибору засобів захисту інформації, виток якої можливий за рахунок ПЕМВН; 643 впровадження і використання обраних заходів і засобів захисту інформації, виток якої можливий за рахунок ПЕМВН; 743 здійснення контролю цілісності і керування захистом для інформації, виток якої можливий за рахунок ПЕМВН;

1.7. Контроль та керування системою захисту. 051 Контроль та керування системою захисту, наприклад, комплексами програмно-апаратних засобів захисту інформації. Таким чином необхідно передбачити заходи ПБІ, які забезпечують: 153 визначення переліку відомостей, що підлягають захисту в процесі керування системою захисту; 253 виявлення потенційних загроз та каналів витоку інформації в процесі керування системою захисту; 353 проведення оцінки уразливості і ризиків для інформації в процесі керування системою захисту; 453 визначення вимог до процесів контролю стану і керування системою захисту інформації; 553 здійснення вибору засобів захисту процесів керування системою захисту; 653 впровадження і використання обраних способів і засобів захисту процесів керування системою захисту; 753 здійснення контролю цілісності і керування комплексною системою захисту інформації.

1.8. Програма безпеки Після того, як сформульована політика безпеки, можна приступати до складання програми її реалізації і власне до реалізації. Щоб зрозуміти і реалізувати яку-небудь програму, її потрібно структурувати по рівнях, звичайно у відповідності зі структурою організації. Програму верхнього рівня очолює особа, що відповідає за інформаційну безпеку організації. У цієї програми наступні головні цілі: керування ризиками (оцінка ризиків, вибір ефективних засобів захисту); координація діяльності в області інформаційної безпеки, поповнення і розподіл ресурсів; стратегічне планування; контроль діяльності в області інформаційної безпеки. У рамках програми верхнього рівня приймаються стратегічні рішення по забезпеченню безпеки, оцінюються технологічні новинки. Інформаційні технології розвиваються дуже швидко, і необхідно мати чітку політику відстеження і впровадження нових засобів. Контроль діяльності в області безпеки має двосторонню спрямованість. По-перше, необхідно гарантувати, що дії організації не суперечать законам. При цьому варто підтримувати контакти з зовнішніми контролюючими організаціями. По-друге, потрібно постійно відслідковувати стан безпеки усередині організації, реагувати на випадки порушень і допрацьовувати захисні міри з урахуванням зміни обстановки.

Варто підкреслити, що програма верхнього рівня повинна займати строго визначене місце в діяльності організації, вона повинна офіційно прийматися і підтримуватися керівником, а також мати визначений штат і бюджет. Ціль програми нижнього рівня - забезпечити надійний і економічний захист конкретного сервісу чи групи однорідних сервісів. На цьому рівні зважується, які варто використовувати механізми захисту; закуповуються і встановлюються технічні засоби; виконується повсякденне адміністрування; відслідковується стан слабких місць і т.п. Звичайно за програму нижнього рівня відповідають адміністратори сервісів.

Завдання для самостійного виконання:

1. Зайдіть на сайт за адресою http: //dir.meta.ua/topics/ru/kiev/internet/security/ та занотуйте основний матеріал до вашого звіту.

2. На сайті http: //kiev-security.org.ua/ знайдіть та занотуйте в звіт відповідно до вашого варіанту наступні тематики:

Із розділу «Безопасность компьютерных систем»:

1) Вирусы заражающие JPEG (AlpCRAZY)

2) PIN-код за 24 часа

3) Анализ уровня информационной безопасности банка

4) Защита информации в платежных системах visa, europay

5) Как воруют с кредиток

6) Некоторые вопросы защиты банковской конфиденциальной информации

7) Чтобы не лишиться денег на своем счету

8) Алгоритмы анализа удаленной системы

9) Для чего же нужен взлом веб-сайтов?

10) Пpинцип pаботы полимоpф-виpусов

Із розділу «Защита информации в трактах передачи данных и в каналах связи»:

11) SMS - служба коротких сообщений

12) Безопасность оптоволоконных кабельных систем

13) Безопасность сотовой связи

14) Беспроводные средства связи и безопасность

15) Девять мифов о незащищённости ip-телефонии

16) Децибелы в оптоволокне

17) Кому можно прослушивать ваш сотовый?

18) Криптографическая защита телефонных сообщений

19) Мобильная безопасность

20) Описание GSM и ее взлом

21) Получение информационного доступа к сигналам спутниковых систем передачи информации

22) Стандарт сотовой связи CDMA

23) Стандарт сотовой связи GSM900/1800

24) Угрозы безопасности системам электросвязи

25) Концепция безопасности - математический анализ эффективности

3. Знайдіть через пошукову систему rambler офіційний сайт антивірусної програми Kaspersky, зайдіть на нього та збережіть до вашого звіту можливості даної програми, алгоритм її оновлення та принцип її роботи.

4. Знайдіть через пошукову систему rambler офіційний сайт антивірусної програми ESET_Smart_Security, зайдіть на нього та збережіть до вашого звіту можливості даної програми, алгоритм її оновлення та принцип її роботи.

5. Знайдіть через пошукову систему rambler офіційний сайт антивірусної програми Symantec, зайдіть на нього та збережіть до вашого звіту можливості даної програми, алгоритм її оновлення та принцип її роботи.

6. Знайдіть на офіційний сайт антивірусної програми drweb за адресою: ftp: //ftp.drweb.com зайдіть на нього та збережіть до вашого звіту можливості даної програми, алгоритм її оновлення та принцип її роботи.

7. За допомогою мережі Інтернет знайдіть призначення програми Comodo Firewall Pro та запишіть в звіт принцип її роботи.

Запитання для контролю:

1. Поняття безпеки ІС.

2. Інтегральний захист інформації.

3. Електромагнітні канали витоку.

4. Електричні канали витоку.

5. Параметричний канал витоку.

6. Види каналів перехоплення інформації.

7. Види каналів просочування акустичної інформації.

8. Поясніть поняття комп'ютерні методи знімання інформації.

9. Класифікація комп'ютерних вірусів, потенційно небезпечних з погляду несанкціонованого доступу до інформації.

10. Основні методи і засоби отримання і захисту інформації.

11. Шифрування даних.

12. Архівація даних.

⇐ Предыдущая25262728293031323334

Поделиться: