Безопасность информационных систем. Учебное пособие
Шрифт:
В качестве основного инструмента борьбы со сложностью используется объектно-ориентированный подход. Инкапсуляция, наследование, полиморфизм, выделение граней объектов, варьирование уровня детализации – все это универсальные понятия, знание которых необходимо всем специалистам по информационной безопасности.
Законодательный уровень является важнейшим для обеспечения информационной безопасности. На законодательном уровне особого внимания заслуживают правовые акты и стандарты.
Российские правовые акты в большинстве своем имеют ограничительную направленность. Сами по себе лицензирование
Главная задача мер административного уровня – это сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности, отража ющая подход организации к защите своих информационных активов.
Разработка политики и программы безопасности начинается с анализа рисков, первым этапом которого является ознакомление с наиболее распространенными угрозами.
Главные угрозы – это внутренняя сложность ИС, непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.
На втором месте по размеру ущерба стоят кражи и подлоги. Реальную опасность представляют пожары и другие аварии поддерживающей инфраструктуры.
Для подавляющего большинства организаций достаточно общего знакомства с рисками. Ориентация на типовые, апробированные решения позволит обеспечить базовый уровень безопасности при минимальных интеллектуальных и материальных затратах.
Необходимым условием для построения надежной, экономичной защиты является рассмотрение жизненного цикла ИС и синхронизация с ним мер безопасности. Выделяют следующие этапы жизненного цикла:
• инициация;
• закупка;
• установка;
• эксплуатация;
• выведение из эксплуатации.
Безопасность невозможно добавить к системе, ее нужно закладывать с самого начала и поддерживать до конца.
Меры процедурного уровня ориентированы на людей, а не на технические средства, и подразделяются на следующие виды:
• управление персоналом;
• физическая защита;
• поддержание работоспособности;
• реагирование на нарушения режима безопасности;
• планирование восстановительных работ.
На этом уровне применимы важные принципы безопасности:
• непрерывность защиты в пространстве и времени;
• разделение обязанностей;
• минимизация привилегий.
Информационная безопасность во многом зависит от аккуратного ведения текущей работы, которая включает:
• поддержку пользователей;
• поддержку программного обеспечения;
• конфигурационное управление;
• резервное копирование;
• управление носителями;
• документирование;
• регламентные работы.
Элементом повседневной деятельности является отслеживание информации в области информационной безопасности. Администратор безопасности должен подписаться на список рассылки по новым проблемам в защите и своевременно знакомиться с поступающими сообщениями.
Необходимо
заранее готовиться к нарушениям информационной безопасности. Заранее продуманная реакция на нарушения режима безопасности преследует три главные цели:• локализация инцидента и уменьшение наносимого вреда;
• выявление нарушителя;
• предупреждение повторных нарушений.
Выявление нарушителя – сложный процесс, но первый и третий пункты необходимо тщательно продумывать и отрабатывать.
В случае серьезных аварий необходимо проведение восстановительных работ. Процесс планирования таких работ можно разделить на следующие этапы:
• выявление критически важных функций организации, установление приоритетов;
• идентификация ресурсов, необходимых для выполнения критически важных функций;
• определение перечня возможных аварий;
• разработка стратегии восстановительных работ;
• подготовка реализации выбранной стратегии;
• проверка стратегии.
Программно-технические меры, направленные на контроль компьютерных сущностей – это оборудование, программы и данные. Эти меры образуют последний и самый важный рубеж информационной безопасности. На этом рубеже становятся очевидными не только позитивные, но и негативные последствия быстрого прогресса информационных технологий. Во-первых, дополнительные возможности появляются не только у специалистов по информационной безопасности, но и у злоумышленников. Во-вторых, информационные системы постоянно модернизируются, перестраиваются, к ним добавляются недостаточно проверенные компоненты (в первую очередь программные), что затрудняет соблюдение режима безопасности.
Меры безопасности делятся на следующие основные виды:
• превентивные меры, которые препятствуют нарушениям информационной безопасности;
• меры обнаружения нарушений;
• локализующие меры, которые сужают зону воздействия нарушений;
• меры по выявлению нарушителя;
• меры восстановления режима безопасности.
В продуманной архитектуре безопасности все указанные меры должны присутствовать.
Важными также являются следующие принципы архитектурной безопасности:
• непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;
• следование признанным стандартам, использование апробированных решений;
• иерархическая организация ИС с небольшим числом сущностей на каждом уровне;
• усиление самого слабого звена;
• невозможность перехода в небезопасное состояние;
• минимизация привилегий;
• разделение обязанностей;
• многоуровневая оборона;
• разнообразие защитных средств;
• простота и управляемость информационной системы.
Основным для программно-технического уровня является понятие сервиса безопасности. В число таких сервисов входят:
• идентификация и аутентификация;
• управление доступом;
• протоколирование и аудит;
• шифрование;
• контроль целостности;
• экранирование;
• анализ защищенности;
• обеспечение отказоустойчивости;
• обеспечение безопасного восстановления;
• туннелирование;