Безпека інформації

Размещено на http://www.allbest.ru/

1. Планування захисту економічної інформації

Під системою захисту інформаційної системи розуміють єдину сукупність правових і морально-етичних норм, організаційних, технологічних і програмно-технічних заходів і програмно-технічних засобів, спрямованих на протидію загрозам інформаційній системі з метою зведення до мінімуму можливого збитку користувачам і власникам систем.

Для організації надійного захисту економічної інформації у міжнародній компанії необхідно чітко уявляти, яких саме порушень понад усе слід позбутися. Найжорсткішим має бути захист від корисливих проникнень. Останні, якщо вони мають місце з боку службовців, можуть бути викликані образою, незадоволенням своїм службовим, матеріальним становищем або вказівкою інших осіб. Збиток, як правило, тим більше, чим вище щабель, на якому перебуває користувач у службовій ієрархії. Незрівнянно більший збиток, ніж звичайний користувач, може завдати оператор або програміст інформаційної системи. По кількості інсайдерів лідирують США. У компанії Symantec відзначають, що як мінімум половина американських компаній так чи інакше мала справу з інсайдерами. В середньому кожен другий ПК у середній американській компанії використовується співробітниками частково не по призначенню.

Набір заходів для запобігання порушенням безпеки інформації різноманітний і залежить від природи спонукальних мотивів. Такий набір може передбачати відповідну підготовку користувачів, підтримку здорового робочого клімату в колективі, ретельний добір персоналу, своєчасне виявлення потенційних зловмисників і т. ін. Також у цьому випадку можна скористатися новими програмними засобами захисту від атак інсайдерів, наприклад, системою захисту, виготовленою міжнародною компанією InfoWatch. Ця система дозволяє здійснювати контроль над найбільш розповсюдженими шляхами витоку інформації, моніторинг доступу співробітників до корпоративних інформаційних ресурсів та збереження журналів аудиту каналів розповсюдження інформації [83].

Організовуючи захист інформаційної системи, бажано визначити можливість здійснення кожного конкретного виду загрози та розмір потенційного збитку, якого зазнають користувачі і власники інформаційної системи, якщо загроза реалізується.

У розв'язанні проблеми безпеки інформаційної системи склалися два підходи, які можна умовно назвати фрагментарним і комплексним.

Фрагментарний підхід, що зорієнтований на протидію строго визначеним загрозам за певних умов, передбачає застосування, наприклад, спеціалізованих та автономних засобів шифрування тощо. Шифруванням займається багато відомих міжнародних компаній, серед яких виділяються Cisco та RSA, послугами яких користується багато користувачів світу, і які об'єднали зусилля для виробництва нової технології у галузі інформаційної безпеки, за допомогою якої буде відбуватися управління процесом шифрування на різних пристроях збереження інформації: дисках, стрічкових накопичувачах та віртуальних бібліотеках. Ця технологія може успішно працювати у сітьовому режимі. Головна перевага фрагментарного підходу полягає в його високій варіативності захисту проти конкретної загрози. Але йому властивий і такий недолік, як локальність дії, тобто фрагментарні методи забезпечують ефективний захист конкретних об'єктів інформаційної системи від конкретної загрози, але не більше того. Навіть невеличка видозміна загрози призводить до втрати ефективності захисту.

За комплексного підходу поєднуються різнорідні заходи протидії загрозам (правові, організаційні, програмно-технічні і т. ін.) У цілому в комплексі усі ці заходи формують політику безпеки економічної інформації.

Комплексний підхід ефективний для захисту значних інформаційних систем, порушення безпеки яких може завдати величезного матеріального збитку. Але комплексний підхід придатний і для невеличких інформаційних систем, які обробляють особливо цінну інформацію або виконують відповідальні завдання.

Комплексного підходу дотримується більшість державних і значних комерційних підприємств і установ. Він знаходить висвітлення в різноманітних стандартах. Недоліками комплексного підходу є складність управління й обмеження на свободу дій користувачів інформаційної системи. Яскравим прикладом комплексного підходу до захисту інформаційної системи є сімейство продуктів для забезпечення безпеки бізнесу Microsoft Forefront для сітьової структури, створене міжнародною компанією Microsoft. Одною з переваг цього сімейства є інтеграція засобів забезпечення безпеки із серверними додатками Microsoft та існуючою інфраструктурою.

Побудова систем захисту передбачає ряд етапів, подібних до етапів створення самих інформаційних систем. Зокрема, до них належать:

- аналіз можливих загроз інформаційній системі;

- розробка системи захисту;

- реалізація системи захисту;

- супровід системи захисту.

На етапі аналізу можливих загроз безпеці інформаційній системі, виходячи з її стану на даний момент, визначають можливі збурюючи дії щодо кожного елементу системи захисту. Побудова абсолютно надійної системи захисту, напевно, неможлива. Тому з усієї множини впливів вибираються лише ті, що можуть реально відбутися і завдати найбільш серйозного збитку.

Управляти електронними ресурсами міжнародної компанії не можна без запобіжних заходів безпеки (рис.).

На етапі розробки можливе комплексне використання таких видів захисту, як правові, морально-етичні, адміністративні, фізичні та технічні правила.

До правових заходів належать чинні в країні закони, укази, положення міжнародних організацій, нормативні акти, що регламентують правила взаємодії з інформацією обмеженого використання і відповідальність за їх порушення. Ці заходи відіграють роль стримуючого чинника для потенційних порушень.

Механізм управління електронними технологіями міжнародної компанії

До морально-етичних заходів протидії належать всілякі норми поведінки, що традиційно склалися раніше, виникають або спеціально розробляються в міру поширення ЕОМ та інформаційної системи в країні й у світі. Морально-етичні норми можуть бути неписані (наприклад, чесність) або оформлені у певний перелік правил чи розпоряджень. Ці норми, як правило, не є законодавчо затвердженими, але оскільки їхнє недотримання призводить до падіння престижу організації, вони є обов'язковими до виконання. інформація microsoft електронний

Адміністративні заходи захисту -- це заходи організаційного характеру, що регламентують процеси функціонування інформаційної системи, використання її ресурсів, діяльність персоналу і т. ін. Мета цих заходів -- найбільшою мірою виключити можливість реалізації загроз безпеці. До переліку адміністративних заходів можна віднести такі:

- розробка правил обробки інформації в інформаційній системі;

- організація захисту від установки апаратури прослухування в приміщеннях обчислювального центру або розташування АРМ;

- ретельний відбір персоналу;

- організація обліку, збереження, використання і знищення документів та носіїв із конфіденційною інформацією;

- розподіл реквізитів розмежування доступу (паролів, профілів повноважень і т. ін.);

- організація прихованого контролю за роботою користувачів і персоналу інформаційної системи;

- інші заходи.

Фізичні заходи захисту -- це різного роду механічні, електро- або електронно-механічні пристрої і будови, призначені для створення фізичних перешкод на можливих шляхах проникнення й доступу потенційних порушників до компонентів захисту інформації.

Технічними (апаратно-програмними) засобами захисту називаються різноманітні електронні й спеціальні програми, що виконують функції захисту. Серед таких функцій відзначимо такі: ідентифікація й аутентифікація (відповідність вимогам на вірність) користувачів або процесів, розмежування і контроль доступу до ресурсів, реєстрація й аналіз подій, криптографічний захист інформації (шифрування даних), резервування ресурсів і компонентів інформаційної системи.

До апаратно-програмних заходів належать антивірусні програми. Велику популярність на ринку програмних продуктів завоювали антивірусні програми лабораторії Касперського. Ці програми використовуються для боротьби з різними видами вірусів. Так, зараз у зв'язку з виникненням нової загрози ураження мобільних телефонів ця лабораторія та компанія PlayMobile (холдинг Next Media Group) запускають на російському ринку новий сервіс -- антивірусний захист мобільних телефонів. Високоефективним засобом боротьби зі шкодоносними програмами на ПК, ноутбуках, серверах є недавно випущена оновлена версія Symantec Endpoint Protection антивірусного продукту Symantec [316], яка виготовляється однойменною міжнародною компанією. Крім захисту від вірусів ця програма забезпечує захист від шпіонського ПЗ, міжсітьовий екран, систему запобігання вторгнення, охорону від шкодоносних об'єктів віддалених робочих місць. Вичерпний набір функцій рішень для безпеки бездротових мереж представлено також відомою компанією Cisco. Іспанський виробник програмних продуктів для інформаційної безпеки Panda Software представив рішення для захисту смартфонів. Фінальна версія продукту буде здійснювати автоматичні оновлення, крім того, кожний користувач зможе отримати повну технічну підтримку, включаючи службу порятунку від вірусів для аналізу підозрілих файлів. Одним з найкращих антивірусних продуктів 2006-2007 року вважається NOD32. Він здійснює збалансований захист від загроз персонального комп'ютера від вірусів, черв'яків, троянських, шпигунських та інших шкідливих програм. Також він забезпечує захист корпоративних мереж, централізоване оновлення, інструменти дистанційного адміністрування та керування захистом всієї мережі з одного робочого місця. Серверна версія NOD32 дозволяє захищати поштові та файлові сервери. Найкращі результати досягаються за умови системного підходу до проблем безпеки інформаційної системи і комплексного використання заходів захисту на всіх етапах життєвого циклу системи, починаючи з ранніх стадій її проектування. Проте там, де це можливо, інші заходи треба замінити більш надійними сучасними фізичними й технічними засобами.

Вартісне вираження ймовірної події, що веде до втрат, називають ризиком. Процес оцінювання ступеня ризику за спеціальними методиками у випадку здійснення того чи іншого варіанта загроз називають аналізом ризику.

У процесі аналізу ризику вивчають компоненти інформаційної системи, що можуть зазнати посягань на їх безпеку, визначають уразливі місця системи, оцінюють можливість реалізації для кожної конкретної загрози та очікувані розміри відповідних втрат, вибирають можливі методи захисту й обчислюють їхню вартість. На заключному етапі оцінюється зиск від застосування пропонованих заходів захисту. Цей зиск може мати як позитивний, так і негативний знак: у першому випадку -- йдеться про очевидний виграш, а у другому -- про додаткові витрати для гарантування власної безпеки.

Виходячи з результатів цього аналізу, приймають рішення про доцільність тих або інших заходів захисту. В остаточному підсумку складається план захисту, формується політика безпеки.

План захисту містить такі розділи:

- поточний стан системи;

- рекомендації щодо реалізації системи захисту;

- відповідальність персоналу;

- порядок запровадження засобів захисту;

- порядок перегляду плану засобів захисту та їх складу. Політика безпеки -- це комплекс законів, правил і практичних рекомендацій, на основі яких будується управління, захист і розподіл критичної інформації в системі. Політика безпеки являє собою деякий набір вимог, що пройшли відповідну перевірку і реалізуються за допомогою організаційних заходів і програмно-технічних засобів та визначальної архітектури системи захисту. Для конкретних організацій політика безпеки має бути індивідуальною. Вона залежить від конкретної технології обробки інформації, використовуваних програмних і технічних засобів, розташування організації і т. ін.

Размещено на Allbest.ru