Особливості захисту електронної корпоративної інформації

Безпека електронної системи, як відомо, – це здатність її протидіяти спробам завдати збитків власникам і користувачам систем у разі появи різних збуджувальних (навмисних і ненавмисних) впливів на неї.

Такими впливами можуть бути:

l спроба проникнення зловмисника;

l помилки персоналу;

l стихійні лиха (ураган, пожежа);

l вихід з ладу окремих ресурсів.

Розрізняють внутрішню і зовнішню безпеку електронної системи.

Внутрішня безпека враховує захист від стихійного лиха, від проникнення зловмисника, отримання доступу до носіїв інформації чи виходу системи з ладу. Предметом внутрішньої безпеки є забезпечення надійної і коректної роботи системи, цілісності її програм і даних.

Нині склалися два підходи до гарантування безпеки електронних систем:

*фрагментарний, за якого створюється протидія суворо визначеним загрозам за певних умов:

− спеціалізовані антивірусні засоби;

− автономні засоби шифрування тощо;

*комплексний, який передбачає створення середовища оброблення

інформації, яке поєднує різні заходи ля протидії загрозам:

− правові;

− організаційні;

− програмно-технічні.

Комплексний підхід використовують переважно для захисту великих систем, типові програмні засоби яких містять вмонтовані засоби яких захисту інформації, але цього недостатньо. В цьому разі потрібно проводити такі заходи:

l організаційні заходи контролю за персоналом, який має високий рівень повноважень щодо дії в системі: за програмістами;

l за адміністраторами баз даних мережі тощо;

l організаційні й технічні заходи резервування критично важливої інформації;

l організаційні заходи з відновлення працездатності системи у разі виникнення непередбачуваних ситуацій;

l організаційні й технічні заходи управління доступом у приміщеннях, де міститься обчислювальна техніка;

l організаційні й технічні заходи з фізичного захисту приміщень, в яких міститься обчислювальна техніка і носії даних, від стихійних лих, масових безпорядків тощо.

Міжнародні стандарти безпеки інформаційно-обчислювальних систем. Аналізуючи ситуацію в світі у сфері стандартизації щодо інформаційної безпеки за роки розвитку індустрії ІБ, можна виділити такі тимчасові періоди, назва яких найбільш чітко характеризує природний розвиток цього процесу: поява стандартів (1988 – 1995 рр.), випробування практикою (1996 – 2000) і виживання сильних (від 2001 р. і дотепер). Зазначимо, що NIST і BSI нині є основними світовими конкурентами у сфері стандартизації.

На практиці вистачає кількох основоположних стандартів, які визнаються фахівцями й використовуються бізнесом на практиці. Таким чином, у цій битві стандартів виживали й вижили сильні, зокрема стандарт ISO 15408, що регламентує вимоги до захищеності ПО, або стандарт управління ISO 27001/17799. Ці стандарти нині дістали статус міжнародних. Щоправда, є одне “але”. Світ розділився на дві географічно незалежні з огляду на стандартизацію зони: Європа й Азія визнають стандарти ISO, а США вважає за краще використовувати стандарти NIST. Зазначимо маловідомий факт: багато які найбільш відомі стандарти ISO грунтуються на BSI: ISO 17799, ISO 9001, ISO 14001.

На концептуальному рівні служби безпеки специфікують напрями нейтралізації загроз. Усі напрями організації захисту інформації (фізичні, законодавчі, управління доступом, криптографічне закриття) реалізуються механізмами безпеки. В межах ідеології “відкритих систем” служби й механізми безпеки потрібно використовувати на будь-якому рівні еталонної моделі: фізичному; канальному; мережевому; транспортному; сеансному; представницькому; прикладному.

Захист інформації здійснюють:

l комплексним застосуванням різних засобів і методів;

l створенням структури захисту й охорони з кількома рівнями;

l постійним їх удосконаленням.

Успіх справи залежить від збалансованої й налагодженої взаємодії захисту операційних систем і гарантування безпеки баз даних.

У межах цієї програми розрізняють такі пасивні об’єкти захисту: файли; прикладні програми; термінали; ділянки оперативної пам’яті;

Активними є суб’єкти (процеси) захисту, котрі можуть виконувати над об’єктами визначені операції. Захист об’єктів здійснюється операційною системою засобів контролю за виконанням суб’єктами захисту сукупності правил, що регламентують ці операції.