По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на: законодательные (правовые), административные (организаци-онные), процедурные и программно-технические.
К законодательным мерам защиты относятся действующие в стране нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил. Важное значение имеют стандарты в области защиты информации (в первую очередь, ме-ждународные). Среди этих стандартов выделяются «Оранжевая книга», рекомендации X.800 и «Общие критерии оценки безопасности информационных технологий» (Common Criteria for IT Security Evaluation).
«Оранжевая книга» — крупнейший базовый стандарт. В ней даются важнейшие по-нятия, определяются основные сервися безопасности и предлагается метод классифика-ции информационных систем по требованиям безопасности.
Рекомендации X.800 в основном посвящены вопросам защиты сетевых конфигура-ций. Они предлагают развитый набор сервисов и механизмов безопасности.
«Общие критерии» описывают 11 классов, 66 семейств и 135 компонентов функцио-нальных требований безопасности. Классам присвоены следующие названия:
Первая группа определяет элементарные сервисы безопасности:
1.FAU — аудит, безопасность (требования к сервису, протоколирование и аудит);
2.FIA — идентификация и аутентификация;
3.FRU — использование ресурсов (для обеспечения отказоустойчивости).
Вторая группа описывает производные сервисы, реализованные на базе элементарных:
4.FCO — связь (безопасность коммуникаций отправитель-получатель);
5.FPR — приватность;
6.FDP — защита данных пользователя;
7.FPT — защита функций безопасности объекта оценки.
Третья группа классов связана с инфраструктурой объекта оценки:
8. FCS — криптографическая поддержка (обслуживает управление криптоключами и крипто-операциями);
9.FMT — управление безопасностью;
10. FTA — доступ к объекту оценки (управление сеансами работы пользователей);
11. FTP — доверенный маршрут/канал;
Кроме этого «Общие критерии» содержат сведения о том, каким образом могут быть достигнуты цели безопасности при современном уровне информационных технологий и позволяют сертифицировать систему защиты (ей присваивается определенный уровень безопасности).
Осенью 2006 года в России был принят национальный стандарт ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология — Практические правила управления инфор-мационной безопасностью», соотвествующий международному стандарту ИСО 17799. Стандарт представляет собой перечень мер, необходимых для обеспечения информацион-ной безопасности организации, включая действия по созданию и внедрению системы управления информационной безопасности, которая строится таким же образом и на тех же принципах, что и система менеджмента качества, и совместима с ней.
Административные меры защиты —меры организационного характера,регламен-тирующие процессы функционирования АИС, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:
1. Подбор и подготовку персонала системы.
2. Организацию охраны и пропускного режима.
3. Организацию учета, хранения, использования и уничтожения документов и носи-телей с информацией.
4. Распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.д.).
В составе административных мер защиты важную роль играет формирование про-граммы работ в области информационной безопасности и обеспечение ее выполнения (для этого необходимо выделять необходимые ресурсы и контролировать состояние дел). Ос-новой программы является политика безопасности организации — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, ко-торыми руководствуется организация в своей деятельности. Разработка политики безопасности включает определение следующих основных моментов:
— какие данные и насколько серьезно необходимо защищать;
— кто и какой ущерб может нанести организации в информационном аспекте;
— основные риски и способы их уменьшения до приемлемой величины.
С практической точки зрения политику безопасности можно условно разделить на три уровня: верхний, средний и нижний.
К верхнему уровню относятся решения,затрагивающие организацию в целом(какправило, носят общий характер и исходят от руководства). Например, цели организации в области информационной безопасности, программа работ в области информационной безопасности (с назначением ответственных за ее реализацию).
К среднему уровню относятся вопросы, касающиеся отдельных аспектов информа-ционной безопасности, но важные для различных систем, эксплуатируемых организацией (например, использование на работе персональных ноутбуков, установка непроверенного программного обеспечения, работа с Интернетом и т.д.).
Политика безопасности нижнего уровня касается конкретных сервисов и должна быть наиболее детальной. Часто правила достижения целей политики безопасности ниж-него уровня заложены в эти сервисы на уровне реализации [см. 4. С. 148—149].
Меры процедурного уровня —отдельные мероприятия,выполняемые на протяжениивсего жизненного цикла АИС. Они ориентированы на людей (а не на технические средст-ва) и подразделяются на:
— управление персоналом;
— физическая защита;
— поддержание работоспособности;
— реагирование на нарушения режима безопасности;
— планирование восстановительных работ.
Программно-технические меры защиты основаны на использовании специальныхаппаратных средств и программного обеспечения, входящих в состав АИС и выполняю-щих функции защиты: шифрование, аутентификацию, разграничение доступа к ресурсам, регистрацию событий, поиск и удаление вирусов и т.д. Они будут подробно рассмотрены в следующих главах.
