Меры противодействия угрозам безопасности

По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на: законодательные (правовые), административные (организаци-онные), процедурные и программно-технические.

К законодательным мерам защиты относятся действующие в стране нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил. Важное значение имеют стандарты в области защиты информации (в первую очередь, ме-ждународные). Среди этих стандартов выделяются «Оранжевая книга», рекомендации X.800 и «Общие критерии оценки безопасности информационных технологий» (Common Criteria for IT Security Evaluation).

«Оранжевая книга» — крупнейший базовый стандарт. В ней даются важнейшие по-нятия, определяются основные сервися безопасности и предлагается метод классифика-ции информационных систем по требованиям безопасности.

Рекомендации X.800 в основном посвящены вопросам защиты сетевых конфигура-ций. Они предлагают развитый набор сервисов и механизмов безопасности.

«Общие критерии» описывают 11 классов, 66 семейств и 135 компонентов функцио-нальных требований безопасности. Классам присвоены следующие названия:

Первая группа определяет элементарные сервисы безопасности:

1.FAU — аудит, безопасность (требования к сервису, протоколирование и аудит);

2.FIA — идентификация и аутентификация;

3.FRU — использование ресурсов (для обеспечения отказоустойчивости).

Вторая группа описывает производные сервисы, реализованные на базе элементарных:

4.FCO — связь (безопасность коммуникаций отправитель-получатель);

5.FPR — приватность;

6.FDP — защита данных пользователя;

7.FPT — защита функций безопасности объекта оценки.

Третья группа классов связана с инфраструктурой объекта оценки:

8. FCS — криптографическая поддержка (обслуживает управление криптоключами и крипто-операциями);

9.FMT — управление безопасностью;

10. FTA — доступ к объекту оценки (управление сеансами работы пользователей);

11. FTP — доверенный маршрут/канал;

Кроме этого «Общие критерии» содержат сведения о том, каким образом могут быть достигнуты цели безопасности при современном уровне информационных технологий и позволяют сертифицировать систему защиты (ей присваивается определенный уровень безопасности).

Осенью 2006 года в России был принят национальный стандарт ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология — Практические правила управления инфор-мационной безопасностью», соотвествующий международному стандарту ИСО 17799. Стандарт представляет собой перечень мер, необходимых для обеспечения информацион-ной безопасности организации, включая действия по созданию и внедрению системы управления информационной безопасности, которая строится таким же образом и на тех же принципах, что и система менеджмента качества, и совместима с ней.

Административные меры защиты —меры организационного характера,регламен-тирующие процессы функционирования АИС, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:

1. Подбор и подготовку персонала системы.

2. Организацию охраны и пропускного режима.

3. Организацию учета, хранения, использования и уничтожения документов и носи-телей с информацией.

4. Распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.д.).

В составе административных мер защиты важную роль играет формирование про-граммы работ в области информационной безопасности и обеспечение ее выполнения (для этого необходимо выделять необходимые ресурсы и контролировать состояние дел). Ос-новой программы является политика безопасности организации — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, ко-торыми руководствуется организация в своей деятельности. Разработка политики безопасности включает определение следующих основных моментов:

— какие данные и насколько серьезно необходимо защищать;

— кто и какой ущерб может нанести организации в информационном аспекте;

— основные риски и способы их уменьшения до приемлемой величины.

С практической точки зрения политику безопасности можно условно разделить на три уровня: верхний, средний и нижний.

К верхнему уровню относятся решения,затрагивающие организацию в целом(какправило, носят общий характер и исходят от руководства). Например, цели организации в области информационной безопасности, программа работ в области информационной безопасности (с назначением ответственных за ее реализацию).

К среднему уровню относятся вопросы, касающиеся отдельных аспектов информа-ционной безопасности, но важные для различных систем, эксплуатируемых организацией (например, использование на работе персональных ноутбуков, установка непроверенного программного обеспечения, работа с Интернетом и т.д.).

Политика безопасности нижнего уровня касается конкретных сервисов и должна быть наиболее детальной. Часто правила достижения целей политики безопасности ниж-него уровня заложены в эти сервисы на уровне реализации [см. 4. С. 148—149].

Меры процедурного уровня —отдельные мероприятия,выполняемые на протяжениивсего жизненного цикла АИС. Они ориентированы на людей (а не на технические средст-ва) и подразделяются на:

— управление персоналом;

— физическая защита;

— поддержание работоспособности;

— реагирование на нарушения режима безопасности;

— планирование восстановительных работ.

Программно-технические меры защиты основаны на использовании специальныхаппаратных средств и программного обеспечения, входящих в состав АИС и выполняю-щих функции защиты: шифрование, аутентификацию, разграничение доступа к ресурсам, регистрацию событий, поиск и удаление вирусов и т.д. Они будут подробно рассмотрены в следующих главах.