БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ СИСТЕМ

ЗАЩИЩЕННАЯ ИНФОРМАЦИОННАЯ СИСТЕМА

После изучения этой главы студент должен:

знать

  • o основные понятия, категории и инструменты проектирования, разработки, внедрения и управления информационными технологиями предприятия и информационной защиты;
  • o содержание концепции информационной безопасности, управления защитой информации, информационных и вычислительных систем;
  • o методы разработки совокупности общей и частных политик в области информационной защиты;
  • o методы анализа и построения защиты локальных внутренних и распределенных внешних вычислительных и информационных сетей предприятия;
  • o основные международные и российские стандарты в области информационной безопасности;
  • o конкретные аппаратные устройства и программные приложения для обеспечения информационной безопасности;

уметь

  • o анализировать внешнюю и внутреннюю среду предприятия с точки зрения информационной безопасности, выявлять ее ключевые элементы и оценивать их влияние на предприятие;
  • o использовать полученные данные для разработки политики информационной безопасности для всех уровней управления;
  • o разрабатывать стратегию комплексной информационной защиты предприятия;
  • o ставить и решать оперативные задачи реализации защиты данных, информации, информационных и вычислительных систем во всех подразделениях предприятия;
  • o разрабатывать конкретные меры по обеспечению корпоративной информационной безопасности с учетом конкурентной ситуации и стратегии развития организации;
  • o ориентироваться в современных программно-аппаратных системах информационной защиты применительно к конкретному предприятию;

владеть

  • o понятийным аппаратом в области информационной безопасности;
  • o методами формулирования и реализации стратегий информационной защиты на уровне бизнес-единицы и всего предприятия;
  • o навыками применения современных систем и инструментов защиты информации для решения практических задач обеспечения такой защиты;
  • o методами разработки и реализации программ информационной защиты;
  • o навыками применения методик экономического анализа для оценки совокупной стоимости систем защиты информации и стоимости их сопровождения.

Определение защищенной информационной системы

В отличие от корпоративных сетей, подключенных к Интернету, где обычные средства безопасности в большой степени решают проблемы защиты внутренних сегментов сети от злоумышленников, распределенные корпоративные информационные системы, системы электронной коммерции и предоставления услуг пользователям Интернета предъявляют повышенные требования в плане обеспечения информационной безопасности.

Межсетевые экраны, системы обнаружения атак, сканеры для выявления уязвимостей в узлах сети, ОС и СУБД, фильтры пакетов данных на маршрутизаторах - достаточно ли всего этого мощного арсенала (так называемого жесткого периметра) для обеспечения безопасности критически важных информационных систем, работающих в Интернете и Интранете? Практика и накопленный к настоящему времени опыт показывают - чаще всего нет!

Концепция "Защищенные информационные системы" включает в себя ряд законодательных инициатив, научных, технических и технологических решений, готовность государственных организаций и компаний использовать их для того, чтобы люди, используя устройства на базе компьютеров и ПО, чувствовали себя так же комфортно и безопасно (табл. 20.1).

В "Оранжевой книге" надежная информационная система определяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную достоверную обработку информации разной степени секретности различными пользователями или группами пользователей без нарушения прав доступа, целостности и конфиденциальности данных и информации, и поддерживающая свою работоспособность в условиях воздействия на нее совокупности внешних и внутренних угроз".

Таблица 20.1

Трехуровневая модель проблемы защищенности ИС

Система целей

Средства

Исполнение

Общая цель:

защищенные

информационные

системы

Цели:

безопасность

безотказность

деловое взаимодействие

Установки:

защищенность

конфиденциальность

целостность

готовность к работе

точность

управляемость

безотказность

прозрачность

удобство пользования

Подтверждения:

внутренняя оценка

аккредитация

внешний аудит

Обеспечение:

законы, нормы

характер ведения бизнеса

контракты, обязательства

внутренние принципы

международные, отраслевые, и внутренние стандарты Реализация:

методы взаимодействия с внешней и внутренней средой

методы работ

анализ рисков

методы разработки, внедрения,

эксплуатации и сопровождения

обучение

Это качественное определение содержит необходимое достаточное условие безопасности. При этом не обусловливается, какие механизмы и каким образом реализуют безопасность - практическая реализация зависит от многих факторов: вида и размера бизнеса, предметной области деятельности компании, типа информационной системы, степени ее распределенности и сложности, топологии сетей, используемого ПО и т.д. В общем случае можно говорить о степени доверия, или надежности систем, оцениваемых по двум основным критериям.

  • 1. Наличие и полнота политики безопасности - набор внешних и корпоративных стандартов, правил и норм поведения, отвечающих законодательным актам страны и регламентирующих сбор, обработку, распространение и защиту информации. В частности, стандарты и правила определяют, в каких случаях и каким образом пользователь имеет право оперировать с конкретными наборами данных. В политике сформулированы права и ответственности пользователей и персонала отделов информационной безопасности (ИБ), позволяющие выбирать механизмы защиты безопасности системы. Политика безопасности - это активный компонент защиты, включающий в себя анализ возможных угроз и рисков, выбор мер противодействия и методологию их применения. Чем больше информационная система и чем больше она имеет "входов" и "выходов" (распределенная система), тем "строже", детализированнее и многообразнее должна быть политика безопасности.
  • 2. Гарантированность безопасности - мера доверия, которая может быть оказана архитектуре, инфраструктуре, программно-аппаратной реализации системы и методам управления ее конфигурацией и целостностью. Гарантированность может проистекать как из тестирования и верификации, так и из проверки (системной или эксплуатационной) общего замысла и исполнения системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность является пассивным, но очень важным компонентом защиты, реализованным качеством разработки, внедрения, эксплуатации и сопровождения информационной системы и заложенных принципов безопасности.

Концепция гарантированности является центральной при оценке степени защиты, с которой информационную систему можно считать надежной. Надежность обеспечивается всей совокупностью защитных механизмов системы в целом и надежностью вычислительной базы (ядра системы), отвечающих за проведение в жизнь политики безопасности. Надежность вычислительной базы определяется ее реализацией и корректностью исходных данных, вводимых административным и операционным персоналом. Компоненты вычислительной базы могут не быть абсолютно надежными, однако это не должно влиять на безопасность системы в целом.

Основное назначение надежной вычислительной базы - выполнять функции монитора обращений и действий, т.е. контролировать допустимость выполнения пользователями определенных операций над объектами. Монитор проверяет каждое обращение к программам или данным на предмет их согласованности со списком допустимых действий. Таким образом, важным средством обеспечения безопасности является механизм подотчетности или протоколирования. Падежная система должна фиксировать все события, касающиеся безопасности, а ведение протоколов дополняется аудитом - анализом регистрационной информации.

Эти общие положения являются основой для проектирования и реализации безопасности открытых информационных систем.

 
< Пред   СОДЕРЖАНИЕ     След >