Информационная безопасность предприятия
1. Понятие информационной безопасности • • Понятие информационной безопасности может рассматриваться в следующих значениях: состояние защищенности жизненно важных интересов личности, общества, государства в информационной сфере от внешних и внутренних угроз, обеспечивающее ее формирование, использование и развитие. деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении чаще используется термин «защита информации» ). Информационная безопасность организации — целенаправленная деятельность ее органов и должностных лиц с использованием разрешенных сил и средств по достижению состояния защищённости информационной среды организации, обеспечивающее её нормальное функционирование и динамичное развитие.
• • • Информация - это сведения о лицах, предметах, фактах, событиях и процессах. Выделяется более двадцати видов информации по ее отраслевой принадлежности и востребованности в обществе (правовая, научная, финансовая, банковская, коммерческая, медицинская и т. д. ). Нет объективной необходимости обеспечивать защиту всей информации, поэтому принято подразделять информацию на открытую и ограниченного доступа. Для эффективного решения задач защиты информации целесообразно в качестве объекта защиты выбирать информацию ограниченного доступа. Конфиденциальная информация - доверительная, не подлежащая огласке информация, доступ к которой ограничивается в соответствии с законодательством. Конфиденциальность информации определяет и доверяет посторонним лицам владелец этой информации. К конфиденциальной информации относятся сведения, составляющие тайну частной жизни, профессиональную, служебную, коммерческую тайну.
2. Угрозы и риски информационной безопасности • • Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку - злоумышленником. Потенциальные злоумышленники называются источниками угрозы. Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении). Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на информационную безопасность.
Угрозы можно классифицировать по нескольким критериям: • по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь; • по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); • по способу осуществления (случайные/преднамеренные действия природного/техногенного характера); • по расположению источника угроз (внутри/ вне рассматриваемой информационной системе). Неправомерное овладение конфиденциальной информацией возможно путем ее разглашения источниками сведений, утечки информации через технические средства и несанкционированного доступа к охраняемым сведениям. • Разглашение – это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. • Утечка – это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. • Несанкционированный доступ – это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам
Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль. Другие угрозы доступности классифицируются по компонентам информационных систем, на которые нацелены угрозы: 1) отказ пользователей; 2) внутренний отказ информационной системы; 3) отказ поддерживающей инфраструктуры.
Обычно применительно к пользователям рассматриваются следующие угрозы: 1. нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками); 2. невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т. п. ); 3. невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т. п. ).
Основными источниками внутренних отказов являются: 1. отступление (случайное или умышленное) от установленных правил эксплуатации; 2. выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т. п. ); 3. ошибки при (пере-) конфигурировании системы; 4. отказы программного и аппаратного обеспечения; 5. разрушение данных; 6. разрушение или повреждение аппаратуры.
• • По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы: нарушение работы (случайное или умышленное) систем связи, электропитания, водо - и/или теплоснабжения, кондиционирования; разрушение или повреждение помещений; невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т. п. ). Весьма опасны так называемые "обиженные" сотрудники - нынешние и бывшие. Как правило, они стремятся нанести вред организации-"обидчику", например: испортить оборудование, встроить логическую бомбу, удалить данные.
3. Правовые основы информационной безопасности Федеральным законом «Об участии в международном информационном обмене» определено понятие информационной безопасности как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. • • • В соответствии с предписаниями Федерального закона «Об информации, информатизации и защите информации» целями защиты информационной сферы являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение угроз безопасности личности, общества, государства; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
В соответствии с предписаниями Федерального закона «Об информации, информатизации и защите информации» : 1. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Режим защиты информации устанавливается: • в отношении сведений, отнесенных к государственной тайне, - уполномоченными органами на основании Закона Российской Федерации "О государственной тайне «; • в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона; • в отношении персональных данных - федеральным законом. 2. Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, подлежащих защите, а также органы и организации, разрабатывающие и применяющие информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации. 3. Контроль за соблюдением требований к защите информации и эксплуатацией специальных программнотехнических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством Российской Федерации. 4. Организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации. 5. Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. 6. Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.
4. Меры обеспечения информационной безопасности По способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на: • • Правовые (законодательные) - действующие в стране нормативно-правовые акты, препятствующие неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Морально-этические - нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, однако, их несоблюдение ведет к падению авторитета человека, группы лиц или организации. Технологические - технологические решения и приемы, основанные обычно на использовании некоторых видов избыточности (структурной, функциональной, информационной, временной и т. п. ) и направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий. Организационные меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
• • • Для защиты компьютерных систем от неправомерного вмешательства в процессы их функционирования и НСД к информации используются следующие основные защитные механизмы : идентификация (именование и опознавание), аутентификация (подтверждение подлинности) пользователей системы; разграничение доступа пользователей к ресурсам системы и авторизация (присвоение полномочий) пользователям; регистрация и оперативное оповещение о событиях, происходящих в системе (аудит) ; криптографическое закрытие хранимых и передаваемых по каналам связи данных; контроль целостности и аутентичности (подлинности и авторства) данных; выявление и нейтрализация действий компьютерных вирусов; затирание остаточной информации на носителях; выявление уязвимостей (слабых мест) системы; изоляция (защита периметра) компьютерных сетей (фильтрация трафика, скрытие внутренней структуры и адресации, противодействие атакам на внутренние ресурсы и т. д. ); обнаружение атак и оперативное реагирование. ; Резервное копирование; Маскировка.
5. Организация системы обеспечения информационной безопасности • Конечной целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки. • Основной задачей системы защиты является обеспечение необходимого уровня доступности, целостности и конфиденциальности компонентов (ресурсов) АС соответствующими множеству значимых угроз методами и средствами.
Субъекты, влияющие на состояние информационной безопасности Департамент безопасности • Аналитики • Администраторы дополнительных средств защиты Посторонние лица Руководство организации Компоненты и ресурсы Департамент автоматизации • Программисты • Группа внедрения и сопровождения ПО • Группа обслуживания и ремонта технических средств • Администраторы штатных средств защиты Подразделения • Сотрудники
• • • Политика информационной безопасности предприятия представляет собой совокупность документированных управленческих решений и разработанных превентивных мер, направленных на защиту информационных ресурсов. Иными словами, это документ, на основе которого строится система обеспечения безопасности. Документ, характеризующий политику информационной безопасности организации, следующие пункты: - вводный, подтверждающий заинтересованность высшего руководства проблемами информационной безопасности; - организационный, содержащий описание подразделений, комиссий, групп и т. д. , отвечающих за работы в области информационной безопасности; - классификационный, описывающий имеющиеся на предприятии материальные и информационные ресурсы и необходимый уровень их защиты; - штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения, порядок реагирования на нарушение режима и т. д. ); - раздел, освещающий вопросы физической защиты информации; - раздел управления, описывающий подход к управлению компьютерами и сетями передачи данных; - раздел, описывающий правила разграничения доступа к производственной информации; - раздел, описывающий порядок разработки и внедрения систем; - раздел, описывающий меры, направленные на обеспечение непрерывной работы организации (доступности информации); - юридический раздел, подтверждающий соответствие политики информационной безопасности текущему законодательству.
• • • Начать составление политики следует с анализа рисков. Анализ рисков состоит из двух основных этапов: инвентаризация и классификация информационных ресурсов. Инвентаризация информационных ресурсов поможет в определении степени необходимой защиты, контроле защищенности, а также будет полезна в других областях, как-то охрана труда и техника безопасности, страхование, финансы. В качестве ресурсов, связанных с информационных технологий, могут выступать: информационные ресурсы: файловые хранилища, базы данных, документация, учебные пособия, документы процедурного уровня (инструкции и т. д. ); программные ресурсы: прикладное и системное программное обеспечение, утилиты и т. д. ; физические ресурсы: вычислительное и коммуникационное оборудование, носители данных (ленты и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения; сервисы: отопление, освещение, энергоснабжение, кондиционирование воздуха; человеческие ресурсы.
• • После инвентаризации производится классификация ресурсов. Ценность каждого ресурса обычно представляется как функция нескольких дискретных переменных В качестве основной переменной обычно выбирают степень конфиденциальности информации Следующей переменной может быть выбрано отношение того или иного ресурса к нарушениям основных трех аспектов информационной безопасности. Производится анализ рисков. Для каждого из информационных ресурсов определяется его интегральная ценность и возможные угрозы. Каждая из угроз оценивается с точки зрения её применимости к данному ресурсу, вероятности возникновения и возможного ущерба. На основе результатов этого анализа составляется классификационный раздел политики информационной безопасности.
6. Технические и программные средства обеспечения информационной безопасности предприятия На технические и программные средства зашиты информации возлагают решение следующих основных задач: • • Защиту от вмешательства в процесс функционирования системы посторонних лиц (возможность использования автоматизированной системы и доступ к ее ресурсам должны иметь только зарегистрированные установленным порядком пользователи - сотрудники подразделений организации); Разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам (обеспечение возможности доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения ими своих служебных обязанностей); Регистрацию действий пользователей при использовании защищаемых ресурсов в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов сотрудниками подразделений компьютерной безопасности; Оперативный контроль за работой пользователей системы и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы; Защиту от несанкционированной модификации (обеспечение неизменности, целостности) используемых программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы и вредоносные «программызакладки» ; Защиту хранимой, обрабатываемой и передаваемой по каналам связи информации ограниченного распространения от несанкционированного разглашения, искажения подмены или фальсификации; Обеспечение аутентификации абонентов, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации); Гибкое управление всеми защитными механизмами.
При проектировании систем технической защиты необходимо выполнять следующие принципы: • Непрерывность защиты информации в пространстве и во времени, постоянная готовность и высокая степень эффективности по ликвидации угроз информационной безопасности; • Многозональность и многорубежность защиты, задающее размещение информации различной ценности во вложенных зонах с контролируемым уровнем безопасности; • Избирательность в выборе первоочередности защиты наиболее важной информации; • Интеграция (взаимодействие) различных систем защиты информации с целью повышения эффективности многокомпонентной системы безопасности; • Создание централизованной службы безопасности в интегрированных системах.
По своему функциональному назначению средства инженерно-технической защиты подразделяются на следующие группы: • Инженерные средства, представляющие собой различные сооружения и устройства, предотвращающие физическое проникновение злоумышленников на защищаемые объекты; • Аппаратные средства, представляющие собой измерительные приборы и устройства, программно-аппаратные комплексы, предназначенные для выявления каналов утечки информации, оценки их характеристик по защите информации; • Программные комплексы и средства системы защиты информации в информационных системах различного назначения и в основных средствах обработки данных; • Криптографические средства защиты компьютерной информации, передаваемой по открытым каналам передачи данных и сетям связи.
Скачать презентацию Информационная безопасность предприятия 1 Понятие информационной безопасности
Zaschita_informacii.ppt