Служба защиты информации предприятия Проблемы и задачи крупных компаний сегодня стали сравнимы с проблемами и задачами целых государств. Как и государства, они сотрудничают и воюют. Но войны здесь носят название информационных: кто обладает информацией, владеет если не миром, то финансовыми потоками. Тем не менее, как ни странно, но и сегодня не все руководители осознают насущную необходимость организации на их предприятии системы защиты коммерческой тайны. Из числа тех, кто такую необходимость все же понимает, достаточно многие не знают, что следует делать, дабы сохранить те или иные сведения в тайне, с выгодой реализовать их, не понести убытки от их утечки или утраты. Некоторые идут только по пути оснащения предприятия техническим средствами защиты, полностью игнорируя организационно-правовые методы. Имеется в виду, в частности, создание нормативно-правовой базы, принятие и строгое соблюдение которой позволит фирме не только сохранить и использовать с выгодой свои секреты, но в случае утечки информации явится основанием для подачи искового заявление. Как ни странно, сегодня не многие руководители предприятий осознают насущную необходимость в организации на предприятии системы защиты коммерческой тайны для обеспечения его информационной безопасностью.
Целями системы защиты информации предприятия являются: * предотвращение утечки, хищения, утраты, искажения, подделок информации; * предотвращение угроз безопасности личности, предприятия, общества, государства; * предотвращение несанкционированных действий по уничтожении, модификации, искажению, копированию, блокировании информации; * предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности; * защита конституционных прав граждан на сохранение лично тайны и конфиденциальности персональных данных, имеющихся в информационных системах; * сохранение, конфиденциальности документированной информации в соответствии с законодательство.
Для грамотного построения и эксплуатации системы защиты необходимо соблюсти следующие принципы ее применения: * простота защиты; * приемлемость защиты для пользователей; * подконтрольность системы защиты; * постоянный контроль за наиболее важной информацией; *дробление конфиденциальной информации на составляющие элементы, доступ к которым имеют разные пользователи; * минимизация привилегий по доступу к информации; *установка ловушек для провоцирования несанкционированны действий; * независимость системы управления для пользователей; * устойчивость защиты во времени и при неблагоприятных обстоятельствах; * глубина защиты, дублирование и перекрытие защиты; * особая личная ответственность лиц, обеспечивающих безопасность информации; * минимизация общих механизмов защиты.
Алгоритм создания системы защиты конфиденциально информации * Определение объектов защиты. * Выявление угроз и оценка их вероятности. * Оценка возможного ущерба. * Обзор применяемых мер защиты, определение их недостаточности. * Определение адекватных мер защиты. * Организационное, финансовое, юридическое и пр. виды обеспечения мер защиты. * Внедрение мер защиты. * Контроль. * Мониторинг и корректировка внедренных мер.
НАЧАЛЬНИК СЛУЖБЫ ЗАЩИТЫ ИНФОРМАЦИИ Начальник службы защиты информации, приказом руководителя предприятия назначается во главе группы компетентных сотрудников, которые высказывают свои предложения по объему, уровню и способам обеспечения сохранности конфиденциальной информации. 2. Руководитель группы, обладая соответствующей квалификации в этой области, с привлечением отдельных специалистов формирует предварительный список сведений, которые в дальнейшее войдут в «Перечень сведений, составляющих конфиденциальную информацию предприятия» . 3. Руководитель группы на основе этого списка определяет и представляет на согласование необходимые к защите объекты (оборудование для обработки и обращения информации, программно обеспечение, коммуникации для передачи конфиденциальны данных, носители информации, персонал, допущенный к работе с использованием коммерческой и иной тайны). 4. Анализируются существующие меры защиты соответствующе объектов, определяется степень их недостаточности, неэффективности, физического и морального износа. 5. Изучаются зафиксированные случаи попыток несанкционированного доступа к охраняемым информационным ресурсам и разглашения информации. 1.
(продолжение) 6. На основе опыта предприятия, а также используя метод моделировании ситуаций, группа специалистов выявляет возможные пути несанкционированных действий по уничтожению информации, ее копированию, модификации, искажению, использованию и т. п. Угрозы ранжируются по степени значимости и классифицируются по видам воздействия. 7. На основе собранных данных оценивается возможный ущерб предприятия от каждого вида угроз, который становится определяющим фактором для категорирования сведений в «Перечне» по степени важности, например — для служебного пользовании, конфиденциально, строго конфиденциально. 8. Определяются сферы обращения каждого вида конфиденциально информации: по носителям, по территории распространяется, по допущенным пользователям. Для решения этой задач группа привлекает руководителей структурных подразделений и изучает их пожелания. 9. Группа подготавливает введение указанных мер защиты. Для обеспечения работоспособности разработанной системы защиты информации необходимо создать специальный отдел в составе организации, занимающийся данными вопросами – Службу защиты информации (Сл. ЗИ).
К задачам Сл. ЗИ относятся: * Своевременное выявление угроз защищаемой информации компании, причин и условий их возникновения и реализации. * Выявление и максимальное перекрытие потенциально возможных каналов и методов несанкционированного доступа к информации. * Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженернотехнических средств и методов выявления и нейтрализации источников угроз безопасности компании. * Организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации.
(продолжение) Начальник Сл. ЗИ является новой штатной единицей. В большинстве случае, если установлено скрытое видеонаблюдение, он единственный должен об этом знать, не учитывая непосредственное руководство. На эту должность необходимо взять профессионала и специалиста в области защиты информации, а также хорошо знающего юридическую сторону этой проблемы, имеющего опыт руководства и координации работы подобных служб. Требования – высшее профессиональное образование и стаж работы в области защиты информации не менее 5 лет, хорошее знание законодательных актов в этой области, принципов планирования защиты.
ФУНКЦИОНАЛЬНЫЕ ОБЯЗАННОСТИ РУКОВОДИТЕЛЯ СЛЗИ - вырабатывать политику обеспечения защиты информации и обеспечивать ее реализацию; - отвечать за функционирование Сл. ЗИ и обеспечение защиты конфиденциальной информации; - осуществлять планирование и непосредственное руководство работой Сл. ЗИ, нести персональную ответственность за выполнение службой возложенных на нее задач, за неукоснительное исполнение подчиненными своих должностных обязанностей и правил внутреннего трудового распорядка; - принимать личное участие в проведении наиболее сложных мероприятий по обеспечению защиты информации в компании; - разрабатывать планы действий в чрезвычайных ситуациях, проводить регулярную учебу с подчиненными;
(продолжение) - руководить проведением служебных расследований; - организовывать взаимодействие Сл. ЗИ с другими подразделениями; - разработка инструкций по работе с коммерческой тайной для персонала, допущенного к работе с документами, ее содержащую; - организовывать разработку рекомендаций по совершенствованию функционирования СЗИ; - осуществлять руководство отделом охраны; - кроме того, выполнять функции юриста: разработка, ведение и обновление основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты конфиденциальной информации; - в случае необходимости, периодически проводить поиск жучков.
ПОДРАЗДЕЛЕНИЕ ПРОГРАММНО-АППАРАТНОЙ ЗАЩИТЫ ИНФОРМАЦИИ Целями защиты информации, обрабатываемой и хранимой в ПЭВМ, являются: 1. Предотвращение потери и утечки информации, перехвата и вмешательства злоумышленника на всех уровнях обработки данных и для всех объектов. 2. Обеспечение целостности данных на всех этапах их преобразования и сохранности средств программного обеспечения. Задачи подразделения: - Предотвращение несанкционированного доступа (НСД) к информации. - Предотвращение утечки информации за счет ПЭМИН. - Защита информации от компьютерных вирусов. - Защита информации от сбоев в системе питания. - Защита от копирования. - Программная защита каналов передачи данных.
ПОДРАЗДЕЛЕНИЕ ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ Инженерно-техническая защита информации предназначена для активно-пассивных противодействий средствам технической разведки и формирования рубежей охраны территории, зданий, помещений, оборудования с помощью комплексов технических средств и включает себя: 1. Сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здания и помещения. 2. Средства защиты технических каналов утечки информации при работе ЭВМ, средств связи, других приборов и офисного оборудования, при проведении совещаний, беседах с посетителями и сотрудниками. 3. Средства защиты помещений от визуальных способов технической разведки. 4. Средства обеспечения охраны территорий, зданий, помещений. 5. Средства противопожарной охраны. 6. Технические средства и мероприятия, предотвращающие вынос персоналом из помещений документов, дискет, дисков и других носителей информации.
ПОДРАЗДЕЛЕНИЕ КОНФИДЕНЦИАЛЬНОГО ДЕЛОПРОИЗВОДСТВА Задачи подразделение конфиденциального делопроизводства. 1. Обработка и хранение конфиденциальных документов. 2. Контроль системы конфиденциального документооборота. В не очень больших организациях целесообразно организовать Службу защиты информации в следующем составе: - Руководитель Сл. ЗИ, - сотрудник, занимающийся программно-аппаратной защитой, - сотрудник, занимающийся инженерно-технической защитой. Примечание: Функции конфиденциального делопроизводства возложить на уже имеющихся сотрудников, занимающихся в данное время созданием и обработкой документов, содержащих конфиденциальную информацию.
НОРМАТИВНЫЕ ДОКУМЕНТЫ ДЛЯ РАБОТЫ СЛЗИ Для работы Сл. ЗИ необходимо подготовить ряд нормативных документов: 1. Положение о Сл. ЗИ; 2. Инструкцию по безопасности конфиденциальной информации. 3. Перечень сведений составляющих конфиденциальную информацию. 4. Инструкцию по работе с конфиденциальной информацией. 5. Должностные инструкции сотрудников Сл. ЗИ. 6. Инструкцию по обеспечению пропускного режима в компании. 7. Памятку работнику (служащему) о сохранении конфиденциальной информации.
ПАКЕТ ДОКУМЕНТОВ ДЛЯ ОБЕСПЕЧЕНИЯ ПОЛНОЦЕННОЙ ЗАЩИТЫ Для обеспечения полноценной организационной и правовой защиты информации необходимо разработать пакет документов, включающий в себя: 1. Положение о конфиденциальной информации предприятия; 2. Перечень документов предприятия, содержащих конфиденциальную информацию; 3. Инструкция по защите конфиденциальной информации в информационной системе предприятия; 4. Предложения по внесению изменений в Устав предприятия; 5. Предложения по внесению изменений в трудовой договор, контракт с руководителем и коллективный договор; 6. Соглашение о неразглашении конфиденциальной информации предприятия с сотрудником; 7. Обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении; 8. Предложения о внесении изменений в Правила внутреннего распорядка предприятия (в части регламентации мер физической защиты информации и вопросов режима);
(продолжение) 9. Предложения о внесении изменений в должностное (штатно) расписание предприятия (штат Службы защиты информации); 10. Предложения о внесении дополнений в должностные инструкци всему персоналу; 11. Ведомость ознакомления сотрудников предприятия с Положением о конфиденциальной информации и Инструкцией по защите конфиденциальной информации в ИС предприяти; 12. План проведения занятий с персоналом по сохранению и неразглашению конфиденциальной информации; 13. Предложения о внесении изменений в структуру интервью приеме на работу (уточнение обязательств информационног характера с последних мест работы); 14. Предложения о внесении дополнений в стандартные договор с контрагентами.
ДОКУМЕНТАЦИОННОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ Документационное обеспечение защиты должно начинаться с внесения дополнений в Устав предприятия: «Предприятие имеет право самостоятельно устанавливать объем сведений, составляющих коммерческую и иную охраняемую законом тайну и порядок ее защиты. Общество имеет право в целях защиты экономического суверенитета требовать от персонала, партнеров, контрагентов и иных физических и юридических лиц, учреждений и организаций обеспечения сохранности, конфиденциальных сведении предприятия на основании договоров, контрактов и других документов» . Для разработки всех документов, затрагивающих вопросы работы с конфиденциальной информацией необходимо в первую очередь разработать «Положение о конфиденциальной информации» . Формат всех документов, регулирующих защиту конфиденциально информации, утверждается приказом руководителя. Положение же является основным документом предприятия, регламентирующим вопросы оборота конфиденциальной информации. Все базовые моменты, связанные с этим процессом, закладываются именно здесь.
КАТЕГОРИИ КОНФИДЕНЦИАЛЬНОСТИ По основные виды информации распределяются примерно следующим образом. Самый низкий гриф конфиденциальности «ДСП» ставится на телефонные справочники, в которых указываются отдельные данные о кадровом составе или партнерах. Также этот гриф ставится на журналы регистрации, документы, регламентирующие деятельность, служебную переписку (заявления, распоряжения, приказы, докладные и т. д. ). К категории документов с грифом “КОНФИДЕНЦИАЛЬНО” относится информация об отдельных аспектах деловых сделок за короткий промежуток времени; развернутые сведения о персонале компании; текущие документы, отражающие финансовую деятельность; документы, содержащие данные о клиентах, не предоставляемые третьим лицам.
Гриф “СТРОГО КОНФИДЕНЦИАЛЬНО” присваивается документам, содержащим данные о деловых сделках с партнерами или клиентами фирмы, об итогах деятельности за продолжительный период времени. Кроме этого, подобный гриф присваивается документам, содержащим важнейшие аспекты коммерческой деятельности компании, стратегии деятельности, документам, содержащим детальную информацию о финансовом положении. Классификации по уровню конфиденциальности подлежат все документы в соответствии с планом мероприятий по обеспечению безопасности компании. Вопрос о присвоении грифа решается разработчиком документа при участии руководителя Сл. ЗИ. В случае, когда ценность информации по каким-либо причинам снижается, снижается и гриф документа. Отдельного упоминания заслуживает вопрос о сроках действия грифов конфиденциальности. Срок секретности определяется создателем документа, исполнителем, лицом, подписывающим или утверждающим документ по согласованию руководителем Сл. ЗИ. Срок может указываться в виде периода грифа, в виде даты окончания грифа, наступления определенного события, на которое сориентирован документ, или надписи «бессрочно» . В иных случаях решение вопроса о снятии грифа остается за руководителем Сл. ЗИ.
Должностная инструкция инженера по защите информации
1. ОБЩИЕ ПОЛОЖЕНИЯ 1. 1. Настоящая должностная инструкция определяет функциональные обязанности, права и ответственность Инженера по защите информации. 1. 2. Инженер по защите информации назначается на должность и освобождается от должности в установленном действующим трудовым законодательством порядке приказом директора предприятия. 1. 3. Инженер по защите информации подчиняется непосредственно директору предприятия. 1. 4. На должность Инженера по защите информации назначается лицо, имеющее: 1. 4. 1. Требования к квалификации. Высшее профессиональное (техническое) образование без предъявления требований к стажу работы или среднее профессиональное (техническое) образование и стаж работы в должности техника по защите информации I категории не менее 3 лет либо других должностях, замещаемых специалистами со средним профессиональным образованием, не менее 5 лет.
1. 5. Инженер по защите информации должен знать: - постановления, распоряжения, приказы, методические и нормативные материалы по вопросам, связанным с обеспечением технической защиты информации; - специализацию предприятия и особенности его деятельности; - методы и средства получения, обработки и передачи информации; - научно-техническую и другую специальную литературу по техническому обеспечению защиты информации; - технические средства защиты информации; - программно-математические средства защиты информации; - порядок оформления технической документации по защите информации; - каналы возможной утечки информации; - методы анализа и защиты информации; - организацию работ по защите информации; - инструкции по соблюдению режима проведения специальных работ; - отечественный и зарубежный опыт в области технической разведки и защиты информации; - основы экономики, организации производства, труда и управления; - основы трудового законодательства; - правила и нормы охраны труда. 1. 6. В период временного отсутствия Инженера по защите информации его обязанности возлагаются на зам. директору по режиму.
2. ФУНКЦИОНАЛЬНЫЕ ОБЯЗАННОСТИ 2. 1. Функциональные обязанности Инженера по защите информации определены на основе и в объеме квалификационной характеристики по должности Инженера по защите информации и могут быть дополнены, уточнены при подготовке должностной инструкции исходя из конкретных обстоятельств. 2. 2. Инженер по защите информации: 2. 2. 1. Выполняет работу по проектированию и внедрению специальных технических и программно-математических средств защиты информации, обеспечению организационных и инженерно-технических мер защиты информационных систем, проводит исследования с целью нахождения и выбора наиболее целесообразных практических решений в пределах поставленной задачи. 2. 2. 2. Осуществляет подбор, изучение и обобщение научно-технической литературы, нормативных и методических материалов по техническим средствам и способам защиты информации. 2. 2. 3. Участвует в рассмотрении проектов технических заданий, планов и графиков проведения работ по технической защите информации, в разработке необходимой технической документации. 2. 2. 4. Составляет методики расчетов и программы экспериментальных исследований по технической защите информации, выполняет расчеты в соответствии с разработанными методиками и программами.
(продолжение) 2. 2. 5. Проводит сопоставительный анализ данных исследований и испытаний, изучает возможные источники и каналы утечки информации. 2. 2. 6. Осуществляет разработку технического обеспечения системы защиты информации, техническое обслуживание средств защиты информации, принимает участие в составлении рекомендаций и предложений по совершенствованию и повышению эффективности защиты информации, в написании и оформлении разделов научно-технических отчетов. 2. 2. 7. Составляет информационные обзоры по технической защите информации. Выполняет оперативные задания, связанные с обеспечением контроля технических средств и механизмов системы защиты информации, участвует в проведении проверок учреждений, организаций и предприятий по выполнению требований нормативно-технической документации по защите информации, в подготовке отзывов и заключений на нормативнометодические материалы и техническую документацию.
(продолжение) 2. 2. 8. Готовит предложения по заключению соглашений и договоров с другими учреждениями, организациями и предприятиями, предоставляющими услуги в области технических средств защиты информации, составляет заявки на необходимые материалы, оборудование, приборы. 2. 2. 9. Участвует в проведении аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности. 2. 2. 10. Проводит контрольные проверки работоспособности и эффективности действующих систем и технических средств защиты информации, составляет и оформляет акты контрольных проверок, анализирует результаты проверок и разрабатывает предложения по совершенствованию и повышению эффективности принимаемых мер. 2. 2. 11. Изучает и обобщает опыт работы других учреждений, организаций и предприятий по использованию технических средств и способов защиты информации с целью повышения эффективности и совершенствования работ по ее защите и сохранению государственной тайны. 2. 2. 12. Выполняет работы в установленные сроки на высоком научнотехническом уровне, соблюдая требования инструкций по режиму проведения работ.
3. ОТВЕТСТВЕННОСТЬ Инженер по защите информации несет ответственность за: 3. 1. Невыполнение своих функциональных обязанностей. 3. 2. Недостоверную информацию о состоянии выполнения полученных заданий и поручений, нарушение сроков их исполнения. 3. 3. Невыполнение приказов, распоряжений директора предприятия, поручений и заданий начальника отдела. 3. 4. Нарушение Правил внутреннего трудового распорядка, правил противопожарной безопасности и техники безопасности, установленных на предприятии. 4. УСЛОВИЯ РАБОТЫ 4. 1. Режим работы Инженера по защите информации определяется в соответствии с Правилами внутреннего трудового распорядка, установленными на предприятии. 4. 2. В связи с производственной необходимостью Инженер по защите информации может направляться в служебные командировки (в т. ч. местного значения).
Этапы осуществления атаки. Первый, подготовительный, этап заключается в поиске злоумышленником предпосылок для осуществления той или иной атаки. На этом этапе злоумышленник ищет уязвимости в системе. На втором, основном этапе — реализации атаки — осуществляется использование найденных уязвимостей. На третьем, заключительном, этапе злоумышленник завершает атаку и старается скрыть следы вторжения.
В принципе первый и третий этапы сами по себе могут являться атаками. Например, поиск злоумышленником уязвимостей при помощи сканеров безопасности сам по себе считается атакой. Следует отметить, что существующие механизмы защиты, реализованные в МЭ, серверах аутентификации, системах разграничения доступа, работают только на этапе реализации атаки. По существу эти механизмы защищают от атак, которые находятся уже в процессе осуществления. Более эффективным было бы упреждение атак, т. предотвращение самих предпосылок реализации вторжения. Комплексная система обеспечения информационной безопасности должна эффективно работать на всех трех этапах осуществления атаки. В организациях часто не учитывается тот факт, что администраторы и пользователи регулярно изменяют конфигурацию ИС. В результате этих изменений могут появляться новые уязвимости, связанные с ОС и приложениями. Кроме того, очень быстро изменяются информационные и сетевые технологии, регулярно появляется новое ПО.
Непрерывное развитие сетевых технологий при отсутствии постоянно проводимого анализа их безопасности и нехватке ресурсов для обеспечения защиты приводит к тому, что с течением времени защищенность КИС падает, так как появляются новые неучтенные угрозы и уязвимости системы. В большинстве случаев для решения возникающих проблем с защитой в организациях используются частичные подходы. Эти подходы обычно обусловлены прежде всего текущим уровнем доступных ресурсов. Кроме того, администраторы безопасности имеют тенденцию реагировать только на те риски безопасности, которые им понятны. Фактически таких рисков может быть существенно больше. Только строгий текущий контроль защищенности КИС и комплексный подход, обеспечивающий единую политику безопасности, позволяют существенно снизить риски безопасности. Адаптивный подход к безопасности позволяет контролировать, обнаруживать и реагировать в реальном режиме времени на риски безопасности, используя правильно спроектированные и хорошо управляемые процессы и средства. Анализ защищенности и обнаружение атак. Оценка риска состоит в выявлении и ранжировании уязвимостей.
. Поскольку конфигурация сети постоянно изменяется, то и процесс оценки риска должен проводиться постоянно. С оценки рисков должно начинаться построение системы защиты КИС. Анализ защищенности — это поиск уязвимых мест в сети. Сеть состоит из соединений, узлов, хостов, рабочих станций, приложений и БД. Все они нуждаются как в оценке эффективности их защиты, так и в поиске неизвестных уязвимостей в них. Технологии анализа защищенности исследуют сеть и ищут. Если система, реализующая эту технологию, содержит и адаптивный компонент, то устранение найденной уязвимости будет осуществляться не вручную, а автоматически. Технология анализа защищенности является действенным методом, позволяющим реализовать политику сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации. Перечислим некоторые из проблем, идентифицируемых технологией анализа защищенности. Обнаружение атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа или журналов регистрации ОС и приложения или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные события и дей. Технологии обнаружения вторжений ствия, в том числе и действия, использующие известные уязвимости.
Взаимодействие систем анализа защищенности и обнаружения атак Адаптивный компонент модели адаптивного управления безопасностью. Он также модифицирует компонент обнаружения атак, дополняя его последней информацией об атаках. В качестве примера адаптивного компонента можно указать механизм обновления БД антивирусных программ для обнаружения новых вирусов. Управляющий компонент должен быть способен к генерации отчетов и анализу тенденций, связанных с формированием системы защиты организации. Адаптация данных может заключаться в различных формах реагирования, которые могут включать. Использование модели адаптивной безопасности сети. Модель адаптивной безопасности сети позволяет также уменьшить злоупотребления в сети, повысить осведомленность пользователей, администраторов и руководства компании о событиях безопасности в сети. Следует отметить, что эта модель не. Анализ защищенности и обнаружение атак. Модель адаптивной безопасности отбрасывает уже используемые механизмы защиты. Она расширяет их функциональность за счет новых технологий. Для того чтобы привести свою систему обеспечения информационной безопасности в соответствие современным требованиям, организациям необходимо дополнить имеющиеся решения компонентами, отвечающими за анализ защищенности, обнаружение атак и управление рисками. Технология анализа защищенности В организации, использующей КИС, приходится регулярно проверять, насколько реализованные или используемые механизмы защиты информации соответствует положениям принятой в организации политики безопасности. Такая задача периодически возникает при изменении и обновлении компонентов ИС, изменении конфигурации ОС и т. Однако администраторы сетей не имеют достаточно времени на проведение такого рода проверок для всех узлов корпоративной сети.
Классификация систем обнаружения.
Классификация по уровням информационной инфраструктуры Разумеется, с точки зрения того, что именно необходимо защищать, такой вариант классификации достаточно нагляден. Системы обнаружения атак на уровне приложений выявляют атаки на конкретные приложения (например, ПО Web -сервера). Системы обнаружения атак уровня СУБД обнаруживают попытки нарушения безопасности баз данных Атаки уровня ОС распознаются системой обнаружения атак, интегрированной с конкретной ОС. Атаки сетевого уровня - система обнаружения атак сетевого уровня.
Классификация по принципу реализации По принципу реализации системы обнаружения атак бывают двух типов: На базе узла ( host - based ) - ориентированные в основном на анализ журналов регистрации и контроль действий пользователя данного узла. На базе сетевого сегмента ( network - based ) анализирующие трафик сетевого сегмента (подобно сетевому анализатору). Если вернуться к предыдущему варианту классификации, то уровни приложений, СУБД и ОС обычно защищаются системами на базе узла, уровень сети - системами на базе сети. Однако бывают и исключения, например, Server Sensor системы Real. Secure защищает отдельный узел практически на всех уровнях, включая и уровень сети.
Классификация по технологии обнаружения Система обнаружения атак анализирует собранную информацию и делает заключение о том, произошла атака или нет. При этом может быть использована одна из двух технологий: • Обнаружение аномалий • Обнаружение по сигнатурам атак Наиболее распространённая технология обнаружения на сегодняшний день - это анализ сигнатур. При этом сигнатуры обычно делятся на три типа: • Однопакетные • Срабатывающие на основе анализа таблиц • Требующие сборки сегментов
Скачать презентацию Служба защиты информации предприятия Проблемы и задачи крупных
ORG_ZI2.ppt