Современные информационные технологи/4. Информационная безопасность
Лавриненко
Т.Н.
ПРОБЛЕМИ ЗАХИСТУ ІНФОРМАЦІЇ В СУЧАСНИХ
ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМАХ ТА МЕРЕЖАХ
У сучасному світі більш упевнено працюють ті компанії
й фірми, які навчилися краще розпоряджатися своїми ресурсами. Сьогодні одним із
ключових ресурсів є інформація, яка використовується під час проектування,
експлуатації, виробництва, продажу, розподілу продуктів і послуг. Локальні
мережі вже посіли належне їм місце в інформаційній структурі організацій та
підприємств. В даний час, в Україні, у зв'язку з входженням у світовий
інформаційний простір, швидкими темпами впроваджуються новітні досягнення
комп'ютерних і телекомунікаційних технологій, а сучасні інформаційні технології
надають нові можливості з обробки, передачі та зберігання інформації та
підвищують рівень доступності інформаційних ресурсів для користувача.
Аналізом і
синтезом систем передачі даних займається багато колективів – як в Україні, так
і за кордоном: наприклад, Center of Telecommunications Research Columbia у США, Інститут
електроніки й інформатики в Латвії, Інститут проблем управління в Москві,
Інститут кібернетики НАН України в Києві й багато інших. З огляду на теоретичне
значення й практичну цінність досягнутих цими колективами численних і
різноманітних результатів слід відразу зазначити, що далеко не всі проблемні
питання в техніці передачі інформації можна вважати достатньо або повністю
вивченими й вирішеними.
На сьогодні
процеси накопичення, зберігання і передачі інформації в
інформаційно-комунікаційних системах та мережах протікають в умовах впливу як
навмисних, та випадкових завад. Ці завади природного або штучного характеру
здатні спотворити збережені й оброблювані дані, тобто порушити базові
властивості інформації, а саме конфіденційність, цілісність та доступність. Проблема
комплексного захисту інформації стає ще актуальнішою, якщо мова йде про захист
великої кількості оперативної інформації, що обробляється в комп’ютерних
системах. Однак, нові технології інформації можуть бути не тільки корисними,
але й небезпечними для інформаційних систем. Створення комплексної системи
захисту інформації необхідно для виявлення та протидія загрозам безпеці інформації
з обмеженим доступом, що обробляється, зберігається та передається в інформаційно-комунікаційній
системі. На даний час приватна й ділова інформація має комерційну вартість і
тому важливою є проблема її захисту від несанкціонованого доступу.
Комплексна
система захисту інформації призначена забезпечувати виконання наступних
завдань: забезпечення визначених політикою безпеки властивостей інформації
(конфіденційності, цілісності та доступності) під час створення та експлуатації
інформаційної мережі; ефективне знешкодження і попередження загроз для ресурсів
шляхом комплексного впровадження правових, морально-етичних, фізичних,
організаційних, технічних та інших заходів забезпечення безпеки; розмежування
та контроль доступу користувачів згідно із встановленою політикою розмежування
доступу; керування засобами захисту інформації, доступом користувачів до
ресурсів; контроль за роботою персоналу з боку персоналу служби захисту інформації;
оперативне сповіщення про спроби несанкціонованого доступу; реєстрація, збір,
зберігання, обробка даних про всі події в системі, які мають відношення до
безпеки інформації; виявлення уразливостей в операційних системах; захист від
атак порушників безпеки; захист від проникнення і поширення комп'ютерних
вірусів; контроль за функціонуванням комплексної системи захисту інформації;
створення умов для локалізації збоїв та максимально швидкого відновлення роботи
після будь-якої відмови, спричиненої несанкціонованими діями фізичних та
юридичних осіб, впливом зовнішнього середовища та іншими чинниками.
Для побудови надійної системи
захисту інформації в сучасних інформаційно-комунікаційних системах та мережах
потрібно спочатку визначити ряд можливих загроз для інформаційних ресурсів. При
забезпеченні інформаційної безпеки успіх може принести тільки комплексний
підхід, що об’єднує заходи наступних рівнів: організаційного (закони,
нормативні акти, стандарти); технічного: первинні (запобігання витокам
інформації технічними каналами та спеціальному впливу на неї; основні технічні
засоби (конкретні технічні засоби та заходи); програмного (сукупність програмних засобів).
При побудові комплексної системи
захисту інформації використовуються два підходи: формальний – визначення
критеріїв та вимог щодо захисту інформаційних ресурсів та практичний –
впровадження розроблених засобів захисту. У процесі
побудови комплексної системи захисту інформації спочатку здійснюється
інвентаризація ресурсів, тобто проводиться побудова їх реєстру.
Проведення класифікації основних ресурсів по вигляду: інформаційні активи; матеріальні
активи; програмне забезпечення; сервіси. Кожен ресурс та його
власник повинні бути чітко ідентифіковані та задокументовані. Далі виконують
класифікацію ресурсів і за її результатами присвоюють грифи секретності
вихідним даним. Прикладами можуть служити друковані звіти, що виводиться на
екрани дисплеїв інформація, що зберігаються на магнітних носіях дані,
електронні повідомлення та передані файли. Ця процедура необхідна, оскільки,
по-перше, не всі ресурси вимагають захисту, а, по-друге, якщо намагатися
убезпечити всі важливі ресурси. Після класифікації інформації потрібно провести інвентаризацію
усіх компонентів інформаційної системи і зафіксовані всі активні і пасивні
об’єкти, які беруть участь у технологічному процесі обробки та впливають на
безпеку інформації.
Далі потрібно
побудувати модель загроз. З точки зору безпеки інформації комп'ютерна система
розглядається як сукупність функціональних послуг. У свою чергу, кожна послуга
являє собою набір функцій, які дозволяють протистояти безлічі загроз. Це можуть
бути: загрози конфіденційності; загрози цілісності; загрози доступності;
загрози спостережливості. Загрози можуть бути природного, технічного або
людського характеру.
На наступному етапі проводиться побудова моделі порушника. Модель порушника – абстрактний формалізований або неформалізований опис дій порушника, який відображає його практичні та теоретичні можливості, апріорні знання, час та місце дії і т.ін. Стосовно до людей будується модель порушника, тобто визначаються всі можливі їх типи з характеристикою можливості їх дій. По відношенню до інформаційного об’єкту порушники можуть бути внутрішніми та зовнішніми, а по характеру дій випадкові та навмисні. Також розрізняють порушників більш та менше кваліфікованих. Узагальнено метою порушника є: отримання необхідної інформації у потрібному обсязі та асортименті; мати можливість вносити зміни в інформаційні потоки у відповідності зі своїми намірами; нанесення збитків шляхом знищення матеріальних та інформаційних цінностей. Порушниками можуть бути, наприклад, професіонали, хулігани, співробітники підприємства і т.п.
Коли вже побудовано модель загроз та порушника інформаційної системи,
визначено уразливості системи проводиться побудова політики безпеки. Політика безпека – сукупність норм та
правил, які регламентують порядок доступу та допуску до інформації. Також вона
включає в себе побудову матриць доступу. На цьому етапі відбувається розробка концепції
безпеки інформації; аналіз ризиків; визначення вимог до заходів, методів та
засобів захисту; вибір основних рішень з забезпечення безпеки інформації;
організація виконання відновлювальних робіт і забезпечення неперервного
функціонування; документальне оформлення політики безпеки.
Режим інформаційної безпеки
регламентований політикою безпеки згідно рівням захисту визначається
застосуванням апробованих і сертифікованих рішень, стандартного набору
контрзаході, а саме: на організаційному рівні – шляхом розробки і виконання
інструкцій для персоналу, управління фізичним доступом, здійснення
профілактичних заходів, виконання робіт з модернізації АС і т.п.; на технічному
рівні – шляхом використання інженерно-технічного обладнання виділених
приміщень, в яких розміщуються компоненти ІКСМ, експлуатація і супроводження
засобів блокування технічних каналів витоку інформації та забезпечення
функціонування засобів контролю, у тому числі засобів виявлення технічних
каналів витоку інформації;на програмному рівні (резервне копіювання,
антивірусний захист, парольний захист, міжмережні екрани, шифрування та
контроль цілісності даних).
Коли система захисту інформації побудована та введена в дію, проводиться
постійний контроль її цілісності, аналіз стану і уточнення вимог до обраних
засобів. Одним з важливих моментів створення системи захисту інформації –
оцінка правильності її побудови та відповідність так званим критеріям гарантії.
Існують методики, що дозволяють визначити правильність та коректність побудови
такої системи на основі проведення зовнішніх та внутрішніх аудитів.
Створення комплексної системи
захисту інформації потребує глобального підходу до всіх аспектів цього питання.
Саме поетапне виконання правового, організаційного, інженерно-технічного,
апаратного та програмного рівнів побудови інформаційної безпеки дасть
можливість створити цілісну систему для забезпечення надійної безпеки
інформації. Застосування
тих чи інших організаційних чи технічних засобів залежить не від типу
користувачів, а від вартості інформації та розміру ІКСМ, що захищається. Тобто
від втрат (матеріальних чи моральних), які вона понесе в разі збою однієї або
декількох функцій захисту – порушення конфіденційності,
цілісності та доступності даних. Як правило, чим
більша та розподілена ІКСМ, тим більше у неї конфіденційної інформації і тим
серйозніше можливі втрати. Не має сенсу витрачати на засоби захисту
більше, ніж коштує сама інформація. Оцінка
вартості інформації та інформаційних ресурсів – одне з найбільш складних
завдань при побудові комплексних систем захисту інформації. Оскільки вартість
інформації та проведення детального її аналізу і визнає рівень захисту.
Література:
1.
Юдін О.К., Корченко О.Г., Конахович Г.Ф. Захист інформації в мережах
передачі даних: Підручник. – К.: Вид-во ТОВ «НВП» ІНТЕРСЕРВІС», 2009. – 716 с.
2.
Домарев В.В. Безопасность информационных технологий. Системный подход. –
К.: ООО «ТИД «ДС», 2004. – 992 с.