Современные информационные
технологии.
Информационная
безопасность.
К.т.н. НАУ Чунарьова А.В., Чунарьов
А.В.
КОМПЛЕКСНИЙ ПІДХІД ПРИ СТВОРЕННІ ЗАХИЩЕНИХ ІНФОРМАЦІЙНИХ
МЕРЕЖ
Вступ
Сучасні інформаційні
технології надають нові можливості з обробки, передачі та зберігання інформації
та підвищують рівень доступності інформаційних ресурсів для користувача. Однак
нові технології інформації можуть бути не тільки корисними, але й небезпечними
для інформаційних систем. На даний час приватна й ділова інформація має
комерційну вартість і тому важливою є проблема її захисту від несанкціонованого
доступу.
Нині спостерігається
тенденція до підвищення кількості атак, які захоплюють контроль над віддаленою
системою, копіюють та передають зловмисникам персональні дані, іншу
конфіденційну або, навіть, секретну інформацію. Проблема комплексного захисту
інформації стає ще актуальнішою, якщо мова йде про захист великої кількості оперативної
інформації, що обробляється в комп’ютерних системах.
Метою даних досліджень є
розробка комплексного підходу захисту інформації в сучасних
інформаційно-комунікаційних системах та мережах (ІКСМ).
Метою створення КСЗІ є виявлення та протидія загрозам безпеці
інформації з обмеженим доступом (ІзОД), що обробляється, зберігається та
передається в інфоомаційно-комунікаційній системі.
Комплексна система захисту інформації призначена забезпечувати
виконання наступних завдань:
–
забезпечення визначених політикою безпеки властивостей
інформації (конфіденційності, цілісності та доступності) під час створення та експлуатації
інформаційної мережі;
–
ефективне знешкодження і попередження загроз для ресурсів
шляхом комплексного впровадження правових, морально-етичних, фізичних, організаційних,
технічних та інших заходів забезпечення безпеки;
–
розмежування та контроль доступу користувачів згідно із
встановленою політикою розмежування доступу (ПРД);
–
керування засобами захисту інформації, доступом
користувачів до ресурсів;
–
контроль за роботою персоналу з боку персоналу служби
захисту інформації (СЗІ);
–
оперативне сповіщення про спроби несанкціонованого
доступу (НСД);
–
реєстрація, збір, зберігання, обробка даних про всі події
в системі, які мають відношення до безпеки інформації;
–
виявлення уразливостей в операційних системах;
–
захист від атак порушників безпеки;
–
захист від проникнення і поширення комп'ютерних вірусів;
–
контроль за функціонуванням КСЗІ;
–
створення умов для локалізації збоїв та максимально
швидкого відновлення роботи після будь-якої відмови, спричиненої несанкціонованими
діями фізичних та юридичних осіб, впливом зовнішнього середовища та іншими чинниками.
Підхід до забезпечення інформаційної безпеки повинний
бути комплексним, що об’єднує заходи наступних рівнів:
1.
Організаційного (закони, нормативні акти, стандарти);
2.
Технічного:
·
первинні
(запобігання витокам інформації технічними каналами та спеціальному впливу на
неї;
·
основні технічні засоби (конкретні технічні
засоби та заходи).
3. Програмного (сукупність
програмних засобів)
Рис. 1. Трьохрівневий комплекс
заходів з забезпечення безпеки інформації
При побудові комплексної системи
захисту інформації використовуються два підходи:
формальний – визначення критеріїв та вимог щодо захисту
інформаційних ресурсів ІКСМ;
практичний – впровадження розроблених засобів захисту.
У процесі побудови комплексної системи захисту інформації спочатку
здійснюється інвентаризація всіх ресурсів, тобто проводиться побудова їх реєстру.
Проведення класифікації основних ресурсів по вигляду:
– Інформаційні активи (бази та файли
даних, контракти та угоди, системна документація, науково-дослідна інформація,
документація, навчальні матеріали і т.д.);
– Матеріальні активи (комп'ютерне
обладнання, засоби телекомунікації і т.д.);
– Програмне забезпечення;
– Сервіси (сервіси телекомунікацій засоби
забезпечення життєдіяльності тощо).
Кожен ресурс і його власник повинні бути чітко ідентифіковані та
задокументовані. Далі виконують класифікацію ресурсів і за її результатами
присвоюють грифи секретності вихідним даним. Прикладами можуть служити
друковані звіти, що виводиться на екрани дисплеїв інформація, що зберігаються
на магнітних носіях (стрічках, дисках, касетах) дані, електронні повідомлення і
передані файли. Ця процедура необхідна, оскільки, по-перше, не всі ресурси вимагають
захисту (деякі, навпаки, потрібно надавати в публічне використання), а,
по-друге, якщо намагатися убезпечити всі важливі ресурси. Після класифікації
інформації потрібно провести інвентаризацію усіх компонентів інформаційної системи
і зафіксовані всі активні і пасивні об’єкти, які беруть участь у технологічному
процесі обробки і тим чи іншим чином впливають на безпеку інформації.
Далі потрібно побудувати модель загроз. З точки зору безпеки інформації
комп'ютерна система розглядається як сукупність функціональних послуг. У свою
чергу, кожна послуга являє собою набір функцій, які дозволяють протистояти
безлічі загроз [1].
Це можуть бути:
–
загрози
конфіденційності (пов'язані з несанкціонованим ознайомленням з інформацією);
–
загрози
цілісності (пов'язані з несанкціонованої модифікації або знищення інформації);
–
загрози
доступності (відносяться до порушення можливості використання комп'ютерних
систем або оброблюваної інформації);
–
загрози
спостережливості (пов'язані з порушенням ідентифікації і контролем за діями
користувачів, керованістю комп'ютерною системою).
Загрози можуть бути природного, технічного або людського характеру.
На наступному етапі проводиться
побудова моделі порушника.
Модель порушника — абстрактний формалізований або неформалізований опис дій порушника,
який відображає його практичні та теоретичні можливості, апріорні знання, час
та місце дії і т.ін [2]. Стосовно до людей будується модель порушника,
тобто визначаються всі можливі їх типи з характеристикою можливості їх дій. По
відношенню до інформаційного об’єкту порушники можуть бути внутрішніми та
зовнішніми, а по характеру дій випадкові та навмисні. Також розрізняють
порушників більш та менше кваліфікованих.
Узагальнено метою порушника є:
– отримання
необхідної інформації у потрібному обсязі та асортименті;
– мати можливість
вносити зміни в інформаційні потоки у відповідності зі своїми намірами
(інтересами, планами);
– нанесення
збитків шляхом знищення матеріальних та інформаційних цінностей.
Порушниками можуть
бути, наприклад, професіонали, хулігани, співробітники підприємства і т. д.
Коли вже побудовано модель загроз та порушника інформаційної системи,
визначено уразливості системи проводиться побудова політики безпеки. Політика
безпека – сукупність норм та правил, які регламентують порядок доступу та
допуску до інформації. Також вона включає в себе побудову матриць доступу. На
цьому етапі відбувається розробка концепції безпеки інформації; аналіз
ризиків; визначення вимог до заходів,
методів та засобів захисту; вибір основних рішень з забезпечення безпеки
інформації; організація виконання
відновлювальних робіт і забезпечення неперервного функціонування; документальне
оформлення політики безпеки [2].
Режим інформаційної безпеки регламентований політикою безпеки згідно рівням захисту
визначається застосуванням апробованих і сертифікованих рішень, стандартного
набору контрзаході, а саме:
·
на
організаційному рівні – шляхом розробки і виконання інструкцій для персоналу,
управління фізичним доступом, здійснення профілактичних заходів, виконання
робіт з модернізації АС і т.д.;
·
на технічному
рівні – шляхом використання інженерно-технічного обладнання виділених
приміщень, в яких розміщуються компоненти ІКСМ, експлуатація і супроводження
засобів блокування технічних каналів витоку інформації та забезпечення
функціонування засобів контролю, у тому числі засобів виявлення технічних
каналів витоку інформації.
·
на програмному
рівні (резервне копіювання, антивірусний захист, парольний захист, міжмережні
екрани, шифрування та контроль цілісності даних і т.д.)
Коли система захисту
інформації побудована та введена в дію, проводиться постійний контроль її
цілісності, аналіз стану і уточнення вимог до обраних засобів. Одним з важливих
моментів створення системи захисту інформації - оцінка правильності її побудови
та відповідність так званим критеріям гарантії. Існують методики, що дозволяють
визначити правильність та коректність побудови такої системи на основі проведення
зовнішніх та внутрішніх аудитів.
Підсумувавши можна зробити висновок, що застосування тих чи інших
організаційних чи технічних засобів залежить не від типу користувачів, а від
вартості інформації та розміру ІКСМ, що захищається. Тобто від втрат (матеріальних
чи моральних), які вона понесе в разі збою однієї або декількох функцій захисту
- порушення конфіденційності, цілісності та
доступності даних. Як правило, чим більша та
розподілена ІКСМ, тим більше у неї конфіденційної інформації і тим серйозніше
можливі втрати. Не має сенсу витрачати на засоби захисту більше, ніж
коштує сама інформація. Оцінка вартості інформації
та інформаційних ресурсів – одне з найбільш складних завдань при побудові комплексних
систем захисту інформації. Оскільки вартість інформації та проведення
детального її аналізу і визнає рівень захисту.
Література
1. НД ТЗІ 1.4-001-2000: Типове
положення про службу захисту інформації в автоматизованій системі.
2. НД ТЗІ 1.1-003-99:
Термінологія в галузі захисту інформації в
комп’ютерних системах від несанкціонованого доступу.
3. Юдін О.К., Корченко О.Г.,
Конахович Г.Ф. Захист інформації в мережах передачі
даних: Підручник. – К.: Вид-во ТОВ «НВП» ІНТЕРСЕРВІС», 2009. – 716 с.