Комплексное обеспечение информационной безопасности

Комплексное обеспечение информационной безопасности автоматизированных систем — область науки и техники, охватывающая совокупность проблем, связанных с построением, исследованием и эксплуатацией систем и технологий обеспечения информационной безопасности автоматизированных систем.

Построение КСИБ (комплексной системы информационной безопасности) включает как подготовку, разработку и внедрение технологических решений, так и соответствующее организационное и нормативно-регламентное обеспечение. Основными технологическими компонентами системы обеспечения безопасности являются нижеперечисленные.

На уровне приложений:

• авторизация и аутентификация;
• логгирование доступа и ведение журнала операций;
• система защиты конфиденциального документооборота.

На уровне вычислительной инфраструктуры:

• система авторизации и управления доступом;
• мониторинг работы пользователей и аудит доступа;
• использование криптографических и биометрических средств контроля доступа;
• использование средств защиты персональных данных и защиты от утечек информации (шифрование, контроль доступа к дискам, портам, пр.);
• антивирусное программное обеспечение.

На уровне сетевой инфраструктуры:

• межсетевые экраны;
• системы контроля трафика, системы обнаружения и защиты от вторжений;
• системы управления доступом на уровне активного сетевого оборудования.

На уровне обеспечивающих систем:

• система контроля пропуска в здание;
• системы контроля доступа к оборудованию.

С точки зрения организационного и методического обеспечения КСИБ может включать:

• стратегию И Б в организации;
• регламенты контроля и обеспечения И Б;
• внутренний аудит безопасности;
• внешний аудит безопасности;
• систему обучения пользователей и персонала.

К КСИБ предъявляются определенные требования.

КСИБ должна быть:

• непрерывной;
• плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);
• целенаправленной;
• конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;
• активной. Защищать информацию необходимо с достаточной степенью настойчивости;
• надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;
• универсальной. В зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации.

Для обеспечения комплексной информационной безопасности в первую очередь необходимо провести анализ возможных угроз этой информации (при определении актуальных угроз безопасности информации экспертно-аналитическим методом определяются объекты защиты, подверженные воздействию той или иной угрозы, характерные источники этих угроз, способы их реализации и цели).

На основании анализа составляется матрица взаимосвязи источников угроз и уязвимостей, из которой определяются возможные последствия реализации угроз (атаки), и вычисляется коэффициент опасности этих атак как произведение коэффициентов опасности соответствующих угроз и источников угроз, определенных ранее.

Анализ возможных нарушений безопасности конфиденциальной информации целесообразно осуществлять на основе рассмотрения логической цепочки: «угроза — источник угрозы — метод реализации — уязвимость — последствия». Такой подход позволит показать многогранность угроз и многоаспектность защитных мероприятий, необходимых для создания комплексной системы защиты конфиденциальной информации.

В ходе анализа необходимо убедиться, что все возможные источники угроз и уязвимости идентифицированы и сопоставлены друг с другом, а всем идентифицированным источникам угроз и уязвимостям сопоставлены методы реализации. При этом важно иметь возможность при необходимости, не меняя самого методического инструментария, вводить новые виды источников угроз, методов реализации, уязвимостей, которые станут известны в процессе исследования.

Как видно, анализ негативных последствий реализации угроз предполагает обязательную идентификацию (например, присвоение уникального кода) возможных источников угроз, уязвимостей, способствующих их проявлению и методов реализации, т. е. классификацию.

Угрозы классифицируются по возможности нанесения ущерба субъекту отношений при нарушении целей безопасности. Ущерб может быть причинен каким-либо субъектом (преступление, вина или небрежность), а также стать следствием, не зависящим от субъекта проявлений. При обеспечении конфиденциальности информации это может быть хищение (копирование) информации и средств ее обработки, а также ее утрата (неумышленная потеря, утечка). При обеспечении целостности информации список угроз таков: модификация (искажение) информации; отрицание подлинности информации; навязывание ложной информации. При обеспечении доступности информации возможно ее блокирование либо уничтожение самой информации и средств ее обработки. Все источники угроз можно подразделить на классы, обусловленные типом носителя, а классы — на группы по местоположению.

Уязвимости также можно классифицировать по принадлежности к источнику уязвимостей, а классы подразделить на группы и подгруппы по проявлениям. Анализ уязвимости объекта проводится с целью определения возможных последствий воздействия нарушителей на элементы объекта, оценки показателей уязвимости объекта (эффективности охраны), выявления слабых мест и недостатков существующей системы охраны или рассматриваемых проектных вариантов системы, а в итоге — выбора наилучшего варианта системы охраны для конкретного объекта.

Классификация возможностей реализации угроз (атак) представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и быть направлена на получение промежуточного результата, необходимого для достижения в

дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т. е. как подготовка к совершению противоправного действия. Результат атаки — последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Описанный подход к анализу и оценке состояния безопасности информации основывается на вычислении весовых коэффициентов опасности для источников угроз и уязвимостей, сравнении этих коэффициентов с заранее заданным критерием и последовательном сокращении (исключении) полного перечня возможных источников угроз и уязвимостей до минимально актуального для конкретного объекта. Данными для проведения оценки и анализа служат результаты анкетирования субъектов отношений, направленного на уяснение направленности их деятельности, предполагаемых приоритетов целей безопасности, задач, решаемых АС и условий расположения и эксплуатации объекта.

Благодаря такому подходу возможно:

• установить приоритеты целей безопасности для субъекта отношений;
• определить перечень актуальных источников угроз;
• определить перечень актуальных уязвимостей;
• оценить взаимосвязь угроз, источников угроз и уязвимостей;
• определить перечень возможных атак на объект;
• описать возможные последствия реализации угроз.

Результаты проведения оценки и анализа могут быть использованы при выборе адекватных оптимальных методов парирования угрозам, а также при аудите реального состояния информационной безопасности объекта информатизации.

Контрольные вопросы

1. Опишите признаки правового обеспечения информационной безопасности.
2. Назовите особенности организационного обеспечения информационной безопасности.
3. Дайте определение закладного устройства.
4. Перечислите способы обнаружения и локализации закладных устройств.
5. Для чего проводится экранирование и компиляция информационных полей?
6. Каковы основные источники информативных сигналов и способы их подавления?
7. Опишите основные методы и средства защиты программ от несанкционированного использования.
8. Перечислите требования к программной и аппаратной реализации средств защиты.
9. Что такое криптографические методы защиты информации?
10. Дайте определение симметричных и асимметричных криптосистем и сформулируйте их основное отличие.
11. В чем заключается сущность комплексного обеспечения информационной безопасности?

Комплексное обеспечение информационной безопасности

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Правовое обеспечение информационной безопасности

Организационное обеспечение информационной безопасности

От обеспечения информационной безопасности к информационно-техническому противодействию

СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, ЕЕ ЦЕЛЬ И ЗАДАЧИ

МЕХАНИЗМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ХОЗЯЙСТВУЮЩЕГО СУБЪЕКТА

Электронная демократия как средство обеспечения информационной безопасности Российской Федерации

Обеспечение информационной безопасности сетей

Способы обеспечения информационной безопасности