Системи забезпечення інформаційної безпеки. Огляд

Дуже важливою складовою ЄСБ є комплексна система інформаційної безпеки.

Інформаційна безпека (англ. information security) — всі аспекти, пов'язані з визначенням, досягненням і підтримкою конфіденційності, цілісності, доступності, безвідмовності, підзвітності, автентичності та достовірності інформації або засобів її обробки.

Безопасность информации (данных) (англ. information (data) security) — стан захищеності інформації (даних), при якому забезпечуються її (їх) конфіденційність, доступність і цілісність.

Безпека інформації (даних) визначається відсутністю неприпустимого ризику, пов'язаного з витоком інформації технічними каналами, несанкціонованими і ненавмисними діями на дані та / або на інші ресурси автоматизованої інформаційної системи, що використовуються в автоматизованій системі.

Безпека інформації (при застосуванні інформаційних технологій) (англ. ITsecurity) - стан захищеності інформації (даних), що забезпечує безпеку інформації, для обробки якої вона застосовується, і інформаційну безпеку автоматизованої інформаційної системи, в якій вона реалізована.

Безпека автоматизованої інформаційної системи - стан захищеності автоматизованої системи, при якому забезпечуються конфіденційність, доступність, цілісність, підзвітність і справжність її ресурсів.

Інформаційна безпека — захищеність інформації і підтримуючої інфраструктури від випадкових або навмисних впливів природного або штучного характеру, які можуть завдати неприйнятний збиток суб'єктам інформаційних відносин. Підтримуюча інфраструктура - системи електро-, тепло-, водо-, газопостачання, системи кондиціонування і т. Д., А також обслуговуючий персонал. Неприйнятний збиток - збиток, яким не можна нехтувати.

У якості стандартної моделі безпеки використовується модель з трьох категорій:

  • конфіденційність (англ. confidentiality) — стан інформації, при якому доступ до неї здійснюють тільки суб'єкти, що мають на неї право;
  • цілісність (англ. integrity) — уникнення несанкціонованої модифікації інформації;
  • доступність (англ. availability) — уникнення тимчасового або постійного приховування інформації від користувачів, які отримали права доступу.

Виділяють і інші не завжди обов'язкові категорії моделі безпеки:

  • аппеліруемость (англ. non-repudiation) — здатність засвідчувати дію чи подію так, щоб ці події або дії не могли бути пізніше відхилені;
  • підзвітність (англ. Accountability) — забезпечення ідентифікації суб'єкта доступу та реєстрації його дій;
  • достовірність (англ. reliability) — властивість відповідності передбаченій поведінці чи результату;
  • аутентичність або справжність (англ. authenticity) — властивість, що гарантує, що суб'єкт або ресурс ідентичні заявленим..

Обсяг (реалізація) поняття «інформаційна безпека»

Системний підхід до опису інформаційної безпеки пропонує виділити наступні складові інформаційної безпеки

  1. Законодавча, нормативно-правова та наукова база.
  2. Структура і завдання органів (підрозділів), що забезпечують безпеку ІТ.
  3. Організаційно-технічні і режимні заходи і методи (Політика інформаційної безпеки).
  4. Програмно-технічні засоби і способи забезпечення інформаційної безпеки.

Метою реалізації інформаційної безпеки будь-якого об'єкта є побудова Системи забезпечення інформаційної безпеки даного об'єкту. Для побудови та ефективної експлуатації системи забезпечення інформаційної безпеки необхідно:

  • виявити вимоги захисту інформації, специфічні для даного об'єкта захисту;
  • врахувати вимоги національного та міжнародного Законодавства;
  • використовувати напрацьовані практики (стандарти, методології) побудови подібних системи забезпечення інформаційної безпеки;
  • визначити підрозділи, відповідальні за реалізацію та підтримку системи забезпечення інформаційної безпеки;
  • розподілити між підрозділами області відповідальності у здійсненні вимог системи забезпечення інформаційної безпеки;
  • на базі управління ризиками інформаційної безпеки визначити загальні положення, технічні та організаційні вимоги, що становлять Політику інформаційної безпеки об'єкта захисту;
  • реалізувати вимоги Політики інформаційної безпеки, впровадивши відповідні програмно-технічні засоби і способи захисту інформації;
  • реалізувати Систему менеджменту (управління) інформаційної безпеки (СМІБ);
  • використовуючи СМІБ організувати регулярний контроль ефективності системи забезпечення інформаційної безпеки і при необхідності перегляд і коригування системи забезпечення інформаційної безпеки і СМІБ.

Як видно з останнього етапу робіт, процес реалізації СОІБ безперервний і циклічно (після кожного перегляду) повертається до першого етапу, повторюючи послідовно всі інші. Так СОІБ коригується для ефективного виконання своїх завдань захисту інформації та відповідності новим вимогам інформаційної системи, яка постійно оновлюється.

1. Організаційно-технічні і режимні заходи і методи.

Для опису технології захисту інформації конкретної інформаційної системи зазвичай будується так звана Політика інформаційної безпеки або Політика безпеки розглянутої інформаційної системи.

Політика безпеки (інформації в організації) (англ. Organizational security policy) - сукупність документованих правил, процедур, практичних прийомів або керівних принципів у галузі безпеки інформації, якими керується організація у своїй діяльності.

Політика безпеки інформаційно-телекомунікаційних технологій (англ. ІСТsecurity policy) - правила, директиви,практика, що склалася, які визначають, як в межах організації та її інформаційно-телекомунікаційних технологій управляти, захищати і розподіляти активи, в тому числі критичну інформацію.

Для побудови Політики інформаційної безпеки рекомендується окремо розглядати такі напрями захисту інформаційної системи:

  • Захист об'єктів інформаційної системи;
  • Захист процесів, процедур і програм обробки інформації;
  • Захист каналів зв'язку (акустичні, інфрачервоні, провідні оптичні, радіоканали та ін.);
  • Придушення побічних електромагнітних випромінювань і наведень;
  • Управління системою захисту.

При цьому по кожному з перерахованих вище напрямків Політика інформаційної безпеки повинна описувати наступні етапи створення засобів захисту інформації:

  1. Визначення інформаційних і технічних ресурсів, що підлягають захисту;
  2. Виявлення повної безлічі потенційно можливих загроз і каналів витоку інформації;
  3. Проведення оцінки вразливості і ризиків інформації за наявної безлічі загроз і каналів витоку;
  4. Визначення вимог до системи захисту;
  5. Здійснення вибору засобів захисту інформації та їх характеристик;
  6. Впровадження та організація використання обраних заходів, способів та засобів захисту;
  7. Здійснення контролю цілісності і керування системою захисту.

Політика інформаційної безпеки оформляється у вигляді задокументованих вимог на інформаційну систему. Документи зазвичай поділяють за рівнями опису (деталізації) процесу захисту.

Документи верхнього рівня Політики інформаційної безпеки відображають позицію організації до діяльності в галузі захисту інформації, її прагнення відповідати державним, міжнародним вимогам і стандартам у цій галузі. Подібні документи можуть називатися «Концепція ІБ», «Регламент управління ІБ», «Політика ІБ», «Технічний стандарт ІБ» і т.п. Область поширення документів верхнього рівня зазвичай не обмежується, проте дані документи можуть випускатися і в двох редакціях - для зовнішнього і внутрішнього використання.

Згідно стандарту ISO / MEC 17799-2005 , на верхньому рівні Політики інформаційної безпеки повинні бути оформлені наступні документи: «Концепція забезпечення ІБ», «Правила допустимого використання ресурсів інформаційної системи», «План забезпечення безперервності бізнесу ».

До середнього рівня відносять документи, що стосуються окремих аспектів інформаційної безпеки. Це вимоги на створення та експлуатацію засобів захисту інформації, організацію інформаційних та бізнес-процесів організації по конкретному напрямку захисту інформації. Наприклад: Безпеки даних, Безпеки комунікацій, Використання засобів криптографічного захисту, Контентна фільтрація і т.п. Подібні документи зазвичай видаються у вигляді внутрішніх технічних і організаційних політик (стандартів) організації. Всі документи середнього рівня політики інформаційної безпеки конфіденційні.

У політику інформаційної безпеки нижнього рівня входять регламенти робіт, керівництва по адмініструванню, інструкції з експлуатації окремих сервісів інформаційної безпеки.

2. Організаційний захист об'єктів інформаційних систем.

Організаційний захист - це регламентація виробничої діяльності і взаємин виконавців на нормативно-правовій основі, що виключає або суттєво ускладнює неправомірне заволодіння конфіденційною інформацією і прояв внутрішніх і зовнішніх загроз. Організаційний захист забезпечує:

  • організацію охорони, режиму, роботу з кадрами, з документами;
  • використання технічних засобів безпеки та інформаційно-аналітичну діяльність з виявлення внутрішніх і зовнішніх загроз підприємницької діяльності.

До основних організаційних заходів належать:

  • організація режиму і охорони. Їх мета - виключення можливості таємного проникнення на територію і в приміщення сторонніх осіб;
  • організація роботи зі співробітниками, яка передбачає підбір і розстановку персоналу, включаючи ознайомлення зі співробітниками, їх вивчення, навчання правилам роботи з конфіденційною інформацією, ознайомлення з заходами відповідальності за порушення правил захисту інформації та ін.;
  • організація роботи з документами та документованою інформацією, включаючи організацію розробки і використання документів та носіїв конфіденційної інформації, їх облік, виконання, повернення, зберігання і знищення;
  • організація використання технічних засобів збору, обробки, накопичення і зберігання конфіденційної інформації;
  • організація роботи з аналізу внутрішніх і зовнішніх загроз конфіденційної інформації та вироблення заходів щодо забезпечення її захисту;
  • організація роботи з проведення систематичного контролю за роботою персоналу з конфіденційною інформацією, порядком обліку, зберігання та знищення документів і технічних носіїв.

У кожному конкретному випадку організаційні заходи носять специфічну для даної організації форму і зміст, спрямовані на забезпечення безпеки інформації в конкретних умовах.

3. Програмно-технічні засоби і способи забезпечення інформаційної безпеки.

Класифікація засобів захисту інформації.

  • Засоби захисту від несанкціонованого доступу (НСД):
    • Засоби авторизації;
    • Мандатне управління доступом;
    • Виборче управління доступом;
    • Управління доступом на основі ролей;
    • Журналювання (так само називається Аудит).
  • Системи аналізу та моделювання інформаційних потоків (CASE-системи).
  • Системи моніторингу мереж:
    • Системи виявлення й запобігання вторгнень (IDS / IPS).
    • Системи запобігання витоків конфіденційної інформації (DLP-системи).
  • Аналізатори протоколів.
  • Антивірусні засоби.
  • Міжмережеві екрани.
  • Криптографічні засоби:
    • Шифрування;
    • Цифровий підпис.
  • Системи резервування
    • Резервне копіювання
    • Відмовостійкий кластер
    • Резервний Центр Обробки Даних (ЦОД) для катастрофостійкої ІС
  • Системи безперебійного живлення:
    • Джерела безперебійного живлення;
    • Резервні лінії електроживлення;
    • Генератори електроживлення.
  • Системи аутентифікації на основі:
    • Пароля;
    • Ключа доступу (фізичного або електронного);
    • Сертифікату;
    • Біометричних даних.
  • Засоби запобігання злому корпусів і крадіжок устаткування.
  • Засоби контролю та управління доступом в приміщення.
  • Інструментальні засоби аналізу систем захисту
  • Засоби захисту від ПЕМІН