Методы и средства построения систем информационной безопасности (СИБ). Структура СИБ

Создание систем информационной безопасности в ИС и ИТ ос­новывается на следующих принципах (см. гл. 2): системный подход, принцип непрерывного развития системы, разделение и минимиза­ция полномочий, полнота контроля и регистрация попыток, обес­печение надежности системы защиты, обеспечение контроля за функционированием системы защиты, обеспечение всевозможных средств борьбы с вредоносными программами, обеспечение эконо­мической целесообразности.

В результате решения проблем безопасности информации со­временные ИС и ИТ должны обладать следующими основными признаками:

• наличием информации различной степени конфиденциальности;

• обеспечением криптографической защиты информации раз­личной степени конфиденциальности при передаче данных;

• иерархичностью полномочий субъектов доступа к програм­мам и компонентам ИС и ИТ (к файлам-серверам, каналам связи и т.п.);

• обязательным управлением потоками информации как в локаль­ных сетях, так и при передаче по каналам связи на далекие расстояния;

• наличием механизма регистрации и учета попыток несанк­ционированного доступа, событий в ИС и документов, выво­димых на печать;

• обязательной целостностью программного обеспечения и ин­формации в ИТ;

• наличием средств восстановления системы защиты инфор­мации;

• обязательным учетом магнитных носителей;

• наличием физической охраны средств вычислительной техни­ки и магнитных носителей;

• наличием специальной службы информационной безопасно­сти системы.

При рассмотрении структуры СИБ возможен традиционный подход — выделение обеспечивающих подсистем. Система инфор­мационной безопасности, как и любая ИС, должна иметь опреде­ленные виды собственного обеспечения, опираясь на которые она будет способна выполнить свою целевую функцию. С учетом этого СИБ должна иметь следующие виды обеспечения (см. гл. 2): пра­вовое, организационное, информационное, техническое (аппарат­ное), программное, математическое, лингвистическое, норматив- но-методическое.

Нормативно-методическое обеспечение может быть слито с правовым, куда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации; раз­личного рода методики, обеспечивающие деятельность пользовате­лей при выполнении своей работы в условиях жестких требований соблюдения конфиденциальности.

Следует отметить, что из всех мер защиты в настоящее время ведущую роль играют организационные мероприятия. Поэтому следу­ет выделить вопрос организации службы безопасности. Реализация политики безопасности требует настройки средств защиты, управ­ления системой защиты и осуществления контроля функциониро­вания ИС. Как правило, задачи управления и контроля решаются административной группой, состав и размер которой зависят от кон­кретных условий. Очень часто в эту группу входят администратор безопасности, менеджер безопасности и операторы.

Обеспечение и контроль безопасности представляют собой комби­нацию технических и административных мер. По данным зарубежных источников, у сотрудников административной группы обычно 1/3 вре­мени занимает техническая работа и около 2/3 — административная (разработка документов, связанных с защитой ИС, процедуры провер­ки системы защиты и т.д.). Разумное сочетание этих мер способствует уменьшению вероятности нарушений политики безопасности.

Административную группу иногда называют группой информа­ционной безопасности. Эта группа может быть организационно слита с подразделением, обеспечивающим внутримашинное инфор­мационное обеспечение, т.е. с администратором БнД. Но чаще она обособлена от всех отделов или групп, занимающихся управлением самой ИС, программированием и другими относящимися к системе задачами, во избежание возможного столкновения интересов.

Нормативы и стандарты по защите информации накладывают требования на построение ряда компонентов, которые традиционно входят в обеспечивающие подсистемы самих информационных сис­тем, т.е. можно говорить о наличии тенденции к слиянию обеспечи­вающих подсистем ИС и СИБ.

Примером может служить использование операционных систем — основы системного ПО ИС. В разных странах выполнено множест­во исследований, в которых анализируются и классифицируются изъяны защиты ИС. Выявлено, что основные недостатки защиты ИС сосредоточены в операционных системах (ОС). Использование защищенных ОС является одним из важнейших условий построе­ния современных ИС. Особенно важны требования к ОС, ориенти­рованным на работу с локальными и глобальными сетями. Развитие Интернета оказало особенно сильное влияние на разработку защи­щенных ОС. Развитие сетевых технологий привело к появлению большого числа сетевых компонентов (СК). Системы, прошедшие сертификацию без учета требований к сетевому программному обеспечению, в настоящее время часто используются в сетевом ок­ружении и даже подключаются к Интернету. Это приводит к появле­нию изъянов, не обнаруженных при сертификации защищенных вы­числительных систем, что требует непрерывной доработки ОС.

Методы и средства обеспечения безопасности информации в АИС в обобщенном и упрощенном виде отражает схема рис. 5.1.

Рис. 5.1. Методы и средства обеспечения безопасности информации

Препятствие — метод физического преграждения пути злоумыш­леннику к защищаемой информации (к аппаратуре, носителям ин­формации и т.д.).

Управление доступом — методы защиты информации регулиро­ванием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного дос­тупа к информации. Кроме того, управление доступом включает следующие функции защиты:

• идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

• аутентификацию для опознания, установления подлинности пользователя по предъявленному им идентификатору;

• проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установ­ленному регламенту);

• разрешение и создание условий работы в пределах установ­ленного регламента;

• регистрацию (протоколирование) обращений к защищаемым ресурсам;

• реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.

В настоящее время для исключения неавторизованного проник­новения в компьютерную сеть стал использоваться комбинирован­ный подход: пароль + идентификация пользователя по персональ­ному ключу. Ключ представляет собой пластиковую карту (магнит­ная или со встроенной микросхемой — смарт-карта) или различные устройства для идентификации личности по биометрической инфор­мации — по радужной оболочке глаза, отпечаткам пальцев, размерам кисти руки и т.д. Серверы и сетевые рабочие станции, оснащенные устройствами чтения смарт-карт и специальным программным обеспечением, значительно повышают степень защиты от несанкцио­нированного доступа.

Шифрование — криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

Противодействие атакам вредоносных программ — комплекс разнообразных мер организационного характера и по использс ва- нию антивирусных программ. Цели принимаемых мер: уменьшение вероятности инфицирования АИС; выявление фактов заражения системы; уменьшение последствий информационных инфекций; ло­кализация или уничтожение вирусов; восстановление информации в ИС. Возможный перечень организационных мер и используемых программных средств защиты настолько велик, что овладение этим комплексом мер и средств, требует знакомства со специальной ли­тературой [3; 8].

Регламентация — создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при ко­торых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение — такой метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материаль­ной, административной или уголовной ответственности.

Побуждение — такой метод защиты, который побуждает пользо­вателей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Вся совокупность технических средств подразделяется на аппа­ратные и физические.

Аппаратные средства — устройства, встраиваемые непосредст­венно в вычислительную технику, или устройства, которые сопря­гаются с ней по стандартному интерфейсу.

Физические средства включают различные инженерные устрой­ства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.

Программные средства — специализированные программы и программные комплексы, предназначенные для защиты информа­ции в ИС.

Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография — это наука об обеспечении секретности и/или ау­тентичности (подлинности) передаваемых сообщений.

Организационные средства осуществляют своим комплексом рег­ламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что раз­глашение, утечка и несанкционированный доступ к конфиденциаль­ной Информации становится невозможным или существенно затруд­няется за счет проведения организационных мероприятий. Комплекс этих мер реализуется группой информационной безопасности, но должен находиться под контролем руководителя организации.

Законодательные средства защиты определяются законодательны­ми актами страны, которыми регламентируются правила пользова­ния, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Морально-этические средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, склады­ваются по мере распространения ИС и ИТ в стране и в мире, или специально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несо­блюдение приводит к падению престижа организации, они счита­ются обязательными для исполнения. Характерным примером таких предписаний является «Кодекс профессионального поведения чле­нов Ассоциации пользователей ЭВМ США».