Программно-техническое обеспечение защиты информационной безопасности.
Организационно-экономическое обеспечение информационной безопасности.
Администрация организации должна сознавать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Основой мер защиты административно-организационного уровня является политика безопасности и комплекс организационных мер.
К комплексу организационных мер относятся меры безопасности, реализуемые людьми. Можно выделить следующие группы организационных мер:
· стандартизация способов и средств защиты информации
· сертификация компьютерных систем и сетей и их средств защиты
· лицензирование деятельности в сфере защиты информации
· страхование информационных рисков, связанных с функционированием компьютерных систем и сетей
· контроль за действием персонала в защищенных информационных системах
· организационное обеспечение функционирования систем защиты информации. Включает в себя:
Метод защиты при помощи программных паролей; обучение персонала; архивирование и дублирование информации: носители информации должны храниться в разных местах, не доступных для посторонних лиц; важная информация должна иметь несколько копий на разных носителях и в шифрованном виде; создание механических, электро-механических устройств и сооружений, предназначенных для создания физических препятствий на путях возможного проникновения нарушителей к компонентам защиты и защищаемой информации..
Меры и средства программно-технического уровня. В рамках современных ИС должны быть доступны, по крайней мере, следующие механизмы безопасности:
· применение защищенных виртуальных частных сетей VPN для защиты информации, передаваемой по открытым каналам связи;
Под термином VPN, как правило, понимается сеть, обеспечивающая достаточно экономичный, надежный и безопасный способ конфиденциальной связи между бизнес-партнерами, компаниями и их клиентами, отдельными подразделениями предприятия, удаленными сотрудниками и центральным офисом, причем все это реализуется на базе сетей общего пользования.
· применение межсетевых экранов для защиты корпоративной сети от внешних угроз при подключении к общедоступным сетям связи;
· управление доступом на уровне пользователей и защита от несанкционированного доступа к информации;
· гарантированная идентификация пользователей путем применения токенов (смарт-карты, touch-memory, ключи для USB-портов и т.п.) и других средств аутентификации;
· защита информации на файловом уровне (путем шифрования файлов и каталогов) для обеспечения ее надежного хранения;
· защита от вирусов с использованием специализированных комплексов антивирусной профилактики и защиты;
· технологии обнаружения вторжений и активного исследования защищенности информационных ресурсов;
· криптографическое преобразование данных для обеспечения целостности, подлинности и конфиденциальности информации
К техническим комплексам информационной безопасности относятся:
1. Специальные технические устройства (специальные маршрутизаторы, которые обеспечивают безопасность передачи информации, специальные контролеры, специальные платы шифрования);
2. Маршрутизаторы-брандмауэры - это устройства, которые защищают сеть от внешней опасности, направляют поток сообщений и осуществляет защиту на уровне протоколов, обеспечивают доступ в сеть только определенным пользователям и только к указанным ресурсам;
3. Туннельные маршрутизаторы - способ шифрования информации для передачи между разными маршрутизаторами в случае, если в Internet используется одновременно несколько узлов или если Intranet имеет несколько локальных сетей;
4. Платы, оснащенные датчиками – плата Barracuda;
5. Источники бесперебойного питания Back-UPS Pro фирмы ARС с интеллектуальным управлением аккумуляторами., ИБП Powercom KIN525A и т.д..
6. Межсетевые экраны (firewalls) - экраны фильтруют передаваемые через маршрутизатор пакеты, не пропуская потенциально опасные, которые, возможно, были отправлены в сеть в ходе атаки сети хакером;
7. Пластиковые карты - Smart cart- карты (например, SecurlD, ChipCard);
8. Помехоподавляющие фильтры, системы сетевой защиты;
9. Устройства резервного копирования информации (оптические диски CD, CD-R, видеокассеты, магнитные ленты высокой степени защиты (DLT), миникартриджи (TRAWAN);
10. Proxy-серверы – это программные продукты или технические средства, проверяющие разрешение на доступ конкретного пользователя.
К программным комплексам информационной безопасности относятся:
1. Антивирусные программы (Taken Pro, Doctor Web, AVP)
2. Системные средства информационной безопасности - использование утилит операционной системы;
3.Программные системы проверки сетевых протоколов, например, SATAN (Security Administrator’s Tool for Analyzing Network) - это программы, которые тестируют сеть и указывают слабые места и недостатки в системе безопасности;
4.Программные системы проверки попыток несанкционированного доступа: Real Secure (фирма ISS) , CMDS (Computer Misuse Detection System, фирма SAIC);
5. Библиотека программ цифровой подписи НОТАРИУС (фирма "ЛАН Крипто") - система цифровой подписи, которая позволяет подписывать документы в электронной форме и юридически точно устанавливать их авторство и подлинность, используются: стандарт РФ (ГОСТ 34.10-94), стандарт США (ОЕ5), а также более совершенные фирменные алгоритмы.
6.Библиотека программ шифрования файлов ВЕСТА реализует стандарты шифрования ГОСТ 28147-89 (Россия), ОЕS (США), РЕАG (Япония), а также быстрые и надежные фирменные алгоритмы, включает в себя систему открытого распределения ключей, которая избавляет от необходимости содержать службу снабжения секретными ключами.
Программные технические комплексы:
БАССК – защита информации в коммутируемых каналах связи при помощи ключа и электронной подписи
Специалистами компании ЭВРИКА разработан комплекс "АккордСеть-NDS", обеспечивающий информационно-компьютерной безопасности, защита локальных сетей и компьютеров от несанкционированных воздействий извне:
· защита информации в процессе передачи по незащищенной транспортной сети;
· защита компьютерных ресурсов на серверном уровне, а также локальных и удаленных рабочих станциях;
· контроль защищенности информации.
Программно-аппаратный комплекс КРИПТО-КОМ предназначен для организации защищенного электронного документооборота в биржевых, банковских, коммерческих и сетях. Комплекс обеспечивает конфиденциальность и целостность передаваемой и хранимой информации за счет ее шифрованием, а целостность и подтверждение подлинности ее источника (аутентификация) - цифровой подписью.
Комплекс КРИПТО-КОМ поддерживает как отечественные, так и зарубежные криптографические алгритмы - двухключевые алгоритмы RSA - международный стандарт на цифровую подпись ISO, DSS - государственный стандарт цифровой подписи США, ГОСТ Р 34.10-94 - отечественный стандарт цифровой подписи и одноключевые алгоритмы.
Правовое обеспечение безопасности регламентируется стандартами информационной безопасности:
· Стандарт CSEC предложен в 1988г Национальным Институтом стандартов и технологий США, определяет перечень показателей информационной безопасности, таких как политика безопасности, маркировка, идентификация и учет объектов системы, уверенность в безопасности системы.
· Стандарт ITSEC принят позже в 90-х годах, является основным Европейским стандартом.
В РБ существуют следующие стандарты информационной безопасности:
Ø стандарт защиты информации (основные термины и определения)
Ø стандарт средств вычислительной техники (защита от несанкционированного доступа к информации)
Ø стандарт системы обработки информации (модель услуг и сертификации протокола)
Кроме стандартов используются системы правовой сертификации:
1. "Оранжевая книга" - разработана Министерством безопасности США. Определяет перечень, по которому выделяется та или иная категория безопасности
2. Система европейской сертификации - European Union Information Technology Security Evaluation Criteria.
Для информационной безопасности используются специальные ключи (как алгоритмы шифрования информации, согласно требованиям криптографии ключ - это число большой разрядности), сертификаты (электронные документы, содержащие цифровую информацию (ключ), которая подтверждает . безопасность сервера, соотнося схему шифрования с имеющимся ключом) и протоколы.
Электронные ключи - устройства, подключаемые к одному из внешних разъемов компьютера и "прозрачные" для внешних устройств. По сложности ключи можно разделить на три группы в зависимости от строения входных и выходных данных:
Ø простейшие работают по принципу " есть ключ - нет ключа";
Ø стандартные работают по принципу внешнего запоминающего устройства, доступного для чтения заранее записанного туда шифра;
Ø сложно устроенные по принципу реализованной аппаратно математической функции с парольным ответом.
Электронная подпись - это некоторое информационное сообщение, признаваемое участниками данной ассоциации в качестве подписи.
Меры законодательного уровня очень важны для обеспечения ИБ. К этому уровню можно отнести весь комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Большинство людей не совершают противоправных действий потому, что это осуждается и/или наказывается обществом, и потому, что так поступать не принято.
Правовые отношения в области безопасности ИС регулируются законом «ОБ ИНФОРМАТИЗАЦИИ» от 6 сентября 1995 г. N 3850-XII
Настоящий Закон регулирует правоотношения, возникающие в процессе формирования и использования документированной информации и информационных ресурсов; создания информационных технологий, автоматизированных или автоматических информационных систем и сетей (в дальнейшем - информационные системы и сети); определяет порядок защиты информационного ресурса, а также прав и обязанностей субъектов, принимающих участие в процессах информатизации.
Одним из основных принципов информатизации является защита прав собственности на объекты права собственности в сфере информатизации.
Вопросам информационной безопасности посвящена ГЛАВА V. ЗАЩИТА ИНФОРМАЦИОННЫХ РЕСУРСОВ И ПРАВ СУБЪЕКТОВ ИНФОРМАТИ3АЦИИ. Состоит из статей 22-27.
Статья 22. Цели защиты
Целями защиты являются:
предотвращение утечки, хищения, утраты, искажения, подделки, несанкционированных действий по уничтожению, модификации, копированию, блокированию документированной информации и иных форм незаконного вмешательства в информационные системы; сохранение полноты, точности, целостности документированной информации, возможности управления процессом обработки и пользования в соответствии с условиями, установленными собственником этой информации или уполномоченным им лицом;
обеспечение прав физических и юридических лиц на сохранение конфиденциальности документированной информации о них, накапливаемой в информационных системах;
защита прав субъектов в сфере информатизации;
сохранение секретности, конфиденциальности документированной информации в соответствии с правилами, определенными настоящим Законом и иными законодательными актами.
Статья 23. Права н обязанности субъектов по защите информационных ресурсов
Собственник информационной системы или уполномоченные им лица обязаны обеспечить уровень защиты документированной информации в соответствии с требованиями настоящего Закона и иных актов законодательства.
Информационные ресурсы, имеющие государственное значение, должны обрабатываться только в системах, обеспеченных защитой, необходимый уровень которой подтвержден сертификатом соответствия. Защита другой документированной информации устанавливается в порядке, предусмотренном ее собственником или собственником информационной системы.
Собственник или владелец информационной системы обязаны сообщать собственнику информационных ресурсов обо всех фактах нарушения защиты информации.
Статья 24. Сертификация технических и программных средств по защите информационных ресурсов
Технические и программные средства по защите информационных ресурсов подлежат обязательной сертификации в национальной системе сертификации Республики Беларусь органом сертификации.
Юридические лица, занимающиеся созданием средств по защите информационных ресурсов, осуществляют свою деятельность в этой сфере на основании разрешения органа, уполномоченного Президентом Республики Беларусь.
Статья 25. Предупреждение правонарушений в сфере
информатизации
Предупреждение действий, влекущих за собой нарушение прав и интересов, субъектов правоотношений в сфере информатизации, установленных настоящим Законом и иным законодательством Республики Беларусь, осуществляется органами государственной власти и управления, юридическими и физическими лицами, принимающими участие в информационном процессе.
Владельцы информационных ресурсов и систем, создатели средств программно-технической и криптографической защиты документированной информации при решении вопросов защиты руководствуются настоящим Законом и нормативными актами специально уполномоченного государственного органа по защите информации.
Статья 26. Ответственность за правонарушения в сфере информатизации
3а правонарушения в сфере информатизации юридические и физические лица несут ответственность в соответствии с законодательством Республики Беларусь.
Статья 27. Защита прав субъектов правоотношений в сфере информатизации
Защита прав и интересов юридических и физических лиц, государства в сфере информатизации осуществляется судом, хозяйственным судом с учетом специфики правонарушений и причиненного ущерба.
