Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Забезпечення безпеки ІМ

 

Забезпечення безпеки ІМ припускає організацію протидії будь-якому несанкціонованому вторгненню в процес функціонування ІМ, а також спробам модифікації, розкрадання, виведення з ладу або руйнування її компонентів, тобто захист всіх компонентів ІМ і персоналу.

Існують два підходи до проблеми забезпечення безпеки ІМ: фрагментарний і комплексний.

Фрагментарний підхід спрямований на протидію чітко встановленим погрозам у заданих умовах. Як приклади реалізації такого підходу можна вказати окремі засоби керування доступом, автономні засоби шифрування, спеціалізовані антивірусні програми, тощо.

Перевагою такого підходу є висока вибірковість до конкретної погрози. Істотним недоліком - є відсутність єдиного захищеного середовища обробки інформації.

Фрагментарні методи захисту інформації забезпечують захист конкретних об'єктів ІМ тільки від конкретної погрози. Навіть невелика видозміна погрози веде до втрати ефективності захисту.

 

Комплексний підхідорієнтований на створення захищеного середовища обробки інформації в ІМ , що поєднує в єдиний комплекс різнорідні методи протидії погрозам.

Організація захищеного середовища обробки інформації дозволяє гарантувати певний рівень безпеки ІМ , що є безсумнівною перевагою комплексного підходу.

До недоліків цього підходу відносять: обмеження на свободу дій користувачів ІМ , більша чутливість до помилок інсталяції й налагодження засобів захисту, складність керування.

 

Комплексний підхід до проблеми забезпечення безпеки заснований на розробленої для конкретної ІМ політиці безпеки.

Політика безпеки являє собою набір норм, правил і практичних рекомендацій, на яких будується керування, захист і розподіл інформації в ІМ . Політика безпеки регламентує ефективну роботу засобів захисту ІМ . Вона охоплює всі особливості процесу обробки інформації, визначаючи поводження системи в різних ситуаціях.

Політика безпеки реалізується за допомогою адміністративно-організаційних мір, фізичних і програмно-технічних засобів і визначає архітектуру системи захисту.

Розрізняють два основних види політики безпеки: виборчу й повноважну.

Виборча політика безпеки заснована на виборчому способі керування доступом. Виборче керування доступом характеризується заданою адміністратором множиною дозволених відносин доступу (наприклад, у вигляді трійок <об'єкт, суб'єкт, тип доступу>).

Для опису властивостей виборчого керування доступом застосовують математичну модель на основі матриці доступу.

Матриця доступу являє собою матрицю, у якій стовпчик відповідає об'єкту системи, а рядок - суб'єкту. На перетині стовпчику й рядку матриці вказується тип дозволеного доступу суб'єкта до об'єкта.

Зазвичай виділяють такі типи доступу суб'єкта до об'єкта:

· доступ на читання;

· доступ на запис;

· доступ на виконання;

 

Повноважна політика безпеки заснована на повноважному (мандатному) способі керування доступом.

Повноважне (або мандатне) керування доступом характеризується сукупністю правил надання доступу на множині атрибутів безпеки суб'єктів й об'єктів, наприклад, залежно від мітки конфіденційності інформації й рівня допуску користувача.

Повноважне керування доступом використовує той факт, що:

• усі суб'єкти й об'єкти системи однозначно ідентифіковані;

• кожен об'єкт системи має позначку конфіденційності інформації, що визначає її цінність;

• кожен суб'єкт системи має певний рівень допуску, який визначає максимальне значення мітки конфіденційності інформації об'єктів, до яких суб'єкт має доступ.

Чим важливіший об'єкт, тим вище його мітка конфіденційності. Тому найбільш захищеними виявляються об'єкти з найбільш високими значеннями мітки конфіденційності.

Основним призначенням повноважної політики безпеки є регулювання доступу суб'єктів системи до об'єктів з різними рівнями конфіденційності, запобігання витоку інформації з верхніх рівнів посадової ієрархії на нижні, а також блокування можливих проникнень із нижніх рівнів на верхні.

Крім регулювання доступом суб'єктів до об'єктів системи проблема захисту інформації ще адміністраторові необхідно визначити, які інформаційні потоки в системі є "легальними", тобто не ведуть до витоку інформації, а які ведуть до витоку.

Тому виникає необхідність розробки правил, що регламентують керування інформаційними потокамив системі.

Виборче й повноважне керування доступом, а також керування інформаційними потоками є тим фундаментом, на якому будується вся система захисту.

 

Під системою захисту ІМ розуміють єдину сукупність правових і морально-етичних норм, адміністративно-організаційних мір, фізичних і програмно-технічних засобів, спрямованих на протидію погрозам ІМ з метою зведення до мінімуму можливості збитку.

 

Процес побудови системи захисту включає наступні етапи:

аналіз можливих погроз ІМ ;

планування системи захисту;

реалізація системи захисту;

супровід системи захисту.

 

Етап аналізу можливих погроз ІМ необхідний для фіксації стану ІМ (конфігурації апаратних і програмних засобів, технології обробки інформації) і визначення впливів, що враховуються на компоненти системи. Практично неможливо забезпечити захист ІМ від всіх впливів, оскільки неможливо повністю встановити всі погрози й способи їхніх реалізацій. Тому із усього множини ймовірних впливів вибирають тільки такі впливи, які можуть реально відбутися й завдати серйозної шкоди.

 

На етапі планування формулюється система захисту як єдина сукупність дій протидії погрозам різної природи.

По способах здійснення всі міри забезпечення безпеки комп'ютерних систем підрозділяють на:

правові (законодавчі);

морально-етичні;

адміністративні;

фізичні;

апаратно-програмні.

 

До правових мір захисту інформації відносять діючі в країні закони, укази й інші нормативні акти, що регламентують правила обігу інформації обмеженого використання й відповідальність за їх порушення. Цей аспект захисту інформації пов'язаний з необхідністю дотримання юридичних норм при передачі й обробці інформації.

 

До морально-етичних мір протидії відносять норми поведінки, які традиційно склалися або складаються в суспільстві при поширенні комп'ютерів у країні. Ці норми здебільшого не є обов'язковими.

Морально-етичні норми бувають як неписаними (наприклад, загальновизнані норми чесності, патріотизму й т.д.), так й оформленими в звід правил або приписань. Наприклад, "Кодекс професійного поводження членів Асоціації користувачів ЕОМ США” розглядає як неетичні дії, які навмисне або ненавмисно:

• порушують нормальну роботу комп'ютерних систем;

• викликають невиправдані витрати ресурсів (машинного часу, пам'яті, каналів зв'язку й т! п.);

• порушують цілісність інформації;

• порушують інтереси інших законних користувачів, тощо.

 

Адміністратори всіх рангів з урахуванням правових норм і соціальних аспектів визначають адміністративні міри захисту інформації.

Ці міризахисту відносяться до мір організаційного характеру. Вони регламентують:

• процеси функціонування ІМ ;

• використання ресурсів ІМ ;

• діяльність персоналу;

• порядок взаємодії користувачів із системою, для того щоб виключити можливість реалізації погроз безпеки.

 

Адміністративні міри включають:

• розробку правил обробки інформації в ІМ ;

• сукупність дій при проектуванні й обладнанні обчислювальних центрів й інших об'єктів ІМ (вплив стихії, пожеж, охорона приміщень і т.п.);

• сукупність дій при підборі й підготовці персоналу (перевірка нових співробітників, ознайомлення їх з порядком роботи з конфіденційною інформацією, з мірами відповідальності за порушення правил її обробки; створення умов, при яких персоналу було б невигідно припускатися зловживань і т.д.);

• організацію надійного пропускного режиму;

• організацію обліку, зберігання, використання й знищення документів і носіїв з конфіденційною інформацією;

• розподіл реквізитів розмежування доступу (паролів, повноважень і т.п.);

• організацію схованого контролю за роботою користувачів і персоналу ІМ ;

• сукупність дій при проектуванні, розробці, ремонті й модифікації встаткування й програмного забезпечення (сертифікація технічних і програмних засобів; санкціонування, розгляд і завердження всіх змін, перевірка на відповідність вимогам захисту, документальна фіксація змін, тощо).

До фізичних мір захисту ставляться різного роду механічні, электро- і електронно-механічні пристрої, спеціально призначені для створення фізичних перешкод на можливих шляхах проникнення й доступу потенційних порушників до компонентів системи й інформації.

 

До апаратно-програмних засобів захисту відносяться різні електронні пристрої й спеціальні програми, які реалізують самостійно або в комплексі з іншими засобами такі способи захисту:

• автентифікацію (перевірка дійсності) суб'єктів (користувачів, процесів) ІМ ;

• авторизацію - розмежування доступу до ресурсів ІМ та визначення можливих дій в системі;

• контроль цілісності даних;

• забезпечення конфіденційності даних;

• реєстрацію й аналіз подій, що відбуваються в ІМ ;

• резервування ресурсів і компонентів ІМ .

 

Більшість із цих способів захисту реалізується криптографічними методами захисту інформації.

При плануванні ефективної системи захисту варто враховувати ряд принципів, що відображають основні положення по безпеці інформації:

Економічна ефективність. Вартість засобів захисту повинна бути менше, ніж розміри можливого збитку.

Мінімум привілеїв. Кожен користувач повинен мати мінімальний набір привілеїв, необхідний для роботи.

Простота. Захист тим більше ефективний, чим легше користувачеві з нею працювати.

Неможливість відключення захисту. При нормальному функціонуванні захист не повинний відключатися. Тільки в особливих випадках співробітник зі спеціальними повноваженнями може відключити систему захисту.

Відкритість проектування й функціонування механізмів захисту. Фахівці, що мають відношення до системи захисту, повинні повністю уявляти собі принципи її функціонування й у випадку виникнення скрутних ситуацій адекватно на них реагувати.

Загальний контроль. Будь-які вилучення із множини контрольованих суб'єктів й об'єктів захисту, знижують захищеність ІМ .

Звітність і підконтрольність. Система захисту повинна давати доказ коректності своєї роботи.

Відповідальність. Мається на увазі особиста відповідальність осіб, що займаються забезпеченням безпеки інформації.

Ізоляція і розділення. Об'єкти захисту доцільно розділяти на групи таким чином, щоб порушення захисту в одній із груп не впливало на безпеку інших груп.

Повнота й узгодженість. Надійна система захисту повинна бути повністю специфікована, протестована й узгоджена.

Параметризація. Захист стає більше ефективним й гнучким, якщо він допускає зміну своїх параметрів з боку адміністратора.

Принцип ворожого оточення. Система захисту повинна проектуватися розраховуючи на вороже оточення. Розроблювачі повинні виходити із припущення, що користувачі мають найгірші наміри, що вони будуть робити серйозні помилки й шукати шляхи обходу механізмів захисту.

Залучення людини. Найбільш важливі й критичні рішення повинні прийматися людиною.

Відсутність зайвої інформації про існування механізмів захисту. Існування механізмів захисту повинне бути, по можливості, приховано від користувачів, робота яких повинна контролюватися.


 

Результатом етапу планування є розгорнутий план захисту ІМ, якій містить перелік компонентів, які необхідно захищати й можливих впливів на них, ціль захисту інформації, правила обробки інформації, що забезпечують її захист від різних впливів, а також опис планованої системи захисту інформації.

На етапі реалізації системи захисту встановлюють засоби захисту, необхідні для реалізації запланованих дій обробки інформації.

Етап супроводу полягає в контролі роботи системи, реєстрації подій, що відбуваються в ній, їхньому аналізі з метою виявлення порушень безпеки, корекції системи захисту.

 


Читайте також:

  1. Cистеми безпеки торговельних підприємств
  2. I. Введення в розробку програмного забезпечення
  3. II. Вимоги безпеки перед початком роботи
  4. II. Вимоги безпеки праці перед початком роботи
  5. II.1 Програмне забезпечення
  6. III. Вимоги безпеки під час виконання роботи
  7. III. Вимоги безпеки під час виконання роботи
  8. III. Етапи розробки програмного забезпечення
  9. IV. Вимоги безпеки під час роботи на навчально-дослідній ділянці
  10. V. Вимоги безпеки в аварійних ситуаціях
  11. V. Вимоги безпеки в екстремальних ситуаціях
  12. Абіотичні та біотичні небезпеки.




Переглядів: 906

<== попередня сторінка | наступна сторінка ==>
Основні погрози безпеки ІМ | Принципи криптографічного захисту інформації

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.304 сек.