Поняття політики безпеки ІС

Вступ

План

Основні засади захисту інформаційних систем

Лекція 2.

Вступ.

2.1. Поняття політики безпеки ІС

2.2. Організація системи інформаційної безпеки підприємства

2.3. Класифікація загроз

2.4. Основні види загроз безпеці інформації

2.5. Основні форми захисту інформації.

2.6. Криптографічний захист інформації

Під безпекою інформаційної системи розуміють її здатність протидіяти спробам нанесення збитків власникам та користувачам ІС методами створення різноманітних збуджуючих (навмисних і ненавмисних) впливів на неї. Природа впливів може бути різноманітною: спроба фізичного проникнення зловмисника, помилки персоналу, стихійні лиха (ураган, пожежа), вихід з ладу окремих ресурсів.

На сьогодні склалися два підходи до забезпечення безпеки ІС:

· фрагментарний підхід, сутність якого полягає у протидії строго визначеним загрозам за конкретних умов (спеціалізовані антивірусні засоби, автономні засоби шифрування тощо);

· комплексний підхід, який передбачає створення середовища оброблення інформації, що об’єднує різноманітні (правові, організаційні, програмно-технічні) заходи для протидії загрозам.

Комплексний підхід, як правило, використовується для захисту великих ІС. У цьому випадку необхідно забезпечити виконання наступних заходів:

· організаційні заходи з контролю за персоналом, який має високий рівень повноважень на дії в ІС (програмісти, адміністратори баз даних ІС);

· організаційні та технічні заходи з резервування стратегічно важливої інформації;

· організаційні заходи з відновлення працездатності ІС у випадку виникнення нештатних ситуацій;

· організаційні та технічні заходи з управління доступом у приміщення, в яких знаходяться програмно-технічні засоби;

· організаційні та технічні заходи з фізичного захисту приміщень, в яких знаходяться програмно-технічні засоби і носії даних, від стихійних лих, масових безпорядків тощо.

У 1985 році Національним центром інформаційної безпеки Міністерства оборони США була опублікована, так звана, ″Помаранчева книга″ (″Критерії оцінки достовірності обчислювальних систем Міністерства оборони″). У ній були подані основні положення, за якими американське оборонне відомство визначало ступінь захищеності інформаційно-обчислювальних систем. У систематизованому вигляді подано основні поняття, рекомендації і класифікація за видами загроз безпеці ІС і методи захисту від них. У подальшому книга перетворилась у збірку науково-обґрунтованих норм і правил, які описують системний підхід для забезпечення безпеки електронних інформаційних систем та їх елементів, і стала настільною книгою для фахівців у галузі захисту інформації. Запропонована у ″Помаранчевій книзі″ методологія за своєю сутністю стала загальноприйнятою, а її основні положення внесені до національних стандартів різних країн.

Системний підхід згідно з ″Помаранчевою книгою″ вимагає:

· прийняття принципових рішень у галузі безпеки на основі моніторингу поточного стану ІС;

· прогнозування можливих загроз і аналізу пов’язаного з ними ризику для ІС;

· планування заходів з запобігання виникнення критичних ситуацій;

· планування заходів виходу з критичних ситуацій.

Одне з основних понять, введених у ″Помаранчевій книзі″, це політика безпеки. Політика безпеки – це сукупність норм, правил і методик, на основі яких у подальшому базується діяльність ІС в галузі оброблення, зберігання і розподілення критичної інформації. При цьому під ІС розуміють не тільки апаратно-програмний комплекс, але і обслуговуючий персонал.

Політика безпеки формується на основі аналізу поточного стану і перспективи розвитку ІС, можливих загроз і визначає:

· мету, задачі та пріоритети системи безпеки;

· галузь дії окремих підсистем;

· гарантований мінімальний рівень захисту;

· обов’язки персоналу із забезпечення захисту;

· санкції за порушення захисту.

Якщо виконання політики безпеки проводиться не повною мірою або непослідовно, тоді ймовірність порушення ЗІ різко зростає. Під захистом інформації розуміють комплекс заходів, який забезпечує:

· збереження конфіденційності інформації – запобігання ознайомлення з інформацією неуповноважених осіб;

· збереження інформації – запобігання пошкодженню або знищенню інформації внаслідок свідомих дій зловмисника, помилок персоналу, стихійного лиха;

· прозорість, тобто наявність системи безпеки не повинна створювати перешкод для нормальної роботи ІС.

Впровадження політики безпеки неможливе без аналізу ризику. Аналіз ризику підвищує рівень поінформованості про слабкі та сильні сторони захисту, створює базу для прийняття рішень, оптимізує розмір витрат на захист, оскільки більша частина ресурсів спрямовується на блокування загроз, які можуть принести найбільшу шкоду.

Аналіз ризику складається з наступних основних етапів:

1. Опис складу ІС – апаратних засобів, програмного забезпечення, даних, документації, персоналу.

2. Визначення слабких місць – з’ясовуються слабкі місця за кожним елементом ІС з оцінкою ймовірних джерел загроз.

3. Оцінювання ймовірності реалізування загроз.

4. Оцінювання очікуваних розмірів втрат – цей етап складний, оскільки не завжди можливе кількісне оцінювання даного показника.

5. Аналіз можливих методів і засобів захисту.

6. Оцінювання виграшу від прийнятих заходів. Якщо очікувані втрати більші від допустимого рівня, необхідно посилити заходи безпеки.

Аналіз ризику завершується прийняттям політики безпеки і складанням плану захисту з обов’язковими наступними розділами:

1. Поточний стан. Опис статусу системи безпеки на момент формування плану.

2. Рекомендації. Вибір основних засобів захисту, які реалізують політику безпеки.

3. Відповідальність. Перелік відповідальних працівників і зон відповідальності.

4. Розклад. Визначення порядку роботи механізмів захисту, в тому числі і засобів контролю.

Читайте також:

<== попередня сторінка	\|	наступна сторінка ==>
Державна система охорони та захисту інтелектуальної власності в Україні	\|	Організація системи інформаційної безпеки підприємства

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

Генерація сторінки за: 0.003 сек.