Основные понятия политики информационной безопасности

Размещено на http://www.allbest.ru/

Содержание

Введение

1. Разработка политики безопасности организации

2. Недостатки политики безопасности информационных ресурсов предприятия

3. Организация системы информационной безопасности предприятия

Заключение

Литература

Приложения

Введение

Говоря об информационной безопасности, в настоящее время имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях, играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий". Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.

Современные методы и средства обработки информации не только дают возможность повышения эффективности всех видов деятельности человека, но и создают целый комплекс проб, связанных с вопросами ее защиты.

На рынке защиты информации (ЗИ) предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако , для того, чтобы создать на предприятии условия информационной безопасности (ИБ),необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем, человек является ключевым элементом системы и вместе с тем самым трудноформализуемым и потенциально слабым ее звеном.

Создание системы защиты информации(СЗИ) не является главной задачей предприятия, как ,например ,производство продукции и получение прибыли. Поэтому создавая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть экономически оправданным. Тем не менее она должна обеспечивать защиту важных информационных ресурсов предприятия от всех реальных угроз.

В данной работе мы рассмотрим концептуальные основы защиты информации, раскрывающие сущность, цели, структуру и стратегию защиты организации.

1. Разработка политики безопасности организации

Разработка политики безопасности ведется для конкретных условий функционирования информационной системы. Как правило, речь идет о политике безопасности организации, предприятия или учебного заведения. С учетом этого рассмотрим следующее определение политики безопасности.

Политика безопасности- это комплекс предупредительных мер по обеспечению информационной безопасности организации. Политика безопасности включает правила, процедуры и руководящие принципы в области безопасности, которыми руководствуются организация в своей деятельности. Кроме того, политика безопасности включает в себя требования в адрес субъектов информационных отношений ,при этом в политике безопасности излагается политика ролей субъектов информационных отношений.

Основные направления разработки политики безопасности:

-определение объема и требуемого уровня защиты данных ;

-определение ролей субъектов информационных отношений .

Результатом разработки политики безопасности является комплексный документ, представляющий собой систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.

Этот документ выступает методологической основой практических мер по обеспечению информационной безопасности и включает следующие группы сведений:

-основные положения информационной безопасности организации;

-область применения политики безопасности;

-цели и задачи обеспечения информационной безопасности организации;

-распределение ролей и ответственности субъектов информационных отношений организации и их общие обязанности.

Основные положения определяют важность обеспечения информационной безопасности, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы. При описании области применения политики безопасности перечисляются компоненты автоматизированной системы обработки, хранения и передачи информации, подлежащие защите.

В состав автоматизированной информационной системы входят следующие компоненты:

-аппаратные средства-компьютеры и их составные части(процессоры, мониторы, терминалы, дисководы. принтеры, контроллеры)кабели, линии связи т.п.;

-программное обеспечение- приобретение программы, исходные, объектные, загрузочные модули; операционные системы и системные программы, утилиты, диагностические программы и т.д.;

-персонал - обслуживающий персонал и пользователи.

Цели, задачи, критерии оценки информационной безопасности определяются функциональным назначением организации. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных.

Политика безопасности затрагивает всех субъектов информационных отношений в организации, поэтому на этапе разработки политики безопасности очень важно разграничить их права и обязанности, связанные с их непосредственной деятельностью.

В зависимости от размеров организации, степени развитости ее информационной системы некоторые из перечисленных ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом. С позиции обеспечения информационной безопасности разграничение прав и обязанностей целесообразно провести по следующим группам (ролям):

Специалист по информационной безопасности играет основную роль в разработке и соблюдении политики безопасности предприятия. Он проводит расчет и перерасчет рисков, выявляет уязвимости системы безопасности по всем направлениям.

Владелец информации-лицо, непосредственно владеющее информацией и работающее с ней. В большинстве случаев именно владелец информации может определить ее ценность и конфиденциальность.

Поставщики аппаратного и программного обеспечения обычно являются сторонними лицами, которые несут ответственность за поддержание должного уровня информационной безопасности в поставляемых им продуктах.

Администратор сети - лицо, занимающееся обеспечением функционирования информационной сети организации, поддержанием сетевых сервисов, разграничением прав доступа к ресурсам сети на основании соответствующей политики безопасности.

Менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности .Его задача -своевременно и качественно инстрктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за их выполнением на рабочих местах. Менеджеры должны доводить до подчиненных все аспекты политики безопасности, которые непосредственно их касаются.

Операторы обрабатывают информацию, поэтому должны знать класс конфиденциальности информации и характер ущерба, который будет нанесен организации при ее раскрытии.

Аудиторы-внешние специалисты по безопасности ,нанимаемые организацией для периодической проверки функционирования всей системы безопасности организации.

2. Недостатки политики безопасности информационных ресурсов предприятия

В процессе развития нашего общества информация, особенно экономическая, играет особую роль. Желание преуспеть заставляет людей соревноваться, соперничать или конкурировать. Конкуренция ставит предпринимателей в такие жесткие условия, когда приходится решать один вопрос: или ты победишь, или тебя пустят по миру. Третьего не дано, поскольку конкуренция и есть борьба во имя победы. Она способна порождать новые идеи и новые концепции, и поэтому предприниматель вынужден копить секреты и создавать структуры по их добыванию и защите

Информация в настоящее время приобрела коммерческую ценность, стала продуктом и товаром. Сфера предпринимательства, связанная со сбором, обработкой, классификацией, анализом и оформлением различных видов информации получила название эккаутинг.

Информация бывает открытой, полузакрытой (незасекреченной, но контролируемой теми, кого она касается) и секретной. Предоставление контрагентам не секретной информации, необходимой для принятия решения о сотрудничестве с данным предприятием, это нормальная практика. Но утечка секретной информации угрожает стратегическим интересам предприятия и его существованию. С ее помощью можно вызвать конфликт с налоговыми, таможенными и другими государственными органами, причинить ущерб репутации, подорвать финансовую основу предприятия, подвергнуть предприятие шантажу криминальных структур. В связи с этим обеспечение защиты информационных ресурсов от всевозможных угроз становится одной из важных экономических проблем предприятия.

Все способы, которые используются для обеспечения информации можно разделить на две группы:

1. Законные способы - направлены на сбор информации (открытой и конфидициальной) о различных участниках рынка и только легальными методами. Эту группу методов называют еще конкурентной (маркетинговой, деловой) разведкой - не афишируемый, но весьма распространенный инструмент в арсенале служб маркетинга и безопасности современных корпораций. Важнейший его элемент - сбор информации о конкурентах, которая необходима при разработке стратегии развития и продвижения любой компании.

Конкурентная разведка - это специфическая функция, связанная с деятельностью службы безопасности коммерческого предприятия и выражающаяся в сборе конфиденциальной информации о рынке и деятельности конкурентов.

Основные источники получения информации: рекламные буклеты, СМИ, Интернет, а в некоторых случаях и сами товары. Кроме того, диски с базой данных многих государственные учреждений, позволяющие быстро отобрать нужную информацию, вполне легально продаются на рынке. Открытыми источниками нередко становятся не в меру болтливые сотрудники (друзья, родственники, знакомые) проверяемого лица.

Тысячи информационных агентств занимаются отслеживанием, сбором, обработкой и анализом коммерческой, научной и технической информации, и в этом нет ничего противозаконного. Но именно такие обзоры и результаты анализов как раз и служат источником той информации, на основании которой принимаются решения об объектах применения способов второй группы.

2. Промышленно - экономический шпионаж -это деятельность, направленная на выведывание производственных и деловых секретов конкурентов и получение обманным путем конфиденциальной информации, используемой для достижения коммерческих целей. Это незаконные способы получения секретной информации. Сюда относятся следующие методы:

- электронный доступ к секретным данным;

- подслушивание при помощи подсоединения к кабельным сетям, установка подслушивающей аппаратуры в офисе, перехват переговоров по мобильным телефонам;

- несанкционированный доступ к компьютерным системам посредством проникновения в сеть, взлома программного или аппаратного обеспечения;

- физический доступ к секретным материалам и т.д.

Вопреки распространенному мнению большую часть всей информации заинтересованная сторона получает из открытых источников - это гораздо дешевле и проще. Но такой информации чаще всего бывает не достаточно и любопытные компании вынуждены пускать в ход шпионские уловки.

Под угрозой безопасности информации понимается действие или событие, которое может привести к разрушению, искажению или не санкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а так же программные и аппаратные средства.

Источниками угроз являются конкуренты, преступники, коррупционеры, административные органы.

Объектами угроз информации выступают сведения о составе, состоянии и деятельности предприятия:

Стратегия и планы развития,

Финансовые отчеты, прогнозы, положение,

Маркетинг,

Условия оказания услуг,

Характеристика производимой и перспективной продукции,

Партнеры, клиенты и содержание договоров с ними,

ОСУ

В судебной практике дела по обвинению в шпионаже всегда были самыми трудными. Если окажется, что потерпевшая сторона не приняла мер по защите информации, иск могут не принять к рассмотрению. А для вынесения приговора нужно уличить обвиняемого в хищении секретных материалов, установить заказчика и доказать связь между ним и исполнителем. Поэтому о противодействии конкурентной разведке должны заботиться сами фирмы, а не госорганы. Например, в Японии не предусмотрено никакой ответственности за разглашение коммерческих секретов, а противостоять их утечке должны службы персонала и безопасности компаний. Они обязаны включать соответствующие требования в служебные инструкции и контракты с сотрудниками, а также следить за их соблюдением.

Конкретная служба по защите информации на предприятии отсутствует. Поэтому ответственность за защищаемую информацию несет специалист по управлению персоналом. Данная документация обрабатывается путем строгого контроля изъятия и возвращения документов под расписку уполномоченного работника. За информацию, относящуюся к коммерческой тайне, несут ответственность следующие служащие предприятия: начальники, бухгалтера, экономисты, инженеры.

Для устранения угроз безопасности информации на организациях необходимо разрабатывать и внедрять политику информационной безопасности и комплексные системы мер информационной защиты.

3. Организация системы информационной безопасности предприятия

Подсистема управления политикой ИБ предназначена для поддержания в актуальном состоянии политик и других организационно-распорядительных документов по обеспечению ИБ, ознакомление всех пользователей и технического персонала ИС с содержанием этих документов, контроля осведомленности и контроля выполнения требований политики безопасности и других регламентирующих документов. Всем сотрудникам предприятия предоставляется персонифицированный доступ к внутреннему информационному Web-серверу, на котором публикуются действующие нормативные документы, списки контрольных (проверочных) вопросов, предназначенных для контроля осведомленности, а также Web-формы для составления сообщений и отчетов об инцидентах, связанных с нарушением правил политики безопасности.

Подсистема управления политикой безопасности должна:

поддерживать, актуализировать и контролировать исполнение корпоративной политики безопасности;

обеспечивать определение единого набора правил обеспечения безопасности;

позволять создавать новые и модифицировать уже созданные политики, правила и инструкции для обеспечения информационной безопасности;

учитывать отраслевую специфику;

обеспечивать централизованный персонифицированный доступ сотрудников к текстам корпоративных политик на основе Web-доступа;

информировать пользователей о создании и утверждении новых политик;

фиксировать факт ознакомления пользователя с политиками;

проверять усвоенные знания политик;

контролировать нарушение политик пользователями;

контролировать выполнение единого набора правил защиты информации;

информировать административный персонал о фактах нарушения политик безопасности пользователями;

иметь средства создания отчетов.

Требования к подсистеме анализа и управления рисками

Подсистема анализа и управления рисками представляет собой комплекс инструментальных средств, установленных на рабочем месте специалиста по анализу рисков и предназначенных для сбора и анализа информации о состоянии защищенности ИС, оценки рисков, связанных с реализацией угроз ИБ, выбора комплекса контрмер (механизмов безопасности), адекватных существующим рисками и контроля их внедрения.

Требования к подсистеме разграничения доступа

Подсистема разграничения доступа (авторизации) использует информацию, предоставляемую сервисом аутентификации. Авторизация пользователей для доступа к информационным ресурсам ИС осуществляется на следующих уровнях программно-технической защиты:

На уровне защиты внешнего периметра ЛВС предприятия (при их подключении к внешним сетям и сети Интернет) МЭ осуществляет разграничение доступа внешних пользователей к сервисам ЛВС и внутренних пользователей к ресурсам сети Интернет и внешних сетей в соответствии с правилами "Политики обеспечения информационной безопасности при взаимодействии с сетью Интернет".

На уровне защиты сетевых сервисов ЛВС используются внутренние механизмы авторизации пользователей, встроенные в сетевые сервисы, либо специализированные серверы авторизации.

Требования к подсистеме протоколирования и пассивного аудита

Подсистема протоколирования и пассивного аудита предназначена для осуществления контроля за наиболее критичными компонентами сети, включающими в себя серверы приложений, баз данных и прочие сетевые серверы, межсетевые экраны, рабочие станции управления сетью и т.п. Компоненты этой подсистемы располагаются на всех перечисленных выше рубежах защиты (разграничения доступа) и осуществляют протоколирование, централизованный сбор и анализ событий, связанных с безопасностью (включая предоставление доступа, попытки аутентификации, изменение системных политик и пользовательских привилегий, системные сбои и т.п.). Они включают в себя как встроенные средства, имеющиеся в составе ОС, СУБД, приложений и т.п. и предназначенные для регистрации событий безопасности, так и наложенные средства (программные агенты) служащие для агрегирования и анализа данных аудита, полученных из различных источников. Все данные аудита поступают на выделенный сервер аудита, где осуществляется их хранение и обработка. Просмотр и анализ этих данных осуществляется с консоли администратора аудита.

Подсистема активного аудита безопасности предназначена для автоматического выявления нарушений безопасности критичных компонентов ИС и реагирования на них в режиме реального времени. К числу критичных компонентов ИС, с наибольшей вероятностью подверженных атакам со стороны злоумышленников, относится внешний защищенный шлюз в сеть Интернет, сервер удаленного доступа, серверная группа и рабочие станции управления сетью. Данная подсистема тесно интегрирована с подсистемой протоколирования и пассивного аудита, т.к. она частично использует данные аудита, полученные из этой подсистемы, для выявления атак и активизации алгоритмов автоматического реагирования.

Подсистема активного аудита строится на традиционной для подобных систем архитектуре агент-менеджер-управляющая консоль. Для сбора информации и реагирования на инциденты используются программные агенты, программа-менеджер размещается на сервере аудита и отвечает за агрегирование, хранение и обработку данных аудита, управление агентами и автоматическую активизацию алгоритмов реагирования. Управление всей подсистемой осуществляется с консоли администратора аудита.

Выявление сетевых и локальных атак и других нарушений безопасности, а также реагирование на них должны осуществляться в реальном времени.

Требования к подсистеме контроля целостности

Подсистема контроля целостности программных и информационных ресурсов ИС предназначена для контроля и оперативного восстановления целостности критичных файлов ОС и приложений на серверах и рабочих станциях сети, включая конфигурационные файлы, файлы данных, программы и библиотеки функций. В случае несанкционированной модификации контролируемых файлов они могут быть восстановлены с использованием средств резервного копирования и восстановления данных. Подсистема контроля целостности может входить в состав подсистемы активного аудита в качестве одного из ее функциональных компонентов.

Система контроля целостности программной и информационной части ЛВС должна обеспечивать контроль неизменности атрибутов критичных файлов и их содержимого, своевременное выявление нарушений целостности критичных файлов и их оперативное восстановление. В составе системы контроля целостности должны быть предусмотрены средства централизованного удаленного администрирования, средства просмотра отчетов по результатам проверки целостности и средства автоматического оповещения администратора безопасности о выявленных нарушениях.

Заключение

Тема основные понятия политики безопасности предприятия определяют стратегию управления информационной безопасности, а также меру внимания и количество ресурсов, которые считает целесообразным выделить руководство.

Политика безопасности строиться на основе анализа рисков, которые признаются реальными для ИС организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные , определяется порядок контроля выполнения программы и т.п.

Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого конкретными документами специализированных политик и процедур безопасности. программный информация криптографический

Высокоуровневая политика безопасности должна периодически пересматриваться, гарантируя тем самым учет текущих потребностей организации. Документ политики составляют таким образом, чтобы политика была относительно независимой от конкретных технологий, в этом случае документ не потребуется изменять слишком часто.

Таким образом структура и политика безопасности зависит от размера и целей компании.

Литература

1. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей: - М.: ИД «Форум», 2014. - 416с.

2. Баранова Е.К.,Бабаш А.В. Информационная безопасность и защита информации: Инфра-М , 2016г.-322с.

3. Завгородний, В. И. "Комплексная защита информации в компьютерных системах". - М.: "Логос", 2011.

4. Гришина Н.В.Информационная безопасность предприятия:-М;ФОРУМ,2015.-240с

5. Бизнес-планирование: Учебник / Под ред. В. М. Попова и С. И. Ляпунова. - М.: Финансы и статистика, 2012. - 672 с.

6. Драга А.А. Обеспечение безопасности предпринимательской деятельности. - М.: Издательство МГТУ им. Н. Э. Баумана. 2014. - 304 с.

Приложения

Приложение 1

Таблица Виженера

Структура информационной безопасности

Приложение 2

Структура информационной безопасности

Размещено на Allbest.ru