- •5 Защита информации в компьютерных системах
- •5.1 Информационная безопасность
- •5.2 Классификация угроз информации
- •5.3 Административно-организационные методы защиты информации
- •5.4 Экономические методы защиты информации
- •5.5 Аппаратная защита информации
- •5.6 Правовые методы защиты информации
- •5.7 Криптографическая защита информации
- •5.8 Защита информационной среды от вредоносных программ
- •Заключение
- •Литература
- •Содержание
5.3 Административно-организационные методы защиты информации
Для построения эффективной системы защиты необходимо выполнить следующие мероприятия:
- определить угрозы безопасности информации;
- выявить возможные каналы утечки информации и несанкционированного доступа (НСД) к незащищенным данным;
- построить модель потенциального нарушителя;
- выбрать соответствующие методы и средства защиты;
- построить комплексную, эффективную систему защиты, проектирование которой начинается с проектирования самих ИСУ.
На стадии предпроектного обследования:
- устанавливается наличие секретной (конфиденциальной) информации;
- определяются режимы обработки информации (диалоговый, телеобработка, режим реального времени), состав технических средств и т.д.;
- определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников в обработке информации и характер их взаимодействия;
- анализируется возможность использования имеющихся на рынке средств защиты информации.
При разработке портрета нарушителя определяются:
- категория лиц, к которым может принадлежать нарушитель;
- мотивы действий нарушителя (цель);
- квалификация нарушителя и его техническая оснащенность;
- характер возможных действий.
Нарушители могут быть из числа персонала (внутренними) или внешними (посторонними) лицами.
Внутренние нарушители (инсайдеры):
- операторы – пользователи;
- персонал, обслуживающий технику (инженеры, техники);
- сотрудники отделов разработки и сопровождения программного обеспечения (прикладные и системные программисты);
- технический персонал, обслуживающий здание (уборщики, электрики, сантехники и т.д.);
- сотрудники службы безопасности;
- руководители разного уровня управления.
Внешние нарушители:
- приглашенные лица и клиенты;
- представители энерго-, водо-, техноснабжения и т.д.;
- представители конкурирующих организаций;
- лица, случайно или умышленно нарушившие производственный режим;
- криминальные структуры.
Мотивы нарушителя:
- безответственность;
- корыстный интерес;
- самоутверждение, желание продемонстрировать свои возможности;
- попытка навредить (злой умысел).
При нарушениях, вызванных безответственностью, пользователь случайно производит какие – либо разрушающие действия, не связанные со злым умыслом.
Некоторые пользователи-нарушители считают получение доступа к системам крупным своим успехом, затевая игру «пользователь против системы» ради самоутверждения в собственных глазах, либо в глазах своих коллегах.
В случае корыстного интереса нарушитель целенаправленно пытается преодолеть систему защиты информации.
Всех нарушителей можно классифицировать следующим образом.
1. По уровню знаний и компетенций:
а) знающие особенности проектирования и функционирования ИСУ;
б) обладающие высокими знаниями и опытом работы с техническими средствами и их обслуживанием;
в) обладающие высоким уровнем знаний в области программирования;
г) знающие структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.
2. По применяемым методам:
а) агентурные методы получения сведений;
б) методы и средства активного воздействия (подключение к каналам передачи данных и техническим средствам ИСУ);
в) использование штатных средств;
г) использование недостатков систем защиты.
3. По времени действия:
а) в процессе функционирования ИСУ;
б) в рабочее время (плановые перерывы, перерывы для обслуживания и ремонта и т.п.).
4. По месту действия:
а) рабочие места пользователей;
б) места обслуживания технических средств;
в) каналы связи;
г) архивы.
Чаще всего для достижения поставленной цели злоумышленник использует не один способ, а их некоторую совокупность.
Способы защиты информации:
- создание различных физических препятствий;
- управление доступом (регулирование использования всех ресурсов системы: технических, программных, информационных, временных);
- маскировка информации – использование криптографических методов;
- организационные методы защиты информации.
Физические средства защиты:
- создание физических препятствий (решетки, металлические двери, турникеты, сейфы и т. д.), механических и электромеханических замков;
- специальное остекление объекта;
- экранирование ЭВМ;
- установка генератора помех;
- использование механических и электромеханических замков, в том числе с дистанционным управлением, кодовым набором;
- датчики различного типа;
- использование теле-, фото систем наблюдения и регистрации, устройств идентификации пользователей (сотрудники должны знать, что за ними ведется постоянное наблюдение);
- системы охранной и противопожарной сигнализации.
Организационные методы защиты информации:
- подбор и проверка персонала, периодическое обучение по вопросам безопасности;
- запрет использования на рабочем месте телефонов со встроенными фотокамерами;
- разработка мероприятий по обеспечению режима секретности;
- разграничение доступа сотрудников к компьютерным сетям, информации и действий с ней в соответствии с их функциональными обязанностями и полномочиями (использование комбинаций: физический ключ + пароль, карточка + пароль и т.п.);
- продуманная планировка помещений с целью минимизации контактов персонала;
- обозначения и названия документов и носителей не должны раскрывать их содержание;
- организация контроля и учета выходной информации и документов (ведение журналов учета);
- уничтожение «отработанных» документов и машинных носителей информации или передача их в архив;
- ведение учета передачи смен, дежурств и т.д.;
- использование служб безопасности, оснащение помещений охранной и противопожарной сигнализацией;
- включение в должностные инструкции мероприятий по обеспечению режима секретности;
- анализ содержимого документов на степень конфиденциальности, присвоение грифа секретности;
- смена всех паролей при увольнении сотрудников и в случаях утечки информации;
- регулярное тестирование компьютерных систем;
- создание необходимого числа копий важной информации;
- установка охранной и пожарной сигнализации;
- регламентации доступа к данным;
- обсуждение каждого случая утечки информации с выявлением виновников и установлением мер наказания (скрывать опасно);
- использование принуждения – соблюдение определенных правил работы с информацией под угрозой материальной, административной и уголовной ответственности;
- использование морально-этических категорий (долг, ответственность, патриотизм и т.п.);
- поручить борьбу с утечками информации аппаратуре и программам, исключив человеческий фактор – инсайдеров.
Специальное программное обеспечение позволяет обеспечить целостность и безопасность информационной среды организации. Для этого могут быть использованы межсетевые экраны и антивирусные программы, осуществляющие фильтрацию входящего и выходящего потоков информации.
Все перечисленные аспекты управления безопасностью компьютерных сетей организаций равнозначны и важны для любой сети независимо от ее параметров.
Таким образом, технологии обеспечения безопасности локальных вычислительных систем организаций могут быть разделены на две группы: обеспечение устойчивости ИСУ под воздействием внутренних факторов, обеспечение защиты ИСУ от внешних воздействий.
К внутренним факторам следует отнести перебои электропитания, отказ отдельных элементов компьютерных систем, неправомерные действия сотрудников (ошибки при вводе данных и управлении системой).
Для стабилизации энергоснабжения могут быть рассмотрены следующие варианты: оснащение компьютеров источниками бесперебойного питания (в некоторых случаях достаточно оснастить источником бесперебойного питания только сервер); установка автономных источников питания; подключение компьютерной сети к нескольким независимым источникам энергопитания.
Для снижения последствий потери работоспособности технических элементов компьютерных систем, могут быть реализованы следующие организационные мероприятия:
- параллельная запись данных на нескольких носителях (использование так называемых «зеркальных дисков»);
- разбиение файлов и запись их на нескольких (от 4-х до 8-ми) дисков;
- периодическая перезапись, архивация баз данных и программ;
- параллельное решение критически важных задач;
- периодическая профилактика и контроль работоспособности технических средств компьютерной сети.
Сетевые средства защиты:
- корпоративные для организаций стоимостью в несколько тысяч долларов;
- персональные, устанавливаемые на каждый компьютер (они дешевле и доступны обычному пользователю).
Сетевые средства защиты выполняют следующие функции:
- обнаружение вторжения;
- контроль доступа;
- регистрация событий.