Здавалка
Главная | Обратная связь

Типи політики безпеки, організаційно-технічні та адміністративні методи захисту інформації

⇐ ПредыдущаяСтр 19 из 23Следующая ⇒

Основу політики безпеки становить спосіб управління доступом; він визначає порядок доступу суб’єктів системи до об’єктів системи. Назва цього способу визначає назву політики безпеки. Для вивчення властивостей способу управління доступом на основі його способу формального опису створюють математичну модель. Вона повинна відображати стан всієї системи, її переходи з одного стану до іншого, враховувати, які стани та переходи є безпечними з точки зору певного управління, без чого може йтися про властивості системи та їх гарантування. На сьогодні найкраще вивченими є два типи політики безпеки: вибірна та повноважна, які базуються, відповідно, на вибірному та повноважному способах управління доступом. Існує також набір вимог, який посилює дію цих політик і призначений для управління інформаційними потоками в системі. Засоби захисту, призначені для реалізації одного з названих способів управління доступом, тільки надають можливість надійного управління доступом або інформаційними потоками. Визначення прав доступу до об’єктів та/або інформаційних потоків (повноважень суб’єктів та атрибутів суб’єктів, присвоювання міток критичності і т.д.) є компетенцією адміністрації системи.

Основою вибіркової політики безпеки є вибіркове управління доступом, яке передбачає, що:

- всі суб’єкти та об’єкти системи мають бути ідентифікованими;

- права доступу суб’єкту до об’єкту системи визначаються на основі певного правила – властивості вибірності.

Для опису властивостей вибірного управління доступом застосовують модель системи на основі матриці доступу (МД), яку іноді називають матрицею контролю доступу. Така модель називається матричною. Матриця доступу – це прямокутна матриця, в якій об’єкту системи відповідає рядок, а суб’єкту – стовпчик. На перетині стовпчика та рядка матриці вказують тип дозволеного доступу суб’єкта до об’єкта. Як правило, вирізняють такі типи доступу суб’єкта до об’єкта, як «доступ на читання», «доступ на запис», «доступ на виконання» та ін. Сукупність об’єктів і типів доступу до них суб’єкта приймається згідно з деякими правилами, які існують в даній системі. Визначення та зміна цих правил також є завданням МД.

Рішення про доступ суб’єкта до об’єкта приймають згідно з типом доступу, вказаним у відповідній комірці матриці доступу. Як правило, управління вибірним доступом реалізують принцип «що не дозволено, то заборонено», який передбачає явний доступ суб’єкта до об’єкта. Матриця доступу є найбільш доступним підходом до моделювання систем доступу.

Вибірна політика безпеки найширше застосовується в комерційному секторі, оскільки її реалізація на практиці відповідає вимогам комерційних організацій з розмежування доступу та підзвітності, має прийнятну вартість та невеликі накладні витрати.

Основу повноважної політики безпеки є повноважне управління доступом, яке передбачає, що:

- всі суб’єкти та об’єкти системи мають бути однозначно ідентифікованими;

- кожному об’єкту системи присвоєно мітку критичності, яка визначає цінність інформації, що міститься в ньому;

- кожному суб’єкту системи присвоєно рівень прозорості, який визначає максимальне значення мітки критичності об’єктів, до яких суб’єкт має доступ.

Коли сукупність міток має однакові значення, то кажуть, що вони належать до одного рівня безпеки. Організація міток має ієрархічну структуру, тобто в системі можна реалізувати ієрархічно висхідний потік інформації, наприклад від рядових виконавців до керівництва. З підвищенням важливості об’єкта або суб’єкта підвищується його мітка критичності. Кожний суб’єкт, окрім рівня прозорості, має поточне значення рівня безпеки, яке може змінюватися від певного мінімального значення до значення його рівня прозорості.

Основне призначення повноважної політики безпеки полягає в регулюванні доступу суб’єктів системи до об’єктів з різним рівнем критичності та попередження витоку інформації з верхнім рівнем посадової ієрархії до нижніх, а також блокування можливого проникнення з нижніх рівнів до верхніх. Вона функціонує на фоні вибірної політики, надаючи її вимогам ієрархічно впорядкованого характеру, відповідно до рівня безпеки.

Відомі такі основні організаційно-технічні заходи з ЗІ:

- розробка та затвердження функціональних обов’язків посадових осіб СІБ;

- внесення необхідних змін і доповнень у всі організаційно-розпорядчі документи (положення про підрозділи, обов’язки посадових осіб, інструкції користувачів системи та ін.) з питань забезпечення безпеки програмно-інформаційних ресурсів ІС та вчинення відповідних дій у разі виникнення кризових ситуацій;

- оформлення юридичних документів (договори, накази та розпорядження керівництва організації) з питань регламентації відносин з користувачами, клієнтами, які працюють в автоматизованій системі, між учасниками інформаційного обміну та третьою стороною – арбітражем, третейським судом, про правила розв’язання спорів, щодо застосування електронної пошти;

- створення науково-технічних та методологічних основ захисту ІС;

- виключення можливості таємного проникнення до приміщень, установки апаратури прослуховування та ін.;

- перевірка та сертифікація застосовуваних в ІС технічних та програмних засобів на предмет визначення заходів щодо їх захисту від витоку каналами ПЕМВН;

- визначення порядку призначення, зміни, затвердження та надання конкретним посадовим особам відповідних повноважень з доступу до ресурсів системи;

- розробка правил управління доступом до ресурсів системи, визначення переліку завдань, розв’язуваних підрозділами організації з використанням ІС, а також режимів обробки та доступу до даних;

- визначення переліку файлів та баз даних, які містять відомості, що становлять комерційну та службову таємницю, а також вимоги до рівнів їх захищеності від НСД під час передавання, збереженні та обробку в ІС;

- виявлення найбільш імовірних загроз для даної ІС, а також вразливих місць процесу обробки інформації та каналів доступу до неї;

- оцінювання можливих збитків, викликаних порушенням безпеки інформації, розробка адекватних вимог щодо основних напрямів захисту;

- організація надійного пропускного режиму;

- визначення порядку обліку, видачі, використання і збереження знімних магнітних носіїв інформації, які містять еталонні та резервні копії програм і масивів інформації, архівні дані тощо;

- організація обліку, збереження, використання та знищення документів і носіїв із закритою інформацією;

- організація та контроль за дотриманням усіма посадовими особами вимог із забезпечення безпеки обробки інформації;

- визначення переліку відповідних заходів із забезпечення неперервної роботи ІС в критичних ситуаціях, які виникають внаслідок НСД, збоїв та відмов засобів обчислювальної техніки (ЗОТ), помилок у програмах та діях персоналу, стихійних лихах та ін.;

- контроль функціонування та управління використовуваними засобами захисту;

- відкритий та прихований контроль за роботою персоналу системи;

- контроль за реалізацією обраних заходів захисту в процесі проектування, розробки, введення в дію та функціонування ІС;

- періодичний аналіз стану та оцінювання ефективності засобів захисту інформації;

- розподіл реквізитів розмежування доступу – паролів, ключів шифрування та ін.;

- складання правил розмежування доступу користувачів до інформації;

- періодичне, із залученням сторонніх спеціалістів, здійснення аналізу стану та оцінювання ефективності заходів і застосовуваних засобів захисту. На основі здобутої внаслідок такого аналізу інформації вживати необхідні заходи щодо вдосконалення системи захисту;

- розглядання та затвердження всіх змін в обладнанні ІС, перевірка їх на задоволення вимогам захисту, документальне відображення змін та ін.;

- перевірка осіб, яких приймаються на роботу, навчання їх правил роботи з інформацією, ознайомлення із заходами відповідальності за порушення правил захисту, навчання, створення умов, за яких персоналу було б невигідно порушувати свої обов’язки.

До заходів захисту даних адміністративними методами можна віднести організаційно-технічні та організаційно-правові заходи, які здійснюються в процесі створення та експлуатації системи обробки та передачі даних фірм або банку з метою забезпечення захисту інформації. Важливими є організаційно-режимні заходи в загальному арсеналі засобів захисту, оскільки жодна ІС не може функціонувати без участі персоналу обслуговування. Крім того, організаційно-режимні заходи охоплюють всі структурні елементи системи захисту на всіх етапах їх життєвого циклу: будівництво приміщень, проектування системи, монтаж та наладка обладнання, випробування та перевірка в експлуатації апаратури, оргтехніки, засобів обробки й передавання даних. Ці заходи мають бути спрямовані на забезпечення правильності функціонування механізмів захисту, їх повинні виконувати адміністратор безпеки системи. Крім того, керівництво фірми зобов’язане регламентувати правила обробки і захисту інформації, встановити міру відповідальності за порушення цих правил. Дії, які можуть значно підвищити ступінь захисту корпоративної мережі без великих фінансових витрат, такі:

- більш старанне спостереження за персоналом, особливо за низькооплачуваними працівниками (прибиральники та охоронники):

- непомітна перевірка послужного списку працівника, якого наймають; це дасть змогу уникнути проблем у майбутньому;

- ознайомлення співробітника, якого наймають, з документами, які описують політику кампанії у галузі інформаційної безпеки, і отримання від нього відповідної розписки;

- зміна вмісту всіх екранів для такого входження в систему, щоб вони відображали політику компанії в галузі захисту даних;

- підвищення рівня фізичного захисту;

- блокування всіх дисководів гнучких дисків в організаціях, в яких встановлено мережу, що дасть змогу мінімізувати ризик комп’ютерних крадіжок та зараження вірусами:

- визнання за співробітниками певних прав під час роботи з комп’ютерами (наприклад, організація дошок об’яв, дотримання конфіденційності електронної пошти, дозвіл використовувати певні комп’ютерні ігри).

Нині фірми з виготовлення технічних засобів для промислового шпигунства випускають пристрої, які за параметрами не поступаються оперативній техніці, якою послуговуються спецслужби. Краще озброєним є ті спецслужби, в яких для цього є кошти. Це потрібно брати до уваги, оцінюючи потенційні можливості конкурентів з ведення промислового шпигунства. Першим кроком у створенні ефективних систем захисту фірми від технічного проникнення конкурентів чи зловмисників має бути визначення основних методів промислового шпигунства, якими можуть скористатися конкуренти, вивчення характеристик наявних у них на озброєнні засобі знімання інформації з окремих приміщень та технічних засобів фірми. Попередній аналіз вразливості приміщень і технічної оснащеності фірми від промислового шпигунства дає змогу зробити висновок про найбільш вірогідні методи знімання інформації, які може застосувати конкурент. Такий аналіз дає змогу підвищити безпеку фірми, виробити відповідні організаційно-режимні, технічні та спеціальні заходи захисту об’єкту фірми.

Організаційно-режимні заходи захисту базуються на законодавчих і нормативних документах з безпеки інформації і мають охоплювати основні шляхи збереження інформаційних ресурсів:

- обмеження фізичного доступу до об’єктів обробки та збереження інформації та реалізацію режимних заходів;

- обмеження можливості перехоплення інформації внаслідок існування фізичних полів;

- обмеження доступу до інформаційних ресурсів та інших елементів системи обробки даних шляхом встановлення правил розмежування доступу, криптографічне закриття каналів передаваних даних, виявлення та знищення «закладок»:

- створення твердих копій в разі втрати масивів даних;

- провадження профілактичних та інших заходів від упровадження «вірусів».

За змістом всі організаційні заходи можна умовно поділити на певні групи. Під час створення ІС здійснюється:

- розробка проекту системи та її структурних елементів;

- будівництво чи переобладнання приміщень;

- розробка математичного, програмного, інформаційного або лінгвістичного забезпечення;

- монтажі та налагоджування обладнання;

- випробування та приймання системи.

Особливе значення на цьому етапі надається визначенню дійсних можливостей механізмів захисту, для чого доцільно виконати комплекс випробувань та перевірок. Заходи, здійснювані в процесі експлуатації ІС, такі:

- організація пропускного режиму;

- організація автоматизованої обробки інформації;

- організація ведення протоколів;

- розподіл реквізитів розмежування доступу ( паролів повноважень та ін.);

- контроль виконання вимог службових інструкцій та ін.

 

Вирізняють заходи загального характеру:

- врахування вимог захисту під час підбору та підготовки кадрів;

- організація перевірок механізму захисту;

- планування заходів із захисту інформації;

- навчання персоналу;

- проведення занять із залученням провідних організацій;

- участь у семінарах та конференціях з проблем безпеки інформації та ін.

 

⇐ Предыдущая14151617181920212223Следующая ⇒






©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.