Підвищення рівня інформаційної безпеки вітчизняних підприємств

Таким чином, у сучасних умовах наявність розвиненої системи інформаційної безпеки стає однією з найважливіших умов конкурентоспроможності і навіть життєздатності будь-якої компанії.

Не менш важливим є питання економічного обґрунтування витрат на захист інформації. Адже чим вище рівень захищеності інформації, тим за інших рівних умов, буде нижче розмір можливих збитків, але тим вищою буде вартість захисту. Оптимальний розміром витрат на захист буде такий, при якому забезпечується рівень захищеності,  що дорівнює мінімуму загальних витрат. Вартість збитків визначається двома параметрами: ймовірністю реалізації  різних загроз інформації; вартістю (важливістю) інформації, захищеність якої може бути порушена під впливом різних загроз.  У зв'язку зі складністю дати кількісну оцінку збитків (сума втрат або розмір недоотриманого прибутку) причиною яких може бути витік, або втрата  інформації, що захищається,  в даний час найбільш доцільним є  підхід на основі експертних оцінок. За даними висновків експертів можуть бути отримані статистично стійкі оцінки можливого збитку [7].

 

 

1.3 Основні принципи забезпечення інформаційної безпеки підприємства

 

До основних принципів інформаційної безпеки відносять:

• забезпечення цілісності і збереження даних, тобто надійне їх зберігання в неспотвореному вигляді;
• дотримання конфіденційності інформації (її недоступність для тих користувачів, які не мають відповідних прав);
• доступність інформації для всіх авторизованих користувачів за умови контролю за всіма процесами використання ними отриманої інформації;
• безперешкодний доступ до інформації в будь-який момент, коли вона може знадобитися підприємству.

Ці принципи неможливо реалізувати без особливої інтегрованої системи інформаційної безпеки, що виконує наступні функції:

• вироблення політики інформаційної безпеки;
• наліз ризиків (тобто ситуацій, в яких може бути порушена нормальна    робота інформаційної системи, а також втрачені або розсекречені дані);
• планування заходів щодо забезпечення інформаційної безпеки;
• планування дій в надзвичайних ситуаціях;
• вибір технічних засобів забезпечення інформаційної безпеки [8].

Отже, етапи проведення робіт із забезпечення інформаційної безпеки підприємства виглядають таким чином:

1. Проведення обстеження підприємства на предмет виявлення реальних загроз несанкціонованого доступу до конфіденційної інформації;
2. Розробка політики безпеки, організаційно-розпорядчих документів і заходів щодо забезпечення інформаційної безпеки системи відповідно до вимог по захищеності технічних і програмних засобів від витоку конфіденційної інформації;
3. Проектування системи інформаційної безпеки;
4. Створення прототипу системи інформаційної безпеки;
5. Розробка зразка системи інформаційної безпеки;
6. Впровадження системи інформаційної безпеки в діючу структуру підприємства;
7. Навчання персоналу;
8. Атестація системи інформаційної безпеки підприємства.

Метою комплексної інформаційної безпеки є збереження інформаційної системи підприємства, захист і гарантування повноти і точності виданої нею інформації, мінімізація руйнувань і модифікація інформації, якщо такі трапляються [9].

 

 

1.4 Висновки до розділу 1

 

Отже, сьогодні питання інформаційної безпеки підприємства є достатньо актуальним, адже із вдосконаленням засобів та методів ІБ підприємства, створюються і покращуються способи ці засоби обійти та завдати шкоди даним підприємства, а разом з тим і матеріальному стану підприємства. До таких джерел небезпеки відносять:

1. персонал(основний, допоміжний, технічний);
2. програмні засоби;
3. неякісні технічні засоби обробки інформації;
4. неякісні програмні засоби обробки інформації;
5. комп’ютерні віруси, тощо.

Відповідно до цього необхідно вживати заходів до запобіганню витоку інформації за межі підприємства способами зазначеними вище.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

РОЗДІЛ 2

МЕТОДИ ТА ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

 

Інформаційна безпека є достатньо абстрактним поняттям. Має бути деякий додаток ІБ, тобто необхідні систематизація і правила, що дозволяють зробити технології ІБ застосовними до реального середовища, де і повинна бути забезпечена безпека інформаційного простору. Саме тому й виникає поняття політики інформаційної безпеки [11].

 

 
2.1 Методи забезпечення інформаційної безпеки

 

На думку експертів в галузі захисту інформації, завдання забезпечення інформаційної безпеки повинна вирішуватися системно. Це означає, що різні засоби захисту (апаратні, програмні, фізичні, організаційні і т.д.) повинні застосовуватися одночасно і під централізованим управлінням. При цьому компоненти системи повинні «знати» про існування один одного, взаємодіяти і забезпечувати захист як від зовнішніх, так і від внутрішніх загроз [14].

На сьогоднішній день існує великий арсенал методів забезпечення інформаційної безпеки:

• засоби ідентифікації і аутентифікації користувачів (так званий комплекс 3А);
• засоби шифрування інформації, що зберігається на комп'ютерах і що передається по мережах;
• міжмережеві екрани;
• віртуальні приватні мережі;
• засоби контентної фільтрації;
• інструменти перевірки цілісності вмісту дисків;
• засоби антивірусного захисту;

Кожний з перерахованих засобів може використовуватись як самостійно, так і в інтеграції з іншими. Це робить можливим створення систем інформаційного захисту для систем будь-якої складності та конфігурації, незалежно від використовуваних платформ.

«Комплекс 3А» включає аутентифікацію (або ідентифікацію), авторизацію і адміністрування. Ідентифікація та авторизація – це ключові елементи інформаційної безпеки. При спробі доступу до інформаційних активів функція ідентифікації дає відповідь на питання: чи ви є авторизованим користувачем мережі. Функція авторизації відповідає за те, до яких ресурсів конкретний користувач має доступ. Функція адміністрування полягає у наділенні користувача певними ідентифікаційними особливостями в рамках даної мережі і визначенні обсягу допустимих для нього дій. Тобто даний метод є досить дієвим з розрахунку на те, що він не потребує спеціалізованих знань в сфері ІТ. Недоліком у використанні «комплексу 3А» є його відносна ненадійність, адже ідентифікаційні дані можна досить легко отримати («зламати» робочий комп’ютер, підкупити особу, яка володіє відповідними ключами) [15].

Сьогодні «комплекс 3А» вдосконалюється і містить у собі також:

• Автентифікацію за відбитком пальця – одна з найпопулярніших технологій і є відносно недорогою. Популярною вона стала завдяки тому, що її легко використати та застосувати будь-де. Також вона не вимагає від користувача якихось особливих дій. Але недоліком даної системи є те, що можна створити копію відбитка, використовуючи желатин чи латекс. Також мінусом є те, що дані по зчитуванню відбитка незахищені, і їх можна перехопити [18].
• Автентифікацію по райдужці ока – в принципі найнадійніша на даний момент технологія, що використовується на великих підприємствах, де затрати на її впровадження є значно нижчими ніж вартість інформації. Перевагою даного методу є його надійність, адже підробити райдужку ока людини набагато важче, аніж відбиток пальця. Хоча це можливо, що й можна назвати недоліком аутентифікації за райдужкою ока [18].
• Електронний цифровий підпис — вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа [2].

Системи шифрування дозволяють мінімізувати втрати у випадку несанкціонованого доступу до даних, що зберігаються на жорсткому диску або іншому носії, а також перехоплення інформації при її пересилання по електронній пошті або передачу з мережних протоколах. Завдання даного засобу захисту ─ забезпечення конфіденційності. Основні вимоги, що пред'являються до систем шифрування - високий рівень криптостійкості та легальність використання на території держави. Перевагою даного методу є його надійність, тобто аби обійти цей вид захисту інформації потрібно володіти серйозними знаннями інформаційних технологій, що одночасно є й його мінусом, адже зашифровані дані не зможе отримати будь-який працівник [17].

Міжмережевий екран являє собою систему або комбінацію систем, що утворить між двома чи більш мережами захисний бар'єр, що оберігає від несанкціонованого потрапляння в мережу або виходу з неї пакетів даних.

Основний принцип дії міжмережевих екранів ─ перевірка кожного пакету даних на відповідність вхідної та вихідної IP адреси базі дозволених адрес. Таким чином, міжмережеві екрани значно розширюють можливості сегментації інформаційних мереж та контролю за циркулюванням даних.

Говорячи про криптографію і міжмережеві екрані, слід згадати про захищені віртуальні приватні мережі (Virtual Private Network ─ VPN). Їх використання дозволяє вирішити проблеми конфіденційності і цілісності даних при їх передачі по відкритим комунікаційних каналам. Використання VPN можна звести до вирішення трьох основних завдань:

1. захист інформаційних потоків між різними офісами компанії (шифрування інформації проводиться тільки на виході у зовнішню мережу);
2. захищений доступ віддалених користувачів мережі до інформаційних ресурсів компанії, як правило, здійснюваний через Internet;
3. захист інформаційних потоків між окремими додатками всередині корпоративних мереж (цей аспект також дуже важливий, оскільки більшість атак здійснюється з внутрішніх мереж). Основним мінусом між мережевого екрану є те, що його робота може бути порушена вже авторизованими користувачами. Він не дозволяє захистити  дані від копіювання на змінний носій.

Ефективний засіб захисту від втрати конфіденційної інформації - фільтрація вмісту вхідної і вихідної електронної пошти. Перевірка поштових повідомлень на основі правил, встановлених в організації, дозволяє також забезпечити безпеку компанії від відповідальності за судовими позовами і захистити їх співробітників від спаму.

Засоби контентної фільтрації дозволяють перевіряти файли всіх розповсюджених форматів, у тому числі стислі і графічні. При цьому пропускна здатність мережі практично не змінюється.

Всі зміни на робочій станції або на сервері можуть бути відслідковані адміністратором мережі або іншим авторизованим користувачем завдяки технології перевірки цілісності вмісту жорсткого диска (integrity checking). Це дозволяє виявляти будь-які дії з файлами (зміна, видалення або ж просто відкриття) і ідентифікувати активність вірусів, несанкціонований доступ або крадіжку даних авторизованими користувачами. Контроль здійснюється на основі аналізу контрольних сум файлів (CRC сум) [4].

Сучасні антивірусні технології дозволяють виявити практично всі вже відомі вірусні програми через порівняння коду підозрілого файлу із зразками, що зберігаються в антивірусній базі. Крім того, розроблені технології моделювання поведінки, що дозволяють виявляти новостворювані вірусні програми. Виявлені об'єкти можуть піддаватися лікуванню, ізолюватися (міститися в карантин) або видалятися. Захист від вірусів може бути встановлено на робочі станції, файлові і поштові сервера, міжмережеві екрани, що працюють під практично будь-якою з поширених операційних систем (Windows, Unix-і Linux-системи, Novell) на процесорах різних типів. Однією з основних проблема, яка існує на даний момент, є методи шифрування та дешифрування коду вірусів. Антивіруси просто не можуть визначити, чи це є програма шифрування, чи вірус, чи робоча програма. Більшість антивірусів здатні розрізняти їх, але з кожним днем коди вірусів змінюються, і захисні функції антивірусів просто не встигають адаптуватись до все нових і складніших вірусів [8].

 

 

 2.2 Види моделей політики інформаційної безпеки

 

Серед моделей ПБ найвідомішими є дискреційна,  мандатна та рольова. Перші дві досить давно відомі й детально досліджені, а рольова політика є недавнім досягненням теорії та практики захисту інформації.

 

 

2.2.1 Дискреційна політика безпеки

 

Основою дискреційної політики безпеки (ДПБ) є дискреційне управління доступом (Discretionary Access Control - DAC), яке визначається двома властивостями:

• усі суб'єкти й об'єкти мають бути однозначно ідентифіковані;
• права доступу суб'єкта до об'єкта системи визначаються на основі певних зовнішніх відносно системи правил.

Назва пункту є дослівним перекладом з англійської терміна Discretionary policy, ще один варіант перекладу - розмежувальна політика. Ця політика одна з найпоширеніших в світі, в системах по замовчуванню мається на увазі саме ця політика. ДПБ реалізується за допомогою матриці доступу, яка фіксує множину об'єктів та суб'єктів, доступних кожному суб'єкту.

Існує кілька прикладів матриць доступу:

1. Листи можливостей: для кожного суб'єкта створюється лист (файл) усіх об'єктів, до яких має доступ даний суб'єкт;
2. Листи контролю доступу: для кожного об'єкта створюється список усіх суб'єктів, що мають доступи до цього об'єкта;
3. До переваг ДПБ можна віднести відносно просту реалізацію відповідних механізмів захисту. Саме цим зумовлено той факт, що більшість поширених нині захищених автоматизованих систем забезпечують виконання положень саме ДПБ. Однак багатьох проблем захисту ця політика розв'язати не може, тому до основних її вад можна віднести:
4. Один з найбільших недоліків цього класу політик ─ вони не витримують атак за допомогою «Троянського коня». Це, зокрема, означає, що система захисту, яка реалізує ДПБ, погано захищає від проникнення вірусів у систему та інших способів прихованої руйнівної дії.
5. Автоматичне визначення прав. Оскільки об'єктів багато і їх кількість безперервно змінюється, то задати заздалегідь вручну перелік прав кожного суб'єкта на доступ до об'єктів неможливо. Тому матриця доступу різними способами агрегується, наприклад, суб'єктами залишаються тільки користувачі, а у відповідну клітину матриці вставляються формули функцій, обчислення яких визначає права доступу суб'єкта, породженого користувачем, до об'єкта.
6. Звичайно, ці функції можуть змінюватися з часом. Зокрема, можливе вилучення прав після виконання певної події, також можливі модифікації, що залежать від інших параметрів.
7. Контроль поширення прав доступу. Найчастіше буває так, що власник файлу передає вміст файлу іншому користувачеві і той відповідно набуває права власника на цю інформацію. Отже, права можуть поширюватись, і навіть якщо перший власник не хотів передати доступ іншому суб'єкту до своєї інформації, то після кількох кроків передача прав може відбутися незалежно від його волі. Виникає задача про умови, за якими в такій системі певний суб'єкт рано чи пізно отримає необхідний йому доступ.
8. При використанні ДПБ виникає питання визначення правил поширення прав доступу й аналізу їх впливу на безпеку АС. У загальному випадку при використанні ДПБ органом, який її реалізує і який при санкціонуванні доступу суб'єкта до об'єкта керується певним набором правил, стоїть задача, яку алгоритмічно неможливо розв'язати: перевірити, призведуть його дії до порушень безпеки чи ні. Отже, матриця доступів не є тим механізмом, який дозволив би реалізувати ясну і чітку СЗІ в АС. Більш досконалою ПБ виявилася мандатна ПБ [14].