Підвищення рівня інформаційної безпеки вітчизняних підприємств

 

 

2.2.2 Мандатна політика

 

Основу мандатної (повноважної) політики безпеки (МПБ) становить мандатне управління доступом (Mandatory Access Control - МАС), яке передбачає, що:

• всі суб'єкти й об'єкти повинні бути однозначно ідентифіковані;
• у системі визначено лінійно упорядкований набір міток секретності;
• кожному об'єкту системи надано мітку секретності, яка визначає цінність інформації, що міститься в ньому, ─ його рівень секретності в АС;
• кожному суб'єкту системи надано мітку секретності, яка визначає рівень довіри до нього в АС, максимальне значення мітки секретності об'єктів, до яких суб'єкт має доступ;
• мітка секретності суб'єкта називається його рівнем доступу.

Основна мета МПБ ─ запобігання витоку інформації від об'єктів з високим рівнем доступу до об'єктів з низьким рівнем доступу, тобто протидія виникненню в КС інформаційних каналів згори вниз. Вона оперує, таким чином, поняттями інформаційного потоку і цінності інформаційних об'єктів.  Цінність інформаційних об'єктів (або їх мітки рівня секретності) часто дуже важко визначити.

 Отже, МПБ має справу з множиною інформаційних потоків, яка ділиться на дозволені і недозволені за дуже простою умовою ─ значенням наведеної функції. МПБ у сучасних системах захисту на практиці реалізується мандатним контролем на найнижчому апаратно-програмному рівні, що дає змогу досить ефективно будувати захищене середовище для механізму мандатного контролю.

Пристрій мандатного контролю називають монітором звернень. Мандатний контроль, який ще називають обов'язковим, оскільки його має проходити кожне звернення суб'єкта до об'єкта, організовується так: монітор звернень порівнює мітки рівня секретності кожного об'єкта з мітками рівня доступу суб'єкта. За результатом порівняння міток приймається рішення про допуск. Найчастіше МПБ описують у термінах, поняттях і визначеннях властивостей моделі Белла-Лападула. У рамках цієї моделі доводиться важливе твердження, яке вказує на принципову відмінність систем, що реалізують мандатний захист, від систем з дискреційним захистом: «якщо початковий стан системи безпечний і всі переходи системи зі стану до стану не порушують обмежень, сформульованих ПБ, то будь-який стан системи безпечний».

До основних переваг можна віднести ряд переваг МПБ порівняно з ДПБ:

1. Для систем, де реалізовано МПБ, є характерним вищий ступінь надійності. Це пов'язано з тим, що за правилами МПБ відстежуються не тільки правила доступу суб'єктів системи до об'єктів, а й стан самої КС. Таким чином, канали витоку в системах такого типу не закладені первісно (що є в положеннях ДПБ), а можуть виникнути тільки при практичній реалізації систем внаслідок помилок розробника;
2. Правила МПБ ясніші і простіші для розуміння розробниками і користувачами АС, що також є фактором, який позитивно впливає на рівень безпеки системи;
3. МПБ стійка до атак типу «Троянський кінь»;
4. МПБ допускає можливість точного математичного доведення, що система в заданих умовах підтримує ПБ.

Однак МПБ має дуже серйозні вади – вона дуже складна для практичної реалізації і вимагає значних ресурсів КС. Це пов'язано з тим, що інформаційних потоків у системі величезна кількість і їх не завжди можна ідентифікувати. Саме ці вади часто заважають її практичному використанню.

МПБ прийнята всіма розвинутими державами світу. Вона розроблялася, головним чином, для збереження секретності (тобто конфіденційності) інформації у військових організаціях. Питання ж цілісності за її допомогою не розв'язуються або розв'язуються частково, як побічний результат захисту секретності [14].

 

2.2.3 Рольова політика безпеки

 

Рольову політику безпеки (РПБ) (Role Base Access Control - RBAC) не можна віднести ані до дискреційної, ані до мандатної, тому що керування доступом у ній здійснюється як на основі  матриці прав доступу для ролей, так і за допомогою правил, які регламентують призначення ролей користувачам та їх активацію під час сеансів. Отже, рольова модель є цілком новим типом політики, яка базується на компромісі між гнучкістю керування доступом, характерною для ДПБ, і жорсткістю правил контролю доступу, що притаманна МПБ.

У РПБ класичне поняття «суб'єкт» заміщується поняттями «користувач» і «роль».

Користувач ─ це людина, яка працює з системою і виконує певні службові обов'язки.

Роль ─ це активно діюча в системі абстрактна сутність, з якою пов'язаний обмежений, логічно зв'язаний набір повноважень, необхідних для здійснення певної діяльності.

РПБ застосовується досить широко, тому що вона, на відміну від інших більш строгих і формальних політик, є дуже близькою до реального життя.

Справді, по суті, користувачі, що працюють у системі, діють не від свого власного імені ─ вони завжди виконують певні службові обов'язки, тобто виконують деякі ролі, які аж ніяк не пов'язані з їх особистістю. Тому цілком логічно здійснювати керування доступом і призначати повноваження не реальним користувачам, а абстрактним (не персоніфікованим) ролям, які представляють учасників певного процесу обробки інформації. Такий підхід до ПБ дозволяє врахувати розподіл обов'язків і повноважень між учасниками прикладного  інформаційного процесу, оскільки з точки зору РПБ має значення не особистість користувача, що здійснює доступ до інформації, а те, які повноваження йому необхідні для виконання його службових обов'язків.

Наприклад, у реальній системі обробки інформації можуть працювати системний адміністратор, менеджер баз даних і прості користувачі. У такій ситуації РПБ дає змогу розподілити повноваження між цими ролями відповідно до їх службових обов'язків: ролі адміністратора призначаються спеціальні повноваження, які дозволять йому контролювати роботу системи і керувати її конфігурацією, роль менеджера баз даних дозволяє здійснювати керування сервером БД, а права простих користувачів обмежуються мінімумом, необхідним для запуску прикладних програм. Крім того, кількість ролей у системі може не відповідати кількості реальних користувачів ─ один користувач, якщо він має різні повноваження, може виконувати (водночас або послідовно) кілька ролей, а кілька користувачів можуть користуватися однією й тією ж роллю, якщо вони виконують однакову роботу. При використанні РПБ керування доступом здійснюється в дві стадії: по-перше, для кожної ролі вказується набір повноважень, що представляють набір прав доступу до об'єктів, і, по-друге, кожному користувачеві призначається список доступних йому ролей. Повноваження призначаються ролям відповідно до принципу найменших привілеїв, з якого випливає, що кожний користувач повинен мати тільки мінімально необхідні для виконання своєї роботи повноваження. У моделі РПБ визначаються множини: множина користувачів, множина ролей, множина повноважень на доступ до об'єктів, наприклад, у вигляді матриці прав доступу, множина сеансів роботи користувачів з системою. Для перелічених множин визначаються відношення, які встановлюють для кожної ролі набір наданих їй повноважень, а також для кожного користувача набір доступних йому ролей.

Правила керування доступом РПБ визначаються певними функціями, які для кожного сеансу визначають користувачів, набір ролей, що можуть бути одночасно доступні користувачеві в цьому сеансі, а також набір доступних у ньому повноважень, що визначається як сукупність повноважень усіх ролей, що беруть участь у цьому сеансі. Як критерій безпеки рольової моделі використовується правило: «система вважається безпечною, якщо будь-який користувач системи, що працює в певному сеансі, може здійснити дії, які вимагають певних повноважень тільки в тому випадку, коли ці повноваження належать сукупності повноважень усіх ролей, що беруть участь у цьому сеансі».

З формулювання критерію безпеки рольової моделі випливає, що управління доступом здійснюється, головним чином, не за допомогою призначення повноважень ролям, а шляхом встановлення відношення, яке призначає ролі користувачам, і функції, що визначає доступний у сеансі набір ролей. Тому численні інтерпретації рольової моделі відрізняються видом функцій, що визначають правила керування доступом, а також обмеженнями, що накладаються на відношення між множинами. Завдяки гнучкості та широким можливостям РПБ суттєво перевершує інші політики, хоча іноді її певні властивості можуть виявитися негативними. Так, вона практично не гарантує безпеку за допомогою формального доведення, а тільки визначає характер обмежень, виконання яких і є критерієм безпеки системи. Хоча такий підхід дозволяє отримати прості й зрозумілі правила контролю доступу (перевага), які легко застосовувати на практиці, проте позбавляє систему теоретичної доказової бази (вада). У деяких ситуаціях ця обставина утруднює використання РПБ, однак у кожному разі оперувати ролями набагато зручніше, ніж суб'єктами (знову перевага), оскільки це більше відповідає поширеним технологіям обробки інформації, які передбачають розподіл обов'язків і сфер відповідальності між користувачами. Крім того, РПБ може використовуватися одночасно з іншими ПБ, коли повноваження ролей, що призначаються користувачам, контролюється контролюється ДПБ або МПБ, що дозволяє будувати багаторівневі схеми контролю доступу.

 

 

 

 

 

2.3 Значення політики безпеки інформації

 

Наведений огляд сучасних ПБ визначає основні принципи їх функціонування, а також підкреслює їх роль і виключну важливість при побудові та експлуатації захищених АС. Додамо, що в багатьох сучасних програмних засобах захисту інформації розглянуті ПБ уже реалізовані. Однак слід зазначити, що це зовсім не означає їх механічного застосування. Зрозуміло, що спочатку в конкретній організації має бути проведений ретельний аналіз процесів обробки інформації, на основі якого потім створюється і застосовується конкретна ПБ.

Зауважимо, що, в більшості організацій (як державних, так і недержавних) про поняття ПБ навіть не мають уявлення. Але парадокс якраз полягає в тому, що фактично в будь-якій організації завжди існують конкретні правила, що регламентують процес її функціонування, зокрема і процес захисту інформації, а саме ці правила і є політикою. Отже, фактично в будь-яких АС окремі елементи ПБ завжди наявні [6].

 

 

4. Висновки до розділу 2

 

Отже, інформаційна безпека підприємства потребує низки систематизованих заходів, щодо її впровадження та підтримання. Саме для цього й створено різні види політик ІБ, для підприємств різних організаційних форм. Такі заходи постійно вдосконалюються, доповнюються, адаптуючись до сучасних економічних та інформаційних умов. Прикладом цього є такі нові засоби як ідентифікація особи за відбитком пальця, сітківкою ока чи електронно-цифровий підпис. Також вдосконалення стосується області розробки найбільш оптимальної політики інформаційної безпеки підприємства, наслідком чого стала рольова політика, яка свого роду поєднує дві вже існуючі політика – мандатну та дискреційну, даючи змогу більш широко провадити захист даних на різних рівнях діяльності підприємства.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ВИСНОВКИ І ПРОПОЗИЦІЇ

 

Отже, під інформаційною безпекою розуміють захист інформації, якою володіє підприємство (виробляє, передає або отримує) від несанкціонованого доступу, руйнування, модифікації, розкриття і затримок при надходженні.

Інформація підприємства є конфіденційною, тобто доступ до неї має лише певне коло осіб(переважно працівників даного підприємства). Тому її розкриття є неприпустимим, адже може принести непоправну шкоду як матеріальному стану організації, так і її іміджу.

Існує безліч загроз безпеці інформації, до них відносять:

1. персонал(основний, допоміжний, технічний);
2. програмні засоби;
3. неякісні технічні засоби обробки інформації;
4. неякісні програмні засоби обробки інформації;
5. комп’ютерні віруси, тощо.

Відповідно, на даний час розроблено масу засобів захисту інформації підприємства від зловмисного впливу:

1. засоби ідентифікації і аутентифікації користувачів (так званий комплекс 3А);
2. засоби шифрування інформації, що зберігається на комп'ютерах і що передається по мережах;
3. міжмережеві екрани
4. віртуальні приватні мережі;
5. засоби контентної фільтрації;
6. інструменти перевірки цілісності вмісту дисків;
7. засоби антивірусного захисту.

Відповідно кожен з них має свої переваги та недоліки, тому часто задля ефективнішого використання цих методів, їх використовують комплексно.

Сама по собі ІБ є досить абстрактним поняттям, тому потребує певної систематизації, правил впровадження та використання. Саме для цього й існує політика ІБ. Загалом виділяють 3 найпоширеніші види:

1. Мандатна
2. Дискреційна
3. Рольова

В Україні на сьогоднішній день ІБ знаходиться на досить низькому рівні. Підприємства не застосовують здобутки НТП  для захисту своїх даних. Однією з причин цьому є матеріальний аспект, адже грамотна ефективна політика ІБ підприємства потребує значних матеріальних ресурсів. Але не зважаючи на це, такі витрати потрібно здійснювати, виключно з погляду на те, що в перспективі витік конфіденційної інформації може призвести не лише до збитків (як матеріальних, так і втрата репутації підприємством), а й до повного краху тієї чи іншої організації.

Таким чином, використання інформаційних технологій в підприємницькій діяльності значно підвищує ефективність процесів, зменшує затрати на їх проведення, проте в той же час зумовлює виникнення нових загроз для функціонування підприємства. Отже, інформаційна безпека фактично відображається у ступені захищеності важливої для підприємства інформації від впливу дій випадкового або навмисного характеру, які можуть завдати збитків підприємству. Оптимальним варіантом забезпечення інформаційної безпеки є дотримання систематичного поєднання правових, організаційних та програмно-технічних методів у процесі управління підприємством.

Тому, вітчизняним підприємствам необхідно впроваджувати засоби інформаційної безпеки, починаючи хоча б з мінімального набору методів захисту даних. Залучати спеціалістів у сфері ІБ, задля грамотного синтезу, впровадження та використання засобів ІБ, що в перспективі знизить ризики втрати інформації підприємства, а відповідно і ризики понести матеріальні збитки чи зниження гудвілу організації.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ

 

1. Закон України  «Про інформацію» // Відомості Верховної Ради України. – 1992. – № 48
2. Закон України «Про електронний цифровий підпис» // Відомості Верховної Ради України. – 2003. – № 36
3. ISO/IEC 17799:2005 RU; ISO/IEC 27001:2005 RU [Електронний ресурс]. – Режим доступу: http://iso27000.ru/standarty/iso-27000-mezhdunarodnye-standarty-upravleniya-informacionnoi-bezopasnostyu-1/
4. Баранов А. І.  Інформаційний суверенітет або інформаційна безпека / І. А. Баранов // Національна безпека та оборона. – 2001. – № 1. – С. 70-76.
5. Ярочкин В. И.  Информационная безопасность / В. И. Ярочкин. – М. : Академический Проект Мир. –  2004. – 544 с.
6. Конеев И. Р. Інформаційна безпека підприємства / И. Р. Конеев , А. С. Беляев. – БХВ-Петербург, 2003. – 752 с.
7. Голубченко О. Л. Політика інформаційної безпеки / О. Л. Голубченко. –  Луганськ: вид-во СНК ім. В. Даля, 2009. – 300 с.
8. Устинов Г. Н. Уязвимость и информационная безопасность телекоммуникационных технологий / Г. Н. Устинов – М. : Радио и связь, 2003. – 342с.
9. Гмурман А. И. Информационная безопасность / А. И. Гмурман – М. : «БИТ-М», 2004. – 387 с.
10. Богуш В. М.   Інформаційна безпека держави / В. М. Богуш, О. К. Юдін.  – К. : «МК-Прес», 2005. – 432 с.
11. Домарев В. В. Безопасность информационных технологий / В. В. Домарев. – К. : ООО «ДС», 2004. – 992 с.
12. Ващенко Н. В.  Економічна безпека підприємства / Ващенко Н. В. , Донець Л. І.  К. : Центр учбової літератури, 2008. – 240 с.
13. Герасименко В. А. Защита информации в автоматизированных системах обработки даннях. – М.: Энергоатомиздат, 1994. – 360 с.
14. Корнєєв И. К., Степанов Е. А. Защита информации в офисе. – М. : изд-во Проспект, 2008.  – 336 с.
15. Информационная безопасность: экономические аспекты. – [Електронний ресурс] / Петренко С. С., Симонов С. О., Кислов Р. Н. // Наука и техника. – Режим доступу:  http://www.nt-magazine.ru/security-/articles/sec/index.shtml
16. Теренин А. А.   Проектирование экономически эффективной системы информационной безопасности / А. А. Теренин // Защита информации. Инсайд. – 2005. – № 1. – С. 23-25.
17. Кухарев Г. А. Биометрические системы: методы и средства идентификации личности человека / Г. А. Кухарев. –  С. : Политехника, 2001. – 240 c.
18. Агафонов Г. Г., Буришев С. А., Прохоров С. Л. Концепции безопасности / Г. Г. Агафонов, С. А. Буришев, С. Л. Прохоров. - К. : А-ДЕПТ, 2005. – Кн. 2. – 270 с.
19. Шевченко А. В. Інформаційна безпека підприємства // Проблеми науки. – №6. – 2010. – С. 56-58