Принципы организации и этапы обработки комплексная система защиты информации

Содержание

 

План……………………………………………………………………………………..3

Введение………………………………………………………………………………...4

1. Принципы организации  и этапы обработки комплексная  система защиты информации……………………………………………………………………………..6

2. Основными  этапами работ по созданию  КСЗИ…………………………………..12

3. Этапы проектирования  ЗАС (защищенных автоматизированных  систем)…….14

Заключение…………………………………………………………………………….17

Список литературы……………………………………………………………………19

 

 

План:

 

1. Принципы организации и этапы обработки комплексная система защиты информации

2. Основными этапами работ по созданию КСЗИ

3. Этапы проектирования ЗАС (защищенных автоматизированных систем)

 

Введение

 

Не проходящий и не снижающийся интерес к  проблеме защиты информации, объясняется  тем, что происходящие в стране процессы существенно затронули проблему организации системы защиты информации во всех ее сферах -разработки, производства, реализации, эксплуатации средств защиты, подготовки соответствующих кадров. Прежние традиционные подходы в современных условиях уже не в состоянии обеспечить требуемый уровень безопасности государственно значимой и частной конфиденциальной информации, циркулирующей в информационно-телекоммуникационных системах страны. Существенным фактором, до настоящего времени оказывающим значительное влияние на положение дел в области защиты информации, является то, что до начала 90-х годов нормативное регулирование в данной области оставляло желать лучшего. Система защиты информации в нашей стране в то время определялась существовавшей политической обстановкой и действовала в основном в интересах Специальных служб государства, Министерства обороны и Военно-промышленного комплекса. Цели защиты информации достигались главным образом за счет реализации принципа «максимальной секретности», в соответствии, с которым доступ ко многим видам информации был просто ограничен. Никаких законодательных и иных государственных нормативных актов, определяющих защиту информационных прав негосударственных организаций и отдельных граждан, не существовало. Средства криптографической защиты информации использовались только в интересах государственных органов, а их разработка была прерогативой исключительно специальных служб и немногих специализированных государственных предприятий. Указанные предприятия строго отбирались и категорировались по уровню допуска к разработке и производству этих средств. Сами изделия тщательно проверялись компетентными государственными органами и допускались к эксплуатации исключительно на основании специальных заключений этих органов. Любые работы в области криптографической защиты информации проводилась на основании утвержденных Правительством страны секретных специальных нормативных актов, полностью регламентировавших порядок заказа, разработки, производства и эксплуатации шифровальных средств. Сведения об этих средствах, их разработке, производстве, и использовании, как в стране, так и за рубежом были строго засекречены, а их распространение предельно ограничено. Даже простое упоминание о криптографических средствах в открытых публикациях было запрещено. В настоящее время можно отметить, что правовое поле в области защиты информации получило весомое заполнение. Конечно, нельзя сказать, что процесс построения цивилизованных правовых отношений успешно завершен и задача правового обеспечения деятельности в этой области уже решена. Важно другое -на мой взгляд, можно констатировать, что уже имеется неплохая законодательная база, вполне позволяющая, с одной стороны, предприятиям осуществлять свою деятельность по защите информации в соответствии требованиями действующих нормативных актов, а с другой - уполномоченным государственным органам на законной основе регулировать рынок соответствующих товаров и услуг, обеспечивая необходимый баланс интересов отдельных граждан, общества в целом и государства.

В последнее  время в различных публикациях муссируется вопрос о том, что созданный механизм государственного регулирования в области защиты информации используется государственными органами, уполномоченными на ведение лицензионной деятельности, для зажима конкуренции и не соответствует ни мировому опыту, ни законодательству страны.

Кроме того, чтобы  остудить бушующие вокруг данной проблемы страсти, считаю полезным подробнее  ознакомиться с имеющимся опытом зарубежного законодательства и  требованиями российских нормативных  актов в области защиты информации.

 

1. Принципы организации и этапы обработки комплексная система защиты информации  (КСЗИ)

 

Основные принципы организации КСЗИ

Защита информации в АС должна основываться на следующих  основных принципах:

• системности;
• комплексности;
• непрерывности защиты;
• разумной достаточности;
• гибкости управления и применения;
• открытости алгоритмов и механизмов защиты;
• простоты применения защитных мер и средств.

Принцип системности 

Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности АС.

При создании системы  защиты необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Принцип комплексности 

В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонированно. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одной из наиболее укрепленных линий обороны призваны быть средства защиты, реализованные на уровне операционных систем (ОС) в силу того, что ОС - это как раз та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж обороны.

Принцип непрерывности  защиты

Защита информации - это не разовое мероприятие и  даже не определенная совокупность проведенных  мероприятий и установленных  средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.

Разработка  системы защиты должна вестись параллельно  с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.

Разумная достаточность 

Создать абсолютно непреодолимую  систему защиты принципиально невозможно. При достаточном количестве времени  и средств можно преодолеть любую  защиту. Поэтому имеет смысл вести  речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

Гибкость системы защиты

Часто приходится создавать  систему защиты в условиях большой  неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

Открытость алгоритмов и  механизмов защиты

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако, это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.

Принцип простоты применения средств защиты

Механизмы защиты должны быть интуитивно понятны и просты в  использовании. Применение средств  защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.). (18)

Сейчас можно выделить три различных концептуальных подхода  к проектированию систем защиты:

Подход первый: "от продукта". Этого подхода придерживаются, как правило, компании-производители систем защиты информации, имеющие в своем составе проектную группу. Фактически, в таких компаниях интеграция выросла из просто внедренческого направления, в тот момент, когда заказчик попросил не просто продукт, а проект. Таким образом, вся технология проектирования ориентирована на то, чтобы продукт, производимый компанией, являлся центральным вне зависимости от решаемой задачи. Данный подход не всегда реально обоснован, особенно в условиях агрессивного маркетинга и позиционирования продукта, как "панацеи" от большинства угроз безопасности.

Однако, в случае, когда  заказчик обладает достаточной квалификацией, чтобы широко смотреть на проблему защиты информации в целом и избегать однобоких решений, реализуются  проекты высокого качества, что понятно - никто кроме производителя не знает продукта лучше. Но в этом случае требуется либо наличие собственных высококлассных специалистов, системных архитекторов, либо привлечение внешних консалтинговых компаний.

Позиция вторая - компания выступает поставщиком решений в области защиты информации. Понимая отсутствие единого продукта, защищающего от всех угроз, компания предлагает комплексное решение проблемы. Оно состоит из комбинации нескольких технологий защиты, например, межсетевых экранов для защиты от атак из интернета, VPN - для закрытия каналов связи и т.п. Вот, казалось бы, оптимальная позиция: каждая технология, каждый продукт занимает свою нишу и закрывают определенные угрозы. Но тут существует одна проблема.

Формально схема выглядит следующим образом: сейчас существуют четыре основные технологии защиты - межсетевое экранирование, VPN, криптографическая защита, активный аудит. В каждой технологии есть по 3-4 действительно работающих продукта. То есть, четыре технологии по четыре продукта образуют 16 кубиков, из которых может строиться система безопасности. Тогда задача архитектора системы защиты сводится к тому, чтобы найти, куда пристроить каждый кубик. Возникает искушение начинать строить систему, отталкиваясь не от потребностей заказчика, а от имеющихся в наличии средств защиты.

Может быть, такая технология работы была бы оправдана в условиях полностью электронного документооборота в организации, но российские реалии таковы, что большинство компьютерных систем в наших организациях представляет собой 300-400 печатных машинок, объединенных сетью. В условиях бумажного документооборота все документы готовятся на компьютере, распечатываются, а потом в бумажном виде движутся по организации. В сети существуют лишь очаги автоматизации, например, в бухгалтерии, в конструкторском отделе и т.п. А все остальные сотрудники общаются друг с другом, в лучшем случае, по e-mail или через общие папки. Поэтому бывает трудно объяснить, зачем использовать, например, VPN, если вся информация отправляется по почте или факсу. Или зачем устанавливать на компьютеры электронные замки, если все документы хранятся в shared папках, не закрыты паролями, и их может получить практически любой сотрудник.

Нельзя говорить, что подход от "кубиков" не приемлем и не жизнеспособен. В настоящее время существует большой неосвоенный рынок средних и мелких компаний, для которых слишком дорого покупать серьезные консалтинговые услуги компаний-интеграторов. Таким компаниям как раз и нужен некоторый набор продуктов и решений, которые могли бы просто объединяться в систему, придавая ей необходимую функциональность.

И существует третья позиция - самая сложная и достаточно редко встречающаяся на нашем рынке. Какова стандартная схема продажи некоторого продукта или системы? Поставщик приходит к заказчику, изучает его проблему и предлагает то или иное решение, продукт или варианты решения, либо заказчик организует тендер, получает несколько предложений. И в том и в другом случае заказчик самостоятельно принимает решение о том какую систему, технологию внедрять. Т.е. ответственность за принятие решений по защите информации возлагается на заказчика, который, вообще говоря, не является экспертом в области защиты информации. Самая сложная задача, которая может и должна стоять перед компанией-интегратором, - это принять на себя ответственность за выбор стратегии обеспечения безопасности организации, развитие системы, ее адекватность развивающимся технологиям. Системный интегратор должен реализовывать единую комплексную политику, как техническую, так и организационную, проводя ее на всех уровнях организации-заказчика.