Принципы организации и этапы обработки комплексная система защиты информации

Перед выработкой решения по информационной безопасности интегратор должен провести всестороннее глубокое обследование не просто информационной системы заказчика, а всей "информационной жизни" организации. Обследование должно вестись на трех уровнях: на уровне бизнес-процессов, который выявляет документальные потоки, типы обрабатываемой информации, уровни ее конфиденциальности; на инфраструктурном уровне - для выявления уязвимостей серверного парка, сетевого оборудования; на уровне приложений, на котором выявляются уязвимости в программном обеспечении, ошибки в настройках механизмов разграничения доступа и др.

На основе полученных данных необходимо формировать сначала концептуальное решение по защите информации, состоящее из комплекса организационных, процедурных и программно-аппаратных мер защиты, а затем, четко обосновывая выбор, предлагать внедрение тех или иных технологий защиты. При этом нужно учитывать, что подсистема информационной безопасности является поддерживающей системой по отношению ко всей информационной системе организации. Она не должна играть доминирующую роль в развитии организации и ее информационной системы. То есть система информационной безопасности должна защищать информацию, обеспечивающую бизнес-задачи организации.

Таким образом, любая система информационной безопасности, защищающая крупную организацию  с распределенной информационной системой, или система, представляющая собой один межсетевой экран, должна быть разумно достаточной по отношению к организации, она не должна мешать работе сотрудников. Всегда должен быть адекватный выбор уровня защиты, правильный выбор технологий и средств защиты.(33)

2. Основными этапами работ по созданию КСЗИ являются:

• обследование организации

Услуги по обследованию организации могут достаточно сильно различаться у разных поставщиков  услуг. Это может быть анализ защищенности вычислительной системы, обследование вычислительной системы (гораздо более глубокий уровень детализации), обследование организации в целом, т.е. охват "бумажного" документооборота и бизнес процессов организации с точки зрения информационной безопасности, проверка на соответствие нормативно-правовым документам и т.п..

На стадии обследования организации:

• устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой КСЗИ, оценивается уровень конфиденциальности и объемы;
• определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;
• анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;
• определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и со службой безопасности;
• определяются мероприятия по обеспечению режима секретности на стадии разработки;
• проектирование системы защиты информации

При проектировании системы информационной безопасности могут быть охвачены как все три  уровня мер защиты - организационного, процедурного и программно-аппаратного, так и исключительно технический  уровень. Это два принципиально разных типа работ и по сути, и по объемам, т.к. первый предполагает разработку концепции информационной безопасности, нормативно-распорядительных документов, различных регламентов и только потом - технического проекта;

• внедрение системы защиты информации

Заказчику выгодно  использовать подрядную организации  и не иметь проблем с единовременным привлечением большого количества специалистов по информационной безопасности, контролем  качества выполняемых работ, выработкой единой политики безопасности;

• сопровождение системы информационной безопасности

Оперативное реагирование на внештатные ситуации, периодическое  обновление специального ПО, установка  необходимых "заплат" на общесистемное  ПО, отслеживание появления новых  атак и уязвимостей;

• обучение специалистов по защите информации

Обучение руководителей  служб безопасности, руководителей IT-подразделений, пользователей средств  защиты.

3. Этапы проектирования ЗАС (защищенных автоматизированных систем)

Процесс построения системы защиты включает следующие этапы:

• Анализ возможных угроз безопасного функционирования ЗАС.
• Планирование системы защиты.
• Реализация системы защиты.
• Сопровождение системы защиты.

Этап анализа возможных угроз необходим для фиксации состояния АС (конфигурации аппаратных и программных средств, технологии обработки информации) и определения учитываемых воздействий на компоненты АС и рисков, связанных с реализацией угроз безопасности. Практически невозможно обеспечить защиту АС от всех воздействий, поскольку невозможно полностью установить все угрозы и способы их реализации. Поэтому из множества вероятных воздействий выбирают только такие воздействия, которые могут реально произойти и нанести серьезный ущерб.

На этапе планирования формулируется система защиты как единая совокупность мер противодействия угрозам различной природы.

На этапе реализации осуществляется выбор конкретных мер и средств обеспечения информационной безопасности и их интеграция в единую систему. Определяется стоимость системы защиты и ее эффективность.

Этап сопровождения системы защиты состоит в обеспечении непрерывного ее функционирования в жизненном цикле ЗАС и совершенствования элементов защиты, включая их модернизацию и дополнение новыми элементами и средствами защиты.

При создании ЗАС  на основе открытых широко используемых сетей, что в настоящее время является типичным при построении корпоративных АС требуется учитывать появление новых технологий и сервисов, а также удовлетворять требованиям, которые предъявляются сегодня к элементам корпоративных информационных систем:

• Использование интегрированных решений. Интеграция должна быть реализована в различных аспектах 1) интеграция средств защиты с остальными элементами АС - операционными системами, маршрутизаторами, службами каталогов и т.п., 2) интеграция различных технологий защиты в целях обеспечения комплексной безопасности информационных ресурсов предприятий, например интеграция межсетевого экрана с VPN-шлюзом и трансляторов IP-адресов.
• Обеспечение масштабирования в широких пределах. Масштабируемость средств защиты позволяет подбирать оптимальное по стоимости и надежности решение с возможностями постепенного наращивания системы защиты. По мере роста и развития АС подсистема информационной безопасности должна иметь возможность легко масштабироваться без потери целостности и управляемости. Масштабируемость обеспечивает эффективную работу предприятия при наличии у него многочисленных филиалов, десятков предприятий-партнеров, сотен удаленных сотрудников и миллионы потенциальных клиентов.
• Применение открытых стандартов. Переход на открытые стандарты составляет одну из основных тенденций развития систем и средств защиты. Такие стандарты как IP-Sec и PKI обеспечивают защищенность внешних коммуникаций предприятия и совместимость с соответствующими продуктами предприятий-партнеров. Цифровые сертификаты Х.509 также являются на данное время стандартным и эффективным решением для аутентификации пользователей и устройств. Перспективные средства и системы защиты должны поддерживать эти стандарты.

При проектировании ЗАС следует ориентироваться на прогрессивные технологии обеспечения информационной безопасности, к которым относятся:

• Комплексный подход, предполагающий рациональное сочетание технологий и средств защиты информации.
• Комплексный подход, предполагающий рациональное сочетание технологий и средств защиты информации.
• Применение защищенных виртуальных частных сетей VPN для защиты информации, передаваемой по открытым каналам связи.
• Использование криптографического преобразования данных для обеспечения целостности, юридической значимости и конфиденциальности информации.
• Применение межсетевых экранов для защиты корпоративной сети, от внешних угроз при подключении к общедоступным сетям связи.
• Управление доступом на уровне пользователей и защита от несанкционированного доступа (НСД).
• Гарантированная идентификация и аутентификация пользователей путем применения электронных устройств идентификации и аутентификации (смарт-карт, электронных ключей и т.п.)
• Поддержка инфраструктуры управления открытыми ключами.
• Защита информации на файловом уровне (путем шифрования файлов и каталогов) для обеспечения ее надежного хранения.
• Защита от вирусов с использованием с использованием специализированных комплексов антивирусной профилактики и защиты.
• Использование технологии обнаружения вторжений для активного исследования защищенности информационных ресурсов и АС в целом.
• Централизованное управление средствами защиты.

При создании ЗАС  на основе открытых широко используемых сетей построение системы защиты можно разбить на следующие этапы:

• Экспертиза защищенности корпоративной информационной системы.
• Разработка концепции и политики информационной безопасности компании.
• Проектирование корпоративной информационно-вычислительной системы в защищенном исполнении.
• Поставка и ввод в опытную эксплуатацию средств защиты.
• Сопровождение системы информационной безопасности.
• Модернизация и развитие системы информационной безопасности.

Заключение:

Информационная  эра привела к драматическим  изменениям в способе выполнения своих обязанностей для большого числа профессий. Теперь нетехнический специалист среднего уровня может выполнять работу, которую раньше делал высококвалифицированный программист. Служащий имеет в своем распоряжении столько точной и оперативной информации, сколько никогда не имел.

Но использование  компьютеров и автоматизированных технологий приводит к появлению  ряда проблем для руководства  организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых  разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. Все увеличивается число компьютерных преступлений, что может привести, в конечном счете, к подрыву экономики. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать. Ответственность за защиту информации лежит на низшем звене руководства. Но также кто-то должен осуществлять общее руководство этой деятельностью, поэтому в организации должно иметься лицо в верхнем звене руководства, отвечающее за поддержание работоспособности информационных систем. И так как автоматизация привела к тому, что теперь операции с вычислительной техникой выполняются простыми служащими организации, а не специально подготовленным техническим персоналом, нужно, чтобы конечные пользователи знали о своей ответственности за защиту информации.

Единого рецепта, обеспечивающего 100% гарантии сохранности  данных и надёжной работы сети, не существует. Однако создание комплексной, продуманной концепции безопасности, учитывающей специфику задач конкретной организации, поможет свести риск потери ценнейшей информации к минимуму.

В настоящее  время наблюдаются следующие  тенденции в совершенствовании элементов системы защиты:

• создание систем, характеризующихся комплексностью, функциональной полнотой и целостностью, включая совокупность правовых, организационных, физических, технических и аппаратно-программных средств;
• интеллектуализация системы обеспечения информационной безопасности, представляющая собой обеспечение процессов управлений средствами защиты в сложных распределенных системах интеллектуальной поддержкой, в качестве которой выступают специализированные экспертные системы поддержки принятия решений, в том числе на базе искусственного интеллекта;
• использование многоагентных систем для распределенного решения задач информационной безопасности в распределенных ЗАС;
• замена пассивных устройств защиты (Магнитные или другие элементы памяти с ключевой или парольной информацией) активными устройствами защиты (интеллектуальные электронные карточки или электродные ключи с встроенными процессорами), которые обеспечивают качественно новый уровень защиты в системах и сетях ЭВМ;
• широкое применение криптографических преобразований для решения задач обеспечения подлинности, аутентификации и целостности
• применение двухключевых криптографических систем для обеспечивания анонимности (системы электронных денег и тайного электронного голосования.)
• совершенствование системы защиты в процессе эксплуатации как реакция на изменение условий функционирования ЗАС и появлением новых способов и методов нападений.

Практически любую  информацию можно защитить, если пользователь пожелает это сделать, сохранив ее таким образом. В скором будущем компьютеры заменят многие привычные сейчас вещи, следовательно, нам придется доверить компьютеру самое сокровенное, которое человек никогда в жизни не доверит другому человеку, поэтому потребуется более надежная защита информации, такая, что тайны человека смогут лишь узнать, в крайнем случае, после его смерти. Человечество надеется, что компьютер станет другом, которому можно будет сказать все, зная, что он никогда сам не раскроет их тайны.

Список использованной литературы

1.  Титоренко Г.А. Информационные технологии управления. М., Юнити: 2002г.

2. Мельников  В. Защита информации в компьютерных  системах. М.: Финансы и статистика, Электронинформ, 1997