Законодательный, административный и процедурный уровни

Законодательный уровень есть наиболее значимым для обеспечения информационной безопасности. Нужно всячески подчеркивать важность неприятности ИБ; сконцентрировать ресурсы на наиболее значимых направлениях изучений; скоординировать образовательную деятельность; создать и поддерживать негативное отношение к нарушителям ИБ – все это функции законодательного уровня.

На законодательном уровне особенного внимания заслуживают стандарты и правовые акты.

Российские правовые акты в большинстве собственном имеют ограничительную направленность. Но то, что для Уголовного либо Гражданского кодекса конечно, по отношению к Закону об информации, информатизации и защите информации есть принципиальным недочётом. Сами по себе сертификация и лицензирование не снабжают безопасности. К тому же в законах не предусмотрена ответственность национальных органов за нарушения ИБ. Действительность такова, что в Российской Федерации в деле обеспечения ИБ на помощь страны рассчитывать не приходится.

На этом фоне поучительным есть знакомство с американским законодательством в области ИБ, которое значительно шире и многограннее российского.

Среди стандартов выделяются Оранжевая книга, советы X.800 и Критерии оценки безопасности IT.

Оранжевая книга заложила понятийный базис; в ней определяются наиболее значимые сервисы безопасности и предлагается способ классификации информационных совокупностей по требованиям безопасности.

Советы X.800 очень глубоко трактуют вопросы защиты сетевых конфигураций и предлагают развитый комплект механизмов и сервисов безопасности.

Западный стандарт ISO 15408, известный как Неспециализированные параметры, реализует более современный подход, в нем зафиксирован очень широкий спектр сервисов безопасности (представленных как функциональные требования). Его принятие в качестве национального стандарта принципиально важно не только из абстрактных мыслей интеграции в мировое сообщество; оно, как возможно сохранять надежду, облегчит жизнь обладателям информационных совокупностей, значительно расширив спектр дешёвых сертифицированных ответов.

Основная задача мер административного уровня – организовать программу работ в области информационной безопасности и обеспечить ее исполнение, выделяя нужные ресурсы и осуществляя контроль состояние дел.

Базой программы есть политика безопасности, отражающая подход организации к защите собственных информационных активов.

программы безопасности и Разработка политики начинается с анализа рисков, первым этапом которого, со своей стороны, есть ознакомление с самый распространенными угрозами.

Главные угрозы – внутренняя сложность ИС, непреднамеренные неточности штатных пользователей, операторов, других лиц и системных администраторов, обслуживающих информационные совокупности.

На втором месте по размеру ущерба стоят кражи и подлоги.

Настоящую опасность воображают другие аварии и пожары поддерживающей инфраструктуры.

В общем числе нарушений растет часть внешних атак, но главный ущерб так же, как и прежде наносят собственные.

Для подавляющего большинства организаций достаточно неспециализированного знакомства с рисками; ориентация на типовые, апробированные ответы разрешит обеспечить базисный уровень безопасности при минимальных интеллектуальных и разумных материальных затратах.

Значительную помощь в разработке политики безопасности может оказать английский стандарт BS 7799:1995, предлагающий типовой каркас.

политики безопасности и Разработка программы может служить примером применения понятия уровня детализации. Они должны подразделяться на пара уровней, трактующих вопросы различной степени специфичности. Ответственным элементом программы есть поддержание и разработка в актуальном состоянии карты ИС.

Нужным условием для построения надежной, экономичной защиты есть рассмотрение жизненного цикла ИС и синхронизация с ним мер безопасности. Выделяют следующие этапы жизненного цикла:

— инициация;

— закупка;

— установка;

— эксплуатация;

— выведение из эксплуатации.

Безопасность нереально добавить к совокупности; ее необходимо закладывать сначала и поддерживать до конца.

Меры процедурного уровня ориентированы на людей (а не на технические средства) и подразделяются на следующие виды:

— управление персоналом;

— физическая защита;

— поддержание работоспособности;

— реагирование на нарушения режима безопасности;

— планирование восстановительных работ.

На этом уровне применимы серьёзные правила безопасности:

— непрерывность защиты в пространстве и времени;

— разделение обязанностей;

— минимизация привилегий.

Тут кроме этого применимы понятие и объектный подход жизненного цикла. Первый разрешает поделить контролируемые сущности (территорию, аппаратуру и т.д.) на довольно свободные подобъекты, разглядывая их с различной степенью детализации и осуществляя контроль связи между ними.

Понятие жизненного цикла полезно использовать не только к информационным совокупностям, но и к сотрудникам. На этапе инициации должно быть создано описание должности с требованиями к квалификации и выделяемыми компьютерными привилегиями; на этапе установки нужно совершить обучение, а также по вопросам безопасности; на этапе выведения из эксплуатации направляться функционировать бережно, не допуская нанесения ущерба обиженными сотрудниками.

Информационная безопасность сильно зависит от аккуратного ведения текущей работы, которая включает:

— помощь пользователей;

— помощь ПО;

— конфигурационное управление;

— резервное копирование;

— управление носителями;

— документирование;

— регламентные работы.

Элементом повседневной деятельности есть отслеживание информации в области ИБ; как минимум, администратор безопасности обязан подписаться на перечень рассылки по новым пробелам в защите (и вовремя знакомиться с поступающими сообщениями).

Необходимо, но, заблаговременно подготовиться к событиям неординарным, другими словами к нарушениям ИБ. Заблаговременно продуманная реакция на нарушения режима безопасности преследует три главные цели:

— уменьшение и локализация инцидента наносимого вреда;

— обнаружение нарушителя;

— предупреждение повторных нарушений.

Обнаружение нарушителя – процесс сложный, но первый и третий пункты возможно и необходимо шепетильно продумать и отработать.

При важных аварий нужно проведение восстановительных работ. Процесс планирования таких работ возможно поделить на следующие этапы:

— обнаружение критически серьёзных функций организации, установление приоритетов;

— идентификация ресурсов, нужных для исполнения критически ответственных функций;

— определение списка вероятных аварий;

— разработка стратегии восстановительных работ;

— подготовка реализации выбранной стратегии;

— проверка стратегии.

Программно-технические меры

Программно-технические меры, другими словами меры, направленные на контроль компьютерных сущностей – оборудования, программ и/либо данных, образуют последний и самый серьёзный предел информационной безопасности.

На этом пределе становятся очевидными не только хорошие, но и негативные последствия стремительного прогресса IT. Во-первых, дополнительные возможности появляются не только у экспертов по ИБ, но и у преступников. Во-вторых, информационные совокупности все время модернизируются, перестраиваются, к ним добавляются не хватает проверенные компоненты (прежде всего программные), что затрудняет соблюдение режима безопасности.

Сложность современных корпоративных ИС, разнообразие и многочисленность угроз их безопасности возможно наглядно представить, ознакомившись с информационной совокупностью Верховного суда РФ.

Меры безопасности целесообразно поделить на следующие виды:

— предупредительные, мешающие нарушениям ИБ;

— меры обнаружения нарушений;

— локализующие, сужающие территорию действия нарушений;

— меры по обнаружению нарушителя;

— меры восстановления режима безопасности.

В продуманной архитектуре безопасности все они должны находиться.

С практической точки зрения ответственными кроме этого являются следующие правила архитектурной безопасности:

— непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;

— следование признанным стандартам, применение апробированных ответов;

— иерархическая организация ИС с маленьким числом сущностей на каждом уровне;

— усиление самого не сильный звена;

— невозможность перехода в небезопасное состояние;

— минимизация привилегий;

— разделение обязанностей;

— эшелонированность обороны;

— разнообразие защитных средств;

— управляемость и простота информационной совокупности.

Центральным для программно-технического уровня есть понятие сервиса безопасности. В число таких сервисов входят:

— аутентификация и идентификация;

— управление доступом;

— аудит и протоколирование;

— шифрование;

— контроль целостности;

— экранирование;

— анализ защищенности;

— обеспечение отказоустойчивости;

— обеспечение надёжного восстановления;

— туннелирование;

— управление.

Эти сервисы должны функционировать в открытой сетевой среде с разнородными компонентами, другими словами быть устойчивыми к соответствующим угрозам, а их использование должно быть удобным для администраторов и пользователей. К примеру, современные средства идентификации/аутентификации должны быть устойчивыми к пассивному и активному прослушиванию сети и поддерживать концепцию единого входа в сеть.

Выделим наиболее значимые моменты для каждого из перечисленных сервисов безопасности:

1. Предпочтительными являются криптографические способы аутентификации, реализуемые программным либо аппаратно-программным методом. Парольная защита стала анахронизмом, биометрические способы нуждаются в предстоящей проверке в сетевой среде.

2. В условиях, в то время, когда понятие доверенного ПО уходит в прошлое, делается анахронизмом и самая популярная – произвольная (дискреционная) – модель управления доступом. В ее терминах нереально кроме того растолковать, что такое троянская программа. В совершенстве при разграничении доступа обязана учитываться семантика операций, но пока для этого имеется лишь теоретическая база. Еще один принципиальный момент – простота администрирования в условиях ресурсов и большого числа пользователей и постоянных трансформаций конфигурации. Тут может оказать помощь ролевое управление.

аудит и Протоколирование должны быть всепроникающими и многоуровневыми, с фильтрацией данных при переходе на более большой уровень. Это нужное условие управляемости. Нужно использование средств активного аудита, но необходимо осознавать ограниченность их возможностей и разглядывать эти средства как один из пределов эшелонированной обороны, причем не самый надежный. направляться конфигурировать их так, дабы минимизировать число фальшивых тревог и не выполнять страшных действий при автоматическом реагировании.

Все, что связано с криптографией, сложно не столько с технической, сколько с юридической точки зрения; для шифрования это правильно вдвойне. Этот сервис есть инфраструктурным, его реализации должны находиться на всех аппаратно-программных платформах и удовлетворять твёрдым требованиям не только к безопасности, но и к производительности. Пока же единственным дешёвым выходом есть использование вольно распространяемого ПО.

Надежный контроль целостности кроме этого базируется на криптографических способах с методами и аналогичными проблемами их решения. Быть может, принятие Закона об электронной цифровой подписи поменяет обстановку к лучшему, будет расширен спектр реализаций. К счастью, к статической целостности имеется и некриптографические подходы, основанные на применении запоминающих устройств, эти на которых доступны лишь для чтения. В случае если в совокупности поделить статическую и динамическую составляющие и поместить первую в ПЗУ либо на компакт-диск, возможно в корне пресечь угрозы целостности. Разумно, к примеру, записывать регистрационную данные на устройства с однократной записью; тогда преступник не сможет замести следы.

Экранирование – идейно весьма богатый сервис безопасности. Его реализации – это не только межсетевые экраны, но и ограничивающие интерфейсы, и виртуальные локальные сети. Экран инкапсулирует защищаемый объект и осуществляет контроль его внешнее представление. Современные межсетевые экраны достигли высокого уровня защищенности, администрирования и удобства использования; в сетевой среде они являются первым и очень замечательным пределом обороны. Целесообразно использование всех видов МЭ – от персонального до внешнего корпоративного, а контролю подлежат действия как внешних, так и внутренних пользователей.

Анализ защищенности – это инструмент помощи безопасности жизненного цикла. С активным аудитом его роднит эвристичность, необходимость фактически постоянного обновления базы знаний и роль не самого надежного, но нужного защитного предела, на котором возможно расположить вольно распространяемый продукт.

Обеспечение безопасного восстановления и отказоустойчивости – нюансы высокой доступности. При их реализации на первый замысел выходят архитектурные вопросы, прежде всего – внесение в конфигурацию (как аппаратную, так и программную) определенной избыточности, с учетом вероятных соответствующих зон и угроз поражения. Надёжное восстановление – вправду последний предел, требующий особенного внимания, тщательности при проектировании, реализации и сопровождении.

Туннелирование – скромный, но нужный элемент в перечне сервисов безопасности. Он ответствен не столько сам по себе, сколько в комбинации с экранированием и шифрованием для реализации виртуальных частных сетей.

Управление – это инфраструктурный сервис. Надёжная совокупность должна быть управляемой. Неизменно должна быть возможность выяснить, что в действительности происходит в ИС (а в совершенстве – и взять прогноз развития обстановки). Быть может, самоё практичным ответом для большинства организаций есть применение какого-либо вольно распространяемого каркаса с постепенным навешиванием на него собственных функций.

Новый уровень. Александр Палиенко.

Похожие статьи:

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock
detector