Методы создания безопасных систем обработки информации кратко

Обновлено: 05.07.2024

В организационную структуру системы входят:

  • руководитель – несет персональную ответственность за обеспечение информационной безопасности (устав организации, положение об органе);
  • заместитель руководителя, курирующий вопросы информационно-технической безопасности (должностной регламент);
  • постоянно действующий коллегиальный орган, вырабатывающий предложения по решению проблемных вопросов в области защиты информации; (положение о комиссии);
  • подразделение или специалист, ответственные за реализацию мероприятий по технической защите информации (положение о подразделении, должностная инструкция или регламент специалиста).

Задачи, решаемые системой защиты информации:

  • исключение неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
  • исключение неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
  • исключение неправомерного блокирования информации (обеспечение доступности информации).

Жизненный цикл системы защиты информации (СЗИ) объекта обработки информации состоит из стадии создания системы и стадии эксплуатации.

Стадию создания осуществляет (организует) обладатель информации, заказчик; стадию эксплуатации СЗИ осуществляет оператор.

Жизненный цикл системы защиты информации объекта информатизации - совокупность взаимоувязанных процессов последовательного изменения состояния системы защиты информации конкретного объекта от принятия решения о необходимости защиты обрабатываемой на нем информации до окончания его эксплуатации.

Стадия (этап) жизненного цикла – часть жизненного цикла, характеризующаяся определенным состоянием системы защиты информации, совокупностью видов предусмотренных работ с их конечными результатами.

Обладатель информации – лицо, создавшее информацию и (или) имеющее право разрешать или ограничивать доступ к информации.

Заказчик – лицо, заключившее контракт на создание объекта обработки информации.

Оператор – лицо, эксплуатирующее объект, в том числе непосредственно осуществляющее обработку содержащейся в нем информации.

Уполномоченное лицо – лицо, осуществляющее на договорной основе с заказчиком или оператором обработку информационного ресурса и (или) предоставляющее для этих целей вычислительные ресурсы.

Поставщик информации – лицо, наделенное полномочиями по предоставлению сведений для их внесения в базу данных объекта.

Этапы стадии создания системы защиты информации

  1. Этап 1. Формирование требований к системе защиты информации (предпроектный этап).
  2. Этап 2. Разработка системы защиты информации (этап проектирования).
  3. Этап 3. Внедрение системы защиты информации (этап установки, настройки, испытаний).
  4. Этап 4. Подтверждение соответствия системы защиты информации (этап оценки).

Формирование требований к системе защиты информации

Этап 1 осуществляется обладателем информации (заказчиком).

Перечень работ на этапе 1:

  1. Принятие решения о необходимости защиты обрабатываемой информации.
  2. Классификация объекта по требованиям защиты информации (установление уровня защищенности обрабатываемой информации).
  3. Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности обрабатываемой информации.
  4. 4. Определение требований к системе защиты информации.

Решение о необходимости создания системы защиты информации принимается на основе анализа стоящих задач, обрабатываемой информации и нормативной базы. В ходе анализа определяются структурно-функциональные характеристики объекта и режим обработки информации:

  • статус (принадлежность) объекта (государственный, муниципальный, иной);
  • структура объекта (локальный или распределенный);
  • масштаб объекта (федеральный, региональный, объектовый);
  • наличие подключений к сторонним сетям, в том числе сетям общего пользования (имеются или отсутствуют);
  • режим обработки информации (одно или многопользовательский);
  • уровень доступа (с разграничением или без разграничения);
  • перечень технологических операций (чтение, поиск, запись, удаление, сортировка, модификация, передача, голосовой ввод,);
  • используемые информационные технологии (беспроводный, удаленный доступ, виртуализация, мобильные объекты, туннелирование и пр.),

Категория информации, подлежащей защите, и свойства ее безопасности:

  • информация ограниченного доступа (конфиденциальность, целостность, доступность);
  • общедоступная информация (целостность, доступность),

Нормативная правовая база по информационно-технической безопасности выделяет разные задачи по защите информации:

  • защита информации, составляющей государственную тайну;
  • защита государственного информационного ресурса, не отнесенного к государственной тайне;
  • обеспечение безопасности персональных данных в иных информационных системах;
  • обеспечение безопасности критической информационной инфраструктуры;
  • обеспечение безопасности информации в информационных системах общего пользования.

Более подробно правовое сопровождение защиты информации рассмотрено в разделе экономических и правовых аспектов защиты информации.

Актуальным на этом этапе видится формулирование целей и задач защиты информации.

Цель защиты информации - минимизировать (предотвратить) ущерб обладателю информации из-за возможных нарушений свойств ее безопасности.

Задача защиты информации - обеспечить необходимый уровень защищенности информации от нарушений ее целостности, доступности, конфиденциальности.

Решение оформляется локальным нормативным правовым актом, в котором отражаются цели и задачи защиты информации, этапы и сроки создания системы защиты информации, функционал и ответственность обладателя информации, заказчика и оператора.

Основные документы, формируемые по результатам исполнения работ на этапе формирования требований к системе защиты информации:

Действие Документ
1. Принятие решения о необходимости защиты информации Локальный нормативный правовой акт, определяющий необходимость создания системы защиты информации
2. Классификация по требованиям защиты информации (по уровню защищенности информации) Акт классификации по требованиям безопасности информации
3.Определение актуальных угроз безопасности информации Частная модель угроз безопасности информации
4. Определение требований к системе защиты информации ТЗ на создание системы защиты информации с указанием требований к мерам и средствам защиты информации

Разработка системы защиты информации

Этап 2 - разработка системы защиты информации – организуется обладателем информации (заказчиком).

Перечень работ на этапе 2:

  1. Проектирование системы защиты информации.
  2. Разработка эксплуатационной документации на систему защиты информации.

работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, а также работы и услуги по проектированию в защищенном исполнении:

  • средств и систем информатизации;
  • помещений со средствами (системами) информатизации, подлежащими защите;
  • защищаемых помещений.

Основные документы, формируемые по результатам исполнения работ на этапе разработки системы защиты информации:


Действие Документ
1.Проектирование системы защиты информации Технический проект (рабочая документация) на создание системы защиты информации
2.Разработка эксплуатационной документации на систему защиты информации Описание структуры системы защиты информации. Технический паспорт с указанием наименования, состава и мест установки аппаратных и программных средств.
Перечень параметров настройки средств защиты информации. Правила эксплуатации средств защиты информации.

Примерный состав эксплуатационной документации, разрабатываемой на этапе проектирования системы защиты информации

  1. Технический паспорт с указанием состава и мест установки ее технических и программных средств.
  2. Описание технологического процесса обработки информации.
  3. Описание параметров и порядка настройки средств защиты информации.
  4. Описание организационной структуры системы защиты информации, с указанием функциональных обязанностей ее элементов.
  5. Ведомость и журнал учета применяемых машинных носителей информации.
  6. Правила эксплуатации системы защиты информации.

Внедрение системы защиты информации

Этап 3 - Внедрение системы защиты информации – организуется обладателем информации (заказчиком) с привлечением оператора. Перечень работ на этапе 3:

  1. Установка и настройка средств защиты информации.
  2. Внедрение организационных мер защиты информации, в том числе, разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ходе эксплуатации объекта.
  3. Выявление и анализ уязвимостей программных и технических средств, принятие мер по их устранению;
  4. Испытания и опытная эксплуатации системы защиты информации.

Основные документы, формируемые по результатам исполнения работ на этапе внедрения системы защиты информации:

Действие Документ
1. Установка и настройка средств защиты информации Акт установки средств защиты информации
2.Внедрение организационных мер, разработка организационно-распорядительных документов Документы по регламентации правил по эксплуатации и вывода из эксплуатации системы защиты информации
3.Выявление и анализ уязвимостей Протокол контроля уязвимостей программного обеспечения и технических средств
4.Испытания и опытная эксплуатации системы защиты информации Протоколы контроля оценки эффективности средств и оценки защищенности информации

Состав обязательных организационно-распорядительных документов, разрабатываемых на этапе внедрения системы защиты информации:

  1. Порядок администрирования системой защиты информации.
  2. Порядок выявления инцидентов, которые могут привести к возникновению угроз безопасности информации и реагирования на них.
  3. Порядок управления конфигурацией объекта и его системы защиты информации.
  4. Порядок контроля за обеспечением уровня защиты обрабатываемой информации.
  5. Порядок защиты информации при выводе из эксплуатации объекта.

Подтверждение соответствия системы защиты информации

Этап 4 - подтверждение соответствия системы защиты информации – организуется обладателем информации (заказчиком) или оператором. Перечень работ на этапе 4 определяется в Программе и методиках аттестационных испытаний, разрабатываемой до их начала. Документ формируется исполнителем работ и согласовывается с заявителем.

Аттестация – комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации (информационной системы) требованиям безопасности информации.

Аттестация объектов информатизации делится на обязательную и добровольную.

Обязательная аттестация проводится в принятых законодательством случаях для определения соответствия системы защиты информации объекта исключительно требованиям, установленным федеральными нормативными правовыми актами.

Добровольная аттестация проводится по инициативе заявителя для определения соответствия системы защиты информации объекта требованиям, установленным национальными стандартами, владельцем информации или владельцем объекта.

Обязательной аттестации подлежат государственные (муниципальные) информационные системы и их сегменты, содержащие информацию ограниченного доступа, добровольной – все иные информационные системы.

Порядок проведения аттестации информационных систем по требованиям безопасности информации:

  1. Подача и рассмотрение заявки на аттестацию.
  2. Предварительное ознакомление с аттестуемым объектом (при необходимости).
  3. Разработка программы и методики аттестационных испытаний.
  4. Проведение аттестационных испытаний объекта.
  5. Оформление, регистрация и выдача аттестата соответствия.

Подача и рассмотрение заявки на аттестацию объекта информатизации:

  1. Заявителем выбирается исполнитель работ по аттестации объекта информатизации (организация-лицензиат по технической защите конфиденциальной информации).
  2. Заявителем направляется исполнителю заявка на проведение аттестации с исходными данными на аттестуемый объект.
  3. Исполнителем рассматривается заявка, принимается решение о порядке аттестации, готовятся договорные документы на оказание услуг по аттестации объекта информатизации.

При недостаточности исходных данных в порядок аттестации включаются работы исполнителя по предварительному ознакомлению с аттестуемым объектом.

Аттестуемая распределенная информационно-телекоммуникационная система


Основные документы, формируемые по результатам исполнения работ на этапе подтверждения соответствия системы защиты информации:


Действие Документ
1.Аттестационные испытания системы защиты информации Протоколы и заключение по результатам аттестационных испытаний
2.Оформление результатов аттестационных испытаний Рекомендации по обеспечению защищенности информации на аттестуемом объекте и Аттестат соответствия

После подтверждения соответствия системы защиты информации осуществляется переход на другую стадию жизненного цикла – стадию эксплуатации.

Этапы стадии эксплуатации системы защиты информации

  • Этап 5. Ввод системы защиты информации в постоянную эксплуатацию.
  • Этап 6. Промышленная эксплуатация системы защиты информации.
  • Этап 7. Вывод из эксплуатации системы защиты информации.

Этап 5 - ввод системы защиты информации в постоянную эксплуатацию – осуществляется оператором.

Решение о вводе оформляется локальным нормативным правовым актом, в котором определяются должностные лица, ответственные за эксплуатацию и сопровождение системы защиты информации: начальник объекта, системные администраторы, администраторы информационной безопасности.

Этап 6 - промышленная эксплуатация системы защиты информации – осуществляется оператором.

Также оператор осуществляет администрирование системы защиты информации, выявление инцидентов и реагирование на них, управление конфигурацией объекта и его системой защиты информации, контроль за обеспечение необходимого уровня защищенности информации.

  • осуществляют эксплуатацию объекта информатизации в соответствии с требованиями безопасности информации, а также условиями и ограничениями, установленными эксплуатационной документацией на систему защиты информации, и аттестатом соответствия;
  • извещают орган по аттестации (организацию), выдавший аттестат соответствия, о всех изменениях в информационных технологиях, составе и размещении средств и систем, условиях их эксплуатации, которые могут повлиять на эффективность системы защиты информации;
  • предоставляют необходимые документы и условия для осуществления контроля и надзора за соблюдением порядка аттестации и за эксплуатацией аттестованного объекта информатизации.

Органы по аттестации:

  • отменяют и приостанавливают действие выданных этим органом (организацией) аттестатов соответствия;
  • проводят на договорной основе оценку эффективности средств защиты информации и оценку защищенности информации от несанкционированного доступа.

Повторная аттестация ГИС осуществляется вслучае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы.

При увеличении состава угроз безопасности информации или изменении проектных решений, реализованных при создании системы защиты информации ГИС, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.

Продление срока действия сертификата организацией, эксплуатирующей СЗИ:

Организация, эксплуатирующая средство защиты информации, заблаговременно , но не позднее чем за три месяца до окончания срока действия сертификата соответствия, связывается с организацией – первичным заявителем, с целью получения информации о проводимых работах по продлению сроков действия сертификата соответствия и о порядке получения копии продленного сертификата.

В случае получения информации об отсутствии намерений первичного заявителя продлевать сроки действия сертификата соответствия эксплуатирующая организация самостоятельно направляет в Федеральный орган по сертификации (ФСТЭК России) соответствующую заявку установленного образца (не позднее, чем за один месяц до окончания срока действия сертификата).


Этап 7 - вывод системы защиты информации из эксплуатации - осуществляется оператором.

На этом этапе производится архивирование информации, уничтожение или стирание данных и остаточной информации с машинных носителей информации, уничтожение машинных носителей информации.

Как работаем и отдыхаем в 2022 году ?

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.


При организации автоматизированных информационных систем (АИС) должны строго соблюдаться требования по защите конфиденциальных данных, которые призваны предотвратить их утечку или искажение. Защита информации в автоматизированной системе должна предотвратить воздействие угроз различного происхождения, включая техногенные аварии, воздействие вредоносного ПО или хакеров, похищение данных инсайдерами с целью продажи или шпионажа. Снизить уровень таких рисков позволяет реализация комплекса мер защиты аппаратного и программного уровня.

Задачи по защите информации

Информация имеет определенную ценность. При этом изменение ряда свойств информации может приводить к потере такой ценности. К числу таких свойств по действующему законодательству об охране данных относятся:

  • конфиденциальность — невозможность доступа третьих лиц;
  • целостность (неизменность) — возможность изменения информации только лицами, которые имеют соответствующий допуск;
  • доступность — обеспечение доступа пользователя к необходимой информации без ограничений в связи с проблемами аппаратного уровня или действия вредоносного программного обеспечения.

Методы защиты информации в автоматизированных системах должны применяться ко всему массиву данных, которые обрабатываются в компании, а также по отношению к отдельным блокам повышенной важности.

Объекты защиты

Для применяемых способов защиты информации в автоматизированных системах характерна определенная стоимость. Поэтому важно дифференцировать объекты защиты, чтобы наиболее дорогостоящие и сложные способы использовались по отношению к объектам повышенной ценности. Это разграничение выполняется еще на этапе разработки требований к архитектуре АИС.

В том числе информационные массивы делят на такие виды:

  • Исходные данные — первичная информация, поступающая на хранение и обработку в АИС от клиентов, пользователей, контрагентов.
  • Производные данные — информация, которая создается непосредственно в АИС, в процессе обработки исходных данных. Сюда относят отчеты, базы данных и другие структурированные информационные массивы.
  • Служебные. Данные вспомогательного характера, архивы защитных систем, данные сканирования.
  • Программные средства защиты данных — лицензированное ПО или ПО собственной разработки.
  • Алгоритмы, на основе которых разрабатываются программы.

Все информационные массивы, кроме вспомогательных данных, могут содержать коммерческую тайну. Поэтому они выступают в качестве объектов защиты информации в автоматизированных системах, которая должна выполняться с максимальной эффективностью.

Планирование и реализация систем защиты

Важным требованием при обеспечении защиты информации в АИС является планомерное решение этой задачи. Эта деятельность должна быть структурирована и разбита на этапы.

Можно выделить такие этапы:

На каждом из этих этапов должны применяться в полном объеме доступные ресурсы и осуществляться контроль эффективности.

Методы защиты информации

При построении системы защиты информации в АИС могут применяться одновременно разные методы, в том числе:

  • методы повышения уровня достоверности данных;
  • методы защиты информации в автоматизированных системах от их потери в результате аварий и аппаратных сбоев;
  • методы контроля физического доступа к оборудованию и сетям, который может приводить к хищению данных, повреждению аппаратуры, преднамеренному созданию нештатных и аварийных ситуаций, установке шпионских приборов и т. д.;
  • методы идентификации пользователей, аутентификации ПО, съемных носителей.

Применяются и другие методы организационного и аппаратно-программного характера. Первые реализуются централизованно на уровне компании, а выбор аппаратно-программных методов остается на выбор специалиста.


Организационные

Выбор организационных методов и их применение определяется спецификой деятельности компании, включая ее правовое регулирование. По этому параметру организации делятся на такие категории:

  • Частная фирма, которая не работает с информацией, содержащей гостайну, и не является оператором персональных данных. Допускается использование любых методов, удобных для организации.
  • Частная компания, являющаяся оператором персональных данных или работающая с данными, содержащими гостайну. Требования к методам защиты информации в автоматизированных информационных системах устанавливаются действующим законодательством и положениями нормативной документации ФСТЭК РФ.
  • Банк. Обрабатывает 3 категории конфиденциальных данных — персональные данные, коммерческую и банковскую тайну. Требования о применении организационных методов защиты устанавливаются положениями Центробанка.
  • Государственное предприятие или государственный орган. Требования по применению организационных методов устанавливаются на уровне головных организаций и министерств.

Выделяют две категории организационных методов защиты информации — системные и административные.

К числу системных методов принадлежат:

  • повышение степени надежности оборудования, выбор аппаратуры с минимальными рисками отказа, использование специального оборудования для минимизации рисков потери данных при аварийном отключении питания;
  • организация резервирования информации на внешних серверах для предотвращения ошибок в результате системных сбоев или физического повреждения оборудования;
  • ранжирование пользователей с предоставлением разных уровней допуска для уменьшения вероятности хищения, изменения, уничтожения информации;
  • структурирование обработки данных, совершенствование смежных процессов, формирование специализированных кластеров для работы с определенными типами данных.

За разработку и внедрение применяемых в организации административных методов защиты несет ответственность руководство фирмы, вышестоящие инстанции, подразделения безопасности и управления персоналом.

Среди административных методов защиты информации можно назвать такие способы:

  • утверждение внутренних нормативных документов, регламентирующих обработку данных и доступ к АИС;
  • создание у персонала заинтересованности в защите данных;
  • создание режима коммерческой тайны, внесение положений об ответственности за ее разглашение в контракты с работниками и трудовые договоры;
  • обучение и повышение мотивации персонала;
  • улучшение эргономики и условий труда, чтобы исключить потерю данных и системные сбои в связи с потерей внимания и усталостью работников.

Внедрение организационных методов проводится с параллельным аудитом, который показывает их эффективность и позволяет совершенствовать защиту.

Аппаратно-программные

Способы этой категории определяются политикой компании и регламентом ИТ-подразделений. Методы программного уровня поддерживают защищенность данных при обработке в АИС и передаче по различным каналам связи. Аппаратные методы предусматривают использование высокоточных контрольно-технических средств для дублирования функций программных способов защиты. Такие средства могут обнаруживать ошибки, недоступные для выявления программными способами.

Основные группы задач, которые выполняются аппаратно-программными методами:

  • Трехуровневое резервирование и дублирование данных, формирование удаленных баз данных. Оперативное резервирование предусматривает копирование информации в реальном времени. Восстановительное резервирование применяется для восстановления информации в случае утери из-за сбоев. Долгосрочное резервирование — сохранение значительного объема данных, в том числе копий полного объема системных файлов, с длительным хранением для восстановления и проведения аудита.
  • Блокирование ошибочных или преднамеренных вредоносных операций.
  • Защита информации от вредоносного ПО. Применяется сканирование, обнаружение изменений элементов файлов, аудит, антивирусное программное обеспечение.
  • Защита от несанкционированного доступа к данным. Применяются файерволы, средства выявления атак.
  • Шифрование данных методами криптографической защиты.
  • Контроль доступа, аутентификация пользователей.

Помимо этих методов, активно внедряется DLP- и SIEM-системы, а также другие комплексные решения.

Методы контроля доступа

Формирование контроля доступа пользователей — необходимая мера для защиты информации. Контроль доступа реализуется на организационном и программном уровне.

Предусматривается размещение рабочих станций и периферийного оборудования в замкнутом пространстве, куда исключается доступ посторонних. Для этого в компании создается пропускная система. Для обработки информации повышенной важности могут выделяться отдельные зоны с доступом по электронному пропуску. Рабочие станции в таких зонах работают без подключения к общей сети.

Определенные процессы могут обрабатываться на специально выделенных рабочих станциях, которые также зачастую не подключаются к сети. Этот метод предполагает создание отдельных кластеров для вывода на печать.

Методы идентификации пользователей

Еще одним ключевым системным решением для обеспечения безопасности данных в АИС является допуск только уполномоченных пользователей к работе с информацией. Для аутентификации могут использоваться разные способы, с учетом степени ценности защищаемых данных, в том числе:

  • Логин и пароль. Пользователь аутентифицируется путем введения этих идентификационных данных, которые должны иметь определенный формат. Устанавливаются требования по периодичности смены логина и пароля, предусматриваются меры дисциплинарной ответственности за передачу этих данных третьим лицам или за вход в систему под чужими данными.
  • Диалоговый режим. Для распознавания определенного пользователя в систему вводится набор определенных данных. После этого для входа в систему пользователь должен будет отвечать на меняющиеся вопросы.
  • Биометрический метод. Распознавание при помощи специального оборудования по отпечаткам пальцев, сетчатке глаза.
  • Использование автоматических радиокодовых устройств (токенов), которые передают в систему зашифрованные сигналы. Если эти сигналы совпадают с заданными значениями, пользователю предоставляется доступ.
  • Аутентификация при помощи чипов. Информация, идентифицирующая пользователя, содержится на чипе и считывается при входе в систему. Эта информация может быть нанесена в зашифрованном виде. В этом случае ключ шифрования используется как дополнительный идентификационный параметр.

Максимальное снижение рисков обеспечивают аппаратные методы контроля доступа, которые исключают подделку или перехват паролей. При этом наиболее высокая эффективность достигается с помощью биометрии.


Средства разграничения доступа

Применяются следующие варианты разграничения доступа пользователей к информации в соответствии с установленными полномочиями:

  • По уровню конфиденциальности. Предусматривается установка грифов секретности для маркировки информационных массивов и пользователей. Каждый пользователь получает доступ к данным не выше собственного уровня.
  • По специальным спискам. Каждому файлу, базе данных, программе или другому информационному объекту устанавливается перечень допущенных пользователей. Второй вариант — определение для каждого пользователя перечня разрешенных информационных объектов.
  • По матрице полномочий. Применяется двухмерная матрица, внутри которой за каждым пользователем закреплен идентификатор. Этот идентификатор прописывается в столбце. В строке матрицы прописаны идентификаторы информационных элементов. Допуск разрешается при совпадении обоих идентификаторов.
  • По мандатному принципу. Элементу информации, подлежащему защите, присваивается метка. Аналогичная метка должна содержаться и в запросе для предоставления доступа.

Минусом этих методов является слабый уровень эффективности против инсайдеров, которые могут присвоить признаки идентификации других пользователей. Для защиты от них должна быть реализована система протоколирования.

Протоколирование

Система протоколирования предусматривает создание учетного журнала, в который автоматически заносятся сведения о действиях пользователей. Такие журналы функционируют на основе программ-регистраторов, работающих самостоятельно или в составе системы DLP. Протоколирование обеспечивает контроль использования информации, подлежащей защите, фиксируют безуспешные и успешные попытки доступа к ней, осуществляют запись действий. Это позволяет накапливать статистическую базу для последующего аудита.

SIEM-системы

SIEM-системы (Security Information and Event Management) — решения, которые внедряются крупными компаниями для обеспечения комплексной информационной защиты. Они не защищают напрямую от инцидентов, а обеспечивают оперативное информирование о сбоях и нарушениях в работе ПО и оборудования.

SIEM с установленной периодичностью выполняет опрос программ, включая антивирусы и DLP, маршрутизаторов, другого оборудования. Полученные данные сопоставляются с заданными значениями. При обнаружении отклонений SIEM отправляет уведомление, на основании которого соответствующие службы принимают необходимые меры.

К дополнительным функциям таких систем относится протоколирование и ведение журналов учета, что позволяет сформировать доказательную базу для расследования преступлений и нарушений в сфере информационной безопасности. Кроме того, SIEM обеспечивают аудит готовности системы к исполнению своих функций. Данные, получаемые от SIEM, дают основания для внедрения нового ПО или изменения технологических параметров АИС.

DLP-системы

DLP-системы призваны поддерживать максимальную защиту от несанкционированных действий пользователей, обеспечивая полную целостность и конфиденциальность защищаемых данных. Действие такой системы строится на способности отличать открытую информацию от конфиденциальной. Она осуществляет мониторинг внутреннего и внешнего трафика и фиксируется события, связанные с копированием, передачей наружу или выводом на печать конфиденциальной информации. В таких случаях применяется блокировка и с предупреждением пользователя.

Система DLP может дорабатываться под индивидуальные потребности организации и обеспечивает комплексную защиту информации. Необходимым условием для внедрения таких систем является наличие сертификата ФСТЭК, подтверждающего отсутствие незадекларированных возможностей.

Противодействие угрозам безопасности являются основной задачей защиты, а защищенная компьютерная система - это такая система, которая успешно и эффективно противодействует угрозам безопасности.

Любая защищенная система должна соответствовать сложившимся определенным представлениям потребителя о том, какими свойствами она должна обладать. Кроме этого необходимо обеспечить возможность ее сопоставления с другими подобными системами.

Для решения этих задач были разработаны стандарты информации безопасности в виде соответствующих критериев и требований.

Это позволило согласовать подходы различных участников процесса создание защищенных систем, качественно оценить уровень безопасности, а также сопоставить возможности различных систем с точки зрения безопасности.

При этом необходимо понимать, что все требования и критерии безопасности вносят исключительно необходимый, но никак не достаточный характер, так как никакой сертификат соответствия стандартам не может защитить систему от реальных угроз безопасности.

Тем не менее, можно сказать, для того, чтобы защищенная компьютерная система была призвана таковой и получила соответствующее признание, она должна соответствовать требованиям и критериям стандартов информационной безопасности.

Таким образом, под защищенной компьютерной системой предполагается понимать систему, которая обладает следующими тремя свойствами:

обеспечивает автоматизацию некоторого процесса обработки конфиденциальной информации, включающего в себя все аспекты этого процесса, связанного с обеспечением безопасности и целостности обрабатываемой информации;

успешно и эффективно противостоит угрозам безопасности;

соответствует требованиям и критериям стандартов информационной безопасности.

Исходя из этих трех свойств можно сформулировать три задачи которые необходимо и достаточно решить, для того, чтобы создать защищенную компьютерную систему:

· 1-я касается вопросов автоматизации;

· 2-я обеспечения безопасности;

· 3-я реализовать требование ГОСТов по безопасности.

Подходы к созданию безопасных систем обработки информации.

Задача обеспечения безопасности любой компьютерной системы никогда не решается с нуля, так как само понятие информационной безопасности имеет смысл только для тех систем, в которых эта проблема существовала и до процесса автоматизации.

В любой организации, для которой безопасность информации имело определенное значение, был установлен порядок работы с информацией, регламентирующей информационные потоки внутри организации и обмен информацией с внешним миром.

Этот порядок включает в себя схему информационных потоков внутри организации и набор правил по управлению этими потоками.

Поэтому в процессе автоматизации компьютерная система должна реализовывать только те потоки информации, которые существовали до ее применения и не создавать новые. Кроме этого должна обеспечивать возможность управления потоками информации в соответствии с заданным набором правил.

Такая задача решается последовательным осуществлением следующих действий:

Определение формального механизма, адекватно выражающего заданную схему информационных потоков и правил управления ими.

Построение модели безопасности, отображающей заданный порядок обработки информации.

Реализация систем обработки информации в соответствии с предложенной моделью.

Однако при решении задачи разработки информационных систем сталкиваются со следующими проблемами:

схема информационных потоков и правил управления ими могут быть неполными, что затрудняет создание модели безопасности;

как правило, схема информационных потоков носит статистический характер;

в результате автоматизации в компьютерных системах появляются новые объекты;

в ходе реализации модели безопасности могут появиться неконтролируемые потоки.

Вместе с тем противодействие угрозам безопасности являются основной задачей системы защиты, и успешность ее решения определяет степень безопасности системы.

Любая успешная реализации угрозы использует определенные особенности построения и функционирования системы обработки информации и системы защиты.

Существует определенный перечень причин, благодаря которым появляются уязвимости в системе защиты:

Некорректная реализация модели безопасности.

Отсутствие идентификации и аутентификации субъектов и объектов на всех уровнях взаимодействия.

Недостаточный контроль целостности, средств защиты и подлинности привилегированных программ.

Ошибки, допущенные в ходе программной реализации.

С учетом изложенного можно сказать, что анализ случаев нарушения безопасности должен основываться не столько на исследовании методов, использованных нарушителем, сколько на выявления свойств системы, позволивших осуществить атаку. Только знание природы этих свойств позволит оценить способность системы противостоять угрозам безопасности, а также понять недостатки существующих средств защиты.

Противодействие угрозам безопасности являются основной задачей защиты, а защищенная компьютерная система - это такая система, которая успешно и эффективно противодействует угрозам безопасности.

Любая защищенная система должна соответствовать сложившимся определенным представлениям потребителя о том, какими свойствами она должна обладать. Кроме этого необходимо обеспечить возможность ее сопоставления с другими подобными системами.

Для решения этих задач были разработаны стандарты информации безопасности в виде соответствующих критериев и требований.

Это позволило согласовать подходы различных участников процесса создание защищенных систем, качественно оценить уровень безопасности, а также сопоставить возможности различных систем с точки зрения безопасности.

При этом необходимо понимать, что все требования и критерии безопасности вносят исключительно необходимый, но никак не достаточный характер, так как никакой сертификат соответствия стандартам не может защитить систему от реальных угроз безопасности.

Тем не менее, можно сказать, для того, чтобы защищенная компьютерная система была призвана таковой и получила соответствующее признание, она должна соответствовать требованиям и критериям стандартов информационной безопасности.

Таким образом, под защищенной компьютерной системой предполагается понимать систему, которая обладает следующими тремя свойствами:

обеспечивает автоматизацию некоторого процесса обработки конфиденциальной информации, включающего в себя все аспекты этого процесса, связанного с обеспечением безопасности и целостности обрабатываемой информации;

успешно и эффективно противостоит угрозам безопасности;

соответствует требованиям и критериям стандартов информационной безопасности.

Исходя из этих трех свойств можно сформулировать три задачи которые необходимо и достаточно решить, для того, чтобы создать защищенную компьютерную систему:

· 1-я касается вопросов автоматизации;

· 2-я обеспечения безопасности;

· 3-я реализовать требование ГОСТов по безопасности.

Подходы к созданию безопасных систем обработки информации.

Задача обеспечения безопасности любой компьютерной системы никогда не решается с нуля, так как само понятие информационной безопасности имеет смысл только для тех систем, в которых эта проблема существовала и до процесса автоматизации.

В любой организации, для которой безопасность информации имело определенное значение, был установлен порядок работы с информацией, регламентирующей информационные потоки внутри организации и обмен информацией с внешним миром.

Этот порядок включает в себя схему информационных потоков внутри организации и набор правил по управлению этими потоками.

Поэтому в процессе автоматизации компьютерная система должна реализовывать только те потоки информации, которые существовали до ее применения и не создавать новые. Кроме этого должна обеспечивать возможность управления потоками информации в соответствии с заданным набором правил.

Такая задача решается последовательным осуществлением следующих действий:

Определение формального механизма, адекватно выражающего заданную схему информационных потоков и правил управления ими.

Построение модели безопасности, отображающей заданный порядок обработки информации.

Реализация систем обработки информации в соответствии с предложенной моделью.

Однако при решении задачи разработки информационных систем сталкиваются со следующими проблемами:

схема информационных потоков и правил управления ими могут быть неполными, что затрудняет создание модели безопасности;

как правило, схема информационных потоков носит статистический характер;

в результате автоматизации в компьютерных системах появляются новые объекты;

в ходе реализации модели безопасности могут появиться неконтролируемые потоки.

Вместе с тем противодействие угрозам безопасности являются основной задачей системы защиты, и успешность ее решения определяет степень безопасности системы.

Любая успешная реализации угрозы использует определенные особенности построения и функционирования системы обработки информации и системы защиты.

Существует определенный перечень причин, благодаря которым появляются уязвимости в системе защиты:

Некорректная реализация модели безопасности.

Отсутствие идентификации и аутентификации субъектов и объектов на всех уровнях взаимодействия.

Недостаточный контроль целостности, средств защиты и подлинности привилегированных программ.

Ошибки, допущенные в ходе программной реализации.

С учетом изложенного можно сказать, что анализ случаев нарушения безопасности должен основываться не столько на исследовании методов, использованных нарушителем, сколько на выявления свойств системы, позволивших осуществить атаку. Только знание природы этих свойств позволит оценить способность системы противостоять угрозам безопасности, а также понять недостатки существующих средств защиты.

Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим.


Папиллярные узоры пальцев рук - маркер спортивных способностей: дерматоглифические признаки формируются на 3-5 месяце беременности, не изменяются в течение жизни.


Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого.


Опора деревянной одностоечной и способы укрепление угловых опор: Опоры ВЛ - конструкции, предназначен­ные для поддерживания проводов на необходимой высоте над землей, водой.

Технологии обеспечения безопасности обработки информации — это способы защиты информационных данных и программных приложений от любых несанкционированных действий.

Введение

Технологией обеспечения информационной безопасности является заданное распределение операций и регламентация очерёдности их выполнения, а также порядка взаимодействия отделов и специалистов предприятия с целью обеспечить комплексную защиту ресурсов информационных систем при их эксплуатации.

Основные требования к технологии обеспечения безопасности следующие:

  1. Обеспечение соответствия передовому уровню развития информационных технологий.
  2. Осуществление учёта набора параметров структурной организации и работы разных модулей информационных автоматизированных систем.
  3. Чёткая и оперативная реализация политики информационной безопасности предприятия.
  4. Сведение к минимуму необходимых финансовых вложений на построение самой технологии по обеспечению информационной безопасности.

Технологии обеспечения безопасности обработки информации

Чтобы реализовать технологии обеспечения безопасности информационной обработки, требуется:

  1. Полная и непротиворечивая правовая база, то есть система взаимосвязанных нормативных и методических, а также организационных и распорядительных документов, определяющих организацию информационной безопасности.
  2. Ясное разделение функций и назначение правил взаимодействия отделов и руководящих работников предприятия по вопросам обеспечения информационной безопасности на протяжении всех этапов жизненного цикла информационной системы, которое обеспечивает однозначное разграничение их прав и мер ответственности.
  3. Сформировать специальный орган или отдел, имеющий необходимые полномочия и являющийся ответственным за создание и осуществление единой политики информационной безопасности предприятия, а также реализующего контроль и направляющего действия всех отделов и работников предприятия по вопросам обеспечения информационной безопасности.

Разработка технологии обеспечения безопасности информационной обработки подразумевает осуществление ряда действий. В частности, необходимо:

Готовые работы на аналогичную тему

  1. Подготовить и назначить руководящих работников, отвечающих за организацию, исполнение функций и реализацию фактических мер по гарантированию информационной безопасности при осуществлении её хранения и обработки.
  2. Обеспечить надлежащий учёт защищаемых информационных ресурсов системы, а также определить требования к организационным и техническим мерам и методам их защиты.
  3. Разработать реально выполнимые и непротиворечивые организационные и распорядительные документы, касающиеся вопросов обеспечения информационной безопасности.
  4. Реорганизовать технологические процессы информационной обработки в автоматизированных информационных системах с учётом положений информационной безопасности.
  5. Принять эффективные меры сохранности и гарантии физической целостности технических средств и поддержки требуемого уровня защиты элементов информационной системы.

При применении какой-либо информационной технологии необходимо сосредоточить внимание на присутствие средств, защищающих информационные данные, программы, компьютерные системы. Безопасность данных заключается в гарантировании их достоверности и защите информации и программ от несанкционированного использования, копирования, коррекции.

Контроль достоверности информационных данных должен осуществляться на всех этапах технологического процесса информационной обработки. Существуют визуальные и программные способы контроля. Визуальный контроль осуществляется перед компьютерной обработкой и на завершающем этапе. Программный контроль выполняется на этапе компьютерной обработки. Причём является обязательным контроль при занесении данных, их коррекции, то есть всегда, когда имеет место участие человека (пользователя) в вычислительном процессе. Контролироваться могут как отдельные реквизиты, так и записи, наборы записей и файлы. Программные методы контроля информационной достоверности должны быть заложены на этапе выполнения проекта.

Обеспечение защиты информационных данных и программных приложений от несанкционированного доступа, коррекции и копирования может быть реализовано программно-аппаратными способами и технологическими методами. Программно-аппаратными методами защиты являются пароли, электронные ключи, идентификаторы, подписи, способы кодировки и декодирования информации.

Чтобы выполнить кодирование и декодирование информации, а также программных продуктов и электронных подписей, необходимо использовать методы криптографии.

Технологические методы контроля состоят в формировании многоуровневой системы защиты программных приложений и информации от вирусов, неверных операций пользователя, несанкционированного доступа. Специалисты считают, что максимальный урон способны нанести именно вирусы. Защита от вирусов может быть организована так же, как и защита от несанкционированного доступа.

Технология защиты, как правило, распределяется по нескольким уровням и включает следующие этапы:

Читайте также: