Современные информационные технологи/4.Информационная безопасность

 

к.т.н. Джулій В.М.

Хмельницький національний університет, Україна

Проблеми захисту  інформації в мережах

 

Сучасні системи захисту інформації повинні відповідати запитам сучасного бізнесу в умовах росту числа погроз безпеки інформації, що виходять із самої корпоративної мережі. Сучасні системи безпеки повинні захищати не окремі елементи мережі, а інформацію у вигляді інформаційних ресурсів і потоків незалежно від місця й часу їхнього виникнення [1]. Інформаційна безпека є складовою частиною інформаційних технологій - області, що розвивається надзвичайно високими темпами. Розробка сучасної системи інформаційної безпеки вимагає, з одного боку, відстеження швидких змін в інформаційних технологіях і погрозах, що з’являються, а з іншого боку - обліку реальних характеристик апаратного й програмного забезпечення корпоративних мереж і систем. Процедура придбання пристроїв інформаційної безпеки не складна. Істотно більш складним є рішення проблем: як захищати і які засоби безпеки застосовувати. Це рішення охоплює й керування інформаційною безпекою, включаючи планування, розробку політики безпеки й проектування необхідних процедур безпеки [1, 2].  Інформаційна безпека представляє собою багатогранну сферу діяльності, у якій успіх можливий тільки при систематичному, комплексному підході.

У забезпеченні інформаційної безпеки виступають три основні категорії суб’єктів: державні організації, комерційні структури, окремі громадяни. Спектр інтересів суб’єктів, пов’язаних з використанням інформаційних систем, можна підрозділити на наступні основні категорії [2]:

- доступність (можливість за прийнятний час одержати необхідну інформаційну послугу);

-цілісність (актуальність і несуперечність інформації, її захищеність від руйнування й несанкціонованої зміни);

- конфіденційність (захист від несанкціонованого ознайомлення).

Розробка політики безпеки є ключовим етапом побудови захищеної інформаційної системи або мережі [3]. Слід зазначити, що складання політики або політик безпеки є тільки початком здійснення загальної програми забезпечення безпеки організації. Детальна програма забезпечення безпеки необхідна для створення ефективної системи безпеки організації на основі розробленої політики безпеки.

Основними етапами забезпечення безпеки є наступні:

- визначення цінності технологічних і інформаційних активів організації;

- оцінка ризиків цих активів (спочатку шляхом ідентифікації тих погроз, для яких кожний актив є цільовим об’єктом, а потім оцінкою ймовірності того, що ці погрози будуть реалізовані на практиці);

- установлення рівня безпеки, що визначає захист кожного активу, тобто мір безпеки, які можна вважати рентабельними для застосування;

- формування політики безпеки організації на базі попередніх етапів;

- залучення необхідних фінансових ресурсів для реалізації політики безпеки, придбання й установка необхідних засобів безпеки;

- проведення роз’яснювальних заходів і навчання персоналу для підтримки співробітниками й керівництвом необхідних мір безпеки;

- регулярний контроль покрокової реалізації плану безпеки з метою виявлення поточних проблем, обліку зміни зовнішнього оточення й внесення необхідних змін до складу персоналу.

Досвід показав, що в цілому організації одержують істотну вигоду від реалізації добре розробленої методології рішення зазначених вище задач.

Політика безпеки повинна: указувати мету й причини, по яких потрібна політика;  описувати, що саме охоплюється її складовими; визначити ролі, обов’язки й контакти; визначити, як будуть оброблятися порушення безпеки.

Політика безпеки повинна бути:  реальною й здійсненою; лаконічною і доступною для розуміння; збалансованою по захисту й продуктивності.

Першими кроками по розробці політики безпеки є наступні:

- створення команди по розробці політики;

- ухвалення рішення про область дії й цілях політики.

В області дії повинно зазначатись, хто охоплюється цією політикою;

- ухвалення рішення про особливості розроблювальної політики;

- визначення особи або органа для роботи як офіційного інтерпретатора політики.

До всіх розроблюваних політик безпеки доцільно застосовувати уніфікований процес проектування з однаковими вимогами до політики. Цей процес точно визначав би, хто створює початковий ескіз політики, які групи потрібні для розгляду й побудови кожної політики, якими повинні бути процеси твердження й реалізації політики.

Після аналізу й систематизації вимог бізнес-команда по розробці політики безпеки переходить до аналізу й оцінки ризиків. Використання інформаційних систем і мереж пов’язане з певною сукупністю ризиків. Аналіз ризиків є найважливішим етапом формування політики безпеки. Іноді цей етап називають також аналізом уразливості або оцінкою погроз.

На етапі аналізу ризиків здійснюються наступні дії:

- ідентифікація й оцінка вартості технологічних і інформаційних активів;

- постулювання й аналіз тих погроз, для яких даний актив є цільовим об’єктом;

- оцінка ймовірності того, що погроза буде реалізована на практиці;

- оцінка ризиків цих активів.

Оцінка ризику виявляє як найцінніші, так і найбільш уразливі активи, вона дозволяє точно встановити, на які проблеми потрібно звернути особливу увагу. Після оцінки ризиків активів можна переходити до встановлення рівня безпеки, що визначає захист кожного активу, тобто мір безпеки, які можна вважати рентабельними для застосування. Вартість захисту конкретного активу не повинна перевищувати вартості самого активу. Необхідно скласти докладний перелік всіх активів, що включає такі матеріальні об’єкти, як сервери й робочі станції, і такі нематеріальні об’єкти, як дані й програмне забезпечення. Повинні бути ідентифіковані директорії, які містять конфіденційні файли або файли цільового призначення. Після ідентифікації цих активів повинно бути проведене визначення вартості заміни кожного активу з метою призначення пріоритетів у переліку активів.

Створювана система інформаційної безпеки підприємства повинна враховувати появу нових технологій і сервісів, а також задовольняти загальним вимогам, пропонованим сьогодні до будь-яких елементів корпоративної інформаційної системи [5]:

- використання інтегрованих рішень;

- забезпечення масштабування в широких межах;

- застосування відкритих стандартів.

Для того, щоб забезпечити надійний захист ресурсів корпоративної інформаційної системи на сьогодні і на найближче майбутнє, у системі інформаційної безпеки повинні бути реалізовані самі прогресивні й перспективні технології інформаційної безпеки. До них відносяться:

- комплексний підхід до формування інформаційної безпеки, що забезпечує раціональне об’єднання технологій і засобів інформаційного захисту;

- застосування захищених віртуальних мереж VPN для захисту інформації, переданої по відкритих каналах зв’язку;

- криптографічне перетворення даних для забезпечення цілісності, дійсності й конфіденційності інформації;

- застосування міжмережевих екранів для захисту корпоративної мережі від зовнішніх погроз при підключенні до загальнодоступних мереж зв’язку;

- керування доступом на рівні користувачів і захист від несанкціонованого доступу до інформації;

- гарантована ідентифікація користувачів шляхом застосування токенів (смарт-карт, touch-memory, ключі для USB-портів і т.п.) і інших засобів аутентифікації;

- підтримка інфраструктури керування відкритими ключами РКГ ;

- захист інформації на файловому рівні (шляхом шифрування файлів і каталогів) для забезпечення її надійного зберігання;

- захист від вірусів з використанням спеціалізованих комплексів антивірусної профілактики й захисту;

- технологія виявлення вторгнень (Intrusion Detection) і активного дослідження захищеності інформаційних ресурсів;

- централізоване керування засобами інформаційної безпеки.

Наявність централізованих засобів керування продуктами безпеки є обов’язковою вимогою для можливості їхнього застосування в корпоративному масштабі. Необхідно зауважити, що системи централізованого керування продуктами безпеки різних виробників поки не сумісні один з одним.

 

Література:

1.     Вихорев С. В., Березин А. С. Новые подходы к проектированию систем защи­ты информации//Документальная электросвязь. - 2006. - № 6. - С. 35-37.

2.     Галицкий А. В., Рябко С. Д., Шаньган В. Ф.  Защита информации в сети - анализ технологий и синтез решений. - М.: ДМК Пресс, 2004. - 616 с.: ил.

3.     Козьминых С. И., Забияко С. В. Методологические принципы проектирова­ния интегрированных систем безопасности // Конфидент. - 2002. - № 1. - С. 70-76.

4.     Домарев В.В. Безопасность информационных технологий. Системный подход. -  К.: ООО ТИД “ДС”, -2004. – 992 с.

5.     Мамаев М., Петренко С. Технологии защиты информации в Интернете: Специальный справочник. - СПб.: Питер, 2002. - 384 с