Современные информационные технологии.
Информационная безопасность.
Д.т.н. Юдін О.К, магістр Чунарьова
А.В., аспірант Яковенко О.Л.
СУЧАСНІ ЗАХОДИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ІНФОРМАЦІЙНИХ СИСТЕМ НА БАЗІ МІЖНАРОДНИХ СТАНДАРТІВ
ISO
Вступ
Сучасна залежність організацій від інформаційних систем та їх послуг
означає, що компанії усе більше уразливі до загроз інформаційної безпеки.
Взаємодія суспільних і приватних мереж, а також спільне використання
інформаційних ресурсів збільшує труднощі управління доступом та забезпечення
гарантій послуг і безпеки інформаційно-комунікаційних систем та мереж (ІКСМ).
Тенденція до розподілених обчислень послабляє ефективність центрального
управління, здійснюваного фахівцем.
Інформація, яка циркулює в ІКСМ, а також процеси, які її підтримують,
системи й мережі – важливі ділові активи. На основі цього конфіденційність,
цілісність і доступність інформації стають істотними аспектами для підтримки
конкурентноздатності, грошового обігу, прибутковості, юридичній гнучкості й комерційного
іміджу організації.
Розгалужені інформаційні мережі, що мають велику кількість зовнішніх зв'язків, створюють достатній потенціал для неавторизованого доступу до інформаційних ресурсів мережі та її послуг. Відповідно до цього організації та їх ІКСМ зіштовхуються з широким діапазоном джерел загроз безпеці інформації, включаючи несанкціоноване використання й втручання до інформаційних ресурсів, комп'ютерне шахрайство, шпигунство, саботаж, вандалізм, пожежі тощо. Джерела ушкодження, такі як комп'ютерні віруси, злом комп'ютера й напади, типу відмови в обслуговуванні тощо, стають більше звичайними, більше амбіційними й усе більше й більше складними з технічної точки зору.
Отже,
для зменшення
загроз взаємодії відкритих ІКСМ необхідно приділяти все більш уваги побудові та
реалізації заходів забезпечення безпеки, згідно державних і міжнародних стандартів. Оскільки, заходи управління інформаційною безпекою значно
дешевше й більш ефективні, якщо вони включені в специфікацію вимог на стадії
проектування інформаційної системи. Важливо й те, що організація повинна
визначити свої вимоги до систем безпеки, ще на початковому етапі – розробки
систем.
Постановка задачі
Міжнародні стандарти ISO/IEC
17799, ISO 27001 є основоположними в сфері управління інформаційною безпекою. Вони представляють
собою модель системи менеджменту, яка
визначає загальну організацію процесів, класифікацію даних, системи доступу,
напрямки планування, відповідальність співробітників, використання оцінки ризику
і т. ін. в контексті інформаційної безпеки.
Метою
даною статті є аналіз сучасних заходів
забезпечення безпеки ІКСМ на базі
міжнародних стандартів ISO з урахуванням нових рішень для управління безпекою інформаційних
мереж.
Основна ідея стандарту – допомогти комерційним та
державним господарським організаціям вирішити достатньо складне завдання
забезпечення надійного захисту
інформаційних ресурсів ІКСМ та забезпечити організацію ефективного доступу
до даних й процесу їх обробки згідно визначених послуг. У процесі впровадження
стандарту створюється так звана система менеджменту інформаційної безпеки, мета
якої скорочення матеріальних втрат, зв'язаних з порушенням безперервності бізнесу компанії.
1. Аналіз сучасного стану
нормативно-правового забезпечення інформаційної безпеки
Сучасний
етап розвитку суспільства характеризується зростаючою роллю інформаційної
сфери, що представляє собою сукупність інформації, інформаційної
інфраструктури, суб’єктів, що здійснюють збору, формування, поширення й
використання інформації, а також системи регулювання суспільних відносин, що
виникають при цьому.
За останні роки реалізовано комплекс заходів із удосконалення та забезпечення інформаційної безпеки. держави. Здійснюються певні заходи із забезпечення захисту інформації в органах державної влади, на підприємствах, в установах і організаціях усіх форм власності.
Разом із тим, аналіз стану інформаційної безпеки України показує, що її
рівень не повною мірою відповідає потребам суспільства і держави. Сучасні умови
політичного та соціально-економічного розвитку країни відзначаються
загостренням протиріч між потребами суспільства у розширенні вільного обміну
інформацією та необхідністю зберігання окремих регламентованих обмежень на її
поширення. Суперечливість і нерозвиненість правового регулювання суспільних
відносин в інформаційній сфері призводять до серйозних негативних наслідків.
Немає чіткої державної політики в галузі формування інтегрованого інформаційного
простору, розвитку системи масової інформації, організації міжнародного
інформаційного обміну й інтеграції інформаційного простору держави у світовий
інформаційний простір, що створює передумови для витіснення інформаційних
агентств, засобів масової інформації з внутрішнього інформаційного ринку та
деформації структури міжнародного інформаційного обміну. Недостатня державна
підтримка діяльності інформаційних агентств із просування їхньої продукції на закордонний
інформаційний ринок.
Відставання вітчизняних інформаційних технологій змушує органи державної
влади та місцевого самоврядування при створенні інформаційних систем іти шляхом
закупівель імпортної техніки і залучення іноземних фірм, через що підвищується
ймовірність несанкціонованого доступу до інформації, що обробляється, зростає
залежність України від іноземних виробників комп’ютерної і телекомунікаційної
техніки та програмного забезпечення.[1]
У зв’язку з інтенсивним упровадженням закордонних інформаційних технологій
у сфери діяльності особистості, суспільства та держави, а також із широким
застосуванням відкритих інформаційно-телекомунікаційних систем, інтеграцією
вітчизняних інформаційних систем і міжнародних інформаційних систем зросли
загрози застосування «інформаційної зброї» проти інформаційної інфраструктури.
Роботи з адекватної комплексної протидії цим загрозам ведуться без належної координації
на недостатньому бюджетному фінансуванні підприємствами. Недостатньо уваги
приділяється розвитку засобів розвідки та інформаційної протидії.
В результаті проведеного аналізу формується більш
оптимальний напрям вирішення цих протиріч, це забезпечення безпеки комерційних та державних організацій на базі міжнародних стандартів ISO з урахуванням нових рішень, системи
вимог і правил для управління безпекою інформаційних мереж.
2. Основні
заходи забезпечення безпеки ІКСМ
Під забезпеченням безпеки
інформаційних мереж будемо розуміти
запобігання ушкодженню інформаційних активів і переривання дій, пов'язаних з
реалізацією безперервного процесу бізнесу. Інформаційні ресурси та засоби
обробки, поширення інформації – повинні
бути керовані й фізично захищені.
Структура стандарту дозволяє вибрати засоби управління,
які мають відношення до конкретної організації або сфери відповідальності у
середині самої організації. Зміст стандарту включає наступні розділи: політика
безпеки [security policy]; організація захисту
[organizational security]; класифікація
ресурсів та контроль [asset classification and control]; безпека персоналу [personnel security]; фізична безпека та безпека навколишнього середовища
[physical and environmental security]; адміністрування
комп'ютерних систем та обчислювальних мереж [computer and network management];
керування доступом до системи [system access
control]; розробка та супроводження
інформаційних систем [system development and maintenance]; планування безперервної роботи організації [business
continuing planning]; виконання вимог
(відповідність законодавству) [compliance] [2].
У зв'язку з цим виділяється ряд ключових елементів
управління, що подаються як фундаментальні: політика інформаційної безпеки; розподіл відповідальності за інформаційну безпеку; освіта та тренінг з інформаційної безпеки; звітність за інциденти з безпеки; захист від вірусів; забезпечення
безперервності роботи; контроль копіювання
ліцензованого програмного забезпечення; захист
архівної документації організації; захист
персональних даних; реалізація політики з
інформаційної безпеки.
Як видно, поряд з елементами управління для автоматизованих
систем та мереж, велику увагу приділяється питанням розробки політики безпеки,
роботі з персоналом (прийом на роботу, навчання, звільнення з роботи),
забезпеченню безперервності виробничого процесу, юридичним вимогам. Реалізація політики
безпеки здійснюється на основі оцінки ризику та
ретельно обґрунтовується.
Визначаємо ризик, як добуток показника можливих втрат на
ймовірність того, що ця втрата відбудеться. Під втратами розуміють матеріальні
втрати, зв'язані з порушенням властивостей інформаційного ресурсу: конфіденційності;
цілісності; доступності.
Вимоги безпеки ідентифікуються за допомогою методичної оцінки ризиків безпеки. Витрати на засоби управління повинні бути збалансовані з урахуванням можливого збитку бізнесу, що може з'явитися результатом порушень безпеки. Методи оцінки ризику можуть застосовуватися для всієї організації або тільки її частини, а також для окремих інформаційних систем, певних компонентів систем або послуг там, де це практично, реально й корисно.
Визначимо оцінку ризику, як збиток
бізнесу, що може з'явитися у результаті порушення безпеки, беручи до уваги
можливі наслідки: втрати конфіденційності, цілісності або доступності
інформації й інших активів; та реальна ймовірності такого порушення, що
проявляється у світлі реалізації систем захисту проти пріоритетних загроз та в
контексті найбільш важливих ключових засобів управління.
Результати цієї оцінки допоможуть направити й визначити відповідні дії по
загальному управлінню компанією й пріоритети по управлінню ризиками
інформаційної безпеки по реалізації обраних засобів.
Важливим є на періодичній основі виконувати перегляд ризиків безпеки й реалізованих
засобів управління з метою:
– оцінки та
введення змін, що стосуються вимог і пріоритетів бізнесу;
– урахування
нових видів загроз й вразливостей системі та послугам;
– підтвердження,
того що засоби управління залишаються ефективними й відповідними.
Перегляд політики безпеки, варто виконувати на різних рівнях глибини
роботи компанії, залежно від результатів попередніх оцінок і рівнів, що
підлягали змінам. Оцінки ризику спочатку виконують на високому загальному рівні
для того, щоб визначити пріоритети вкладення ресурсів в області високого
ризику, і потім на більше детальному рівні, щоб розглянути специфічні ризики
самої системи та її послуг.
Після ідентифікації вимог
безпеки, варто вибирати й застосовувати
заходи управління, таким чином, щоб забезпечувати впевненість у зменшені
ризиків. Засоби управління можуть бути обрані із стандартів або з іншої безлічі
документів та заходів управління визначених для даного класу систем, або можуть
бути розроблені, щоб задовольнити потреби компанії відповідно до обраної
політики безпеки [3,4]
Заходи управління варто вибирати, ґрунтуючись на відношенні вартості
реалізації послуг та впровадження систем безпеки й зниження ризиків та можливих
втрат, якщо відбудеться порушення. Не грошові фактори, наприклад, втрата
репутації, соціальні тощо, варто також брати до уваги з метою підтримки
конкурентоспроможності компанії.
Деякі із заходів управління в стандартах та нормативних документах, можуть розглядатися, як керівні принципи для управління інформаційною безпекою й бути застосовними для більшості організацій. Більш докладно це викладено нижче.
На основі цього розглянемо заходи управління із законодавчої точки зору,
які включають: захист
даних і таємність особистої інформації; охорону інформаційних ресурсів
організації; права на інтелектуальну власність.
На даний час, як загальна стала практика для інформаційної безпеки, заходи управління включають (рис.1): документи, що стосується політики інформаційної безпеки ; розподіл обов'язків, пов'язаних з інформаційною безпекою; структура підрозділів й навчання, пов'язані з інформаційною безпекою ; повідомлення про інциденти, пов'язаних з безпекою ; управління безперервністю бізнесу .
Рис.1 Заходи управління
інформаційною безпекою
Ці заходи управління застосовуються для більшості організацій й у
більшості середовищ. Слід зазначити, що, хоча всі заходи управління в
стандартах та нормативних документах є важливими, доречність (застосовність)
якого-небудь засобу управління повинна визначатися у світлі певних ризиків, з
якими зіштовхується безпосередньо зазначена організація. Отже, незважаючи на
те, що вищезгаданий підхід розглядається, як відправна точка інформаційної
безпеки, він не є догмою та не заміняє вибір заходів управління, заснованих на
оцінці ризику.
Критичними факторами, для успішної реалізації інформаційної
безпеки в межах організації є:
- політика
безпеки, цілі й дії, які відбивають мету бізнесу;
- підхід до
реалізації безпеки, що погоджується з культурою та внутрішньою етикою
організації;
- підтримка й
зобов'язання з боку керівництва;
- правильне
розуміння вимог безпеки, оцінки ризику й управління ризиком;
- ефективний
маркетинг безпеки для всіх адміністраторів і службовців;
- розподіл
повноважень керівництва політикою інформаційної безпеки й стандартами між всіма
службовцями й підрядниками;
- забезпечення
відповідного тренування й навчання;
- всебічна
й збалансована система виміру, що використається для оцінки ефективності
управління інформаційною безпекою й пропозиції в рамках зворотного зв'язку,
спрямовані на поліпшення бізнесу;
- оцінка
загроз інформації, руйнівного впливу на інформацію і уразливості інформації й
засобів обробки, а також імовірності їхнього виникнення.
- процес
визначення ризиків, управління ризиком (Risk management) й зменшення або усунення ризиків безпеки, які можуть зачіпати інформаційні
системи, у рамках припустимих витрат.
Одними із
головних напрямів забезпечення інформаційної безпеки ІКСМ повинна бути система
правил управління доступом, права кожного користувача або групи користувачів,
які повинні бути чітко фіксовані у формулюванні політики доступу та її безпеки. Система вимог і правил управління безпекою сучасних ІКСМ повинна включати (рис.2): вимоги до безпеки індивідуальних
бізнес-додатків; ідентифікацію всієї
інформації, пов'язаної з бізнес-додатками;
політики поширення й авторизації інформації (необхідність знання принципів
та рівнів безпеки, а також класифікацію інформації що циркулює та обробляється
в системі); погодженість між
політиками управління доступом і класифікацією інформації різних систем і
мереж, що співпрацюють; відповідне
законодавство й будь-які договірні зобов'язання щодо захисту доступу до даних
або послуг системи; стандартні
профілі доступу користувача для загальних категорій роботи; управління правами доступу в розподіленому й об'єднаному у мережу
інформаційному середовищі, що визнає всі типи доступних зв'язків.
Рис.2.
Заходи управління безпекою ІКСМ
На основі проаналізованих заходів
забезпечення та управління безпекою ІКСМ визначено, систему вимог і правил,
відповідно до міжнародних
стандартів та вимог ISO.
Необхідно,
щоб формулювання вимог для нових ІКСМ або вдосконалення існуючих були жорстко
специфіковані в залежності від заходів забезпечення та системи управління
безпекою. Дані заходи повинні відбивати комерційну цінність інформаційних
ресурсів, а також мінімізувати можливий потенційний збиток бізнесу, щодо
відмови систем безпеки або її відсутності.
Література
1. Гайкович
В.Ю., Ершов Д.В. Основы безопасности информационных технологий: Учеб. пособие.
– М.: МИФИ, 1995. – 252 с.
2. Галатенко В.С. Стандарты
информационной безопасности. – М.: НИИСИ РАН, 2006. – 262 с.
3. Зегжда Д.П., Ивашко А.М.
Основы безопасности информационных систем. – М.: Горячая линия – Телеком, 2000.
– 452 с.
4.
Петров
В.А., Пискарев А.С., Шеин А.В. Информационная безопасность. Защита информации
от несанкционированного доступа в автоматизированных системах: Учеб. пособие. –
М.: МИФИ, 1995. – 396с.