Понятие информационной безопасности. Основные измерения и процедуры информационной безопасности.

Реферат к лекции 3. Стадии, документы, виды обеспечения автоматизированных систем.

Выполнил: Лузанчук Данила Джангарович ИДБ-18-07

Проверил: Прилепский Антон Денисович ИДБ-18-07

Информационная безопасность – это сохранение и защита информации, а также ее важнейших элементов, в том числе системы и оборудование, предназначенные для использования, сбережения и передачи этой информации. Другими словами, это набор технологий, стандартов и методов управления, которые необходимы для защиты информационной безопасности.

Цель обеспечения информационной безопасности – защитить информационные данные и поддерживающую инфраструктуру от случайного или преднамеренного вмешательства, что может стать причиной потери данных или их несанкционированного изменения. Информационная безопасность помогает обеспечить непрерывность бизнеса.

Основные измерения:

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) (англ. Organizational security policy) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

• Защита объектов информационной системы;
• Защита процессов, процедур и программ обработки информации;
• Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.), включая защиту информации в локальных сетях;
• Подавление побочных электромагнитных излучений;
• Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

• Определение информационных и технических ресурсов, подлежащих защите;
• Выявление полного множества потенциально возможных угроз и каналов утечки информации;
• Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
• Определение требований к системе защиты;
• Осуществление выбора средств защиты информации и их характеристик;
• Внедрение и организация использования выбранных мер, способов и средств защиты;
• Осуществление контроля целостности и управление системой защиты.
• Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

Контроль информационной безопасности

Выбор и внедрение подходящих видов контроля безопасности поможет организации снизить риск до приемлемых уровней. Выделяют следующие виды контроля:

• Административный. Административный вид контроля состоит из утвержденных процедур, стандартов и принципов. Он формирует рамки для ведения бизнеса и управления людьми. Законы и нормативные акты, созданные государственными органами, также являются одним из видов административного контроля. Другие примеры административного контроля включают политику корпоративной безопасности, паролей, найма и дисциплинарные меры.

• Логический. Логические средства управления (еще называемые техническими средствами контроля) базируются на защите доступа к информационным системам, программном обеспечении, паролях, брандмауэрах, информации для мониторинга и контроле доступа к системам информации.

• Физический. Это контроль среды рабочего места и вычислительных средств (отопление и кондиционирование воздуха, дымовые и пожарные сигнализации, противопожарные системы, камеры, баррикады, ограждения, замки, двери и др.).

Угрозы информационной безопасности

Угрозы информационной безопасности можно разделить на следующие:

• Естественные (катаклизмы, независящие от человека: пожары, ураганы, наводнение, удары молнии и т.д.).
• Искусственные, которые также делятся на:

• Непреднамеренные (совершаются людьми по неосторожности или незнанию);
• Преднамеренные (хакерские атаки, противоправные действия конкурентов, месть сотрудников и пр.).

• Внутренние (источники угрозы, которые находятся внутри системы).
• Внешние (источники угроз за пределами системы)

Процедуры информационной безопасности:

Процедуры безопасности важны не менее, чем политики. Процедуры безопасности являются необходимым и важным дополнением к политикам безопасности. Политики безопасности только описывают, что должно быть защищено и каковы основные правила защиты. Процедуры безопасности определяют, как защитить ресурсы и каковы механизмы исполнения политики, то есть как реализовывать политики безопасности.

По существу, процедуры безопасности представляют собой пошаговые инструкции для выполнения оперативных задач. Часто процедура является тем инструментом, с помощью которого политика преобразуется в реальное действие. Например, политика паролей формулирует правила конструирования паролей, правила о том, как защитить ваш пароль и как часто заменять пароли. Процедура управления паролями описывает процессы создания новых паролей, распределения их, а также гарантированной смены паролей на критичных устройствах.

Процедуры безопасности детально определяют действия, которые нужно предпринять при реагировании на конкретные события. Процедуры безопасности обеспечивают быстрое реагирование в критической ситуации. Процедуры помогают устранить проблему единой точки отказа в работе, если, например, во время кризиса работник неожиданно покидает рабочее место или оказывается недоступен.

Многие процедуры, связанные с безопасностью, должны быть стандартными средствами в любом подразделении. В качестве примеров можно указать процедуры для резервного копирования и внесистемного хранения защищенных копий, а также процедуры для вывода пользователя из активного состояния и/или архивирования его логина и пароля, применяемые сразу, как только данный пользователь увольняется из организации.

Рассмотрим несколько важных процедур безопасности, которые необходимы почти каждой организации.

Процедура реагирования на события

Данная процедура является необходимым средством безопасности для большинства организаций. Организация особенно уязвима, когда обнаруживается вторжение в ее сеть или когда она сталкивается со стихийным бедствием. Нетрудно представить, что произойдет в последующие минуты и часы, если интеллектуальная собственность компании составляет миллионы или миллиарды долларов.

Процедуру реагирования на события иногда называют процедурой обработки событий или процедурой реагирования на инциденты. Практически невозможно указать отклики на все события нарушений безопасности, но нужно стремиться охватить основные типы нарушений, которые могут произойти.

Вот некоторые примеры нарушений безопасности: сканирование портов сети, атака типа «отказ в обслуживании», компрометация хоста, несанкционированный доступ и др.

Данная процедура определяет:

• каковы обязанности членов команды реагирования;
• какую информацию следует регистрировать и прослеживать;
• как обрабатывать исследование отклонений от нормы и атаки вторжения;
• кого уведомлять и когда;
• кто может выпускать в свет информацию и какова процедура ее выпуска;
• как должен выполняться последующий анализ и кто будет в этом участвовать.

В команду реагирования могут быть включены должностные лица компании, менеджер отдела маркетинга (для связи с прессой), системный и сетевой администраторы и представитель соответствующих правоохранительных органов. Процедура должна указать, когда и в каком порядке они вызываются.

Процедура управления конфигурацией

Процедура управления конфигурацией обычно определяется на корпоративном уровне или уровне подразделения. Эта процедура должна определить процесс документирования и запроса изменений конфигурации на всех уровнях принятия решений. В принципе, должна существовать центральная группа, которая рассматривает все запросы на изменения конфигурации и принимает необходимые решения.

Процедура управления конфигурацией определяет:

• кто имеет полномочия выполнять изменения конфигурации аппаратного и программного обеспечения;
• как тестируется и инсталлируется новое аппаратное и программное обеспечение;
• как документируются изменения в аппаратном и программном обеспечении;
• кто должен быть проинформирован, когда вносятся изменения в аппаратном и программном обеспечении.

Процесс управления конфигурацией важен по нескольким причинам:

• он документирует внесенные изменения и обеспечивает возможность аудита;
• он документирует возможный простой системы;
• он дает способ координировать изменения так, чтобы одно изменение не помешало другому.

Требования к системе защиты

Защита информационных ресурсов должна быть:

• Постоянной. Злоумышленник в любой момент может попытаться обойти модули защиты данных, которые его интересуют.
• Целевой. Информация должна защищаться в рамках определенной цели, которую ставит организация или собственник данных.
• Плановой. Все методы защиты должны соответствовать государственным стандартам, законам и подзаконным актам, которые регулируют вопросы защиты конфиденциальных данных.
• Активной. Мероприятия для поддержки работы и совершенствования системы защиты должны проводиться регулярно.
• Комплексной. Использование только отдельных модулей защиты или технических средств недопустимо. Необходимо применять все виды защиты в полной мере, иначе разработанная система будет лишена смысла и экономического основания.
• Универсальной. Средства защиты должны быть выбраны в соответствии с существующими в компании каналами утечки.
• Надежной. Все приемы защиты должны надежно перекрывать возможные пути к охраняемой информации со стороны злоумышленника, независимо от формы представления данных.

Ссылки на источники:

• Пирит - Информационная безопасность
• searchinform - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
• Bstydy.net
• Википедия - открытая энциклопедия/Информационная безопасность/Организационно-технические и режимные меры и методы