Планирование защиты экономической информации

Под системой защиты информационной системы понимают единую совокупность правовых и морально-этических норм, организационных, технологических и программно-технических мер и программно-технических средств, направленных на противодействие угрозам информационной системе с целью сведения до минимума возможного ущерба пользователям и владельцам систем.

Для организации надежной защиты экономической информации в международной компании необходимо четко представлять, каких именно нарушений более всего следует избавиться. Самым жестким должна быть защита от корыстных проникновений. Последние, если они имеют место со стороны служащих, могут быть вызваны обидой, неудовлетворенностью своим служебным, материальным положением или по указанию других лиц. Ущерб, как правило, тем больше, чем выше ступень, на которой находится пользователь в служебной иерархии. Несравненно больший ущерб, чем обычный пользователь, может нанести оператор или программист информационной системы. По количеству инсайдеров лидируют США. В компании Symantec отмечают, что как минимум половина американских компаний так или иначе имела дело с инсайдерами. В среднем каждый второй ПК в средней американской компании используется сотрудниками частично не по назначению.

Набор мер для предотвращения нарушений безопасности информации разнообразен и зависит от природы побудительных мотивов. Такой набор может включать соответствующую подготовку пользователей, поддержание здорового рабочего климата в коллективе, тщательный подбор персонала, своевременное обнаружение потенциальных злоумышленников и т. др. Также в этом случае можно воспользоваться новыми программными средствами защиты от атак инсайдеров, например, системой защиты, изготовленной международной компанией InfoWatch. Эта система позволяет осуществлять контроль над наиболее распространенными путями утечки информации, мониторинг доступа сотрудников к корпоративным информационным ресурсам и сохранения журналов аудита каналов распространения информации [83].

Организуя защиту информационной системы, желательно определить возможность осуществления каждого конкретного вида угрозы и размер потенциального ущерба, который испытывают пользователи и собственники информационной системы, если угроза реализуется.

В решении проблемы безопасности информационной системы сложились два подхода, которые можно условно назвать фрагментарным и комплексным.

Фрагментарный подход ориентируется на противодействие строго определенным угрозам при определенных условиях, предусматривает применение, например, специализированных и автономных средств шифрования и тому подобное. Шифрованием занимается много известных международных компаний, среди которых выделяются Cisco и RSA, услугами которых пользуется много пользователей мира, и которые объединили усилия для производства новой технологии в области информационной безопасности, с помощью которой будет происходить управление процессом шифрования на разных устройствах сохранения информации: дисках, ленточных накопителях и виртуальных библиотеках. Эта технология может успешно работать в сетевом режиме. Главное преимущество фрагментарного подхода заключается в его высокой вариативности защиты против конкретной угрозы. Но ему присущ и такой недостаток, как локальность действия, то есть фрагментарные методы обеспечивают эффективную защиту конкретных объектов информационной системы от конкретной угрозы, но не более того. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.

При комплексном подходе объединяются разнородные меры противодействия угрозам (правовые, организационные, программно-технические и т. др.) В целом в комплексе все эти мероприятия формируют политику безопасности экономической информации.

Комплексный подход эффективен для защиты крупных информационных систем, нарушение безопасности которых может нанести огромный материальный ущерб. Но комплексный подход пригоден и для небольших информационных систем, обрабатывающих особо ценную информацию или выполняющих ответственные задачи.

Комплексного подхода придерживается большинство государственных и крупных коммерческих предприятий и учреждений. Он находит отражение в различных стандартах. Недостатками комплексного подхода является сложность управления и ограничения на свободу действий пользователей информационной системы. Ярким примером комплексного подхода к защите информационной системы является семейство продуктов для обеспечения безопасности бизнеса Microsoft Forefront для сетевой структуры, созданное международной компанией Microsoft. Одним из преимуществ этого семейства является интеграция средств обеспечения безопасности с серверными приложениями Microsoft и существующей инфраструктурой.

Построение систем защиты предусматривает ряд этапов, подобных этапам создания самих информационных систем. В частности, к ним относятся:

- анализ возможных угроз информационной системе;

- разработка системы защиты;

- реализация системы защиты;

- сопровождение системы защиты.

На этапе анализа возможных угроз безопасности информационной системе, исходя из ее состояния на данный момент, определяют возможные возмущающие действия относительно каждого элемента системы защиты. Построение абсолютно надежной системы защиты, наверное, невозможна. Поэтому из всего множества воздействий выбираются только те, которые могут реально произойти и нанести наиболее серьезный ущерб.

Управлять электронными ресурсами международной компании нельзя без мер безопасности (рис. 5.2).

На этапе разработки возможно комплексное использование таких видов защиты, как правовые, морально-этические, административные, физические и технические правила.

К правовым мерам относятся действующие в стране законы, указы, положения международных организаций, нормативные акты, регламентирующие правила взаимодействия с информацией ограниченного использования и ответственность за их нарушение. Эти меры играют роль сдерживающего фактора для потенциальных нарушений.

Механизм управления электронными технологиями международной компании

Рис. 5.2. в Механизм управления электронными технологиями международной компании

К морально-этическим мерам противодействия относятся всевозможные нормы поведения, которые традиционно сложились ранее, возникают или специально разрабатываются по мере распространения ЭВМ и информационной системы в стране и в мире. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они являются обязательными к исполнению.

Административные меры защиты — это меры организационного характера, регламентирующие процессы функционирования информационной системы, использование ее ресурсов, деятельность персонала и т. др. Цель этих мероприятий — в наибольшей степени исключить возможность реализации угроз безопасности. В перечень административных мер можно отнести следующие:

- разработка правил обработки информации в информационной системе;

- организация защиты от установки аппаратуры прослушивания в помещениях вычислительного центра или расположение АРМ;

- тщательный отбор персонала;

- организация учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;

- распределение реквизитов разграничения доступа (паролей, профилей полномочий и т. др.);

- организация скрытого контроля за работой пользователей и персонала информационной системы;

- другие мероприятия.

Физические меры защиты — это разного рода механические, электро - или электронно-механические устройства и сооружения, предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам защиты информации.

Техническими (аппаратно-программными) средствами защиты называются различные электронные и специальные программы, выполняющие функции защиты. Среди таких функций отметим следующие: идентификация и аутентификация (соответствие требованиям на верность) пользователей или процессов, разграничение и контроль доступа к ресурсам, регистрация и анализ событий, криптографическую защиту информации (шифрование данных), резервирование ресурсов и компонентов информационной системы.

К аппаратно-программным мерам относятся антивирусные программы. Большую популярность на рынке программных продуктов завоевали антивирусные программы лаборатории Касперского. Эти программы используются для борьбы с различными видами вирусов. Так, сейчас в связи с возникновением новой угрозы поражения мобильных телефонов эта лаборатория и компания PlayMobile (холдинг Next Media Group) запускают на российском рынке новый сервис — антивирусная защита мобильных телефонов. Высокоэффективным средством борьбы со шкодоносними программами на ПК, ноутбуках, серверах есть недавно выпущенная обновленная версия Symantec Endpoint Protection антивирусного продукта Symantec [316], которая изготавливается одноименной международной компанией. Кроме защиты от вирусов эта программа обеспечивает защиту от шпионского ПО, міжсітьовий экран, систему предотвращения вторжения, охрану от шкодоносних объектов удаленных рабочих мест. Исчерпывающий набор функций решений для безопасности беспроводных сетей представлены также известной компанией Cisco. Испанский производитель программных продуктов для информационной безопасности Panda Software представил решение для защиты смартфонов. Финальная версия продукта будет осуществлять автоматические обновления, кроме того, каждый пользователь сможет получить полную техподдержку, включая службу спасения от вирусов для анализа подозрительных файлов. Одним из лучших антивирусных продуктов 2006-2007 года считается NOD32. Он осуществляет сбалансированный защиту от угроз безопасности персонального компьютера от вирусов, червей, троянских, шпионских и других вредоносных программ. Также он обеспечивает защиту корпоративных сетей, централизованное обновление, инструменты дистанционного администрирования и управления защитой всей сети с одного рабочего места. Серверная версия NOD32 позволяет защищать почтовые и файловые серверы. Наилучшие результаты достигаются при условии системного подхода к проблемам безопасности информационной системы и комплексного использования мер защиты на всех этапах жизненного цикла системы, начиная с ранних стадий ее проектирования. Однако там, где это возможно, другие меры надо заменить более надежными современными физическими и техническими средствами.

Стоимостное выражение вероятного события, ведущего к потерям, называют риском. Процесс оценки степени риска по специальным методикам в случае осуществления того или иного варианта угроз называют анализом риска.

В процессе анализа риска изучают компоненты информационной системы, которые могут подвергнуться посягательств на их безопасность, определяют уязвимые места системы, оценивают возможность реализации для каждой конкретной угрозы и ожидаемые размеры соответствующих потерь, выбирают возможные методы защиты и вычисляют их стоимость. На заключительном этапе оценивается выгода от применения предлагаемых мер защиты. Эта выгода может иметь как положительный, так и отрицательный знак: в первом случае — речь идет о очевидный выигрыш, а во втором — о дополнительные расходы для обеспечения собственной безопасности.

Исходя из результатов этого анализа, принимают решения о целесообразности тех или иных мер защиты. В конечном итоге составляется план защиты, формируется политика безопасности.

План защиты содержит следующие разделы:

- текущее состояние системы;

- рекомендации по реализации системы защиты;

- ответственность персонала;

- порядок внедрения средств защиты;

- порядок пересмотра плана средств защиты и их состав. в Политика безопасности — это комплекс законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критичной информации в системе. Политика безопасности представляет собой некоторый набор требований, прошедших соответствующую проверку и реализуются с помощью организационных мер и программно-технических средств и определяющей архитектуры системы защиты. Для конкретных организаций политика безопасности должна быть индивидуальной. Она зависит от конкретной технологии обработки информации, используемых программных и технических средств, расположения организации и т. др.

 
< Пред   СОДЕРЖАНИЕ   След >