Опубликован: 16.07.2017 | Уровень: для всех | Доступ: платный
Лекция 20:

Основы информационной безопасности

20.3. Основные аспекты построения системы информационной безопасности

Мероприятия по защите информации охватывают целый ряд аспектов законодательного, организационного и программно-технического характера. Для каждого из них формулируется ряд задач, выполнение которых необходимо для защиты информации. Перечислим самые общие из них. Так, в нормативно-законодательном аспекте необходимо решение следующих задач:

  • определение круга нормативных документов международного, федерального и отраслевого уровня, применение которых требуется при проектировании и реализации системы информационной безопасности;
  • определение на основе нормативных документов требований по категорированию информации;
  • определение на основе нормативных документов базовых требований к системе информационной безопасности и ее компонентам.

В организационном аспекте:

  • определение соответствия категорированной информации подсистемам и ресурсам информационной системы, в которых производится хранение, обработка и передача информации конечному пользователю (должно быть организовано ведение реестра ресурсов, содержащих информацию, значимую по критериям конфиденциальности, целостности и доступности);
  • определение набора служб, обеспечивающих доступ к информационным ресурсам системы (необходима выработка и согласование типовых профилей пользователей, ведение реестра таких профилей);
  • формирование политики безопасности, включающей описание границ и способов контроля безопасного состояния системы, условия и правила доступа различных пользователей к ресурсам системы, мониторинга деятельности пользователей.

В процедурном аспекте:

  • организация физической защиты помещений и компонентов информационной системы, включая сети и телекоммуникационные устройства;
  • обеспечение решения задач информационной безопасности при управлении персоналом;
  • формирование, утверждение и реализация плана реагирования на нарушения режима безопасности;
  • внесение дополнений, связанных со спецификой ликвидации последствий несанкционированного доступа, в план восстановительных работ.

В программно-техническом аспекте:

  • обеспечение архитектурной и инфраструктурной полноты решений, связанных с хранением, обработкой и передачей конфиденциальной информации;
  • обеспечение проектной и реализационной непротиворечивости механизмов безопасности по отношению к функционированию информационной системы в целом;
  • выработка и реализация проектных и программно-аппаратных решений по механизмам безопасности.

Рассматривая эти аспекты применительно к обеспечению безопасности современных информационных систем, можно сфокусировать их на следующих положениях:

  • базовые требования к ИБ и техническое задание на создание защищенной ИС разрабатываются с учетом федеральных и региональных законов и нормативных документов, с использованием международных стандартов;
  • корпоративная ИС может иметь несколько территориально разнесенных частей (поскольку организация располагается на нескольких производственных площадках), связи между которыми находятся в ведении внешнего поставщика сетевых услуг (например, частные виртуальные сети VPN), выходя за пределы зоны, контролируемой организацией;
  • корпоративная сеть имеет одно или несколько подключений к Internet;
  • на каждой из производственных площадок могут находиться критически важные серверы, в доступе к которым нуждаются сотрудники, работающие на других площадках, мобильные пользователи и, возможно, внешние пользователи;
  • для доступа пользователей могут применяться не только компьютеры, но и потребительские устройства, использующие, в частности, беспроводную связь, не все пользовательские системы контролируются сетевыми и (или) системными администраторами организации;
  • в течение одного сеанса работы пользователю приходится обращаться к нескольким информационным сервисам, опирающимся на разные аппаратно-программные платформы;
  • к доступности информационных сервисов предъявляются жесткие требования, которые обычно выражаются в необходимости круглосуточного функционирования с максимальным временем простоя порядка нескольких минут;
  • ИС представляет собой сеть с активными агентами, т. е. в процессе работы программные компоненты, такие как апплеты или сервлеты, передаются с одной машины на другую и выполняются в целевой среде, поддерживая связь с удаленными компонентами;
  • программное обеспечение, особенно полученное по сети, не может считаться надежным, в нем могут быть ошибки, создающие проблемы в защите;
  • конфигурация ИС постоянно изменяется на уровнях административных данных, программ и аппаратуры (меняется состав пользователей, их привилегии и версии программ, появляются новые сервисы, новая аппаратура и т. п.).

При формулировании требований к обеспечению ИБ следует учитывать следующие важные моменты (рис. 20.3-1). Во-первых, для каждого сервиса основные требования к ИБ (доступность, целостность, конфиденциальность) трактуются по-своему. Целостность с точки зрения СУБД и с точки зрения почтового сервера - вещи принципиально разные. Бессмысленно говорить о безопасности локальной или иной сети вообще, если сеть включает в себя разнородные компоненты. Следует анализировать защищенность конкретных сервисов и устройств, функционирующих в сети. Для разных сервисов и защиту строят по-разному. Во-вторых, основная угроза ИБ организаций, как было отмечено выше, в большей степени исходит не от внешних злоумышленников, а от собственных сотрудников.

Модель системы информационной безопасности

Рис. 20.3-1. Модель системы информационной безопасности
валентина петрашева
валентина петрашева
rozybayev kemal
rozybayev kemal
Алёна Чичковская
Алёна Чичковская
Россия, г. Благовещенск
Вера Борисова
Вера Борисова
Россия