Основные принципы построения систем защиты информации

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Основные трудности

 

Основные трудности реализации систем защиты состоят в том, что они должны удовлетворять двум группам противоречивых требований. С одной стороны, должна быть обеспечена надежная защита находящейся в системе информации, что в более конкретном выражении формулируется в виде двух обобщенных задач: исключение случайной и преднамеренной выдачи информации посторонним лицам и разграничение доступа к устройствам и ресурсам системы всех пользователей, администрации и обслуживающего персонала. С другой стороны, системы защиты не должны создавать заметных неудобств в процессе работы с использованием ресурсов системы.

В частности должны быть гарантированы:

_ полная свобода доступа  каждого пользователя и независимость его работы в пределах предоставленных ему прав и полномочий;

_ удобство работы с  информацией для групп взаимосвязанных  пользователей;

_ возможности пользователям допускать  друг друга к своей информации.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Основные правила

 

Основные  правила, которыми рекомендуют руководствоваться специалисты при организации работ по защите информации, сводятся к следующему:

1. Обеспечение безопасности  информации есть непрерывный  процесс, состоящий в систематическом контроле защищенности, выявлении узких мест в системе защиты,

обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты.

2. Безопасность информации  в системе обработки данных  может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты.

3. Никакая система защиты  не обеспечит безопасности информации  без надлежащей подготовки пользователей и соблюдения ими всех правил защиты.

4. Никакую систему защиты  нельзя считать абсолютно надежной, следует исходить из того, что может найтись такой искусный злоумышленник, который отыщет лазейку для доступа к информации.

С самых первых этапов, т.е. с той поры, когда проблема защиты информации в системах обработки данных стала рассматриваться как самостоятельная, основными средствами, используемыми для защиты, были технические и программные.

Первоначально программные  механизмы защиты включались в состав операционных систем или систем управления базами данных. Этим, видимо, и объясняется, что практически все без исключения операционные системы содержат механизмы защиты информации от несанкционированного доступа, а именно:

_ динамическое распределение  ресурсов вычислительной системы  и запрещение задачам пользователей использовать чужие ресурсы;

_ разграничение доступа  пользователей к ресурсам системы  по паролям;

_ разграничение доступа  к полям оперативной и долговременной  памяти по ключам защиты;

_ защита таблицы паролей с  помощью так называемого главного пароля.

 

 

 

 

 

 

Защищенная ИС и система защиты информации

 

Многие специалисты считают, что точный ответ на вопрос, что же такое “защищенная информационная система”, пока не найден.

Существуют  следующие представления защищенности ИС:

_ это совокупность средств  и технологических приемов, обеспечивающих  защиту

компонентов ИС;

_ это минимизация риска,  которому могут быть подвергнуты компоненты и ресурсы ИС;

_ это комплекс процедурных,  логических и физических мер, направленных на предотвращение угроз информации и компонентам ИС.

Таким образом, список угроз  информации определяет основу для формирования требований к защите. Когда такие требования известны, могут быть определены соответствующие правила обеспечения защиты. Эти правила, в свою очередь, определяют необходимые функции и средства защиты, объединенные в комплексную СЗИ.

Можно утверждать, что чем  полнее будет список требований к защите и соответствующих правил защиты, тем эффективнее будет СЗИ для данной ИС.

Для того чтобы построить  защищенную ИС, целесообразно провести анализ угроз информации, составить перечень требований к защите, сформулировать правила организации непосредственной защиты и реализовать их выполнение путем создания комплексной СЗИ, которая представляет собой действующие в единой совокупности законодательные, организационные, технические и другие способы и средства, обеспечивающие защиту важной информации от всех выявленных угроз и возможных каналов утечки.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Как обеспечить сохранность информации?

 

Как же обеспечить сохранность  своей информации? Ведь многообразие вариантов построения информационных систем порождает необходимость создания различных

систем защиты, учитывающих  индивидуальные особенности каждой из них. Вместе с тем, в настоящее время разработано и применяется большое количество технологий, способов и средств защиты информации, которые необходимо проанализировать и использовать в информационных системах уже сегодня. Это позволит резко сократить утечку сведений конфиденциального характера.

Приступая к работе по созданию защищенной ИС, желательно в собственном представлении создать образ Вашей ИС в любом удобном для простого понимания виде.

Попробуйте включить фантазию в  этот процесс.

Прежде чем начать разговор о возможных путях организации зашиты информации (ЗИ), необходимо определиться, имеется ли у Вас информация, которую нельзя не защищать; это важно, поскольку, как правило, ЗИ потребует дополнительных средств и достаточно больших.

СЗИ — довольно дорогостоящее  удовольствие (а чаще необходимость). И если после долгих колебаний и споров решено, что в ИС имеет место информация, которую необходимо защищать, не расстраивайтесь. Смело идите вперед.

Далее необходимо определить конкретные сведения, подлежащие защите, для чего и от кого их защищать, а так же степень надежности такой защиты — проделать это не сложно.

После этого следует выявить  потенциальные угрозы и наиболее вероятные каналы  утечки информации для конкретных условий. Их может оказаться достаточно много, но не стоит огорчаться, так как злоумышленник не будет их использовать все сразу.

Следующим шагом будет  выбор из множества предлагаемых вариантов таких методов, мероприятий и средств, которые можно было бы использовать конкретно в Вашей ИС.

После того как удалось  найти конкретные варианты организационных  и технических решений, необходимо подсчитать затраты на их реализацию. Вот здесь можно и огорчиться. Сомнения и чувство досады, возникающие в такие моменты — это вполне нормальное явление. Часто при этом всплывают воспоминания о том, как спокойно жилось, пока проблемы защиты информации не были Вам знакомы.

Но рано или поздно наступает  момент, когда становится ясно: как  бы мы этого не хотели, а придется выложить дополнительные средства на организацию защиты своих данных. Было бы неплохо, чтобы такая мысль пришла пораньше, поскольку построить

систему защиты информации для готовой (законченной) информационной системы можно лишь путем введения целого ряда ограничений, а это, естественно, снижает эффективность функционирования информационной системы в целом.

Лучше всего анализировать  опасности еще на стадии проектирования рабочего места, локальной сети или всей системы, чтобы сразу определить потенциальные потери и установить требования к мерам обеспечения безопасности.

Выбор защитных и контрольных  мероприятий на этой ранней стадии требует гораздо меньших затрат, чем выполнение подобной работы с эксплуатируемой компьютерной системой.

Современные популярные и  доступные широкому кругу пользователей  персональные компьютеры в действительности не обеспечивают безопасность информации, поскольку любой, кто имеет доступ к компьютеру, может изменять, читать или копировать данные. Изначально ПК были созданы для решения бытовых и офисных задач и не предназначались для обработки секретной или конфиденциальной информации.

Несколько позднее на базе таких ПК появились локальные  сети, а вместе с ними — и “головная боль” от проблем защиты информации. Конечно, решить все эти проблемы непросто. Но, как говорится, вместо того, чтобы хвататься за голову, необходимо просто

взяться за ум.

Создание СЗИ можно  сравнить с пошивом костюма. При наличии обязательных составляющих (брюки, пиджак, рукава, воротник...) имеется множество фасонов (вариантов покроя), при этом необходимо учитывать индивидуальные особенности каждого заказчика (пропорции тела, вкусы, привычки...). В итоге все стремятся получить удобную, практичную, качественную, красивую, современную вещь.

Серьезная работа по практическому  использованию информационных технологий началась сравнительно недавно. Широкий выбор разнообразного аппаратного и программного обеспечения позволяет построить ИС под свои конкретные задачи. Но, как это часто бывает, наблюдается существенный разрыв между тем, что мы имеем в своем

распоряжении и тем, что мы можем из этого извлечь... Иначе говоря, компьютер можно использовать не только в качестве неплохой пишущей машинки.

Но самое интересное в  том, что чем дольше процесс освоения информационных технологий, тем чаще возникает проблема обеспечения сохранности информации и однажды наступает момент, когда становится ясно, что какого бы высокого уровня ни достигла в своем развитии ИС, проблему ЗИ все таки придется решать.

Было бы неплохо, если бы такая мысль пришла пораньше, поскольку  построить СЗИ для (готовой) законченной ИС можно лишь путем введения целого ряда ограничений, а это, естественно, снижает эффективность ИС в целом.

Давно известно, что рыть траншею и прокладывать кабель (или  трубы) желательно до того, как в этом месте положат асфальт. Так и СЗИ целесообразно строить одновременно с ИС, начиная с этапа проектирования.

А можно ли сэкономить на своей информационной безопасности? Да, можно! Но стоить это будет дороже!

А если говорить серьезно, то хорошие аппаратные и программные  средства защиты информации стоят значительно дороже, и ошибка кроется в том, что их реальную стоимость отождествляют с ценой при покупке. В дальнейшем такая экономия обернется

дополнительными расходами  в процессе эксплуатации (на доделки, ремонты, потери от отказов и сбоев в процессе старения). Это легко подсчитать, но побеждает странная надежда, что все эти расходы ожидаются в будущем, когда мы разбогатеем. Хотя жизнь

упорно подтверждает, что  богатеет тот, кто изначально ориентируется  на самое лучшее.

Мы же зачастую пытаемся экономить на спичках... Вот и приходится тратить неоправданно большие средства на организацию защиты дорогой и ценной информации, которая обрабатывается с помощью бытовой (дешевой) вычислительной техники.

Развернувшийся процесс  конверсии сопровождается созданием  на базе оборонных предприятий различных научно-технических центров, акционерных обществ, совместных предприятий. Уникальные конструкторские и технологические разработки, которые

ранее использовались исключительно  для выпуска оборонных изделий, стали основой для выпуска наукоемкой, конкурентоспособной продукции и охотно приобретаются предпринимателями, правда, за бесценок.

Таким образом, большую часть  информации, которую мы “дарим”  всем желающим, в цивилизованном мире либо продают, либо предоставляют в урезанном виде.

Следует признать, что в  настоящее время существует некоторое недопонимание проблем защиты информации со стороны государственных министерств и ведомств, а так же негосударственных и коммерческих структур. Ссылаясь на экономические трудности, они откладывают решение вопросов защиты информации на второй план. Хотя логика говорит, что системы защиты должны развиваться одновременно с информационными системами, начиная с этапа проектирования.

 

 

 

 

Источник информации: security.ukrnet.net