CamaFon.ru / Информационная безопасность / Вы сейчас просматриваете:

Комплексный подход к безопасности информационных систем

Информация всегда являлась одним из самых дорогих продуктов. Руперт Мердок сказал: “Кто владеет информацией – тот правит миром”. Люди всегда хотели создать информационную монополию и сохранить свою власть.

В эпоху развития современных технологий безопасность информационных систем играет немаловажную роль. Именно сейчас с геометрической прогрессией увеличиваются размеры передаваемой, обрабатываемой и хранимой информации, вследствие чего идет увеличение шанса на ее утечку. Поэтому с каждым днем все сложнее и сложнее сохранить свою интеллектуальную собственность от возможного несанкционированного использования. А от нормального функционирования систем информационной безопасности зависит дальнейшее существование человеческой расы.

безопасность информационных технологий

Угрозы информационным системам

Вместе с развитием информационных систем развивались и способы внедрения в них и незаконного получения информации. Если еще несколько десятилетий назад обезопасить эти системы можно было, используя только организационные методы защиты, то в 21 веке этот подход уже не сработает, так как слишком много угроз. Каждая организация желает обеспечить и безопасность функционирования информационных технологий.

Существует различная классификация угроз, например, по их природе:

  • Естественные;
  • Искусственные.

К естественным угрозам информационных систем относятся пожары, землетрясения, цунами и прочие природные явления. В этом случае возникает проблема сохранности информации. К искусственным угрозам относится деятельность человека.

По степени преднамеренности выделяют:

  • Преднамеренные угрозы;
  • Случайные угрозы.

К преднамеренным относится незаконное проникновение в систему, намеренная порча оборудования, проникновение на охраняемый объект. К случайным угрозам относится ненамеренная порча оборудования, ненамеренный ввод ложных данных.

Так же рекомендуем вам это видео с конференции КИТ:

Технические каналы потери данных

Информация хранится в различном виде:

  • Телекоммуникационная (находится в технических средствах хранения и передачи);
  • Речевая (ведение различных разговоров в зданиях);
  • Документальная (хранение на бумаге).

Материальным носителем данных является сигнал. Чаще всего их классификацию представляют по их физической природе:

  • Электромагнитные;
  • Электрические;
  • Акустические.

Аналогичная классификация существует и для каналов утечки.

В настоящее время наиболее актуальными являются электромагнитные и электрические каналы утечки информации. К электрическим относится:

  • Перехват сторонних электромагнитных импульсов технических средств передачи данных с соединительных линий дополнительных технических средств и систем;
  • Перехват информационного потока с линий электропитания оборудования.

В данном случае средства перехвата должны находиться в пределах контролируемой зоны.

К электромагнитным способам перехвата относится:

  • Захват побочных электромагнитных импульсов средств передачи данных;
  • Их перехват на низкочастотных усилителях;
  • Их перехват при работе высокочастотных генераторов.

Средства перехвата находятся, обычно, вне пределов контролируемой зоны.

К акустическим каналам относятся:

  • Диктофоны, микрофоны;
  • Сетевые закладки, которые передают информацию по линиям электропередач;
  • Телефонные закладки (передают информацию с помощью высокочастотных сигналов).

Вебинар по обеспечению информационной безопасности:

Ассекурация информационной безопасности

Существует несколько методов обеспечения безопасности функционирования информационных систем:

  1. Инженерно-технический метод. К этому методу относятся механизмы шифрования данных, которые обеспечивают кодировку информации; инженерные методы воспрепятствования, к которым относятся различные сооружения, которые физически препятствуют постороннему лицу проникнуть на охраняемый объект; аппаратные методы, к которым относится оборудование, находящееся в комплекте с информационными технологиями, и оборудование, находящееся вне пределов информационных систем и обеспечивающее защиту охраняемого объекта (например, установка сигнализационные систем);
  2. Правовой метод подразумевает под собой существование специальных законодательных актов, норм, правил, процедур, которые регламентируют порядок пользования информацией и устанавливают ответственность за нарушение этих правил;
  3. Организационный метод подразумевает под собой регламентацию и контроль действий пользователей и персонала, которые имеют доступ к информационным системам. К этому методу относятся способы побуждения и принуждения. Побуждение – соблюдение персоналом и пользователями правил, сложившихся в результате развития некоторых морально-этических норм в коллективе. Принуждение – вынужденность соблюдения правил пользования информационными системами под угрозой от административной до уголовной ответственности;
  4. Программный метод – это установка специальных программных комплексов (в том числе и антивирусных программ), которые препятствуют проникновению посторонних лиц в системы функционирования оборудования и, при необходимости, уничтожают информацию. Это основополагающий метод обеспечения информационной безопасности.

Комплексный подход: требования

К основополагающим требованиям к комплексным системам информационной безопасности относится:

  • Совершенствование (вследствие постоянного развития угроз);
  • Постоянная обработка информации в компьютерной системе (даже в случае необходимого ремонта);
  • Взаимодействие с не имеющими защиту системами с ограничением доступа оных к определенной информации; их разработка должна осуществляться в соответствии с действующими нормативно-правовыми актами.
  • Рентабельность (стоимость протекционистских систем защиты не должна превышать возможные убытки при утере конфиденциальной информации).

В настоящее время именно комплексная система обеспечивает наиболее высокую надежность функционирования информационных систем. Она учитывает сочетание в себе абсолютно всех способов повышения информационной безопасности (организационных, правовых, инженерно-технических, программных).

безопасность функционирования информационных систем

Фундамент таких систем строится поэтапно:

  1. Первый этап – это проведение глубокого анализа информационной системы. Он подразумевает под собой исследование составных частей, архитектуры, информационных ресурсов. Все ресурсы должны быть задокументированы, за каждым из них должно быть назначено ответственное лицо;
  2. Второй этап – это дефиниция степени защиты и уровня защиты системы. Информационная система является набором функциональных услуг. А каждая услуга, соответственно, обладает несколькими функциями, которые защищают от определенного круга угроз. Например, от естественных проблем (пожары и т.д.) защищаются посредством дублирования информации и использования нескольких серверов для ее хранения и обработки. А для устранения угроз техническим каналам используют различные способы локализации излучений, дезамбалаж сигналов, виды зашумления сетей, уничтожение устройств перехвата и слежения;
  3. Построение модели угроз. В силу того что угроз информационной безопасности очень много, а различные типы информации необходимо защищать разными способами, необходимо определиться, какая информация есть наиболее важная, а какая – наименее, так как защитить полностью все ресурсы просто невозможно. Соответственно, необходимо использовать более дорогостоящую защиту для более значимой информации. Также необходимо учитывать человеческий фактор, а именно людей, которые имеют доступ к определенным типам данных;
  4. После этого проводится постоянное наблюдение за защитой. Информационные системы – это динамичные системы, в которых каждую секунду происходят какие-либо изменения. Это может привести к тому, что появится некоторая лазейка, с помощью которой можно будет осуществить неразрешенный доступ к данным. Она должна быть выявлена как можно более оперативно и устранена.

Но комплексная система – это еще и наиболее сложная защитная система, в которой не так легко разобраться.

Видео-доклад IaaS :

Защита доступа к различным типам информации

Также необходимо обратить внимание на обеспечение доступности информации. К таковым относятся такие методы:

  1. Полный метод, при котором идет копирование абсолютно всех данных, находящихся в системе, на резервный носитель;
  2. Инкрементальный метод, при котором идет лишь выборочное копирование данных, измененных с момента предыдущего инкрементального копирования;
  3. Дифференциальный метод, при котором идет копирование данных, измененных с момента последнего копирования. При использовании этого метода количество файлов с каждым разом возрастает, вследствие чего приходится хранить данные на большом количестве дисковых накопителей. Однако в случае непредвиденных сбоев в процессе использования информационных технологий и потере большинства данных этот метод является наиболее надежным для процесса восстановления. Но в силу количества накопителей наиболее целесообразно использовать этот способ для хранения наиболее важной информации.

В нынешнее время существует достаточно много способов защиты информационных технологий. При организации защиты конкретной системы надо руководствоваться достаточностью, актуальностью, непрерывностью функционирования защиты. Важность имеет простота применяемых защитных мер, опыт предыдущих разработанных систем. Необходимо помнить, что эффективность систем защиты информационных технологий обеспечивается детальностью анализа угроз, определенностью типа информации, которую необходимо защищать, а также разработкой политики информационной безопасности.

Стратегия управления рисками

Естественно, что даже самая дорогая система ассекурации информационной безопасности не может полностью гарантировать уничтожение рисков. Но в то же самое время риск может быть уменьшен до очень малых величин при применении простейших мер обеспечения безопасности, так что в таких случаях установка дорогих систем нерентабельна. От нескольких типов рисков можно уклониться, например, выносом сервера за пределы локальных сетей. Но существуют ситуации, когда риск не может быть устранен и уменьшен до приемлемых величин (к таким рискам относятся, например, стихийные бедствия). В таком случае необходимо иметь четкий план действий во время аварийных ситуаций.

Анализ приемлемых рисков и возможности потерь требует наличия обширных знаний во многих вопросах информационной безопасности.

Безопасность информационных технологий

Во время использования любых информационных технологий и систем наиболее острое внимание необходимо обращать на их безопасность функционирования. Контроль должен быть обязательным во всех процессах вычисления, в которые вмешивается человек. Программы, ответственные за проведение этих процессов, должны быть встроены в систему на стадии проектирования. Немаловажным вопросом является доверие к компьютерным системам. Его отсутствие обычно связано с несоблюдением правил написания программ, структуры программирования.

Естественно, что безопасность информационных технологий зависит от соблюдения правил пользования оными. Персонал или пользователи могут нарушать правила использования умышленно или случайно. Для отсеивания подобных действий необходимо проводить постоянное обучение людей по мере совершенствования самих систем.

Естественно, что по всем вопросам необходимо наличие соответствующего количества необходимой документации, которая должна быть доступна абсолютно всем пользователям систем. В противном же случае, в силу незнания некоторых вещей, обеспечение информационной безопасности может быть сильно затруднено, что способствует возникновению дополнительных убытков.

Оценка статьи:
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5
Загрузка...
Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *


доступен плагин ATs Privacy Policy ©
[block id="1"]