Сучасні методи захисту інформації.

Iснуючi методи i механізми захисту включають в себе процедурнi, програмнi i апаратнi способи організації захисту.

Процедурнi методи захисту забезпечують доступ до даних тільки тим користувачам, якi мають вiдповiдний дозвiл. Реалiзацiя процедурних методiв захисту забезпечується встановленням паролiв, грифів секретностi даних, створенням органiзацiйних i фiзичних обмежень (вахтери, охорона i т.д.), а пiдвищення їх ефективностi досягається шляхом вiдповiдного навчання i підвищення рівня вiдповiдальностi персоналу. Вiдповiдальнiсть за порушення безпеки даних при цьому покладається на особи, в обов’язки яких входить:

· управлiння доступом до даних;

· облiк спроб несанкцiонованого доступу до захищених даних;

· реєстрація осiб, якi мають копiї даних обмеженого використання;

· аналiз функціонування системи захисту i підвищення якостi її роботи;

· аналiз наслiдкiв, викликаних “зламом” системи захисту.

Процедурнi методи захисту використовують в основному на етапах первинної обробки даних i видачi результатів обробки користувачам.

Програмнi i апаратнi методи захисту використовують на етапi обробки даних на ЕОМ. Вони забезпечують:

· обслуговування «законних» користувачiв;

· доступ до об’єктiв захисту у вiдповiдностi з встановленими правами i правилами;

· можливість змiни (модифiкацiї) правил взаємодії мiж користувачами i об’єктами захисту;

· можливість отримання інформації про безпеку об’єктiв захисту.

·У всiх випадках вводу методiв захисту повиннi бути розробленi органiзацiйнi заходи, якi передбачають функцiонування захисту, зокрема зберiгання i замiну паролiв (“захист захисту”). В постановках задач синтезу систем захисту в якостi обмежуючих факторiв i показників ефективностi захисту виступають вартiснi i часовi затрати на розробку i експлуатацiю методiв захисту, втрати від зламування системи захисту, ймовiрнiсть i середнiй час несанкцiонованого доступу до об’єктiв захисту.

· Приступаючи до створення системи захисту, необхідно пам’ятати:

· • вартість захисту не повинна перевищувати вартості інформації, що захищається, або суми збитків, до яких може привести несанкціонований доступ до неї;

· • вартість подолання зловмисником встановленого захисту повинна перевищувати вартість інформації, що захищається, або суму збитків.

· Рівень захисту залежить і від наявності кваліфікованого персоналу, який зможе надалі підтримувати в робочому стані встановлене програмно-апаратне забезпечення. Чим складніша система захисту, тим більше ресурсів (людей, часу, грошей) вона вимагає для свого обслуговування.

· Сама собою система безпеки інформаційної системи не приносить прибутку, проте її відсутність може бути причиною великих збитків (наприклад, втрата конфіденційності внаслідок несанкціонованого доступу до інформації, втрата даних внаслідок спотворення або знищення файлів).

·Визначаючи загрози, від яких буде створюватись захист, необхідно брати до уваги і затрати на його реалізацію. Серед них, наприклад, матеріальні затрати на придбання обладнання та програмного забезпечення, затрати на шифрування та дешифрування. Витрати на захист від кожної загрози мають бути адекватними можливим наслідкам цієї загрози з врахуванням ймовірності їх появи.

·Вартість засобів захисту від певного виду загроз не повинна перевищувати втрат, до яких може спричинити ця загроза, в тому числі і втрат на відновлення інформаційної системи.

· На нинішній час захист інформації – розвинута галузь науки і техніки, що пропонує на ринку широкий спектр різноманітних засобів для захисту даних. Проте жоден з них окремо взятий не в змозі гарантувати адекватну безпеку інформаційної системи. Надійний захист можливий лише за умови проведення комплексу взаємодоповнюючих компонентів, а саме:

· • нормативно-правові засоби;

· • адміністративні заходи;

· • спеціальне обладнання та програмне забезпечення.

· Можна виділити чотири етапи побудови політики безпеки інформаційних систем:

· • реєстрація всіх ресурсів, які повинні бути захищені;

· • аналіз та створення списків можливих загроз для кожного ресурсу;

· • оцінка ймовірності появи кожної загрози;

· • прийняття рішень, які дозволять економічно ефективно захистити інформаційну систему.

· Сукупність адміністративних заходів та вибір спеціального обладнання програмного забезпечення повинні здійснюватись для конкретної інформаційної системи. Безпеку інформаційної системи не можна купити, її треба постійно підтримувати: контролювати, модернізувати та оновлювати.

·

Аудит інформаційних систем.

Аудит Інформаційних Систем (аудит ІС) – це системний процес, відповідно до стандартів та процедур аудиту, отримання і оцінки об’єктивних даних щодо поточного стану інформаційної системи, розгляд подій системи, щоб з'ясувати їх точність та відповідність визначеним критеріям, надання результату аудиту замовнику.

Тривалий час аудит ІС розглядався як окрема самостійна послуга. Крупні і середні аудиторські компанії утворили асоціації - союзи професіоналів в області аудиту ІС, які займаються створенням і супроводженням стандартів аудиторської діяльності у сфері інформаційних технологій. Як правило, це закриті стандарти, "ноу-хау".

Такий підхід не відповідає одному із головних правил аудиту: результати аудиту повинні бути об’єктивними, неупередженими і такими, що можуть бути повторені та відтворені будь-яким аудитом, у тому числі зовнішнім, який використовуватиме таку ж схему аудиту.

На відміну від закритих (корпоративних) стандартів аудиту, існують відкриті стандарти аудиту ІС, якими займається асоціація ISACA (Асоціація аудиту і контролю інформаційних систем).

Асоціація ISACA заснована в 1969 році і в даний час об'єднує понад 35 тисяч членів із понад 100 країн, у тому числі й спеціалістів України. Асоціація координує діяльність більш ніж 12 тис. аудиторів інформаційних систем.

Основна мета асоціації — це дослідження, розробка, публікація і поширення знань та досвіду в галузях аудиту та управління інформаційними системами, стандартизованого набору документів по управлінню інформаційною технологією та їх використання адміністраторами і аудиторами інформаційних систем.

На допомогу професійним аудиторам, керівникам, адміністраторам і зацікавленим користувачам асоціацією ISACA і залученими фахівцями з провідних світових консалтингових компаній був розроблений стандарт CoBiT (Контрольні Об'єкти Інформаційної Технології).

CoBiT — відкритий стандарт, перше видання якого в 1996 році полегшило роботу професійних аудиторів у сфері інформаційних технологій. Стандарт пов'язує інформаційні технології і дії аудиторів, об'єднує і погоджує багато інших стандартів та критеріїв в єдиний ресурс, що дозволяє авторитетно, на сучасному рівні одержати уявлення і управляти цілями і задачами ІС. CoBiT враховує практично всі особливості інформаційних систем будь-якого масштабу і складності.

CoBiT базується на стандартах аудиту ISAСА та включає й інші міжнародні стандарти, у тому числі бере до уваги затверджені раніше стандарти і нормативні документи:

¾ · технічні стандарти;

¾ · кодекси;

¾ · критерії ІС і опис процесів;

¾ · професійні стандарти;

¾ · вимоги і рекомендації;

¾ вимоги до банківських послуг, систем електронної торгівлі і виробництва.

Основні напрями аудиту інформаційних систем:

· оцінка законності придбання та ліцензійної чистоти програмного забезпечення, що функціонує в системі комп'ютерної обробки даних;

· оцінка надійності системи комп'ютерної обробки інформації в цілому;

· перевірка правильності та надійності алгоритмів розрахунків.

· аналіз бізнес-процесів, технологій та структури ІС, притаманних їм ризиків;

· відповідність політики управління ризиками установи наявним ризикам;

· дієвість системи моніторингу ризиків та системи контролю ризиків;

· незалежне оцінювання ризиків, об’єктивна, неупереджена перевірка результатів самооцінки ризиків, здійснених бізнес-підрозділами;

· ідентифікація потенційних проблем і ризиків;

· об’єктивний аудит проблемних ситуацій і повноти заходів їх вирішення;

· аналіз звітів моніторингу та контролю з наміром поліпшення існуючої роботи/практики управління ризиками;

· аналіз та надання керівництву організації повного профілю ризиків, висновків щодо стратегії управління ризиками, процедур і методів.

Тема 9. Локальні та регіональні інформаційні мережі в сучасних організаціях. (1 год)

1. Використання локальних, Екстранет та Інтранет мереж.

2. Напрями використання Інтернету організацією.