Концептуальна модель інформаційної безпеки

Концептуальна модель безпеки інформації зображена на рис. 2.1.

Вона включає наступні елементи:

ü носії інформації (особи, що обізнані з таємницею, документальні матеріали, машинні носії, фізичні поля);

ü джерела загроз інформації (конкуренти, зловмисники, спеціальні служби);

ü цілі порушників (здобуття цінної інформації науково-технічного характери, інформації у сфері безпеки та оборони, нанесення збитків, отримання переваг, корисні мотиви тощо);

ü методи доступу (агентурні, технічні);

ü загрози інформації (конфіденційності, цілісності, доступності);

ü об’єкти загроз (відомості економічного, науково-технічного, оборонного характеру тощо);

ü методи захисту (правові, організаційні, інженерно-технічні, технічний, криптографічний та стеганографічний захист);

ü засоби захисту (технічні, апаратні та програмні в комп’ютерних системах).

Рис. 2.1 Концептуальна модель безпеки інформації

Забезпечення інформаційної безпеки (у вузькому змісті безпеки інформації) – це комплексна проблема (рис. 2.2), розв'язання якої на практиці вимагає ефективного сполучення нормативно-правових заходів (законодавчий рівень), організаційних заходів, інженерно-технічних методів і засобів, захисту від ПЕВМН (адміністративний і процедурний рівень), методів і засобів технічних і криптографічному захисту (програмно-технічного рівень).

Законодавчий рівень є найважливішим для забезпечення інформаційної безпеки.

Розробка й прийняття правових норм покликані врегулювати питання використання інформаційної структури й телекомунікацій, доступу до інформації, захисту інформації від несанкціонованого доступу й витоку по технічних каналах, захисту громадян, суспільства й держави від неправильної інформації, захисту інформаційно-телекомунікаційних систем від неправомірних дій, забезпечення інформаційних аспектів техногенної безпеки і її.

У випадку формування законодавства в сфері інформаційних ресурсів і комунікацій у самостійну галузь права – інформаційне право – законодавство в сфері забезпечення інформаційної безпеки буде виступати як його підгалузь, а при кодифікації у вигляді Інформаційного кодексу стане його складовою частиною.

Прийнято виділяти два напрямки формування законодавства. До першого належать заходу, спрямовані на створення й підтримку в суспільстві негативного відношення до порушень і порушників інформаційної безпеки.

В українськім законодавстві сюди можна віднести відповідні глави Кримінального кодексу України.

Рис. 2.2 Рівні забезпечення безпеки інформації

До другого напрямку можна віднести законодавчі акти й нормативні документи, що сприяють підвищенню освіченості суспільства в області інформаційної безпеки, що визначають порядок здійснення діяльності в області технічного й криптографічного захисту інформації, розробки засобів захисту й т.п.

Різноманіття нормативних документів презентовано міжнародними, національними, галузевими нормативними документами й відповідними нормативними документами організацій, підприємств і фірм.

Велику роботу в цьому напрямку проводять Міжнародна організація по стандартизації – ISO, Міжнародна електротехнічна комісія - IЕС, Міжнародний союз електрозв'язку – ITU.

Крім того, значні зусилля вживають національні організації по стандартизації АNSI і NIST – у США, BSI і DIN у ФРН, Держстандарт і Держспецзв'язок в Україні, Держстандарт у Росії і т.д.

В Україні діють наступні стандарти по технічному захисту інформації:

· ДСТУ 3396.0-96. "Захист інформації. Технічний захист інформації. Основні положення". Цей стандарт встановлює об'єкт, мету, організаційні положення забезпечення технічного захисту інформації (ТЗІ), неправомірний доступ до якої може завдати шкоди громадянам, організаціям (юридичним особам) і державі, а також категорії нормативних документів системи ТЗІ.

· ДСТУ 3396.1-96. "Захист інформації. Технічний захист інформації. Порядок проведення робіт". Стандарт встановлює вимоги до порядку проведення робіт з технічного захисту інформації.

· ДСТУ 3396.2-96. "Захист інформації. Технічний захист інформації. Терміни й визначення". Даний стандарт встановлює терміни й визначення понять у сфері технічного захисту інформації.

Серед міжнародних стандартів про інформаційну безпеку найбільш відомим є британський – BS 7799, розроблений Британським інститутом стандартів (British Standards Institution – BSI). Стандарт BS 7799 складається із двох частин.

ISO 27002 (ISO 17799:2005) є основою для розробки стандартів безпеки й методів керування. Керівні принципи охоплюють три головні аспекти: стратегічний, оперативний і дотримання.

Поточна версія стандарту складається з наступних основних розділів:

· Політика безпеки (Security policy)

· Організація інформаційної безпеки (Organization of information security)

· Управління ресурсами (Asset management)

· Безпека, що обумовлена кадровими ресурсами (Human resources security)

· Фізична безпека й безпека оточення (Physical and environmental security)

· Управління комунікаціями й процесами (Communications and operations management)

· Контроль доступу (Access control)

· Придбання, розробка й установлення систем (Information systems acquisition, development and maintenance)

· Управління інцидентами інформаційної безпеки (Information security incident management)

· Управління безперебійною роботою організації (Business continuity management)

· Відповідність правовим і нормативним вимогам (Compliance)

Стандарт ISO/IEC27001:2005 був виданий з метою уніфікації процедур ефективного управління безпекою. Заснований на кращих світових практиках, він висуває вимоги до процесів, що забезпечують функціонування системи керування ІБ, їхній постійний моніторинг і поліпшення. Стандарт чітко визначає ключові процеси, якими необхідно управляти при забезпеченні ІБ в організації.

Стандарт може застосовуватися в будь-якій організації незалежно від роду діяльності з метою:

· установлення вимог і цілей в області інформаційної безпеки;

· одержання впевненості в тому, що ризики в області інформаційної безпеки управляються рентабельно;

· одержання впевненості відповідності діяльності підприємства або організації законодавству й/або іншим нормативним документам;

· реалізації процесу впровадження й управління засобами контролю для одержання впевненості в досягненні специфічних цілей в області захисту організації;

· ідентифікації й відстеження існуючих процесів управління інформаційною безпекою;

· визначення керівництвом компанії статусу процесів управління захистом інформації;

· використання внутрішніми й зовнішніми аудиторами для визначення рівня відповідності Політиці безпеки, директивам і стандартам, установленим підприємством/організацією;

· забезпечення партнерів і постачальників відповідною інформацією про стандарти, процедури й політику організації;

· забезпечення споживачів усією відповідною інформацією.

Повсюдно нормативне регулювання порядку проведення робіт зі стандартизації й сертифікації в області захисту інформації враховує два аспекти : формальний – визначення критеріїв, яким повинні відповідати захищені інформаційні технології й практичний – визначення конкретного комплексу заходів безпеки стосовно розглянутої інформаційної технології.

Основними критеріями працездатності концепцій і стандартів ІБ у цей час уважаються наступні:

ü універсальність – характеристика стандарту, визначена множиною типів обчислювальним систем, на які він орієнтований;

ü гнучкість – можливість застосування стандарту до інформаційних технологій, що постійно розвиваються;

ü гарантуємість – кількість і якість передбачених стандартом методів і засобів підтвердження надійності результатів кваліфікаційного аналізу;

ü реализуємість – можливість адекватної реалізації на практиці;

ü актуальність – вимоги й критерії стандарту повинні відповідати множині, загроз безпеці, що постійно розвивається.

Виходячи з подібних критеріїв оцінки, найбільш працездатним зі створених уже документів уважають «Єдині загальні критерії оцінки безпеки інформаційних технологій», що представляє собою результат спільної роботи Міжнародної організації по стандартизації, Національного інституту стандартів і технологій США, організацій Великобританії, Канади, Німеччини, Франції й Нідерландів.

Серед стандартів практичних аспектів інформаційної безпеки можна також відзначити згаданий ВS 7799, у якому узагальнено досвід забезпечення режиму інформаційної безпеки в інформаційних системах різного профілю.

Основу заходів адміністративного рівня, тобто заходів, що реалізуються керівництвом організації, становить політика безпеки.

Під політикою безпеки розуміється сукупність документованих управлінських рішень, спрямованих на захист інформації й асоційованих з нею ресурсів.

Політика безпеки визначає стратегію організації в галузі інформаційної безпеки, а також ресурси, які керівництво вважає за можливе виділити для реалізації її завдань.

На підставі політики безпеки будується програма безпеки, яка реалізується на процедурному й програмно-технічному рівнях.

Процедурний рівень передбачає заходи безпеки, що реалізуються персоналом організації.

Можна виділити наступні групи процедурних заходів:

ü управління персоналом;

ü фізичний захист;

ü підтримка працездатності;

ü реагування на порушення режиму безпеки;

ü планування відбудовних робіт.

Управління персоналом полягає у виконанні наступних умов. По-перше, для кожної посади повинні існувати кваліфікаційні вимоги по ІБ. По-друге, у посадові інструкції повинні входити розділи, що стосуються інформаційної безпеки. По-третє, кожного співробітника потрібно навчити заходам безпеки теоретично й на практиці.

Заходи фізичного захисту містять у собі захист від витоку інформації по технічних каналах, інженерні способи захисту і т.д.

Планування відбудовних робіт передбачає:

ü злагодженість дій персоналу під час і після аварії;

ü наявність заздалегідь підготовлених резервних виробничих майданчиків;

ü офіційно затверджену схему перенесення на резервний майданчик основних інформаційних ресурсів;

ü схему повернення до нормального режиму роботи.

Підтримка працездатності містить у собі створення інфраструктури, що включає в себе як технічні, так і процедурні регулятори й здатної забезпечити наперед заданий рівень працездатності на всьому протязі життєвого циклу інформаційної системи

Реагування на порушення режиму безпеки може бути регламентоване в рамках окремо взятої організації. У поточний час, переважно здійснюється моніторинг комп'ютерних злочинів у національному масштабі й по окремих статтях законодавства «підвідомчих» Службі безпеки України збуджуються кримінальні справи у випадку наявності складу злочину.

Основу програмно-технічного рівня становлять наступні механізми безпеки:

ü захист від НСД у комп’ютерних системах (ідентифікація й автентифікація користувачів, керування доступом, протоколювання й аудит;

ü криптографічний захист (шифрування й електронний цифровий підпис);

ü захист від витоку по каналах ПЕМВН;

ü антивірусний захист, захист від атак в інформаційних системах і т.д.

Важливо ефективно управляти інформаційною системою в цілому й механізмами безпеки особливо. Згадані заходи безпеки повинні спиратися на загальноприйняті стандарти, бути стійкими до мережних загроз, ураховувати специфіку окремих сервісів.