Міжнародні стандарти безпеки інформаційно-обчислювальних систем

Антивірусні програми.

Вірус – це спеціально написана, як правило, невелика за розмірами програма, що може записувати свої копії в інші комп’ютерні програми, системну область диска.

Антивіруси – це утиліти, що дозволяють виявляти віруси, лікувати заражені файли і диски, виявляти і відвертати характерні для вірусів дії.

Класифікація вірусів.

Антивірусні програми.

Під безпекою електронної системи розуміють її здатність протидіяти спробам нанести збитки власникам та користувачам систем при появі різноманітних збуджуючих (навмисних і ненавмисних) впливів на неї. Природа впливів може бути різноманітною: спроба проникнення зловмисника, помилки персоналу, стихійні лиха (ураган, пожежа), вихід з ладу окремих ресурсів, як правило, розрізняють внутрішню і зовнішню безпеку. Внутрішня безпека враховує захист від стихійного лиха, від проникнення зловмисника, отримання доступу до носіїв інформації чи виходу системи з ладу. Предметом внутрішньої безпеки є забезпечення надійної і коректної роботи системи, цілісності її програм і даних.

На сьогодні склалися два підходи до забезпечення безпеки електронних систем:

- Фрагментарний підхід, при якому проводиться протидія строго визначеним загрозам при певних умовах (спеціалізовані антивірусні засоби, автономні засоби шифрування, тощо);

- Комплексний підхід, який передбачає створення середовища обробки інформації, яке об’єднує різноманітні (правові, організаційні, процес – технічні) заходи для протидії загрозам.

Комплексний підхід, як правило, використовується для захисту великих систем. Хоча часто і типові програмні засоби містять вбудовані засоби захисту інформації, але цього не цілком достатньо. В цьому випадку необхідно забезпечити виконання наступних заходів:

- організаційні заходи по контролю за персоналом, який має високий рівень повноважень на дії в системі (за програмістами, адміністраторами баз даних мережі і т.д.);

- організаційні та технічні заходи по резервуванню критично важливої інформації;

- організаційні заходи по відновленню працездатності системи у випадку виникнення нештатних ситуацій;

- організаційні та технічні заходи по управлінню доступом в приміщеннях, в яких знаходиться обчислювальна техніка;

- організаційні та технічні заходи по фізичному захисту приміщень, в яких знаходиться обчислювальна техніка і носії даних, від стихійних лих, масових безпорядків і т.д.

 

МІЖНАРОДНІ СТАНДАРТИ БЕЗПЕКИ ІНФОРМАЦІЙНО-ОБЧИСЛЮВАЛЬНИХ СИСТЕМ

В 1985 році Національним центром комп’ютерної безпеки Міністерства оборони США опублікована, так звана «Оранжева книга» («Критерії оцінки достовірності обчислювальних систем Міністерства оборони»). В ній були приведені основні положення, по яких американське відомство оборони визначало ступінь захищеності інформаційно-обчислювальних систем. В ній у систематизованому вигляді наводились основні поняття, рекомендації і класифікація по видах загроз безпеці інформаційних систем і методи захисту від них. В подальшому книга перетворилась в збірку науково-обгрунтованих норм і правил, що описують системний підхід для забезпечення безпеки інформаційних систем і їх елементів, і стала настільною книгою для спеціалістів в галузі захисту інформації. Запропонована в «Оранжевій книзі» методологія по суті стала загальноприйнятою і в тій чи іншій мірі увійшла в національні стандарти.

Системний підхід згідно з «Оранжевою книгою» вимагає:

- прийняття принципових рішень в галузі безпеки на основі поточного стану інформаційної системи;

- прогнозування можливих загроз і аналізу пов’язаного з ними ризику для інформаційної системи;

- планування заходів по запобіганню виникнення критичних ситуацій;

- планування заходів по виходу з критичних ситуацій на випадок, коли вони виникнуть.

Одне з основних понять, введених в «Оранжевій книзі», це політика безпеки. Політика безпеки – це сукупність норм, правил і методик, на основі яких в подальшому будується діяльність інформаційної системи в галузі обробки, зберігання і розподілення критичної інформації. При цьому під інформаційною системою підрозумівається не тільки процес-програмний комплекс, але і обслуговуючий персонал.

Поняття політика безпеки

Політика безпеки формується на основі аналізу поточного стану і перспективи розвитку інформаційної системи, можливих загроз і визначає:

- мету, задачі і пріоритети системи безпеки;

- галузь дії окремих підсистем;

- гарантований мінімальний рівень захисту;

- обов’язки персоналу по забезпеченню захисту;

- санкції за порушення захисту.

Якщо виконання політики безпеки проводиться не в повній мірі або непослідовно, тоді імовірність порушення захисту інформації різко зростає. Під захистом інформації розуміють комплекс заходів, який забезпечує:

- збереження конфіденційності інформації – запобігання ознайомлення з інформацією не вповноважених осіб;

- збереження інформації – запобігання пошкодження чи знищення інформації внаслідок свідомих дій зловмисника, помилок персоналу, стихійного лиха;

- прозорість, тобто наявність системи безпеки не повинна створювати перешкод для нормальної роботи системи.

 

ОРГАНІЗАЦІЯ СИСТЕМИ БЕЗПЕКИ

Організаційні заходи безпеки інформаційних систем прямо чи опосередковано пов’язані з адміністративним управлінням і відносяться до рішень і дій, які застосовуються керівництвом для створення таких умов експлуатації, які зведуть до мінімуму слабкість захисту. Дії адміністрації можна регламентувати по наступних напрямках:

1. заходи фізичного захисту комп’ютерних систем;

2. регламентація технологічних процесів;

3. регламентація процес конфіденційною інформацією;

4. регламентація процедур резервування;

5. регламентація внесення змін;

6. регламентація роботи персоналу і користувачів;

7. підбір та підготовка кадрів;

8. заходи контролю і спостереження.

До галузі стратегічних рішень при створенні системи комп’ютерної безпеки повинна бути віднесена розробка загальних вимог до класифікації даних, що зберігаються і обробляються в системі.

На практиці найчастіше використовуються наступні категорії інформації.

Важлива інформація – незамінима та необхідна для діяльності інформація, процес відновлення якої після знищення неможливий або ж дуже трудомісткий і пов’язаний з великими затратами, а її помилкове застосування чи підробка призводить до великих втрат.

Корисна інформація – необхідна для діяльності інформація, яка може бути відновлена без великих втрат, при чому її модифікація чи знищення призводить до відносно невеликих втрат.

Конфіденційна інформація – інформація, доступ до якої для частини персоналу або сторонніх осіб небажаний, оскільки може спричинити матеріальні та моральні втрати.

Відкрита інформація – це інформація, доступ до якої відкритий для всіх.

Керівництво повинно приймати рішення про те, хто і яким чином буде визначати степінь конфіденційності і важливості інформації. На жаль, в нашій країні ще не повністю сформоване законодавство, щоб розглядати інформацію, як товар та регламентувати права інтелектуальної власності на ринку інтелектуального продукту, як це робиться в світовій практиці.

 

Класифікація загроз безпеки

Під загрозою безпеки розуміють потенційні дії або події, які можуть прямо чи опосередковано принести втрати – привести до розладу, спотворення чи несанкціонованого використання ресурсів мережі, включаючи інформацію, що зберігається, передається або обробляється, а також програмні і апаратні засоби.

Не існує єдиної загальноприйнятої класифікації загроз, хоча існує багато її варіантів. Приведемо перелік тем подібних класифікацій:

- по цілі реалізації;

- по принципу дії на систему;

- по характеру впливу на систему;

- по причині появи помилки захисту;

- по способу дії атаки на об’єкт;

- по об’єкту атаки;

- по використовуваних засобах атаки;

- по стану об’єкту атаки.

Загрози прийнято ділити на випадкові (або ненавмисні) і навмисні. Джерелом перших можуть бути помилки в ормальнее у забезпеченні, виходи з ладу апаратних засобів, неправильні дії користувачів або адміністрації локальної обчислювальної мережі і, так далі. Навмисні загрози, на відміну від випадкових, прагнуть нанести шкоду користувачам (абонентам) локальної обчислювальної мережі і, в свою чергу, діляться на активні і пасивні. Пасивні загрози, як правило, спрямовані на несанкціоноване використання інформаційних ресурсів локальної обчислювальної мережі, не впливаючи при цьому на її функціонування. Нормальне загрозою є, наприклад, спроба отримання інформації, що циркулює в каналах передачі даної локальної обчислювальної мережі, шляхом підслуховування. Активні загрози прагнуть порушити нормальне функціонування локальної обчислювальної мережі шляхом цілеспрямованого впливу на її апаратні, програмні і інформаційні ресурси. До активних загроз відносяться, наприклад, порушення або радіоелектронне заглушення ліній зв’язку локальної обчислювальної мережі, вивід з ладу ЕОМ або її операційної системи, спотворення відомостей в користувацьких базах даних або системної інформації локальної обчислювальної мережі і т.д. Джерелами активних загроз можуть бути безпосередні дії зловмисників, програмні віруси і, так далі.

Антивірусні програми.

Вірус – це спеціально написана, як правило, невелика за розмірами програма, що може записувати свої копії в інші комп’ютерні програми, системну область диска.

Антивіруси – це утиліти, що дозволяють виявляти віруси, лікувати заражені файли і диски, виявляти і відвертати характерні для вірусів дії.

Класифікація вірусів.

Антивірусні програми.

Під безпекою електронної системи розуміють її здатність протидіяти спробам нанести збитки власникам та користувачам систем при появі різноманітних збуджуючих (навмисних і ненавмисних) впливів на неї. Природа впливів може бути різноманітною: спроба проникнення зловмисника, помилки персоналу, стихійні лиха (ураган, пожежа), вихід з ладу окремих ресурсів, як правило, розрізняють внутрішню і зовнішню безпеку. Внутрішня безпека враховує захист від стихійного лиха, від проникнення зловмисника, отримання доступу до носіїв інформації чи виходу системи з ладу. Предметом внутрішньої безпеки є забезпечення надійної і коректної роботи системи, цілісності її програм і даних.

На сьогодні склалися два підходи до забезпечення безпеки електронних систем:

- Фрагментарний підхід, при якому проводиться протидія строго визначеним загрозам при певних умовах (спеціалізовані антивірусні засоби, автономні засоби шифрування, тощо);

- Комплексний підхід, який передбачає створення середовища обробки інформації, яке об’єднує різноманітні (правові, організаційні, процес – технічні) заходи для протидії загрозам.

Комплексний підхід, як правило, використовується для захисту великих систем. Хоча часто і типові програмні засоби містять вбудовані засоби захисту інформації, але цього не цілком достатньо. В цьому випадку необхідно забезпечити виконання наступних заходів:

- організаційні заходи по контролю за персоналом, який має високий рівень повноважень на дії в системі (за програмістами, адміністраторами баз даних мережі і т.д.);

- організаційні та технічні заходи по резервуванню критично важливої інформації;

- організаційні заходи по відновленню працездатності системи у випадку виникнення нештатних ситуацій;

- організаційні та технічні заходи по управлінню доступом в приміщеннях, в яких знаходиться обчислювальна техніка;

- організаційні та технічні заходи по фізичному захисту приміщень, в яких знаходиться обчислювальна техніка і носії даних, від стихійних лих, масових безпорядків і т.д.

 

МІЖНАРОДНІ СТАНДАРТИ БЕЗПЕКИ ІНФОРМАЦІЙНО-ОБЧИСЛЮВАЛЬНИХ СИСТЕМ

В 1985 році Національним центром комп’ютерної безпеки Міністерства оборони США опублікована, так звана «Оранжева книга» («Критерії оцінки достовірності обчислювальних систем Міністерства оборони»). В ній були приведені основні положення, по яких американське відомство оборони визначало ступінь захищеності інформаційно-обчислювальних систем. В ній у систематизованому вигляді наводились основні поняття, рекомендації і класифікація по видах загроз безпеці інформаційних систем і методи захисту від них. В подальшому книга перетворилась в збірку науково-обгрунтованих норм і правил, що описують системний підхід для забезпечення безпеки інформаційних систем і їх елементів, і стала настільною книгою для спеціалістів в галузі захисту інформації. Запропонована в «Оранжевій книзі» методологія по суті стала загальноприйнятою і в тій чи іншій мірі увійшла в національні стандарти.

Системний підхід згідно з «Оранжевою книгою» вимагає:

- прийняття принципових рішень в галузі безпеки на основі поточного стану інформаційної системи;

- прогнозування можливих загроз і аналізу пов’язаного з ними ризику для інформаційної системи;

- планування заходів по запобіганню виникнення критичних ситуацій;

- планування заходів по виходу з критичних ситуацій на випадок, коли вони виникнуть.

Одне з основних понять, введених в «Оранжевій книзі», це політика безпеки. Політика безпеки – це сукупність норм, правил і методик, на основі яких в подальшому будується діяльність інформаційної системи в галузі обробки, зберігання і розподілення критичної інформації. При цьому під інформаційною системою підрозумівається не тільки процес-програмний комплекс, але і обслуговуючий персонал.

Поняття політика безпеки

Політика безпеки формується на основі аналізу поточного стану і перспективи розвитку інформаційної системи, можливих загроз і визначає:

- мету, задачі і пріоритети системи безпеки;

- галузь дії окремих підсистем;

- гарантований мінімальний рівень захисту;

- обов’язки персоналу по забезпеченню захисту;

- санкції за порушення захисту.

Якщо виконання політики безпеки проводиться не в повній мірі або непослідовно, тоді імовірність порушення захисту інформації різко зростає. Під захистом інформації розуміють комплекс заходів, який забезпечує:

- збереження конфіденційності інформації – запобігання ознайомлення з інформацією не вповноважених осіб;

- збереження інформації – запобігання пошкодження чи знищення інформації внаслідок свідомих дій зловмисника, помилок персоналу, стихійного лиха;

- прозорість, тобто наявність системи безпеки не повинна створювати перешкод для нормальної роботи системи.