Оценка рисков нарушения безопасности

Расходы на систему защиты информации необходимо сопоставить и привести в соответствие с ценностью защищаемой информации и других информационных ресурсов, подвергающихся риску, а также с ущербом, который может быть нанесен организации из-за сбоев в системе защиты.

Для оценки рисков необходимо систематически рассматривать следующие аспекты:

а) ущерб, который может нанести деятельности организации серьезное нарушение информационной безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации;

б) реальная вероятность такого нарушения защиты в свете превалирующих угроз и средств контроля.

Ущерб и затраты на восстановление от повреждения, модификации и уничтожения информации напрямую зависит от временного периода, за который были уничтожены, повреждены или модифицированы данные. Чем больше временной период, тем больше ущерб и затраты на восстановление данных. Для минимизации ущерба и затрат на восстановление необходимо осуществлять резервное копирование базы данных.

 

13. Уровни обеспечения режима информационной безопасности

Административный уровень ИБ

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.

Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство компании должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов, а также назначить ответственных за разработку, внедрение и сопровождение системы безопасности. Служба информационной безопасности ОАО «Н-ский аэропорт» состоит из 3 человек, которые отвечают за разработку, внедрение и совершенствование системы безопасности.

С практической точки зрения политику безопасности рассматривается на трех уровнях детализации. К верхнему уровню отнесятся решения, затрагивающие организацию в целом. Они носят весьма общий характер и исходят от руководства организации. Список решений этого уровня включает в себя следующие элементы:

· решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;

· формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

· обеспечение базы для соблюдения законов и правил;

· формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Так как компания отвечает за поддержание критически важной информации отделов ОАО «Н-ский аэропорт», то на первом плане стоит задача уменьшения числа потерь, повреждений или искажений данных.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Для обеспечения определенной степени исполнительности персонала выработана система поощрений и наказаний.

 

Организационный уровень ИБ

К организационным средствам защиты отнесятся организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы ИС и системы защиты на всех этапах их жизненного цикла. При этом организационные мероприятия играют двоякую роль в механизме защиты: с одной стороны, позволяют полностью или частично перекрывать значительную часть каналов утечки информации, а с другой – обеспечивают объединение всех используемых в ИС средств в целостный механизм защиты.

Организационные меры защиты базируются на законодательных и нормативных документах по безопасности информации. Они охватывают все основные пути сохранения информационных ресурсов и включают:

· ограничение физического доступа к объектам ИС и реализацию режимных мер;

· ограничение возможности перехвата информации вследствие существования физических полей;

· ограничение доступа к информационным ресурсам и другим элементам ИС путем установления правил разграничения доступа;

· создание твердых копий важных с точки зрения утраты массивов данных;

· проведение профилактических и других мер от внедрения вирусов.

По содержанию все множество организационных мероприятий можно условно разделить на следующие группы.

Мероприятия, осуществляемые при создании ИС: учет требований защиты при разработке общего проекта системы и ее структурных элементов, при строительстве или переоборудовании помещений, при разработке математического, программного, информационного или лингвистического обеспечений, монтаже и наладке оборудования, испытаниях и приемке системы.

Мероприятия, осуществляемые в процессе эксплуатации ИС: организация пропускного режима, организация технологии автоматизированной обработки информации, организация работы в сменах ВЦ, распределение реквизитов разграничения доступа (паролей, полномочий и т.д.), организация ведения протоколов, контроль выполнения требований служебных инструкций.

Мероприятия общего характера: учет требований защиты при подборе и подготовке кадров, организация плановых и превентивных проверок механизма защиты, планирование всех мероприятий по защите информации, обучение персонала, проведение занятий с привлечением ведущих организаций страны, участие в семинарах и конференциях по проблемам безопасности информации и т.п.

 

Технический уровень ИБ

Технический уровень ИБ делится на аппаратный и программный.

Аппаратными средствами защиты называются различные электронные и электронно-механические устройства, которые включаются в состав технических средств ИС и выполняют самостоятельно или в комплексе с другими средствами некоторые функции защиты.

Аппаратные средства защиты

К настоящему времени применяется значительное число различных аппаратных средств, причем они могут включаться практически во все устройства ИС: терминалы пользователей, устройства группового ввода-вывода данных, центральные процессоры, внешние запоминающие устройства, другое периферийное оборудование. Так, например, в терминалах пользователей наибольшее распространение получили устройства, предназначенные для предупреждения несанкционированного включения терминала в работу (различного рода замки и блокираторы), обеспечения идентификации терминала (схемы генерирования идентифицирующего кода) и идентификации пользователя (магнитные индивидуальные карточки, дактилоскопические и акустические устройства опознавания и т.п.).

Самостоятельную группу составляют аппаратные средства шифрования данных. Современные устройства шифрования могут сопрягаться с помощью стандартных интерфейсов практически с любым устройством ИС, обеспечивая как шифрование, так и дешифрование данных.

 

Программные средства защиты

Программными средствами защиты называются специальные программы, которые включаются в состав программного обеспечения АСОД специально для осуществления функций защиты. Программные средства являются важнейшей и непременной частью механизма защиты современных АСОД, что обусловлено такими их достоинствами, как универсальность, простота реализации, гибкость, практически неограниченные возможности изменения и развития. К недостаткам программных средств относится необходимость расходования ресурсов процессора на их функционирование и возможность несанкционированного (злоумышленного) изменения, а также тот факт, что программные средства защиты можно реализовать только в тех структурных элементах АСОД, в составе которых имеется процессор, хотя функции защиты программными средствами могут осуществляться и в интересах других структурных элементов. Поэтому программные средства защиты применяются в центральных процессорах, устройствах группового управления вводом-выводом данных, а также в аппаратуре связи в тех случаях, когда в их составе имеются процессоры.

Известные на сегодняшний день программы защиты в соответствии с выполняемыми ими функциями, можно разделить на следующие группы:

· программы идентификации;

· программы регулирования работы (технических средств, пользователей, функциональных задач, элементов баз данных и т.д.);

· программы шифрования защищаемых данных;

· программы защиты программ (операционных систем, систем управления базами данных, программ пользователей и др.);

· вспомогательные программы (уничтожение остаточной информации, формирование грифа секретности выдаваемых документов, ведение регистрационных журналов, имитация работы с нарушителем, тестовый контроль механизма защиты и некоторые другие).