Организация безопасности общих данных

Содержание.

Введение………………………………………………………………………….3

1. Определение, цели и механизмы информационной безопасности………..4

2. Наиболее распространенные угрозы………………………………………..6

3. Управленческие меры обеспечения информационной безопасности….…8

4. Криптографическая защита данных……………………………….……….11

Заключение……………………………………………………………………..13

Список литературы……………………………………………………….…....14

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение.

Говоря об информационной безопасности, в настоящее время  имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий". Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.

 

 

 

 

 

 

 

 

 

 

 

 

1. Определение, цели и механизмы информационной безопасности.

Информационная безопасность — это комплекс мероприятий, обеспечивающий для охватываемой им информации следующие  факторы: 
- конфиденциальность — возможность ознакомится с информацией (именно с данными или сведениями, несущими смысловую нагрузку, а не с последовательностью бит их представляющих) имеют в своем распоряжении только те лица, кто владеет соответствующими полномочиями; 
- целостность — возможность внести изменение в информацию (опять речь идет о смысловом выражении) должны иметь только те лица, кто на это уполномочен; 
- доступность — возможность получения авторизованного доступа к информации со стороны уполномоченных лиц в соответствующий санкционированный для работы период времени.

Это не полный список факторов, выделены именно эти три понятия, поскольку они обычно встречаются практически во всех определениях информационной безопасности и не вызывают споров. Необходимо включить дополнительные факторы и понять различие между ними, а именно: 
- учет, т. е. все значимые действия лица, выполняемые им в рамках, контролируемых системой безопасности (даже если они не выходят за рамки определенных для этого лица правил), должны быть зафиксированы и проанализированы; 
- неотрекаемость или апеллируемость (характерно для организаций, в которых функционирует обмен электронными документами с юридической, финансовой или другой значимостью), т. е. лицо, направившее информацию другому лицу, не может отречься от факта направления информации, а лицо, получившее информацию, не может отречься от факта ее получения. 
Отличие между двумя этими факторами, возможно, видимое не сразу, заключается в следующем. Учет обычно ведется средствами электронных регистрационных журналов, которые используются в основном только уполномоченными службами, и его основное отличие — в регулярности анализа этих журналов. Апеллируемость обеспечивается средствами криптографии (электронно-цифровой подписью), и ее характерная черта — возможность использования в качестве доказательного материала во внешних инстанциях, например в суде, при наличии соответствующего законодательства. 
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2.Наиболее распространенные угрозы.

Прежде чем переходить к рассмотрению средств обеспечения  информационной безопасности, рассмотрим самые распространенные угрозы, которым подвержены современные компьютерные системы. Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности. Само понятие "угроза" в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организации может просто не существовать угроз конфиденциальности - вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ считается серьезной опасностью. В общем случае проблему информационной безопасности следует рассматривать и с учетом опасности нелегального доступа.

Самыми частыми и  самыми опасными, с точки зрения размера ущерба, являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки являются угрозами: неправильно введенные данные, ошибка в программе, а иногда они создают слабости, которыми могут воспользоваться злоумышленники - таковы обычно ошибки администрирования. Согласно исследованиям, 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и невнимательностью. Очевидно, самым радикальным способом борьбы с непреднамеренными ошибками является максимальная автоматизация и строгий контроль за правильностью совершаемых действий. На втором месте по размерам ущерба располагаются кражи и подлоги. Весьма опасны так называемые "обиженные сотрудники" - действующие и бывшие. Как правило, их действиями руководит желание нанести вред организации-обидчику, например:   - повредить оборудование;- встроить логическую бомбу, которая со временем разрушит программы и/или данные;  - ввести неверные данные;  - удалить данные;  - изменить данные.

Угрозы, исходящие от окружающей среды, к сожалению, отличаются большим разнообразием. В первую очередь, следует выделить нарушения  инфраструктуры: аварии электропитания, временное отсутствие связи, перебои  с водоснабжением, гражданские беспорядки и т. п. Опасны, разумеется, стихийные бедствия и техногенные катастрофы. Принято считать, что на долю огня, воды и аналогичных "врагов", среди которых самый опасный - низкое качество электропитания, приходится 13% потерь, нанесенных информационным системам.

Таковы основные угрозы, на долю которых приходится львиная  доля урона, наносимого информационным системам. Рассмотрим теперь иерархию защитных мероприятий, способных противостоять  угрозам.

 

 

 

 

 

 

 

 

 

 

 

 

3. Управленческие меры обеспечения информационной безопасности.

Главная цель мер, предпринимаемых  на управленческом уровне, - формирование программы работ в области  информационной безопасности и обеспечение  ее выполнения. В задачу управления входит выделение необходимых ресурсов и контроль состояния дел. Основой программы является многоуровневая политика безопасности, отражающая подход организации к защите своих информационных активов. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Для политики уровня руководства организации  цели в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание  критически важных баз данных, на первом плане может стоять уменьшение случаев потерь, повреждений или искажений данных. Для организации, занимающейся продажами, вероятно, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь заботится о защите от несанкционированного доступа конфиденциальности.

На верхний уровень выносится  управление защитными ресурсами  и координация использования  этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров. Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь. В этом смысле политика является основой подотчетности персонала.

К среднему уровню можно  отнести вопросы, касающиеся отдельных  аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов - отношение к передовым, но еще недостаточно проверенным технологиям: доступ к Internet (как сочетать свободу получения информации с защитой от внешних угроз? ), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т. д.

Политика обеспечения  информационной безопасности на среднем  уровне должна освещать следующие темы:

- Область применения. Следует специфицировать, где,  когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли организаций-субподрядчиков политика отношения к неофициальному программному обеспечению? Затрагивает ли она работников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

- Позиция организации.  Продолжая пример с неофициальным  программным обеспечением, можно  представить себе позиции полного  запрета, выработки процедуры  приемки подобного обеспечения  и т. п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще, стиль документов по политике безопасности, как и перечень этих документов, может быть существенно различным для разных организаций.

- Роли и обязанности.  В "политический" документ необходимо  включить информацию о должностных  лицах, отвечающих за проведение  политики безопасности в жизнь.  Например, если для использования  работником неофициального программного  обеспечения нужно официальное разрешение, то должно быть известно, у кого и как его следует получать. Если должны проверяться дискеты, принесенные с других компьютеров, необходимо описать процедуру проверки. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

- Законопослушность.  Политика должна содержать общее  описание запрещенных действий  и наказаний за них.

- Точки контакта. Должно  быть известно, куда следует обращаться  за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" является должностное лицо, и это не зависит от того, какой конкретный человек занимает в данный момент данный пост.

Политика безопасности нижнего уровня относится к конкретным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть гораздо детальнее. Есть много вещей, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти вещи настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне.

 

 

 

 

 

4. Криптографическая защита данных.

То, что информация имеет  ценность, люди осознали очень давно  — недаром переписка сильных  мира сего издавна была объектом пристального внимания их недругов и друзей. Ее производят, хранят, транспортируют, продают и  покупают, а значит — воруют и подделывают — и, следовательно, ее необходимо защищать. Современное общество все в большей степени становится информационно-обусловленным, успех любого вида деятельности все сильней зависит от обладания определенными сведениями и от отсутствия их у конкурентов. И чем сильней проявляется указанный эффект, тем больше потенциальные убытки от злоупотреблений в информационной сфере, и тем больше потребность в защите информации. Защита данных основывается на двух основных принципах. Первый из них — это защита информации от утери или выхода из строя носителя данных, второй — ограничение доступа. Стандартные решения в области защиты информации предполагают резервное копирование с последующим созданием электронного архива, а также программную защиту файлов от взлома. Технологические решения для защиты информации при помощи резервного копирования предполагают мгновенное и постоянное копирование информации на дисковый массив. Через заданное время с дискового пространства компьютера вся информация переносятся на съемный диск, ленточный накопитель или другое внешнее записывающее устройство, которое формирует электронный архив, который обеспечивает хранение документов. Практически все программные продукты и аппаратные комплексы такого рода обладают функцией восстановления данных в случае поломки основного диска или других форс-мажорных обстоятельств. Защита информации осуществляется методом «прозрачного» шифрования с помощью стойких алгоритмов шифрования. Зашифровать можно отдельные жесткие диски сервера, любые дисковые массивы (внешние и внутренние, программные и аппаратные RAID-массивы), а также съёмные диски (например, подключаемые к серверу для резервного копирования). При чтении данных с диска происходит их расшифрование, при записи на диск — зашифрование. Находящиеся на диске данные всегда зашифрованы, что делает доступ к ним невозможным для злоумышленника даже в случае кражи или изъятия как отдельного диска, так и всего сервера. Для мгновенного блокирования доступа к зашифрованным данным в экстренных ситуациях серверу можно подать сигнал «тревога», например, с клавиатуры любой станции сети, от «красной кнопки» (например, спрятанной под столом охранника или секретаря), от радио-брелока, от охранной сигнализации (датчиков открывания дверей, окон, движения и пр.), от кодового замка (при входе в помещение под принуждением). При получении сервером сигнала «тревога» доступ к данным на зашифрованных дисках блокируется, из памяти сервера удаляются ключи шифрования. Сами же данные остаются на дисках, но они находятся в зашифрованном виде, что равносильно мгновенному «уничтожению» информации.