 |
Защита информации от несанкционированного доступа
|
|
|
|
Защита информации от несанкционированного доступа
Зашита информации (ЗИ) от несанкционированного доступа (НСД) на объектах информатизации (ОИ) представляет собой важную составляющую обеспечения безопасности информации на ОИ. В отличие от других факторов обеспечения безопасности информации, таких как зашита информации от утечки по техническим канатам, несмотря на также законодательно фиксированные требования к ЗИ от НСД информации определённого уровня конфиденциальности. при ЗИ от НСД применяется более творческий подход к построению системы зашиты.
В настоящее время в зависимости от типа ОИ и его структуры для обеспечения ЗИ от НСД могут применяться следующие классы средств зашиты:
• средства аппаратной идентификации:
• средства антивирусной зашиты:
• средства обнаружения вторжений:
• межсетевые экраны:
• программные и программно-аппаратные СЗИ от НСД:
• средства шифрования.
Построение комплекса по ЗИ от НСД на каждом конкретном ОИ начинается с построения модели информационного документооборота ОИ. Проводится изучение информационных потоков на ОИ. определяются риски и основные угрозы информации на всех этапах её хранения, обработки и передаче на ОИ. На основании полученной информации строится матрица доступа к информации, обрабатываемой в ОИ, а также схема информационных потоков. На основании собранных об ОИ сведений строится модель комплекса СЗИ от НСД для исследуемого ОИ.
Чаще всего АРМ в составе ОИ применяются программные или программно-аппаратные СЗИ от НСД. В зависимости от того имеются ли у АРМ в составе ОИ сетевые подключения принимается решение о применении средств межсетевого экранирования, а также средств
|
|
|
• Аккорд;
• Страж;
• Secret net:
• Dallas lock.
Федеральная служба по техническому и экспортному контролю
В связи схем что все эти средства имеют действующие сертификаты соответствия ФСТЭК
России по защите информации на АС ОИ до класса 1Б включительно, положительно или отрицательно оценивать средства можно по двум критериям: удобство в работе для пользователя, удобство и прозрачность настройки.
НСД должно обеспечивать безопасность информации следующими четырьмя основными подсистемами:
1. Подсистема идентификации и аутентификации.
2. Подсистема регистрации и учёта.
3. Подсистема криптографической защиты.
4. Подсистемы обеспечения целостности.
Подсистема идентификации и аутентификации предоставляет и контролирует доступ
Конфиденциальность данных -это статус, предоставленный данным и определяющий требуемую степень их защиты. По существу конфиденциальность информации - это свойство информации быть известной только допущенным и прошедшим проверку (авторизированным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.
Субъект - это активный компонент системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы.
Объект - пассивный компонент системы, хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации.
Процесс построения системы защиты
• анализ возможных угроз АСОИ;
• планирование системы защиты;
• реализация системы защиты;
• сопровождение системы защиты
При проектировании эффективной системы защиты следует учитывать ряд принципов, отображающих основные положения по безопасности информации К числу этих принципов относятся следующие:
• Экономическая эффективность. Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба.
|
|
|
• Минимум привилегий. Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы.
• Простота. Защита тем более эффективна, чем легче пользователю с ней работать.
• Отключаемость защиты. При нормальном функционировании защита не должна отключаться. Только в особых случаях сотрудник со специальными полномочиями может отключить систему защиты.
• Открытость проектирования и функционирования механизмов защиты. Специалисты, имеющие отношение к системе защиты, должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать.
• Всеобщий контроль. Любые исключения из множества контролируемых субъектов и объектов защиты снижают защищенность автоматизированного комплекса обработки информации.
• Независимость системы защиты от субъектов защиты. Лица, занимавшиеся разработкой системы защиты, не должны быть в числе тех, кого эта система будет контролировать.
• Отчетность и подконтрольность. Система защиты должна предоставлять доказательства корректности своей работы.
• Ответственность. Подразумевается личная ответственность лиц, занимающихся обеспечением безопасности информации.
• Изоляция и разделение. Объекты защиты целесообразно разделять на группы таким образом, чтобы нарушение защиты в одной из групп не влияло на безопасность других групп.
• Параметризация. Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора.
• Принцип враждебного окружения. Система защиты должна проектироваться в расчете на враждебное окружение. Разработчики должны исходить из предположения, что пользователи имеют наихудшие намерения, что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты.
• Привлечение человека. Наиболее важные и критические решения должны приниматься человеком.
• Отсутствие излишней информации о существовании механизмов защиты. Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых должна контролироваться.
|
|
|
Результатом этапа планирования является развернутый план защиты АСОИ, содержащий перечень защищаемых компонентов АСОИ и возможных воздействий на них, цель защиты информации в АСОИ, правила обработки информации в АСОИ, обеспечивающие ее защиту от различных воздействий, а также описание планируемой системы защиты информации.
Сущность этапа реализации системы защиты заключается в установке и настройке средств защиты, необходимых для реализации запланированных правил обработки информации.
Заключительный этап сопровождения заключается в контроле работы системы, регистрации происходящих в ней событий, их анализе с целью обнаружения нарушений безопасности, коррекции системы защиты.
|
|
|
