В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 25
Текст из файла (страница 25)
Организационные мероприятия и процедуры, используемые для решения проблемы безопасности переработки информации, решаются на всех этапах проектирования и в процессе эксплуатации АИТ. Существенное значение при проектировании придается пред- проектному обследованию объекта. На этой стадии: ° устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой АИТ, оценивается уровень конфиденциальности и объемы; 108 ° определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.; ° анализируется возможность использования имеющихся на рынке сертифицированных средств зашиты процессов переработки информации; ° опрелеляется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимолействия между собой и со службой безопасности; ° опрелеляются мероприятия по обеспечению режима секретности на сталии разработки.
Среди организационных мероприятий по обеспечению безопасности переработки информации важное место занимает охрана объекта, на котором расположена защищаемая АИТ (территория здания, помещения, хранилища информационных носителей). При этом устанавливаются соответствующие посты охраны, технические средства, предотвращающие или существенно затрудняющие хищение средств вычислительной техники, информационных носителей, а также исключающие несанкционированный доступ к АИТ и линиям связи. Функционирование системы зашиты переработки информации от несанкционированного доступа как комплекса программно- технических средств и организационных (процелурных) решений предусматривает: ° учет, хранение и вылачу пользователям информационных носителей, паролей, ключей; ° ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа); ° оперативный контроль за функционированием систем зашиты секретной информации; ° контроль соответствия общесистемной программной среды эталону; ° приемку включаемых в АИТ новых программных средств; ° контроль за ходом технологического процесса обработки финансово-кредитной информации путем регистрации анализа действий пользователей; ° сигнализацию опасных событий и т.д.
Следует отметить, что без наллежашей организационной поддержки программно-технических средств защиты переработки информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией процедур в должной мере не решить проблему обеспечения безопасности переработки информации, какими бы совершенными эти программно-технические средства не были. 109 Системы зашиты процессов переработки информации в АИТ основываются на следующих принципах: ° комплексный подход к построению системы защиты при ведущей роли организационных мероприятий, означающий оптимальное сочетание программно-аппаратных средств и организационных мер зашиты и подтвержденный практикой создания отечественных и зарубежных систем защиты; ° разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки„т.е.
предоставление пользователям минимума строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации; ° полнота контроля и регистрации попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования„а также невозможность совершения любой операции обработки информации в АИТ без ее предварительной регистрации; ° обеспечение надежности системы защиты, т.е.
невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала; ° обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты; ° «прозрачность» системы защиты процессов переработки информации для общего, прикладного программного обеспечения и пользователей АИТ; ° экономическая целесообразность использования системы защиты, выражающаяся в том, что стоимость разработки и эксплуатации систем защиты обработки информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИТ без системы зашиты. Все методы и средства обеспечения безопасности процессов переработки информации представлены на рис. 3.3.
Они могут быть формальными и неформальными. Рассмотрим основное содержание представленных средств и методов защиты процессов переработки информации, которые составляют основу механизмов зашиты. Препятствие — метод физического преграждення пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.). Управление доступом — метод защиты процессов переработки информации регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, 110 Рис.
3.3. Методы (а) и средства (б) обеспечения безопасности процессов переработки информации программных и технических средств). Управление доступом включает в себя следующие функции защиты: ° идентификация пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора); ~ опознание (установление поллинности) объекта или субъекта по предъявленному им илентификатору; ° проверка полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту); ° разрешение и создание условий работы в пределах установленного регламента; ° регистрация (протоколирование) обращений к защищаемым ресурсам; ° реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий. 111 Маскировка — метод зашиты процессов переработки информации путем ее криптографического закрытия.
Этот метод зашиты широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным. Регламентация — метод защиты процессов переработки информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемых процессов обработки информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
Принуждение — такой метод защиты процессов переработки информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемых процессов обработки информации под угрозой материальной, административной или уголовной ответственности. Побуждение — такой метод защиты процессов переработки информации, который побуждает пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных). Рассмотренные методы обеспечения безопасности процессов переработки информации реализуются на практике за счет применения различных средств защиты, таких как технические, программные, организационные, законодательные и морально-этические. Средства обеспечения безопасности процессов переработки информации„используемые для создания механизма зашиты, подразделяются на формальные (выполняют защитные функции по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные (определяются целенаправленной деятельностью человека либо регламентируют эту деятельность).
К формальным средствам защиты относятся следующие: е технические, которые реализуются в виде электрических, электромеханических и электронных устройств. Технические средства зашиты, в свою очередь, подразделяются на физические и аппаратные. Физические средства защиты реализуются в виде автономных устройств и систем (например, замки на дверях, за которыми размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.
Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу; ° программные, которые представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты процессов обработки информации. 1! 2 К неформальным средствам защиты относятся следующие: ° организационные, которые представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения зашиты обработки информации.
Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация); ° законодательные, которые определяются законодательными актами страны, регламентирующими правила пользования, обработки и передачи информации ограниченного доступа и устанавливающими меры ответственности за нарушение этих правил; ° морально-этические, которые реализуются в виде всевозможных норм, сложившихся традиционно или складывающихся по мере распространения вычислительной техники и средств связи в обществе.
Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их обычно ведет к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциаций пользователей ЭВМ США. Для реализации мер безопасности используются различные механизмы шифрования (криптографии). Криптография — это наука об обеспечении секретности или аутентичности (подлинности) передаваемых сообщений.