Диплом Мальченко (1198332), страница 6

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 6)

На практике важнейшими являются три аспекта информационной безопасности:

• доступность (возможность за разумное время получить требуемую информационную услугу);

• целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

• конфиденциальность (защита от несанкционированного прочтения).

Нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.

Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:

• аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);

• программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;

• данные, хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;

• персонал - обслуживающий персонал и пользователи.

Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке.

Ниже рассмотрим классификацию каналов НСД, по которым можно осуществить хищение, изменение или уничтожение информации:

Через человека:

• хищение носителей информации;

• чтение информации с экрана или клавиатуры;

• чтение информации из распечатки.

Через программу:

• перехват паролей;

• дешифровка зашифрованной информации;

• копирование информации с носителя.

Через аппаратуру:

• подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;

• перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.

Безопасность любой криптосистемы определяется используемыми криптографическими ключами. В случае ненадежного управления ключами злоумышленник может завладеть ключевой информацией и получить полный доступ ко всей информации в системе или сети.

Различают следующие виды функций управления ключами: генерация, хранение, и распределение ключей.

Способы генерации ключей для симметричных и асимметричных криптосистем различны. Для генерации ключей симметричных криптосистем используются аппаратные и программные средства генерации случайных чисел. Генерация ключей для асимметричных криптосистем более сложна, так как ключи должны обладать определенными математическими свойствами. Подробнее на этом вопросе остановимся при изучении симметричных и асимметричных криптосистем.

Функция хранения предполагает организацию безопасного хранения, учета и удаления ключевой информации. Для обеспечения безопасного хранения ключей применяют их шифрование с помощью других ключей. Такой подход приводит к концепции иерархии ключей. В иерархию ключей обычно входит главный ключ (т.е. мастер-ключ), ключ шифрования ключей и ключ шифрования данных. Следует отметить, что генерация и хранение мастер-ключа является критическим вопросом криптозащиты.

Распределение - самый ответственный процесс в управлении ключами. Этот процесс должен гарантировать скрытность распределяемых ключей, а также быть оперативным и точным. Между пользователями сети ключи распределяют двумя способами:

• с помощью прямого обмена сеансовыми ключами;

• используя один или несколько центров распределения ключей.

Практически во всех видах деятельности в частности КГБУЗ «Дальнереченская ЦГБ» информационные и телекоммуникационные технологии и информационная безопасность играют решающую роль. Их широкое внедрение в автоматизированные и информационно-управляющие системы, корпоративные и вычислительные сети различного назначения значительно повышает эффективность холдинга и создает ощутимые конкурентные преимущества. При этом существует риск, что нарушение таких характеристик информации, как конфиденциальность, целостность, доступность, достоверность, может привести к неприемлемому ущербу или катастрофическим последствиям.

Решению проблемы защиты информации и информационной безопасности КГБУЗ «Дальнереченская ЦГБ» корпоративных информационных систем и сетей компании уделяется немалое внимание. В данный момент система обеспечения информационной безопасности (СОИБ) КГБУЗ «Дальнереченская ЦГБ» представляет собой сложную организационно-техническую систему, предназначенную для обеспечения защиты информации и информационной инфраструктуры от воздействий, которые могут нанести неприемлемый ущерб КГБУЗ «Дальнереченская ЦГБ» вследствие утраты конфиденциальности, целостности и доступности информации.

К основным объектам защиты информации в КГБУЗ «Дальнереченская ЦГБ» относятся:

• программно-технические комплексы и система управления единой магистральной цифровой сетью связи (ЕМЦСС);

• системы управления автоматических телефонных станций оперативно-технологической и общетехнологической сетей;

• программно-технические комплексы и система управления сети передачи данных;

• отдельные автоматизированные рабочие места (АРМ) и локальные вычислительные сети (ЛВС), в том числе задействованные в технологических процессах;

• серверные сегменты информационных систем и автоматизированных систем управления; программно-технические комплексы поддержания специализированных баз данных;

• системы документооборота.

Главными целями создания и функционирования СОИБ являются обеспечение защиты информации, внедрение и эксплуатация технических подсистем, комплексов и средств обеспечения информационной безопасности, обеспечение доступности соответствующих категорий информации для пользователей КГБУЗ «Дальнереченская ЦГБ», других организаций и частных лиц, управление информационной инфраструктурой с точки зрения недопущения непроизводственного и непроизводительного использования ее ресурсов, а также аудит уровня информационной безопасности КГБУЗ «Дальнереченская ЦГБ» .

В составе существующей СОИБ выделяются три составляющие - организационная, нормативно-правовая и техническая.

Разработка нормативной базы по информационной безопасности осуществляется на основе действующего законодательства Российской Федерации (ФЗ «О персональных данных», ГОСТ 51275-99, ГОСТ Р 51624-2000, ГОСТ Р 51583-2000 и др.), в том числе нормативных актов, гармонизированных с международными стандартами (например, ИСО/МЭК 15408 - 2002 и др.), а также нормативных актов ФСТЭК и ФСБ России.

Среди ключевых направлений формирования нормативной базы следует выделить разработку: комплекса политик информационной безопасности различного уровня; профилей защиты автоматизированных систем (АС) КГБУЗ «Дальнереченская ЦГБ» и отдельных объектов информатизации; документов, обеспечивающих соблюдение режима защиты информации, которая составляет коммерческую тайну; регламентов взаимодействия различных информационных систем, в том числе принадлежащих внешним пользователям; организационно-методических документов, регламентирующих использование информационных ресурсов.

В качестве примеров нормативных актов, действующих в КГБУЗ «Дальнереченская ЦГБ, можно привести «Перечень сведений, составляющих коммерческую тайну КГБУЗ «Дальнереченская ЦГБ», «Инструкцию о порядке обращения с информацией, составляющей коммерческую тайну КГБУЗ «Дальнереченская ЦГБ» распоряжение «Об организации работ по предотвращению записи, хранения и распространения информации и программных продуктов непроизводственного характера» с «Примерным перечнем категорий информации и программных продуктов» и «Примерным порядком организации создания корпоративных WEB-сайтов, FTP-серверов, конференций», «Порядок подключения пользователей к информационным ресурсам, КГБУЗ «Дальнереченская ЦГБ» «О внедрении электронной цифровой подписи в КГБУЗ «Дальнереченская ЦГБ» и др.

Большинство информационных систем компании имеют клиент-серверную архитектуру, при этом в ГВЦ и в ИВЦ дорог сосредоточены базы данных и серверы приложений, а клиенты, помимо пользователей ГВЦ и ИВЦ, находятся в линейных подразделениях и на предприятии. В процессе формирования технической составляющей СОИБ был реализован и реализуется ряд базовых принципов ее построения. Одним из наиболее важных принципов является функциональная интеграция специализированных программно-технических комплексов защиты с программно-техническими комплексами передачи и обработки информации, имеющими собственные встроенные средства защиты с мощной функциональностью (операционные системы рабочих станций и серверов, активное сетевое оборудование). Функциональная интеграция позволяет достигать высокого уровня защищенности при минимизации затрат на внедрение. В качестве положительных примеров следует упомянуть технологии контроля доступа к ресурсам сети передачи данных, информационным ресурсам системы ЭТРАН, к АСУ «Экспресс-3», ЕК АСУ ФР, к ряду АСУ дорожными центрами управления и станциями, к системе электронной коммерции. Активное совместное использование специализированных и встроенных средств защиты в совокупности с подсистемой антивирусной защиты позволяет предотвращать угрозы распространения шпионских программ или разрушающих программных средств (вирусов). Еще одним базовым принципом является сегментирование сети по территориально-производственной принадлежности с разделением функций и ролей. Существенное сокращение затрат на внедрение СОИБ обеспечивает базовый принцип защиты инфосистем с использованием типовых комплексов технических средств защиты информации.

В настоящее время усилиями сотрудниками внедрены и успешно функционируют комплексы обеспечения информационной безопасности основных объектов защиты, перечисленных ранее. Основу этих комплексов составляют типовые модули, включающие в свой состав средства межсетевого экранирования и фильтрации сообщений, обнаружения вторжений, ограничения и разграничения доступа, шифрования, идентификации и аутентификации.

Большое внимание уделяется созданию системы управления информационной безопасностью, предназначенной для категорирования информации компании, формирования требований к уровню безопасности информации в информационных и телекоммуникационных системах, мониторинга информационной безопасности, план.

Основными направлениями работ по развитию и совершенствованию системы защиты информации, не составляющей государственную тайну являются:

1. Создание эффективной системы управления ИБ Компании;

2. Своевременное и корректное использование эксплуатируемых средств ИБ, в том числе штатных, входящих в состав операционных систем;

3. Разработка нормативно-методических документов по организации защиты информации, не составляющей государственную тайну;

4. Оснащение, обновление и поддержание в работоспособном состоянии:

- сертифицированных средств контроля защищенности ЛВС и программно-технических комплексов КГБУЗ «Дальнереченская ЦГБ»;

- программно-технических комплексов обнаружения вторжений в информационные системы и телекоммуникационные сети;

- средств защиты информации от несанкционированного доступа на серверных частях ЛВС и информационных технологий;

- средств взаимодействия пользователей в рамках защищенного сегмента почтовой системы;

1. Полномасштабное использование и регулярное обновление лицензий на средства защиты от разрушающих программных воздействий;

2. Организация работы и эксплуатация центров поддержки средств защиты от разрушающих программных воздействий;

3. Оснащение, обновление и поддержание в работоспособном состоянии следующих средств защиты информации:

- магистральные и региональные узлы СПД, точки подключения СПД к информационным системам и сетям других государств;

- серверные сегменты информационных технологий;

- АРМ информационных систем;

- ЛВС систем управления перевозочным процессом и сбытом грузовых перевозок;

- ЛВС АСУ финансово-хозяйственной деятельностью и трудовыми ресурсами;

- ЛВС АСУ энергетическим комплексом;

- ЛВС АСУ сбытом и организацией пассажирских перевозок;

- точки подключения информационных систем железных дорог иностранных государств и сетей общего пользования;

- система управления и программно-технические комплексы СПД;

- система управления и программно-технические комплексы ЕМЦСС;

- системы управления автоматических телефонных станций общетехнологической и оперативно-технологической сетей.

Функционирование СУИБ КГБУЗ «Дальнереченская ЦГБ» должно обеспечивать:

1. выполнение в КГБУЗ «Дальнереченская ЦГБ» требований законодательства Российской Федерации в сфере защиты информации;

2. выявление нарушений безопасности критически важных АИТС и информационных активов КГБУЗ «Дальнереченская ЦГБ». Структура системы управления ИБ КГБУЗ «Дальнереченская ЦГБ» включает:

- организационную составляющую (элементы организационной структуры управления ИБ, нормативно-методическое и информационно-справочное обеспечение управления ИБ, организационно-распорядительную документацию);

- техническую составляющую (элементы систем обеспечения ИБ АИТС КГБУЗ «Дальнереченская ЦГБ», в том числе проектную и эксплуатационную документацию, инструментальное обеспечение управления ИБ).

Характеристики

Список файлов ВКР