Professional Documents
Culture Documents
6. Управління інформаційною безпекою
6. Управління інформаційною безпекою
Міжнародні
критерії оцінки безпеки інформаційних ресурсів.
Вступ
Сучасний етап розвитку інформаційної безпеки потребує комплексного підходу до розробки та
впровадження методів і засобів захисту ресурсів інформаційно-комунікаційних систем та мереж (ІКСМ), як на
технічному, так і на організаційному рівні, тобто реалізації комплексного процесу. Комплексний процес
організації безпеки в першу чергу повинен включати заходи управління інформаційною безпекою. Зазначений
процес забезпечує механізми та методи, які дозволяють реалізувати комплексну політику інформаційної
безпеки організації ІКСМ. Інформаційна безпека – реалізація процесу захисту інформації від широкого
діапазону загроз, що здійснюється з метою забезпечення ефективності та надійності функціонування ІКСМ.
Постановка задачі
Міжнародні стандарти серії ISO (ISO/IEC 17799, ISO 27001) є основоположними в
сфері управління інформаційною безпекою. Вони представляють собою модель системи менеджменту, яка
визначає загальну організацію процесів, класифікацію даних, системи доступу, напрямки планування та
удосконалення системи безпеки, відповідальність співробітників і оцінку ризику.
Основна ідея стандарту – забезпечення надійного захисту інформаційних ресурсів ІКСМ та забезпечити
організацію ефективного доступу до даних й процесу їх обробки згідно визначених послуг. Створити систему
менеджменту інформаційної безпеки, мета якої скорочення матеріальних втрат, зв'язаних з порушенням
безперервності функціонування.
Заходи управління інформаційної безпеки
Сучасні ІКСМ уразливі до ряду мережних загроз, які можуть бути результатом реалізації
несанкціонованого доступу, а також розкриття, викривлення або модифікації інформації. Щоб захистити
сучасні інформаційні ресурси та послуги від загроз, необхідно застосовувати відповідні заходи управління
безпекою.
Під управлінням інформаційної безпеки будемо розуміти циклічний процес, що включає: постановку
задачі захисту інформації; збір та аналіз даних про стан інформаційної безпеки в ІКСМ; оцінку інформаційних
ризиків; планування заходів з обробки ризиків; реалізацію і впровадження відповідних механізмів контролю;
розподіл ролей і відповідальності; політику безпеки; навчання та мотивацію персоналу, оперативну роботу по
здійсненню захисних заходів; моніторинг (аудит) функціонування механізмів контролю, оцінку їх ефективності
та надійності. Процес впровадження системи управління інформаційної безпеки включає оцінку поточного
стану інформаційного забезпечення захисту інформації ІКСМ, формування комплексу заходів щодо
забезпечення оптимального рівня на основі оцінки ризиків.
Після ідентифікації вимог безпеки, варто вибирати й застосовувати заходи управління, таким чином, щоб
забезпечувати впевненість у зменшені ризиків. Засоби управління можуть бути обрані із стандартів або з безлічі
інших документів та заходів управління визначених для даного класу систем, або можуть бути розроблені, щоб
задовольнити потреби компанії відповідно до обраної політики безпеки.
Згідно з міжнародним стандартом ISO 27001, система управління інформаційною безпекою – це «частина
загальної системи управління організації, яка заснована на оцінці ризиків, яка створює, реалізує, експлуатує,
здійснює моніторинг, перегляд, супровід і вдосконалення загальної інформаційної безпеки».
У відповідності з вимогами ISO/IEC 27001 система управління інформаційної безпеки повинна містити
такі етапи [1,2] :
1 етап - планування - фаза створення, створення переліку інформації, оцінки ризиків і вибору заходів та
механізмів захисту;
2 етап - дія - етап реалізації та впровадження відповідних заходів;
3 етап - перевірка - фаза оцінки ефективності та надійності функціонування створеної системи.
Проведення внутрішнього аудиту системи, виявлення недоліків.
4 етап - удосконалення - виконання коригувальних дій по покращенню функціонуванню системи;
При створенні системи управління інформаційної безпеки потрібно керуватися відповідними заходами.
Заходи управління варто вибирати, ґрунтуючись на відношенні вартості реалізації послуг та впровадження
систем безпеки й зниження ризиків і можливих втрат, якщо відбудеться порушення безпеки ІКСМ.
Деякі із заходів управління в стандартах та нормативних документах, можуть розглядатися, як керівні
принципи для управління інформаційною безпекою й можуть бути застосовні для організацій політики безпеки.
Розглянемо заходи управління інформаційної безпеки із законодавчої точки зору та узагальнені для сучасних
ІКСМ [3].
Якщо розглядати заходи управління із законодавчої точки зору, то вони включають:
– захист даних і таємність особистої інформації;
– охорону інформаційних ресурсів організації;
– права на інтелектуальну власність.
Заходи управління сучасних ІКСМ включають :
документи, що стосується політики інформаційної безпеки ;
розподіл обов'язків, пов'язаних з інформаційною безпекою;
структура підрозділів й навчання, пов'язані з інформаційною безпекою ;
повідомлення про інциденти, пов'язаних з безпекою ;
управління безперервністю.
Слід зазначити, що: хоча всі заходи управління в стандартах та нормативних документах є важливими,
але застосування якого-небудь засобу управління повинне відповідати ризикам та можливим загрозам даної
ІКСМ.
В загальному випадку система управління безпекою повинна включати (рис.1) :
аутентифікацію (користувачів, даних, додатків, послуг, тощо);
авторизацію (авторизований перелік цін, ключових торговельних документів, партнерів,
користувачів, керівництва);
аудит інформаційних ресурсів та послуг.
Очевидно, що для реалізації ефективного управління безпекою в рамках АС потрібне забезпечення нікого
однакового програмного інтерфейсу взаємодії засобів захисту (тут можна провести аналогію з Microsoft DirectX
- стандартним інтерфейсом роботи з різнорідними апаратними засобами мультимедіа).
Оскільки даний інтерфейс повинен забезпечувати можливість однакового взаємодії засобів захисту різних
типів (СУБД, міжмережевих екранів, антивірусів і т.п.), то він повинен надавати ряд загальних операцій
управління цими коштами, таких як включення і відключення, налаштування параметрів реєстрації, збір
реєстраційної інформації , управління ключами шифрування і т.п. Зрозуміло, подібний набір операцій не
дозволяє використовувати більшу частину можливостей засобів захисту через їх різнорідності.Тому інтерфейс
повинен також передбачати набори операцій, специфічних для кожного типу засобів захисту (наприклад, для
антивірусів - настройка параметрів оновлення антивірусних баз даних, для міжмережевих екранів - настройка
конфігурації мережі і т.п.). Також для більш повного використання можливостей конкретних засобів захисту
має сенс передбачити механізм, що дозволяє виконувати операції, властиві тільки цим коштам. Застосування
такого механізму, з одного боку, потребують більш складних (і менш універсальних) алгоритмів управління
засобами захисту, але, з іншого боку, дозволить підвищити (можливо, значно) захищеність інформації в АС.
Таким чином, при проектуванні захищеної АС, що використовує подібний інтерфейс, необхідно:
• Визначити типи засобів захисту, які використовуються в АС;
• Виділити загальні операції управління всіма засобами захисту, які використовуються в АС;
• Виділити операції управління, характерні для окремих типів засобів захисту;
• Виділити інші операції, характерні для конкретних засобів захисту.
Велику роль при проектуванні захищених АС відіграє також організація адміністрування засобів захисту.
Особливо актуальна ця проблема в великомасштабних АС, що охоплюють сотні або навіть тисячі робочих
станцій. Очевидно, що з такою кількістю станцій один адміністратор безпеки не впорається просто фізично.
Більш того, можливостей сучасних засобів комунікації навряд чи буде достатньо навіть просто для отримання
реєстраційної інформації з усіх станцій. Таким чином, виникає проблема побудови такої схеми адміністрування
захисту, при якій:
- кожен адміністратор повинен контролювати невелику кількість станцій в межах своїх фізичних
можливостей;
Таким чином, необхідно вирішувати питання структурування АС за групами станцій (доменів). Таке
структурування може бути як однорівневим (всі домени рівноправні), так і ієрархічним (ряд доменів одного
рівня об'єднується в домен вищого рівня). Домен повинен управлятися своїм адміністратором або групою
адміністраторів. Підрозділ на домени може здійснюватися за територіальним, функціональному або якого-
небудь іншою ознакою. Однак незалежно від використовуваного принципу виникають такі проблеми:
- організація зберігання даних захисту (налаштувань станцій, прав користувачів, реєстраційної інформації
тощо) та управління ними;
- організація междоменной мережевої взаємодії (як для роботи користувачів, так і для адміністрування).
Проблема організації зберігання даних захисту має на увазі, по-перше, вибір використовуваної фізичної
архітектури зберігання даних: централізованої, на одному великому сервері БД (або при необхідності - на
кластері) або розподіленої, коли дані зберігаються на декількох серверах БД або на кожній станції. Дані
способи мають свої добре відомі переваги і недоліки. По-друге, важливим моментом є організація доступу до
даних інших доменів. Тут можливі наступні варіанти:
- доступ за запитом (домен запитує потрібні дані в іншого домену, а той відповідно до поточної політикою
безпеки надає їх чи ні);
- вільний доступ (кожен домен має повну інформацію про інших доменах).
Організація управління даними захисту має на увазі вибір розташування засобів адміністрування (консолі
адміністратора). При цьому можливі наступні варіанти:
- консоль адміністратора (одна на всю АС або на домен) знаходиться на спеціально виділеній для цього
станції;
Перший варіант дозволяє більш просто забезпечити недоступність даних захисту (наприклад паролів)
зловмисникові, наприклад, організаційними заходами, однак ускладнює адміністрування в разі великої
територіальної рассредоточенности домену. Другий же варіант є, з одного боку, більш зручним для
адміністратора, з іншого боку, спрощує доступ зловмисника, а також ускладнює синхронізацію доступу
декількох адміністраторів до даних одного домену.
На закінчення відзначимо, що наведений вище перелік проблем і особливостей побудови захищених АС,
зрозуміло, далеко не вичерпаний. При розробці конкретних АС з використанням існуючих компонентів (як ОС і
ПО, так і засобів захисту) будуть виникати й інші проблеми, однак вони в більшості своїй будуть визначатися
вже специфікою конкретних АС.
Розвиток технологій передачі даних вимагає постійного винаходу нових методів, що дозволяють зберегти
конфіденційність інформації, її цілісність, «піти від прискіпливих очей» в глобальному селі інформаційної
павутини. Телекомунікація (зв'язок на відстані) не завжди відбувається безпосередньо через комп'ютерні
мережі, проте інформація, передана через телекомунікаційні канали, часто називається комп'ютерної, так як
електронно-обчислювальна техніка бере участь хоча б на одному з етапів телекомунікації. Система заходів,
створена навколо забезпечення ІБТС, часто є різні аспекти комп'ютерних технологій.
Безпека вимагає резервування даних, збереження їх на різних носіях. Найчастіше до створення резервних
копій просто «не доходять руки». В системі, де забезпечується інформаційна безпека, як правило, є фахівець,
який постійно пам'ятає, що не слід «класти всі яйця в одну корзину», зберігаючи всі дані лише на один
комп'ютер. Необхідно регулярно робити копіювання даних на переносні диски, перерозподіляти ресурси між
працездатними пристроями. Технічна безпека також означає, що комп'ютери повинні бути захищені від
перепадів напруги мережевими фільтрами, установками безперебійного живлення.
Організаційні заходи включають захист носіїв інформації від крадіжки, кадрову роботу з підбору і навчання
надійного і кваліфікованого персоналу, контроль технічного обслуговування і ремонту. Техніка та приміщення
повинні тестуватися на наявність «шпигунських» коштів зняття, перехоплення інформації.
Для захисту від несанкціонованого доступу важливо, перед тим як передавати носії інформації в сторонні
руки, забезпечити правильне видалення конфіденційних даних, адже файли, відправлені в кошик звичайним
способом, можна відновити.
До найбільш відомих традиційних методів, які забезпечують безпеку при спробах несанкціонованого
доступу, відноситься використання систем ідентифікації для впізнання тих, хто має право працювати з тією чи
іншою інформацією. Необхідно захистити систему надійними паролями, які потрібно періодично міняти: це
знизить ймовірність витоку і перехоплення даних.
Найчастіші проблеми при роботі з інформацією на виробництві пов'язані з вірусами. Співробітники вносять
віруси при установці програм, відвідування шкідливих сайтів. Витік інформації може бути пов'язана з роботою
вірусів, які перехоплюють паролі, причому вони можуть заблокувати систему або діяти в тихому режимі. У
першому випадку підприємство швидко починає турбувати інформаційна безпека: встановлюються антивірусні
програми, щоб розблокувати техніку і продовжити роботу. Однак цей безсистемний підхід не забезпечує
безпеку. У другому випадку співробітники можуть роками не думати про безпеку телекомунікаційних систем,
не підозрювати, що комп'ютер атакований вірусом, який знімає конфіденційну інформацію або здійснює
підміну даних.
3. Модель протидії загрозам безпеки. Стратегія, напрямки та методи забезпечення безпеки інформації.
Інформаційна безпека в різних сферах суспільства має свою специфіку. Так, наприклад, у політиці
інформаційна безпека стосується інформаційно-аналітичної діяльності дипломатичних представництв і
зовнішньо-економічних відомств, в економіці інформаційна безпека стосується захисту інформації у
банківських системах та мережах зв'язку, захисту конфіденційної економічної інформації від не-
санкціонованого доступу.
Таким чином, під інформацією, що захищається, розуміють відомості, на використання і поширення яких
введені обмеження їх власником.
• засекречувати інформацію, тобто обмежувати до неї доступ, може тільки її власник або уповноважені ним
на те особи;
• чим важливіша для власника інформація, тим ретельніше він ії захищає. А для того, щоб усі, хто зіштов-
хується з інформацією, що захищається, знали, що деяку інформацію необхідно оберігати більш ретельно,
ніжіншу, власник призначає їй різний ступінь таємності;
Об'єктами захисту інформації виступають: документи, програми ЕОМ, ноу-хау, бази даних, тексти, на яких
зафіксована інформація, інші матеріальні носії інформації, захист яких передбачений державними
нормативними актами, внутрішніми постановами та розпорядженнями, іншими спеціальними документами.
Комерційна таємниця — ділова інформація, що спеціально охороняється власником, яка представляє для
нього цінність у плані досягнення переваги над конкурентами в одержанні прибутку, зафіксована в письмовій
або іншій матеріальній формі і знаходиться в його володінні, крім відомостей, віднесених до державної
таємниці, або віднесення яких до комерційної таємниці заборонено законодавством України.
Найбільш важливі види інформації, яких стосується проблема інформаційної безпеки: стратегічна
інформація, політична інформація, соціально-економічна інформація, воєнна інформація, наукова інформація.
Вибір методів аналізу стану забезпечення інформаційної безпеки залежить від конкретного рівня і сфери
організації захисту. В залежності від загрози уможливлюється завдання щодо диференціації як різних рівнів
загроз, так і різних рівнів захисту. Що стосується сфери інформаційної безпеки, то у ній зазвичай виділяють:
1) фізичний;
2) програмно-технічний;
3) управлінський;
4) технологічний;
5) рівень користувача;
6) мережевий;
7) процедурний.
На мережевому рівні дана політика реалізується у форматі координації дій компонентів системи управління,
які пов'язані між собою однією метою.
На процедурному рівні вживаються заходи, що реалізуються людьми. Серед них можна виділити наступні
групи процедурних заходів: управління персоналом, фізичний захист, підтримання працездатності, реагування
на порушення режиму безпеки, планування реанімаційних робіт.
• комплексні методи — багаторівневі технології, які об'єднані у єдину систему координуючими функціями на
організаційному рівні з метою забезпечення інформаційної безпеки, виходячи з аналізу сукупності чинників
небезпеки, які мають семантичний зв'язок або генеруються з єдиного інформаційного центру інформаційного
впливу;
1. Основні поняття
Визначити дату і місце виникнення проблеми інформаційного менеджменту досить важко. Вона
усвідомлювалася паралельно менеджерами в різних сферах діяльності.
Останнім часом інформаційний менеджмент почав усе частіше розглядатися як самостійна галузь управління,
нарівні з фінансовим, операційним, стратегічним, інноваційним або менеджментом персоналу тощо. Навчальна
дисципліна з такою назвою включена до навчальних планів різних університетів. З’являються перші навчальні
посібники, що вже саме по собі свідчить про визнання, легалізацію й одночасно певний рівень вивченості
нового напрямку.
Одні з них сприймають його як управління процесами обробки інформації в організації, і тоді кажуть про
управління інформацією. Дійсно управління процесами обробки інформації має на меті документаційне
забезпечення управління організацією, що без сумніву є складовою частиною інформаційного менеджменту,
але не вичерпує його суті.
Інші фахівці вважають, що інформаційний менеджмент - це управління процесами впровадження і
використання інформаційних технологій у діяльності фірми. Видається, що тут доречніше ввести поняття
менеджмент інформаційних технологій або ІТ-менеджмент і похідне від нього ІТ-менеджер для позначення
відповідної спеціальності. Зазначимо, що останнє набуває все більшого поширення. Однак, такий підхід, хоча і
перекриває значну частину професійного змісту інформаційного менеджменту в організації, також не повністю
охоплює усі його аспекти.
Зазначимо, що нині однією з найважливіших для кожної країни світу, глобальною є проблема управління
сукупними інформаційними ресурсами суспільства. Для підприємств набувають ваги питання раціонального
використання зовнішніх і організації внутрішніх інформаційних ресурсів, які вирішуються, звичайно, в
контексті всієї інформаційної діяльності організації, а не ізольовано, самостійно. Таким чином управління
інформаційними ресурсами – це ще одна складова інформаційного менеджменту в організації як сукупності
процесів, пов’язаних з управлінням інформаційною діяльністю будь-якого об’єкта.
Ними виділяються два підходи до визначення ІМ - звужений та більш загальний, системний. Перший підхід
припускає, що ІМ є “синонімом” внутрішньофірмового управління обробкою даних, або дещо ширше,
управління інформаційними ресурсами.
ІМ – це інноваційна діяльність, орієнтована на постійний пошук нових, більш ефективних способів
організації інформаційної діяльності, на створення матеріальних і соціальних передумов для ефективного
доступу до інформації і забезпечення інформаційно-комунікаційних процесів, на активізацію і розвиток
наявних інформаційних ресурсів і форм їх раціонального використання.
Для розуміння сутності інформаційного менеджменту варто прийняти до уваги такі положення:
1. Інформація є комплексною категорією. Тобто вона може бути:
- товаром.
3. Інформація являє собою самостійний фактор виробництва, що лежить в основі процесу прийняття
управлінського рішення.
Головним завданням ІМ є інформаційна підтримка основної діяльності організації. Завдання ІМ, з цієї
точки зору, полягає в інтегруванні створених співробітниками індивідуальних інформаційних елементів
системи ( документи, справи, технології) на основі програми пошуку та на базі пропозицій через Інтернет і
відповідного маркетингу використовуваних інформаційних ресурсів.
ІМ стосується всіх функцій управління сучасної організації. Управлінський цикл містить чотири функції, –
це планування, організація, мотивація та контроль.
Ефективність діяльності управлінського апарату організації залежить від цілого ряду факторів:
Інформація являє собою найважливіший організаційний ресурс. Вона входить у загальний комплекс ресурсів
фірми, поряд з кадровими, фінансовими й т.д.
Інформація має багато спільних рис із іншими ресурсами:
В сучасних умовах розвитку інформаційного суспільства активно розвивається інформаційна сфера, яка
поєднує в собі інформацію, інформаційну інфраструктуру, зокрема інформаційні мережі, інформаційні
відносини між суб'єктами цієї сфери, що складаються у процесі збирання, формування, розповсюдження і
використання інформації. Інформаційні відносини займають чільне місце у формуванні інформаційної політики
держави, в житті сучасного суспільства, а також в діловому та в особистому житті кожної людини. Це, в свою
чергу, обумовлює необхідність розвитку й удосконалення правових засобів регулювання суспільних відносин у
сфері інформаційної діяльності. Зрозуміло, що в демократичній правовій державі такі відносини мають
базуватися на сучасній нормативно-правовій базі, що регулює діяльність в інформаційній сфері.
Під час створення сучасної та ефективної системи забезпечення інформаційної безпеки істотного значення
набуває наявність відповідної нормативно-правової бази, без якої неможливо охопити усі сфери
життєдіяльності суспільства в рамках єдиного правового поля, розробити загальнонаціональну концепцію
розвитку держави й ефективно реалізовувати політику національної безпеки в інформаційній сфері. Це означає,
що всі без винятку дії щодо захисту й реалізації національних інтересів України в будь-якій сфері й на будь-
якому рівні мають передусім спиратися на чинне законодавство України, підтверджувати законність
функціонування системи національної безпеки. Водночас у демократичному суспільстві такі дії суб'єктів
забезпечення національної безпеки повинні відповідати національному законодавству, а також
загальновизнаним міжнародно-правовим нормам та бути під контролем громадськості.
Так, зокрема, наявність необхідної та достатньої нормативної бази і механізмів її реалізації та контролю
дозволяє системі забезпечення національної безпеки України ефективно функціонувати в сучасних умовах.
Нормативна база інформаційної безпеки повинна виконувати в першу чергу три основні функції:
2. Нормативно забезпечувати дії суб'єктів інформаційної безпеки на всіх рівнях, а саме - людини,
суспільства, держави.
За роки незалежності в Україні закладено законодавчі основи системи забезпечення інформаційної безпеки,
зокрема було напрацьовано великий масив нормативно-правових актів, де визначені основні повноваження
державних органів в інформаційній сфері. Акти національного законодавства, які регламентують діяльність
державних органів, організацій і громадян в інформаційній сфері, встановлюють повноваження державних
органів щодо забезпечення інформаційної безпеки України.
ISO/IEC 27002:2013 «Інформаційні технології. Методи захисту. Звід правил для управління інформаційною
безпекою» (англ.: Information technology – Security techniques – Code of practice for information security
management).
ISO/IEC 27002 встановлює принципи і загальні принципи розробки, впровадження, підтримки і поліпшення
управління інформаційною безпекою в організації. Цілі, викладені в стандарті, дозволяють забезпечити
загальне керівництво за загальноприйнятою мети управління інформаційною безпекою.
Відповідно до цього стандарту інформаційна безпека – це захист інформації від широкого діапазону загроз з
метою забезпечення безперервності бізнесу, мінімізації бізнес ризику і максимізації рентабельності інвестицій і
бізнес можливостей.
Інформаційна безпека досягається впровадженням відповідного набору управлінських заходів (далі – заходів),
який охоплює політику, процеси, процедури, організаційні структури і програмні та апаратні функції. Ці заходи
необхідно розробити, впровадити, моніторити, переглядати та, за необхідності, вдосконалювати для
гарантування того, що певні безпека та бізнес-цілі організації будуть досягнуті. Це треба виконувати узгоджено
з іншими процесами загального управління бізнесом.
Придбання, розробка та підтримка систем (Information systems acquisition, development and maintenance)
Безпе́ка мере́жі — заходи, які захищають інформаційну мережу від несанкціонованого доступу, випадкового
або навмисного втручання в роботу мережі або спроб руйнування її компонентів. Безпека інформаційної мережі
включає захист обладнання, програмного забезпечення, даних і персоналу.
Мережева безпека складається з положень і політики, прийнятої адміністратором мережі, щоб запобігти і
контролювати несанкціонований доступ, неправильне використання, зміни або відмови в комп'ютерній мережі
та мережі доступних ресурсів.
Мережева безпека охоплює різні комп'ютерні мережі, як державні, так і приватні, які використовуються в
повсякденних робочих місцях для здійснення угод і зв'язків між підприємствами, державними установами та
приватними особами. Мережі можуть бути приватними, такими як всередині компанії або відкритими, для
публічного доступу. Мережева безпека бере участь в організаціях, підприємствах та інших типів закладів.
Найбільш поширений і простий спосіб захисту мережевих ресурсів є присвоєння їм унікального імені та
відповідного паролю.
Мережева безпека починається з аутентифікації, що зазвичай включає в себе ім'я користувача і пароль. Коли
для цього потрібно тільки одна деталь аутентифікації (ім'я користувача), то це називають однофакторною
аутентифікацією. При двофакторній аутентифікації, користувач ще повинен використати маркер безпеки або
'ключ', кредитну картку або мобільний телефон, при трьохфакторній аутентифікації, користувач повинен
застосувати відбитки пальців або пройти сканування сітківки ока.
Після перевірки дійсності, брандмауер забезпечує доступ до послуг користувачам мережі. Для виявлення і
пригнічування дії шкідливих програм використовується антивірусне програмне забезпечення або системи
запобігання вторгнень (IPS).
Зв'язок між двома комп'ютерами з використанням мережі може бути зашифрований, щоб зберегти
конфіденційність.
Система безпеки мережі не ґрунтується на одному методі, а використовує комплекс засобів захисту. Навіть
якщо частина обладнання виходить з ладу, решта продовжує захищати дані Вашої компанії від можливих атак.
Встановлення рівнів безпеки мережі надає Вам можливість доступу до цінної ділової інформації з будь-якого
місця, де є доступ до мережі Інтернет, а також захищає її від загроз.
Захищає від внутрішніх та зовнішніх мережних атак. Небезпека, що загрожує підприємству, може мати як
внутрішнє, так і зовнішнє походження. Ефективна система безпеки стежить за активністю в мережі, сигналізує
про аномалії та реагує відповідним чином.
Забезпечує конфіденційність обміну інформацією з будь-якого місця та в будь-який час. Працівники можуть
увійти до мережі, працюючи вдома або в дорозі, та бути впевненими у захисті передачі інформації.
Забезпечує надійність системи. Технології безпеки дозволяють системі запобігти як вже відомим атакам, так і
новим небезпечним вторгненням. Працівники, замовники та ділові партнери можуть бути впевненими у
надійному захисті їхньої інформації.
Антивірусні засоби. Більш захищена мережа може виявляти загрози, що створюють віруси, хробаки та інше
зловмисне програмне забезпечення, і боротися з ним попереджувальними методами, перш ніж вони зможуть
заподіяти шкоду.
Знаряддя, які відстежують стан мережі, грають важливу роль під час визначення мережних загроз.
Захищений віддалений доступ і обмін даними. Безпечний доступ для всіх типів клієнтів із використанням
різноманітних механізмів доступу грає важливу роль для забезпечення доступу користувачів до потрібних
даних, незалежно від їх місцезнаходження та використовуваних пристроїв.
Основне завдання - управління та контроль доступом на задану територію (кого пускати, в який час і на яку
територію), включаючи також
Додаткові задачі:
Мережеві СКУД.
У мережевій СКУД всі контролери з'єднані з центральним сервером. Мережеві системи зручні для великих
об'єктів (офіси, виробничі підприємства), оскільки керувати навіть десятком дверей, на яких встановлені
автономні системи, стає надзвичайно важко. Незамінні мережеві системи в наступних випадках:
якщо необхідна інформація про події, що відбулися раніше або потрібен додатковий контроль в
реальному режимі часу. Наприклад, в мережевій системі існує функція фотоверифікації: на прохідній
при піднесенні людиною, що увійшла, ідентифікатора до зчитувача, службовець (вахтер, охоронець)
може на екрані монітора бачити фотографію людини, якій в базі даних привласнений даний
ідентифікатор, і порівняти із зовнішністю минаючого, що підстраховує від передачі карток іншим
людям;
якщо необхідно організувати облік робочого часу і контроль трудової дисципліни;
якщо необхідно забезпечити взаємодію (інтеграцію) з іншими підсистемами безпеки, наприклад,
відеоспостереженням або пожежною сигналізацією.
У мережній системі з одного місця можна не тільки контролювати події на всій території, що охороняється, а й
централізовано керувати правами користувачів, вести базу даних. Мережеві системи дозволяють організувати
кілька робочих місць, розділивши функції управління між різними співробітниками і службами підприємства.
Bluetooth. Даний вид бездротового пристрою передачі даних являє собою аналог Ethernet. Його
особливість полягає в тому, що відпадає необхідність прокладати паралельні комунікації для
об'єднання компонентів при використанні інтерфейсу RS-485.
Wi-Fi. Основна перевага даного радіоканалу полягає у великій дальності зв'язку, яка здатна досягати
декількох сотень метрів. Це особливо необхідно для з'єднання між собою об'єктів на великих відстанях.
При цьому скорочуються як тимчасові, так і фінансові витрати на прокладку вуличних комунікацій.
ZigBee. Спочатку сферою застосування даного радіоканалу була система охоронної та пожежної
сигналізації. Технології не стоять на місці і активно розвиваються, тому ZigBee може
використовуватися і в системах контролю доступу. Дана бездротова технологія працює в
неліцензованому діапазоні 2,45 ГГц.
GSM. Перевага використання даного бездротового каналу зв'язку & nbsp; - практично суцільне
покриття. До основних методів передачі інформації в розглянутій мережі відносяться GPRS, SMS і
голосовий канал.
Автономні СКУД.
Автономні системи дешевше, простіше в експлуатації, не вимагають прокладки сотень метрів кабелю,
використання пристроїв сполучення з сервером, самого сервера. При цьому до мінусів таких систем
відноситься неможливість створювати звіти, вести облік робочого часу, передавати й узагальнювати
інформацію про події, управлятися дистанційно. При виборі автономної системи з високими вимогами щодо
безпеки рекомендується звернути увагу на наступне:
Зчитувач повинен бути відділений від контролера, щоб дроти, по яких можливо відкривання замку, були
недоступні зовні.
У складі автономної системи контролю доступу використовуються також електронні замки, передають
інформацію по бездротових каналах зв'язку: в двері встановлюється механічний замок з електронним
управлінням і вбудованим зчитувачем. Замок по радіоканалу пов'язаний з хабом, який вже по проводах
обмінюється інформацією з робочою станцією, на якій встановлено програмне забезпечення.
1. Перегороджуючі пристрої
Встановлюються на двері:
Електрозщіпки — найменш захищені від злому, тому їх зазвичай встановлюють на внутрішні двері
(внутрішньоофісні і т. п.) Електрозащіпки, як і інші типи замків, бувають електричні, що відкриваються
(тобто двері відкриваються при подачі напруги живлення на замок), і електрично закриваються
(відкриваються, як тільки з них знімається напруга живлення, тому рекомендовані для використання
пожежною інспекцією).
Електромагнітні замки - практично всі замикаються при подачі на них електроживлення, тобто
придатні для установки на шляхах евакуації при пожежі.
Електромеханічні замки - досить стійкі до злому (якщо замок міцний механічно), багато хто має
механічний перевзвод (це означає, що якщо на замок подали відкриваючий імпульс, він буде
розблокований до тих пір, поки двері не відкриють).
2. Ідентифікатори
Основні типи виконання - карточка, брелок, мітка. Є базовим елементом системи контролю доступу, оскільки
зберігає код, який служить для визначення прав («ідентифікації») власника. Це може бути Touch memory,
безконтактна карта (наприклад, RFID -мітки), або застріваючий тип карт із магнітною смугою. В якості
ідентифікатора може виступати так само код, що вводиться на клавіатурі, а також окремі біометричні ознаки
людини & nbsp; - відбиток пальця, малюнок сітківки або райдужної оболонки ока, тривимірне зображення
особи, малюнок капілярних ліній долоні.
Надійність (стійкість до злому) системи контролю доступу в значній мірі визначається типом
використовуваного ідентифікатора: наприклад, найбільш поширені безконтактні карти proximity можуть
підробляти в майстернях з виготовлення ключів на обладнанні, що є у вільному продажу. Тому для об'єктів, що
вимагають більш високого рівня захисту, подібні ідентифікатори не підходять. Принципово вищий рівень
захищеності забезпечують RFID-мітки, в яких код карти зберігається в захищеній області та шифрується.
3. Контролери
Це ключовий елемент системи: саме контролер визначає, пропустити чи ні власника ідентифікатора через точку
проходу, оскільки зберігає коди ідентифікаторів зі списком прав доступу кожного з них. Коли людина
пред'являє (підносить до зчитувального пристрою) ідентифікатор, зчитаний з нього код порівнюється з
зберігаються в базі, на підставі чого приймається рішення про відкриття точки проходу. Контролер для своєї
роботи вимагає електроживлення, тому контролери, як правило, мають власний акумулятор, який підтримує
його працездатність від декількох годин до декількох діб на випадок аварії електромережі.
4. Зчитувачі
Це пристрій, який отримує («зчитує») код ідентифікатора і передає його в контролер. Варіанти виконання
зчитувача залежать від типу ідентифікатора: для «таблетки» - це два електричних контакта (у вигляді «лузи»),
для proximity-карти - це електронна плата з антеною в корпусі, а для зчитування, наприклад, малюнка
райдужної оболонки очі до складу зчитувача повинна входити телевізійна камера. Якщо зчитувач
встановлюється на вулиці (ворота, зовнішні двері будівлі, проїзд на територію автостоянки), то він повинен
витримувати кліматичні навантаження - перепади температур, опади - особливо, якщо мова йде про об'єкти в
районах з суворими кліматичними умовами. А якщо існує загроза вандалізму, необхідна ще і механічна
міцність (сталевий корпус). Окремо можна виділити зчитувачі для дальньої ідентифікації об'єктів (з відстанню
ідентифікації до 50 м.). Такі системи зручні на автомобільних проїздах, парковках, на в'їздах на платні дороги і
т.п. Ідентифікатори (мітки) для таких зчитувачів, як правило, активні (містять вбудовану батарейку).
9. Технології аудиту інформаційної безпеки. Практичні кроки аудиту інформаційної безпеки. Задачі, що
вирішуються при проведенні аудиту.
Аудит інформаційної безпеки — системний процес одержання об'єктивних якісних і кількісних оцінок про
поточний стан інформаційної безпеки компанії у відповідності з визначеними критеріями та показниками
безпеки.
Інформаційна безпека — стан збереження інформаційних ресурсів і захищеності законних
прав особистості і суспільства в інформаційній сфері.
Аудит дозволяє оцінити поточну безпеку функціонування інформаційної системи, оцінити й прогнозувати
ризики, управляти їх впливом на бізнес-процеси фірми, коректно й обґрунтовано підійти до питання
забезпечення безпеки її інформаційних активів, стратегічних планів розвитку, маркетингових програм,
фінансових і бухгалтерських відомостей, вмісту корпоративних баз даних. У кінцевому рахунку, грамотно
проведений аудит безпеки інформаційної системи дозволяє домогтися максимальної віддачі від коштів,
інвестованих у створення та обслуговування системи безпеки фірми.
Основні напрямки аудиту інформаційної безпеки деталізуються на наступні: атестацію; контроль захищеності
інформації; спеціальні дослідження технічних засобів і проектування об'єктів в захищеному виконанні [2].
1. права та обов'язки аудитора повинні бути чітко визначені і документально закріплені в його посадових
інструкціях, а також у положенні про внутрішній (зовнішній) аудит;
2. аудитором повинен бути підготовлений і узгоджений з керівництвом план проведення аудиту;
3. у положенні про внутрішній аудит має бути закріплено, зокрема, що співробітники компанії зобов'язані
сприяти й надавати аудитору всю необхідну для проведення аудиту інформацію.
На етапі ініціювання процедури аудиту мають бути визначені межі проведення обстеження. План і межі
проведення аудиту обговорюються на робочому зборах, в яких беруть участь аудитори, керівництво компанії і
керівники структурних підрозділів.
Етап збору інформації аудиту є найбільш складним і тривалим. Це пов'язано переважно з відсутністю
необхідної документації на інформаційну систему і з необхідністю щільної взаємодії аудитора з багатьма
посадовими особами організації.
Компетентні висновки щодо стану справ у компанії з інформаційною безпекою можуть бути зроблені
аудитором лише за умови наявності всіх необхідних вихідних даних для аналізу. Перший пункт аудиторського
обстеження починається з отримання інформації про організаційну структуру користувачів ІС і обслуговуючих
підрозділів. Призначення і принципи функціонування ІС багато в чому визначають існуючі ризики й вимоги
безпеки, що пред'являються до системи. Далі, аудитору потрібно більш детальна інформація про структуру ІС.
Це дозволить усвідомити, яким чином здійснюється розподіл механізмів безпеки структурними елементами та
рівнями функціонування ІС.
Методи аналізу даних, що икористовуються аудиторами, визначаються вибраними підходами до проведення
аудиту, які можуть істотно розрізнятися.
Перший підхід, найскладніший, базується на аналізі ризиків. Спираючись на методи аналізу ризиків, аудитор
визначає для обстежуваної ІС індивідуальний набір вимог безпеки, найбільшою мірою враховує особливості
даної ІС, середовища її функціонування та існуючі в даному середовищі загрози безпеки.
Другий підхід, самий практичний, спирається на використання стандартів інформаційної безпеки. Стандарти
визначають базовий набір вимог безпеки для широкого класу ІС, який формується в результаті узагальнення
світової практики. Стандарти можуть визначати різні набори вимог безпеки, в залежності від рівня захищеності
ІС, який потрібно забезпечити, її приналежності (комерційна організація або державна установа), а також
призначення (фінанси, промисловість, зв'язок і т. ін.). Від аудитора в даному випадку потрібно правильно
визначити набір вимог стандарту, відповідність яким потрібно забезпечити.
Третій підхід, найбільш ефективний, припускає комбінування двох перших. Базовий набір вимог безпеки, що
пред'являються до ІС, визначається стандартом. Додаткові вимоги, в максимальному ступені враховують
особливості функціонування даної ІС, формуються на основі аналізу ризиків.
Рекомендації, що видаються аудитором за результатами аналізу стану ІС, визначаються використовуваним
підходом, особливостями обстежуваної ІС, станом справ з безпекою і ступенем деталізації, що
використовується при проведенні аудиту. У будь-якому випадку, рекомендації аудитора повинні бути
конкретними і застосовними до даної ІС, економічно обґрунтованими, аргументованими (підкріпленими
результатами аналізу) і відсортованими за ступенем важливості. При цьому заходи щодо забезпечення захисту
організаційного рівня практично завжди мають пріоритет над конкретними програмно—технічними методами
захисту. У той же час не варто чекати від аудитора, як результату проведення аудиту, видачі технічного
проекту підсистеми інформаційної безпеки, або детальних рекомендацій щодо впровадження конкретних
програмно—технічних засобів захисту інформації. Це вимагає більш детального опрацювання конкретних
питань організації захисту, хоча внутрішні аудитори можуть приймати в цих роботах найактивнішу участь.
Аудиторський звіт є основним результатом проведення аудиту. Його якість характеризує якість роботи
аудитора. Він повинен, принаймні, містити опис цілей проведення аудиту, характеристику обстежуваної ІС,
вказівку меж проведення аудиту і використовуваних методів, результати аналізу даних аудиту, висновки,
Узагальнювальні ці результати містять оцінку рівня захищеності АС або відповідність її вимогам стандартів, і,
звичайно, рекомендації аудитора по усуненню наявних недоліків і вдосконалення системи захисту.
Аудит ІС та/або ІТС проводиться на відповідність вимогам:
Із стрімким розвитком інформаційних технологій, найважливішим ресурсом у світі стала інформація. Та чим
важливіший ресурс тим більше він потребує захисту. Адже інформація зберігає свою цінність до тих пір, поки
вона секретна. Для забезпечення інформаційної безпеки використовується управління та оцінка ризиками.
1. Аналіз ризику. Виявлення та оцінка чинників дестабілізації, які можуть скомпрометувати важливих
інформаційних активів. Дає змогу визначити профілактичні заходи щодо зниження ймовірності виникнення
чинників дестабілізації і визначити контрзаходи з метою успішної нейтралізації цих обмежень ще на етапі
проектування.
2. Оцінка ризику. Є процесом визначення рівня ризику. Ризик традиційно обчислюватимемо як функцію
важливості активів, ймовірності виникнення загрози і наявності вразливостей, величини завданого збитку.
3. Зниження ризику. Це етап, на якому реалізовуються контролі та заходи щодо запобігання визначеним
ризикам, а також впроваджуються засоби відновлення у разі реалізації ризиків, що можуть порушити
неперервне функціонування систем захисту інформації.
4. Оцінка вразливостей та контролів. Аналіз основних властивостей корпоративної мережі зв’язку та виявлення
тих, які можна використати з метою реалізації загрози порушення властивості живучості, а також визначення
ефективності та адекватності заходів інформаційної безпеки та виявлення недоліків в її реалізації. Представимо
графічне зображення життєвого циклу процесу управління ризиками інформаційної безпеки в контексті
забезпечення неперервності функціонування.
Нижче наведені короткі описи ряду поширених методи аналізу ризиків. Їх можна розділити на:
1. Методики, які використовують оцінку ризику на якісному рівні (наприклад, за шкалою «високий»,
«середній», «низький»). До таких методи, зокрема, відноситься FRAP;
2. Кількісні методики (ризик оцінюється через числове значення, наприклад розмір очікуваних річних втрат).
До цього класу належить методика RiskWatch;
3. Методики, які використовують змішані оцінки (такий підхід використовується в CRAMM, та такою
методикою користується корпорація Microsoft).
Отже, аналіз ризиків потребує терпіння, чесності та досвіду роботи системного аналітика. У свою чергу це
вимагає наполегливості, самонавчання та постійного моніторингу сучасних методик та технологій оцінки
ризиків. Завдяки цьому – управління та оцінка ризиків інформаційної системи забезпечуватиме цінність, захист
та безпеку інформації, котра обробляється, використовується та циркулює у межах організації.