Політика безпеки - це формальний виклад правил, яких повинні дотримуватись особи, що отримують доступ до корпоративних технологій та інформації

У відповідності до RFC 2196 виділяють чотири етапи формування політики безпеки:

1. Реєстрація всіх ресурсів, які повинні бути захищені

2. Аналіз та створення списків можливих загроз для кожного ресурсу

3. Оцінка ймовірності появи кожної загрози

4. Прийняття рішень, які дозволять економічно ефективно захистити інформаційну систему.

Інформаційні системи наражуються на такі загрози:

· несанкціонований доступ;

· ненавмисне розкриття інформації;

· різні види атак, що дозволяють проникнути в мережу або перехопити управління нею;

· комп’ютерні віруси;

· логічні бомби;

· засоби пригальмовування передавання даних;

· природні катаклізми та стихійні лиха.

Щодо визначення економічної ефективності систем захисту, то тут слід керуватись наступним міркуванням: вартість засобів захисту не повинна перевищувати втрат, до яких може спричинити ця загроза, зокрема витрат на відновлення інформації.

На нинішній час захист інформації — розвинута галузь науки і техніки, що пропонує на ринку широкий спектр різноманітних засобів для захисту даних. Проте жоден з них окремо взятий не в змозі гарантувати адекватну безпеку інформаційної системи. Надійний захист можливий лише за умови проведення комплексу взаємодоповнюючих компонентів, а саме:

· нормативно-правові засоби;

· адміністративні заходи;

· спеціальне обладнання та програмне забезпечення.

Можна виділити чотири етапи побудови політики безпеки інформаційних систем:

· реєстрація всіх ресурсів, які повинні бути захищені;

· аналіз та створення списків можливих загроз для кожного ресурсу;

· оцінка ймовірності появи кожної загрози;

· прийняття рішень, які дозволять економічно ефективно захиститиінформаційну систему.

Сукупність адміністративних заходів та вибір спеціального обладнання і програмного забезпечення повинні здійснюватись для конкретної інформаційної системи. Безпеку інформаційної системи не можна купити, її треба постійно підтримувати: контролювати, модернізувати та оновлювати.

Етичні аспекти використання інформаційних систем. Ділова етика використання інформаційних систем. Соціальні аспекти. Особистість та умови праці в інформаційних системах. Захист особистої та комерційної таємниці. Комп'ютерна злочинність. Здоров'я працівників, особиста відповідальність.

Статистика показує: до 70–80 % всіх комп’ютерних злочинів пов’язані із внутрішніми порушеннями, які здійснюються співробітниками компанії! Нехай випадковому зовнішньому зловмисникові (а більшість «зломів» роблять саме такі суб’єкти) удалося знайти слабке місце в системі інформаційної безпеки компанії. Використовуючи цю «діру», він проникає в корпоративну мережу – до фінансових даних, стратегічних планів або перспективних проектів. Що він реально має? Не будучи фахівцем у сфері, в якій працює компанія, розібратися без сторонньої допомоги в гігабайтах інформації попросту неможливо. Однак свій співробітник може реально оцінити вартість тієї чи іншої інформації, і він має привілеї доступу, які дозволяють йому робити несанкціоновані маніпуляції.

У публікаціях досить прикладів, коли співробітник компанії, вважаючи, що його на роботі не цінують, вчиняє комп’ютерний злочин, що призводить до багатомільйонних збитків. Однак найбільшу небезпеку можуть становити не просто звільнені або скривджені рядові співробітники (наприклад, оператори різних інформаційних підсистем), а й ті, хто наділений більшими повноваженнями й має доступ до широкого спектра різноманітної інформації. Звичайно це співробітники ІТ-відділів (аналітики, розробники, системні адміністратори), які знають паролі до всіх систем, що використовуються в організації. Їх кваліфікація, знання й досвід, використовувані на шкоду, можуть привести до дуже великих проблем. Крім того, таких зловмисників дуже важко виявити, оскільки вони мають достатні знання про систему захисту інформаційної системи компанії, щоб обійти використовувані захисні механізми й при цьому залишитися «невидимими».

Тому при побудові системи захисту необхідно захищатися не тільки й не стільки від зовнішніх зловмисників, але й від зловмисників внутрішніх, тобто вбудовувати комплексну систему інформаційної безпеки.

При інтеграції індивідуальних і корпоративних інформаційних систем і ресурсів у єдину інформаційну інфраструктуру визначальним фактором є забезпечення належного рівня інформаційної безпеки для кожного суб’єкта, що прийняв рішення ввійти в цей простір. У єдиному інформаційному просторі повинні бути створені всі необхідні передумови для встановлення автентичності користувача (суб’єкта), змісту й повідомлення (тобто створені механізми й інструмент аутентифікації). Таким чином, повинна існувати система інформаційної безпеки, що передбачає необхідний комплекс заходів і технічних рішень із захисту:

· від порушення функціонування інформаційного простору шляхом виключення впливу на інформаційні канали й ресурси;

· від несанкціонованого доступу до інформації шляхом виявлення й ліквідації спроб використання ресурсів інформаційного простору, що призводять до порушення його цілісності;

· від руйнування вбудованих засобів захисту з можливістю доказу неправомочності дій користувачів й обслуговуючого персоналу;

· від упровадження «вірусів» та «закладок» у програмні продукти й технічні засоби.

Особливо необхідно зазначити завдання забезпечення безпеки систем, що розробляються і модифікуються в інтегрованому інформаційному середовищі, тому що в процесі модифікації неминуче виникнення додаткових ситуацій незахищеності системи. Для вирішення цієї проблеми поряд із загальними методами й технологіями необхідно зазначити введення ряду вимог до розробників, створення регламентів внесення змін у системи, а також використання спеціалізованих засобів.

Лавиноподібне поширення вірусів стало великою проблемою для більшості компаній і державних установ. У цей час відомо більше 45000 комп’ютерних вірусів і щомісяця з’являється більше 300 нових різновидів. Прямі й непрямі втрати компаній від впливу вірусів обчислюються сотнями мільйонів доларів. І ці цифри неухильно зростають.

В усьому світі зараз прийнято будувати комплексну систему захисту інформації й інформаційних систем у кілька етапів – на основі формування концепції інформаційної безпеки, маючи на увазі в першу чергу взаємозв’язок її основних понять.

Перший етап – інформаційне обстеження підприємства – найважливіший. Саме на цьому етапі визначається, від чого в першу чергу необхідно захищатися компанії.

Спочатку будується так звана модель порушника, що описує ймовірний вигляд зловмисника, тобто його кваліфікацію, наявні засоби для реалізації тих чи інших атак, звичайний час дії й т. п. На цьому етапі можна одержати відповідь на два запитання, які були задані вище: «Навіщо й від кого треба захищатися?» На цьому ж етапі виявляються й аналізуються уразливі місця й можливі шляхи реалізації погроз безпеки, оцінюється ймовірність атак і збиток від їх здійснення.

За результатами етапу розробляються рекомендації з усунення виявлених загроз, правильного вибору й застосування засобів захисту. На цьому етапі може бути рекомендовано не купувати досить дорогі засоби захисту, а скористатися вже наявними в розпорядженні. Наприклад, у разі, коли в організації є потужний маршрутизатор, можна рекомендувати скористатися вбудованими в нього захисними функціями, а не купувати більш дорогий міжмережевий екран (Firewall).

Поряд з аналізом існуючої технології повинне здійснюватися розроблення політики у сфері інформаційної безпеки (ІБ) й комплекту організаційно-розпорядчих документів, що є основою для створення інфраструктури інформаційної безпеки. Ці документи, що базуються на міжнародному законодавстві й законах України та нормативних актах, дають необхідну правову базу службам безпеки й відділам захисту інформації для проведення всього спектра захисних заходів, взаємодії із зовнішніми організаціями, залучення до відповідальності порушників і т. п.

Формування політики ІБ повинне зводитися до таких практичних кроків

1 Визначення й розроблення керівних документів і стандартів у сфері ІБ, а також основних положень політики ІБ, включаючи:

· принципи адміністрування системи ІБ та керування доступом до обчислювальних і телекомунікаційних засобів, програмою й інформаційними ресурсами, а також доступом до приміщення, де вони розміщені;

· принципи контролю стану систем захисту інформації, способи інформування про інциденти у сфері ІБ і вироблення коригувальних заходів, спрямованих на усунення загроз;

· принципи використання інформаційних ресурсів персоналом компанії та зовнішніми користувачами;

· організацію антивірусного захисту й захисту проти несанкціонованого доступу й дій хакерів;

· питання резервного копіювання даних й інформації;

· порядок проведення профілактичних, ремонтних і відновлювальних робіт;

· програму навчання й підвищення кваліфікації персоналу.

2 Розроблення методології виявлення й оцінки загроз і ризиків їх здійснення, визначення підходів до управління ризиками: чи є достатнім базовий рівень захищеності або чи потрібно проводити повний варіант аналізу ризиків.

3 Структуризація контрзаходів за рівнями вимог до безпеки.

4 Порядок сертифікації на відповідність стандартам у сфері ІБ. Повинна бути визначена періодичність проведення нарад з тематики ІБ на рівні керівництва, включаючи періодичний перегляд положень політики ІБ, а також порядок навчання всіх категорій користувачів інформаційної системи з питань ІБ.

Наступним етапом побудови комплексної системи інформаційної безпеки є придбання, установлення й настроювання рекомендованих на попередньому етапі засобів і механізмів захисту інформації. До таких засобів можна віднести системи захисту інформації від несанкціонованого доступу, системи криптографічного захисту, міжмережеві екрани, засоби аналізу захищеності та інше.

Для правильного й ефективного застосування встановлених засобів захисту необхідний кваліфікований персонал.

Із часом наявні засоби захисту застарівають, виходять нові версії систем забезпечення інформаційної безпеки, постійно розширюється список знайдених слабких місць й атак, змінюється технологія обробки інформації, змінюються програмні й апаратні засоби, приходить та залишає роботу персонал компанії. Тому необхідно періодично переглядати розроблені організаційно-розпорядчі документи, проводити обстеження ІС або її підсистем, навчати новий персонал, обновляти засоби захисту.

Засоби захисту умовно можна поділити на три категорії: традиційні засоби, нові технології й засоби криптографічного захисту інформації. Криптографічні засоби винесені в окрему категорію, тому що вони являють собою зовсім особливий клас захисних засобів, що не може бути віднесений до якого-небудь іншого класу.

У традиційних засобів захисту є свої особливості. Наприклад, якщо пред’явити цим системам украдені ідентифікатор та секретний елемент (як правило, ім’я користувача й пароль), то й системи розмежування доступу, і міжмережеві екрани «пропустять» зломщика в корпоративну мережу й дадуть доступ до тих ресурсів, до яких допущений користувач, чиї ім’я й пароль «введені». А одержати пароль зараз досить просто.

Для цього можна використати великий арсенал різних засобів, починаючи від програм-зломщиків, що перебирають за короткий час величезну кількість можливих паролів, і закінчуючи аналізаторами протоколів, що досліджують т рафік, переданий по мережах, і вичленять з нього саме ті фрагменти, які характеризують паролі.

Для усунення таких недоліків були розроблені нові технології й різні механізми захисту, з яких великого поширення набули аналіз захищеності й виявлення атак. Аналіз захищеності полягає в пошуку в обчислювальній системі та її компонентах різних уразливих місць, які можуть стати мішенню для реалізації атак. Саме наявність цих місць приводить до можливості несанкціонованого проникнення в комп’ютерні мережі й системи. Найвідомішим продуктом у сфері аналізу захищеності є сім’я SAFEsuite американської компанії Internet Security Systems, що складається із трьох систем, які виявляють уразливості («діри») і помилки в програмному забезпеченні, – Internet Scanner, System Scanner й Database Scanner.

Необхідно сказати кілька слів про криптографічні засоби, які призначені для захисту критично важливих даних від несанкціонованого зчитування й/або модифікації. Криптографія – це сукупність технічних, математичних, алгоритмічних і програмних методів перетворення даних (шифрування даних), що робить їх марними для будь-якого користувача, у якого немає ключа для розшифрування.

Криптографічні перетворення забезпечують рішення таких базових завдань захисту: конфіденційності (неможливості прочитати дані й витягти корисну інформацію) і цілісності (неможливості модифікувати дані для зміни змісту або внесення помилкової інформації).

Технології криптографії дозволяють реалізувати такі процеси інформаційного захисту:

· ідентифікацію (ототожнення) об’єкта або суб’єкта мережі або інформаційної системи;

· аутентифікацію (перевірку дійсності) об’єкта або суб’єкта мережі;

· контроль/розмежування доступу до ресурсів локальної мережі або позамережевих сервісів;

· забезпечення й контроль цілісності даних.