18 октября 2021
Иерахия средств защиты
от информационных угроз
Глава 3. Системный подход
к управлению безопасностью
к управлению безопасностью
Обычно первое, что ассоциируется с информационной безопасностью – это антивирусные программы, файерволы, системы шифрования, аутентификации, аудита и другие технические средства защиты. Бесспорно, роль этих средств в обеспечении безопасности велика, однако не меньшее, а иногда и большее влияние на безопасность системы оказывают средства, построенные на качественно другой основе.
Видеокамера и надежный замок в офисе, продуманная процедура приема сотрудников на работу, закон, угрожающий хакеру уголовным преследованием, стандарт, помогающий провести анализ возможного ущерба из-за действия нарушителя, - все эти очень не похожие средства одинаково важны для обеспечения безопасности.
Успех в области информационной безопасности может принести только системный подход, при котором средства защиты разных типов применяются совместно и под централизованным управлением.
Видеокамера и надежный замок в офисе, продуманная процедура приема сотрудников на работу, закон, угрожающий хакеру уголовным преследованием, стандарт, помогающий провести анализ возможного ущерба из-за действия нарушителя, - все эти очень не похожие средства одинаково важны для обеспечения безопасности.
Успех в области информационной безопасности может принести только системный подход, при котором средства защиты разных типов применяются совместно и под централизованным управлением.
Иерахия средств защиты от информационных угроз
Общепризнаным является представление множества разных типов средств защиты в виде четырех иерархически организованных уровней, средства каждого из которых могут быть использованы на разных этапах жизненного цикла системы обеспечения информационной безопасности (рис.3.1).
Рис. 3.1.
Многоуровневая модель средств защиты от информационных угроз
Многоуровневая модель средств защиты от информационных угроз
- Законодательный уровень. К нему относятся правовое регулирование, стандартизация, лицензирование и морально-этические нормы, принятые в обществе. При создании системы обеспечения безопасности необходимо учитывать существующее международное и национальной законодательство, а именно, видеть возможности, вытекающие из гарантированных законом прав, и ограничения, обусловленные установленными законом обязанностями. Законодательство может прямо влиять на концепцию построения защиты.
Например, выход закона РФ «О персональных данных», регламентирующего меры по обеспечению безопасности персональных данных при их обработке, потребовал от многих предприятий пересмотра и внесения принципиальных изменений в процедуры и инфраструктуру обработки информации. Не менее принципиальными для продолжения работ могут оказаться требования сертификации средств защиты данных, которые предполагается использовать в проектируемой СОИБ, или необходимость получения лицензии для выбранного вида деятельности.
На протяжении всего жизненного цикла системы, начиная с предпроектной стадии, к проектированию СОИБ должны привлекаться стандартные наработки в виде методик, стандартных требований и практических рекомендаций. Это дает возможность использовать в работе самые передовые, проверенные и одобренные коллегами-профессионалами решения.
- Административный уровень. Основу средств административного уровня составляет политика безопасности, которая определяет стратегические направления информационной защиты предприятия, а именно, очерчивает круг критически важных информационных ресурсов предприятия, защита которых представляет наивысший приоритет, предлагает меры, которые могут быть предприняты для устранения или уменьшения связанных с этими ресурсами рисков. На основе найденной стратегии разрабатывается программа обеспечения безопасности ИС, планируется совокупный бюджет, необходимый для выполнения программы, назначаются руководители и очерчивается зона их ответственности.
- Процедурный уровень – Средства этого уровня решают задачи, поставленные вышележащим административным уровнем, с использованием технических средств, предоставляемых нижележащим техническим уровнем. В качестве средства процедурного уровня выступает человек, выполняющий взаимосвязанную последовательность действий, направленную на решение той или иной задачи обеспечения безопасности. Любой аспект информационной безопасности предполагает использование средств процедурного уровня. Например, обеспечение нормального режима работы информационной системы – осуществляется путем выполнения множества повседневных процедур: резервного копирования, управления программным обеспечением, профилактических работ и т.п
Другой пример – управление персоналом. Прием, увольнение, организация взаимного контроля, обучение – решение всех этих задач также предполагает выполнение процедур, реализуемых человеком. Многие процедуры включают в себя использование технических средств. Например, задача учета различных ресурсов (документации, магнитных лент с резервированными данными, программ, оборудования, и др.), как правило, решается с привлечением специально разработанных для этих целей программ.
- Технический уровень. К этому уровню относится многочисленный класс технических средств, разной природы. Именно этому виду средств защиты в основном посвящен этот курс. Технические средства можно разделить на программные, аппаратные и программно-аппаратные и методы. Программные средства в включают защитные инструменты операционных систем (подсистемы аутентификации и авторизации пользователей, средства управления доступом, аудит и др.) и прикладные программы, предназначенные для решения задач безопасности (системы обнаружения и предотвращения вторжений, антивирусные средства, прокси-серверы).
Примером аппаратных средств, специализирующихся на информационной защите, являются источники бесперебойного питания, генераторы напряжения, средства контроля доступа в помещения и др. К аппаратно-программным средствам относятся, например, некоторые анализаторы сетевого трафика, и межсетевые экраны. И хотя данный уровень средств называется техническим, к нему также относят математические методы (методы криптографии), алгоритмы (эвристический алгоритм расчета времени оборота в протоколе TCP), абстрактные модели (модели контроля доступа) и т.п.
Далее в этой главе будут рассмотрены более подробно средства безопасности всех уровней, кроме самого нижнего – технического, поскольку вопросы, относящиеся к техническому уровню, являются предметом изучения второй, третьей и четвертой частей этого большого цикла. Мы пока что находимся в самом начале (в первой части).
Пройти сертификацию
Пройдите тест по содержанию данного курса (рекомендуется после полного прохождения) и получите сертификат, подтверждающий полученные знания.
