Организационное и правовое обеспечение ИС
Информация с точки зрения информационной безопасности обладает следующими категориями:
• конфиденциальность– гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена. Нарушение этой категории называется хищением либо раскрытием информации;
• целостность– гарантия того, что информация существует в ее исходном виде, т. е. при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения;
• аутентичность– гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории называется фальсификацией автора сообщения;
• апеллируемость– категория, часто применяемая в электронной коммерции, – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при фальсификации автора кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости – сам автор пытается «откреститься» от своих слов, подписанных им однажды.
ИС можно понимать как совокупность средств и методов, позволяющих собирать, перемещать, обрабатывать и передавать пользователю отобранную информацию
В отношении ИС применяются следующие (иные) категории:
• надежность– гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано;
• точность– гарантия точного и полного выполнения всех команд;
• контроль доступа– гарантия того, что различные группы лиц имеют различный доступ к информационным объектам и эти ограничения доступа постоянно выполняются;
• контролируемость– гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса;
• контроль идентификации– гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает;
• устойчивость к умышленным сбоям– гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.
Особенности корпоративной сети обусловливают повышенную опасность этого типа сетей; одной из таких особенностей является наличие глобальных связей, которые простираются на много сотен и тысяч километров, не позволяют воспрепятствовать злонамеренному доступу к передаваемым по этим линиям связи данным. Нельзя дать никаких гарантий, что в некоторой, недоступной для контроля точке пространства, некто не подключится к передающей среде для захвата и последующего декодирования пакетов данных.
По сравнению с сетями масштаба отдела или небольшого предприятия обеспечение безопасности в корпоративной сети является задачей не только более сложной, но и более важной, учитывая материальные потери, к которым может привести доступность некоторых данных для заинтересованных в этом лиц.Это обстоятельство переводит безопасность из разряда чисто технических вопросов в разряд самых приоритетных бизнес-проблем.
К особенностям корпоративной сети относят:
1. Подверженность внешним вторжениям из-за наличия глобальных связей.
2. Масштабность: имеется очень большое количество рабочих станций, серверов, пользователей, мест хранения данных и т. п. В таких условиях администратору оказывается гораздо труднее построить надежную защиту сети, предусматривающую адекватную реакцию на все возможные попытки взлома системы.
3. Гетерогенность– ещё одна особенность корпоративной сети, которая усложняет работу администратора по обеспечению её безопасности. Действительно, в программно- и аппаратно-неоднородной среде администратору гораздо сложнее проверить согласованность конфигурации разных компонентов и осуществлять централизованное управление. К тому же надо учесть, что в большой гетерогенной сети резко возрастает вероятность ошибок как пользователей, так и администраторов.
Практически любой метод защиты данных основан на том или ином виде шифра. Проблема защиты данных при передаче их через публичные сети осложняется и тем обстоятельством, что во многих странах правительства вводят ограничения на использование основных средств защиты данных, а именно средств их шифрации. Такие ограничения преследуют несколько целей:
– предотвращение утечек государственных секретов, к чему может привести использование в государственных учреждениях непроверенных средств шифрации данных при отправке их в публичные сети (телефонные или компьютерные);
– возможность расшифровки данных, пересылаемых лицами или организациями, подозреваемыми в преступных действиях;
– защита отечественных производителей средств шифрации;
– контроль за рынком средств шифрации.
Повсеместное распространение сетевых продуктов массового потребления, имеющих встроенные средства защиты данных, например, сетевых ОС Windows NT-2000 с протоколом защиты данных РРТР, с одной стороны, упрощает защиту данных, а с другой – часто создает только видимость надежной защиты.
Надежная шифрация – не единственная проблема, возникающая при защите корпоративных данных. Достаточно сложно решить и проблему надежной аутентификации пользователей.
Аутентификация – это обеспечение уверенности в том, что данный пользователь является тем индивидуумом, за кого себя выдает.
Использование средств удаленного доступа к корпоративной сети существенно усложняет эту задачу. При аутентификации пользователей ЛС успешно решить ее помогают организационные меры – отсечение посторонних пользователей от клиентских компьютеров и терминалов, контроль за подключениями к кабельной системе здания и т. п.
При удаленном доступе эти средства не работают, а пароли, передаваемые легальными пользователями в открытом виде по публичной сети, могут быть перехвачены и использованы впоследствии для нелегальной работы.
Новые проблемы создает проблема аутентификации пользователей при ведении бизнеса через Интернет. Число пользователей вырастает настолько, что количество переходит в качество, и старые методы аутентификации на основе индивидуальных паролей начинают работать плохо – слишком большой объём работы ложится на администратора, раздающего пароли, и средства аутентификации, эти пароли проверяющие.
При рассмотрении проблем, связанных с защитой данных в информационной сети, возникает вопрос о классификации сбоев и несанкционированного доступа, что ведет к потере или нежелательному изменению данных.
Это могут быть:
· сбои оборудования (кабельной системы, дисковых систем, серверов, рабочих станций и т. д.),
· потери информации (из-за инфицирования компьютерными вирусами, неправильного хранения архивных данных, нарушений прав доступа к данным),
· некорректная работа пользователей и обслуживающего персонала.
Перечисленные нарушения работы в сети вызвали необходимость создания различных видов защиты информации. Условно их можно разделить на три класса:
· средства физической защиты;
· программные средства защиты (антивирусные программы, системы разграничения полномочий, программные средства контроля доступа);
· административные меры защиты (доступ в помещения, разработка стратегий безопасности фирмы и т. д.).