ПОИСК Статьи Чертежи Таблицы Детально проработанный подход к внедрению из "Введение в CALS-технологии Учебное пособие " Цель мер по обеспечению информационной безопасности - сократить возможный экономический и моральный ущерб предприятия, связанный с повреждением или неправомерным использованием информационных ресурсов. [c.50] Обеспечение информационной безопасности (ИБ) представляет собой сложный комплекс технических, юридических и организационных проблем. [c.50] Основой для системного решения задач обеспечения ИБ являются анализ возможных рисков, политика информационной безопасности (ИБ) и план обеспечения ИБ. [c.50] Анатз рисков - первый и необходимый этап в решении задачи ЗИ и проводится с целью выявления перечня потенциально возможных угроз интересам предприятия, событий и возможного ущерба, которые могут возникнуть в результате реализации таких рисков. [c.50] На основе результатов анализа рисков разрабатывается политика безопасности - документ, содержащий принципы деятельности предприятия в отношении проблем ИБ. Политика безопасности содержит ранжированный перечень угроз, принимаемых во внимание, классификацию защищаемых информационных ресурсов, определяет желаемый уровень защищенности, описывает организационные решения, необходимые для решения задач ИБ. [c.50] На основе утвержденной политики безопасности разрабатывается план обеспечения информационной безопасности, содержащий конкретные организационно-технические решения и планы работ по их внедрению и реализации. [c.50] Для защиты от несанкционированного доступа (НСД) к данным в рамках локальной сети организации и отдельных компьютерах применяются специальные программно-технические средства, обеспечивающие управление доступом к данным на основе имеющихся у пользователей полномочий. [c.50] Часть упомянутых функций выполняют некоторые современные операционные системы компьютеров, например Mi rosoft Windows/NT, но эти функции могут отсутствовать, в этом случае должны обеспечиваться дополнительными средствами. [c.51] Идентификация и аутентификация пользователей может выполняться путем ввода имени и пароля, использования смарт-карт (интеллектуальных пластиковых карт) и средств считывания данных с карт, подключаемых к компьютеру, специальных жетонов, хранящих уникальный код и т.д. В особо ответственных приложениях применяются средства идентификации, основанные на распознавании физических характеристик субъекта доступа (голоса, отпечаток пальца, радужной оболочки глаза и др.). [c.51] Основной проблемой обеспечения эффективной работы средств защиты от НСД является создание правильных и полных описаний полномочий пользователей, необходимых для выполнения слз кебных обязанностей. [c.51] В процессе работы сотрудники организации выполняют различные функции, каждая из которых требует доступа к разным наборам данных и программ. Требуется трудоемкий и кропотливый анализ всех выполняемых сотрудниками функций для того, чтобы определить их полномочия и правильно отрегулировать средства доступа к данным. При этом следует принимать во внимание, что любая организация подвержена изменениям и функции сотрудников нередко меняются и перераспределяются, что требует повторной перенастройки средств защиты. [c.51] Наиболее радикальным подходом является использование (в качестве инструмента управления полномочиями сотрудников) моделей бизнес-процессов, выполняемых в организации. Функциональная модель бизнес-процессов является обозримым, программно-поддерживаемым описанием, содержащим, в частности, сведения обо всех информационных объектах к которым сотрудник должен иметь доступ в процессе работы. Отбирая пол енные данные в подмножества, связанные с должностными обязанностями конкретных лиц или рабочими местами, можно автоматически подготовить конфигурационные файлы для настройки средств защиты от НСД, установленных на рабочих местах. В этом смысле модель является основой для автоматизации настройки средств безопасности. Происходящие в организации изменения вводятся в модель и, соответственно, отображаются в настройке средств безопасности. Например, для того, чтобы на время отпуска заменить одного сотрудника другим, необходимо в описании операции поменять идентификатор сотрудника, при этом полномочия отсутствующего сотрудника будут автоматически переданы работающему. [c.51] Защита от НСД во внутреннюю сеть организации из открытой сети представляет собой отдельную задачу, для решения которой применяются межсетевые экраны (firewall). По сути, это устройство (или группа устройств), расположенное между внутренней (защищаемой) сетью и Интернет и выполняющее задачи по ограничению проходящего через него трафика, регистрации информации о трафике, пресечению попыток несанкционированного доступа при попытке подключиться к ресурсам внутренней сети и т.д. При этом данное устройство обеспечивает прозрачный доступ пользователей внутренней сети к службам Интернет и доступ извне (то есть из сети Интернет) к ресурсам ИС предприятия для зарегистрированных во внутренней сети пользователей. [c.51] Особо необходимо рассмотреть вопросы обеспечения антивирусной безопасности (АВБ) компьютерной системы предприятия. Возможность вирусного заражения является одной из серьезных угроз, которой могут подвергнуться программы и данные пользователей. [c.51] Таким образом, для того, чтобы защитить корпоративную сеть от проникновения вирусов или разрушительных программ, необходимо следить за возможными точками проникновения вирусов, к которым относятся шлюзы Интернет, файловые серверы, серверы средств групповой работы и электронной почты, рабочие станции пользователей. [c.51] Следует отметить, что решение проблемы АВБ не сводится к установке антивирусных программ на каждый компьютер. Средства АВБ нз кдаются в правильной настройке и регулярном обновлении таблиц вирусных сигнатур. Поскольку корпоративная компьютерная сеть может иметь очень сложную структуру, стоимость обслз кивания сети и поддержки средств АВБ катастрофически растет вместе с ростом числа подключенных рабочих станций. Одним из основных путей снижения затрат является применение средств централизованного управления средствами АВБ. Средства централизованного управления позволяют администратору безопасности со своего рабочего места контролировать все возможные точки проникновения вирусов и управлять всеми средствами АВБ, перекрывающими эти точки. [c.52] В России деятельность, связанная с обеспечением информационной безопасности, должна осуществляться на основе действующих законов РФ, указов и распоряжений Президента РФ, постановлений правительства РФ и других нормативных актов. [c.52] Общая координация работ и разработка наз но-технической политики в данной области возложены на Федеральное Агентство Правительственной Связи и Информации (ФАПСИ) и Государственную Техническую Комиссию (ГТК) при Президенте РФ. [c.52] Следует подчеркнуть, что в соответствии с действующими нормативными актами применяемые средства и решения защиты информации должны иметь сертификаты ГТК или ФАПСИ, а организации, осуществляющие их разработку, поставку и внедрение - лицензии на данный вид деятельности. [c.52] Вернуться к основной статье