На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Организационно-административное обеспечение безопасности информации

По мнению специалистов, организационные мероприятия играют важную роль в создании надежного механизма защиты информации, таккак возможности несанкцио­нированного использования конфиденциальных сведений в значительной мере обус­лавливаются не техническими аспектами, а злоумышленными действиями, нерадивос­тью, небрежностью и халатностью пользователей или персонала, игнорирующего элементарные правила защиты.
Организационное обеспечение (— это регламентация производственной
деятельности и взаимоотношений исполнителей на нормативно-правовой основе та­ким образом, что разглашение, утечка и несанкционированный доступ к конфиденци­альной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий.
Влияния этих аспектов практически невозможно избежать с помощью техничес­ких средств, программно-математических методов и физических мер. Для этого необ­ходима совокупность организационно-правовых и организационно-технических мероп­риятий, которые исключали бы (или по крайней мере сводили к минимуму) возможность
возникновения опасности для информации.
К организационным мероприятиям можно отнести:
мероприятия, осуществляемые при проектировании, строительстве и оборудо­вании служебных и производственных зданий и помещений (их цель — исключение возможности тайного проникновения на территорию и в помещения; обеспечение удоб­ства контроля прохода и перемещения людей, проезда транспорта; создание отдель­ных производственных зон по типу конфиденциальности работ с самостоятельными системами доступа и т. п.);
О мероприятия, проводимые при подборе персонала, включающие ознакомление
с сотрудниками, их изучение, обучение правилам работы с конфиденциальной
информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
организацию и поддержание надежного пропускного режима и контроля посети­телей;
надежную охрану помещений и территории; хранение и использование документов и носителей конфи­денциальной включая порядок учета, выда­чи, исполнения и возвращения; О организацию защиты информации, т. е. назначение ответствен­ного за защиту информации в конкретных производственных проведение систематического контроля за ра­ботой персонала с конфиденциальной информацией, порядок
учета, хранения и уничтожения документов и т. п. В каждом конкретном случае такие мероприятия носят спе­цифическую для данной организации форму и содержание, на­правленные на обеспечение безопасности информации в конкрет­ных условиях.
Очевидно, что организационные мероприятия охватывают самые различные источ­ники информации и технические средства ее переработки. Значительная доля органи­зационных мероприятий приходится на работу с сотрудниками. Организационные
мероприятия при работе с сотрудниками предприятий различных форм собственности в общем плане включают в себя: О беседы при приеме на работу;
□ ознакомление с правилами и процедурами работы с конфиденциальной инфор­мацией на данном предприятии;
□ обучение сотрудников правилам и процедурам работы с конфиденциальной ин­формацией;
беседы с увольняемыми.
В результате беседы при приеме на работу устанавливается целесообразность при­ема кандидата на соответствующую вакансию. При приеме на работу возможно зак­лючение между предприятием и сотрудником соглашения о неразглашении конфиден­циальной информации, которая является собственностью организации.
В подтверждение требований сохранения в тайне коммерческой информации по­ступающий на работу сотрудник дает подписку о сохранении коммерческой тайны
предприятия и обязуется не раскрывать секреты фирмы.
Обучение сотрудников предполагает не только приобретение и систематическое поддержание на высоком уровне производственных навыков, но и психологическое их
воспитание в глубокой убежденности, что необходимо выполнять требования промыш­ленной (производственной) секретности, информационной безопасности, защиты ин­теллектуальной собственности и коммерческой тайны. Систематическое обучение
способствует повышению уровня компетентности руководства и сотрудников в воп­росах защиты коммерческих интересов своего предприятия.
Беседы с увольняющимися имеют главной целью предотвратить разглашение ин­формации или ее неправильное использование. В ходе беседы следует особо подчерк­нуть, что каждый увольняющийся сотрудник имеет твердые обязательства о неразгла­шении фирменных секретов и эти обязательства, как правило, подкрепляются
подпиской о неразглашении известных сотруднику конфиденциальных сведений.
Одним из важных направлений мероприятий является четкая организация системы делопроизводства и документооборота, которая обеспечивает порядок делопроизвод­


ства, порядок учета, обработки, хранения, уничтожения и контроля наличия и пра­вильности исполнения документов. При реализации системы особое внимание нужно уделять безопасности документов и конфиденциальной информации.
Организационные мероприятия по запгите информации предусматривают:
□ обеспечение безопасности рабочих зданий и территории;
□ обеспечение безопасности отдельных зон и конкретных помещений; организацию четкой системы контроля допуска и доступа на территорию (в по­мещение), к определенной информации.
Документирование информации проводится по строго определенным правилам.
Основные из них изложены в ГОСТ 6.38-90 «Система организационно-распорядитель­ной документации. Требования к оформлению документов», ГОСТ 6.10.4-84 «Унифи­цированные системы документации. Придание юридической силы документам на ма­шинном носителе и машинограмме, создаваемым средствами вычислительной техники» и некоторых других. Надо отметить, что эти ГОСТы предполагают 31 реквизит, кото­рые делают информацию документом, но не обязательно, чтобы присутствовали все предлагаемые реквизиты. Главный реквизит — это текст. Поэтому любая информа­ция, изложенная в виде связного текста без каких-либо дополнительных реквизитов, уже может рассматриваться как документ, для придания определенной юридической силы которому необходимы такие важные реквизиты, как дата и подпись.
Особый порядок существует только для документов, полученных из автоматизи­рованных информационных систем. При этом, в определенных случаях, применяется процедура заверения электронной подписью информации, полученной от удаленного объекта.
Основные организационные мероприятия — разработка перечня охраняемых све­дений и проведение аттестации помещений на предмет выработки конкретных мер
для защиты конфиденциальной информации. При аттестации помещений составляют
аттестационные паспорта. Эта работа производится группами специалистов, оформ­ляется актом, прикладываются соответствующие рекомендации и отдается приказ по организации, где указаны конкретные исполнители и сроки реализации.
Для защиты информации требуется создать специальную административную служ­бу, обеспечивающую все организационные мероприятия. Ее штатная структура, чис­ленность и состав определяется реальными потребностями фирмы, степенью конфи­денциальности ее информации и общим состоянием безопасности.
Защита информации — удовольствие достаточно дорогое, поэтому одним из прин­ципов построения системы защиты должно стать дифференцирование степени защиты по ее важности и ценности.
Анализ мирового и отечественного опыта обеспечения безопасности говорит о
необходимости создания целостной системы безопасности учреждения, связывающей
организационные, оперативные и оперативно-технические меры защиты с использо­ванием современных методов прогнозирования, анализа и моделирования ситуаций.
Важным дополнением организационных мероприятий является поддержка правиль­ной конфигурации сетевой операционной системы. Решают такую задачу, как прави­ло, системные администраторы.
Администратор создает определенные правила, которые должны соблюдаться уже
не людьми, а операционной системой. Администрирование системы — это правиль­


ное составление файлов конфигурации. В этих файлах (а их может быть несколько,
например, по одному файлу для каждой части системы) и содержится описание пра­вил функционирования системы.
Административное обеспечение очень дешево, т. к. средства расходуются только на содержание специалиста (причем один специалист способен управлять сразу не­сколькими системами). Более того, большинством современных систем можно управ­лять удаленно.
Обучение пользователей при этом требуется самое минимальное. Обычно система
сама не даст пользователю произвести запрещенные действия, он просто видит, что какое-либо действие в системе просто не получается. Если административными мера­ми закрыт определенный порт соединения, то слабая с точки зрения безопасности про­грамма ICQ не сможет соединиться со своим сервером и, как следствие, не будет фун­кционировать.
Уязвимость системы кроется в том, что, во-первых, система аутентификации пользо­вателя базируется на имени пользователя и его пароле (имеются в виду общеупотре­бительные системы, экзотические случаи вроде использования сетчатки глаза в рас­чет не берутся), а во-вторых, в необходимости наличия в системе пользователя, наделенного правом администрировать систему — супервизора (supervisor).
Достаточно нарушить режим хранения пароля супервизора и вся система окажет­ся доступна для несанкционированного воздействия. Кроме того, система, основанная на таких правилах, — это статичная, закостенелая система. Она способна противосто­ять лишь строго определенным атакам. При возникновении какой-либо новой угрозы,
не предусмотренной изначально, сетевая атака может быть не просто успешной, но и
оказаться невидимой для системы. Пользователи должны уяснить для себя два не­сложных правила:
даже зная пароль супервизора, не следует вмешиваться в дела системных адми­нистраторов;
системные файлы, созданные в процессе администрирования, играют важную роль в системе безопасности корпоративных сетей, поэтому не следует трогать
эти файлы, а уж тем более, удалять.
Чтобы свести к минимуму риск в коммерческой деятельности, нужно оценивать всевозможные угрозы безопасности с учетом двух факторов:
□ возможной частоты угроз; возможного ущерба от них.
Поэтому очень важно четко уяснить, какая используемая в вашем учреждении ин­формация, пусть даже не принадлежащая вам, подлежит обязательной защите. Начать надо с проведения предварительного анализа имеющейся информации. От этого в даль­нейшем будет зависеть выбор степени ее защиты. Все это позволит дифференциро­вать мероприятия по обеспечению безопасности информации и, тем самым, сократить расходы.
При организации защиты информации необходимо придерживаться определенно­го курса, следуя некоторым советам:
□ проанализируйте информацию, которая циркулирует в вашем учреждении; определите сведения ограниченного доступа;
О оцените коммерческую важность информации;


составьте перечень сведений, содержащих коммерческую тайну, утвердите его и ознакомьте с ним исполнителей;
□ определите объем информации, составляющей государственную или коммер­ческую тайну;
□ убедитесь в лояльности сотрудников службы безопасности;
принимая сотрудника на работу, постарайтесь, всеми доступными средствами, навести о нем справки;
продумайте систему морального и материального поощрения сотрудников за соблюдение секретности; . □ регулярно тестируйте сотрудников, которые имеют дело с информацией ограни­ченного доступа;
обязательно оговаривайте в договоре или контракте с сотрудником условия со­хранения служебных тайн не только на период совместной работы, но и на оп­ределенный срок после завершения ваших взаимоотношений;
О старайтесь всегда соблюдать принцип комплексного подхода к решению про­блемы защиты информации;
□ придерживайтесь правила «доверяй, но проверяй» (появится уверенность, что в критический момент система безопасности не даст сбоя);
□ учитывайте пространственные факторы: введение контролируемых (охраняемых)
зон, правильный выбор помещений и расположение объектов между собой и
относительно границ контролируемой зоны;
□ учитывайте временные факторы: ограничение времени обработки защищаемой
информации, доведение времени обработки информации с высоким уровнем кон-
фиденциальностидо узкого круга лиц;
□ создайте концепцию информационной безопасности;
□ увяжите эту концепцию с общей концепцией безопасности вашего учреждения. Принятие организационных мер по обеспечению безопасности информации ложится
в первую очередь на администраторов сети и специалистов по защите информации. Выявить вмешательство в компьютерную систему часто трудно вследствие того, что злоумышленникам удается скрыть следы проникновения в систему. Все попытки взлома систем обнаруживаются, как правило, совершенно случайно. Например, администра­тор сети заметил пропуск в файле протокола или вхождение в систему в отсутствие пользователя. Или он был предупрежден другими администраторами безопасности о присутствии постороннего в сети.
Обычно злоумышленники действуют в нерабочее время (с 18.00 до 8.00), а также в выходные и праздничные дни. Поэтому для выявления несанкционированного досту­па необходимо:
регулярно проверять файлы протоколов, особенно протоколов входа в систему; отслеживать подсоединение неизвестных пользователей в непривычное время;
□ обращать внимание на идентификаторы пользователей, которые оставались ка­кое-то время неиспользованными и оказались снова задействованными.
Одним из способов выявления постороннего присутствия в сети является запуск каждые Юмин обычной shell-процедуры, фиксирущей все процессы и соединения по сети в отдельном файле. Эта программа формирует списки пользователей, всех теку­щих процессов и сетевых подключений.
Сегодня на рынке средств защиты представлены разнообразные системы защиты информации. Перед администратором безопасности встает вопрос определения необ­ходимости и порядка их применения. Очевидно, что далеко не все компьютеры орга­низации нужно оснащать дополнительными системами защиты информации, так как это требует новых материальных затрат и может только затруднить эксплуатацию всей
компьютерной сети в целом.
Применение средств защиты информации целесообразно при:
О размещении на компьютерах средств криптографической защиты данных (здесь дополнительные средства защиты информации необходимы для защиты ключей электронной цифровой подписи и шифрования);
О необходимости регламентации и протоколирования действий пользователей, ра­ботающих на компьютерах, подключенных к сети (в этом случае система защи­ты не позволяет пользователям действовать так, как не предусмотрено техноло­гией обработки данных);
□ необходимости ограничения доступа пользователей, работающих на компьюте­ре, к его локальным ресурсам (дискам, каталогам, файлам или внешним устрой­ствам), а также исключения самостоятельного изменения состава и конфигура­ции программных средств, установленных на компьютере.
Применение дополнительных средств защиты предполагает выполнение админис­тратором безопасности ряда действий. Он должен:
устанавливать средства защиты информации на компьютеры; настраивать средства защиты информации путем задания прав доступа пользо­вателей к ресурсам (как компьютеров, так и сети);
контролировать состояние защищенности компьютерной сети путем оператив­ного мониторинга и анализа системных журналов. В большинстве случаев средства защиты информации устанавливаются на уже ре­ально функционирующую систему. Поскольку защищаемая компьютерная система обычно используется для решения важных задач (часто в непрерывном технологичес­ком цикле), ее владельцы и пользователи неодобрительно относятся к любому, даже кратковременному, перерыву в ее работе, необходимому для установки и настройки системы защиты информации.
Следует учитывать, что с первого раза правильно настроить систему защиты прак­тически невозможно. Обычно это связано с отсутствием полного детального списка всех аппаратных, программных и информационных ресурсов системы, подлежащих защите, и готового противоречивого перечня прав доступа и полномочий каждого пользователя. Поэтому этап внедрения системы защиты информации обязательно вклю­чает первоначальное выявление, последовательное уточнение и соответствующее из­менение настроек, устанавливаемых в этой системе.
Очевидно, что те же самые действия администратору безопасности придется не­однократно повторять и на этапе эксплуатации системы защиты информации при из­менениях состава технических средств, программного обеспечения и т. д. Такие изме­нения происходят довольно часто, поэтому средства управления этой системы должны
обеспечивать удобство осуществления необходимых при этом настроек.
В случае, если средства управления не приспособлены к этому, а сами системы защиты информации не обладают достаточной гибкостью, то очень скоро они стано­


вятся не помощником, а обузой для всех и, в первую очередь, — для администраторов безопасности. В конце концов такие системы защиты информации обречены на оттор­жение.
Деятельность администратора безопасности на этапе эксплуатации системы защи­ты информации состоит в корректном и своевременном изменении полномочий пользо­вателей и настройке защитных механизмов на компьютерах сети. С увеличением мас­штаба защищаемой компьютерной сети и при сохранении неизменным количества людей, отвечающих за ее информационную безопасность, изменяются требования к
способам управления этой системой. Как показывает практика, решения, приемлемые для одного компьютера или небольшой сети из 10—15 рабочих станций, обычно не
устраивают обслуживающий персонал и администраторов безопасности больших се­тей, объединяющих сотни машин.
Проблемы по управлению полномочиями пользователей и настройками системы
защиты информации в компьютерной сети могут быть решены, например, на основе
использования системы централизованного управления доступом к сети.
Принцип реализации такой системы состоит в применении специального сервера управления доступом, работающего на основном файловом сервере сети, который осуществляет автоматическую синхронизацию центральной базы данных защиты с локальными базами данных защиты, размещенных на рабочих станциях.
Введение распределенной базы данных защиты (центральной и локальных) гаран­тирует, что выход из строя сети или сервера управления доступом не будет препят­ствовать нормальному функционированию средств защиты на рабочих станциях.
При данной системе управления доступом полномочия пользователя меняются периодически и заносятся в центральную базу данных защиты, а их изменение на кон­кретных компьютерах происходит во время очередного сеанса синхронизации.
Кроме того, при смене пользователем своего пароля на одной из рабочих станций его новый пароль автоматически отражается в центральной базе данных защиты, а также передается на рабочие на которых данному пользователю разрешено
работать.
Администратору безопасности необходимо контролировать состояние компьютер­ной сети как оперативно (путем слежения за состоянием защищенности компьютеров сети), так и не оперативно (путем анализа содержимого журналов регистрации собы­тий системы защиты информации).
Использование сервера управления доступом для оперативного контроля за со­стоянием рабочих станций и работой пользователей позволяет отказаться от постоян­ного администратора безопасности. В этом случае сервер управления доступом авто­матически регистрирует несанкционированные действия, происходящие в сети, и всегда
обладает оперативной информацией о состоянии рабочих станций.
Увеличение количества рабочих станций и использование программных средств, вклю­чающих много разнообразных компонентов, приводит к существенному увеличению объе­мов журналов регистрации событий в системе защиты информации. Объем сведений, хра­нящийся в журналах, может стать настолько большим, что администратор уже физически не сможет полностью проанализировать их содержимое за приемлемое время.
Зашита от компьютерных вирусов в настоящее время основывается на применении организационных мероприятий и программных средств, которые практически вклю­


чают в себя аппаратные возможности компьютеров, программных средств, системно­го программного обеспечения и специальных программных средств защиты.
Организационные средства также позволяют минимизировать риск заражения ком­пьютеров вирусами, а при заражении — сразу же информировать пользователя и по­мочь уничтожить вирус и его последствия. Организационные меры защиты включают следующие основные мероприятия:
резервирование (наличие всех основных компонентов операционной системы и программного обеспечения в архивах, копирование таблиц распределения фай­лов дисков, ежедневное ведение архивов изменяемых файлов);
□ профилактика (систематическая выгрузка содержимого активной части винчес­тера на дискеты, раздельное хранение компонентов программного обеспечения и программ пользователей, хранение неиспользуемых программ в архивах); ревизия (обследование вновь получаемых программ на дискетах и дисках на на­личие вирусов, систематическая проверка длин файлов, хранящихся на винчес­тере, использование и постоянная проверка контрольных сумм при хранении и передаче программного обеспечения, проверка содержимого загрузочных сек­торов винчестера и используемых дискет системных файлов);
фильтрация (разделение винчестера на логические диски с различными возмож­ностями доступа к ним, использование резидентных программных средств сле­жения за файловой системой);
□ защита, основанная на применении специальных программных средств.
Все эти мероприятия, в той или иной степени, включают использование различных программных средств защиты. К их числу необходимо отнести программы-архивато­ры, программы резервирования важных компонентов файловой системы, просмотра содержимого файлов и загрузочных секторов, подсчета контрольных сумм и собственно программ защиты.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика