Наши друзья
|
Выбор технического средства защиты информации от НСД
Роль политики информационной безопасности
В предыдущем разделе нами сформулированы задачи, решаемые в рамках
разработки политики информационной безопасности. При этом политика
информационной безопасности — это основополагающий документ, регламентирующий все мероприятия, реализуемые на предприятии с целью обеспечения компьютерной безопасности. Политика информационной безопасности — это та основа, без которой невозможно приступать ни к выбору, ни к проектированию средств защиты информации, в том числе добавочных.
Невозможно в общем случае сказать, какое средство защиты лучше (при прочих равных условиях — надежности функционирования, производительности и т.д.). Следует лишь говорить, какое средство в большей мере удовлетворяет
требованиям, формализуемым политикой информационной безопасности.
Например, если политикой регламентируется схема централизованного администрирования механизмов защиты (в качестве потенциального злоумышленника рассматривается пользователь), то, как показано ранее, не подходят средства защиты, встроенные в современные универсальные ОС, а также ряд средств добавочной защиты, использующих встроенные в ОС механизмы (в частности, механизм управления доступом).
Следовательно, прежде всего, следует разработать политику информационной безопасности, а уже с ее использованием приступать к разработке, либо к выбору из представленных на рынке технических средств защиты информации.
Однако здесь существует противоречие, состоящее в следующем: с одной стороны, политика информационной безопасности выставляет требования к системе защиты, с другой стороны, может она быть реализована только на основе тех возможностей (механизмов защиты), которые реализуются системой защиты. То есть именно система защиты является центральным звеном, определяющим возможности защиты информации на предприятии в принципе.
Разработка политики информационной безопасности
Разработка политики информационной безопасности в общем случае является итерационной процедурой, состоящей из выполнения следующих шагов.
Первый шаг — разработка гипотетически идеальной для предприятия политики, куда закладываются те требования, которые идеально подходят для данного предприятия — формулируется некий
идеальный профиль защиты.
Второй шаг — выбор (либо разработка) системы защиты, максимально обеспечивающей выполнение требований гипотетически идеальной политики информационной безопасности.
Третий шаг — определение требований политики информационной безопасности, которые не выполняются системой защиты.
Далее возможны следующие пути:
» осуществление доработки выбранного средства защиты в части выполнения ими сформулированных требований;
• выполнение (по возможности) данных требований организационными мерами. Здесь главное — не свести все к абсурду, например, если рассматривать для ОС Windows NT/2000/XP в качестве потенциального злоумышленника пользователя, то с учетом того, что пользователь может запустить любую программу с внешнего устройства ввода, т.е. получает инструментарий преодоления системы защиты, в качестве организационных мероприятий может быть предусмотрено использование компьютеров без внешних устройств ввода);
» пересмотр политики информационной безопасности (если это возможно) с учетом возможностей выбранного средства защиты информации. Сделано это должно быть таким образом, чтобы чтобы не выполняемые
системой защиты требования не выдвигались в качестве основных требований к обеспечению информационной безопасности (однако заметим, что это не должно привести к ослаблению защиты информации на предприятии: мы говорим о пересмотре, не об усечении возможностей).
Проблемы реализации принятого профиля информационной безопасности
В результате выполнения рассмотренной в предыдущем пункте процедуры будет сформирована политика информационной безопасности, обеспечиваемая техническими возможностями выбранной системы защиты.
Возникает резонный вопрос: а может ли случиться так, что разработанный на предприятии профиль защиты принципиально не достижим, либо, наоборот, реализуется с большой избыточностью (это тоже плохо, т.к. в данном случае необоснованно снижается производительность, повышается цена системы защиты и т.д.)?
Гипотетически подобное возможно. Это обусловлено тем, что встроенные в современные универсальные ОС механизмы защиты еще весьма далеки от совершенства (их недостатки рассмотрены в предыдущих главах), а добавочные средства защиты на отечественном рынке еще не столь широко представлены, чтобы обеспечить всевозможные профили защиты, потребность в которых может возникнуть на практике.
Существующие системы защиты скорее имеют больше общего, чем различий. Пожалуй, значительно среди них выделяется КСЗИ «Панцирь» -здесь реализовано 9 патентов на изобретения сотрудников ЗАО «НПП «Информационные технологии в бизнесе» (на сегодняшний день по реализованным техническим решения подано 15 заявок на изобретения), Это объективно иллюстрирует существенные отличия данной системы.
Вместе с тем отметим, что если в полном объеме политику информационной безопасности обеспечить техническими средствами защиты не
удается, должны быть выделены «слабые» места защиты и выработаны соответствующие организационные мероприятия по возможной локализации потенциально опасных для системы защиты угроз.
Общее правило выбора системы технической защиты информации
Обобщая все сказанное, отметим, что система технической защиты информации является ключевым звеном политики информационной безопасности, которая в своей основе базируется именно на механизмах технической защиты информации. Обоснованный выбор средства защиты
для установки в корпоративной сети предприятия может быть осуществлен только на основе анализа на совпадения требуемого профиля защиты предприятия и профиля защиты, реализуемого системой зашиты, в
частности добавочной.
Поэтому выбор системы защиты, равно как и разработка политики информационной безопасности, в общем случае является взаимосвязанной итерационной процедурой, состоящей из выполнения рассмотренных
выше шагов. |