Учебное пособие: Интеллектуальные компьютерные технологии защиты информации

3.4.3 Обязательные правила

Обязательные правила, в основном, касаются использования паролей и аналогичны изложенным в пункте 3.3.3.

3.5 Планирование мероприятий по обеспечению логической безопасности

Логическая безопасность - это нефизические(как правило, программные) средства контроля доступа в систему. Используются для защиты уязвимой информации и программных средств.

Большинство компьютерных систем, используемых в организации, имеют механизм обеспечения безопасности, который может использоваться для создания соответствующей структуры контроля с целью защиты системы. Для ПК стандартная операционная система которых не обеспечивает такого механизма, имеются пакеты, которые могут выполнять эту функцию.

Хорошо спланированные мероприятия по обеспечению логической безопасности наряду с физической безопасностью повышают защиту компьютерных систем и содержащихся в них данных от несанкционированного доступа и/или вмешательства.

3.5.1 Потенциальные угрозы

Потеря конфиденциальности вследствие:

•несанкционированного доступа к уязвимой информации.

Потеря целостности вследствие:

•  несанкционированного или неконтролируемого внесения изменений в программное обеспечение и/или данные, содержащиеся в системе;

•  отсутствия разграничения в отношении кто и что может изменять в системе.

Потеря доступности вследствие:

•искажения или удаления (случайного или намеренного) программного обеспечения и/или данных в системе не имеющими прав пользователями.

3.5.2  Пути снижения рисков

•  Планировать логическую безопасность системы в целом, принимая во внимание степень уязвимости подлежащей защите системы и данных и объем защиты, которая может быть обеспечена физическими средствами.

•  Разделить обязанности для минимизации риска злоупотреблений в системе, будь то по небрежности или преднамеренно. В частности, рассмотреть возможность разделения следующих функций:

•  ввод данных;

•  управление сетью;

•  администрирование системы;

•  развитие и сопровождение системы;

•  управление изменениями;

•  администрирование безопасности.

Предоставить каждому уполномоченному пользователю системы уникальный идентификатор пользователя и пароль, с тем чтобы они могли быть идентифицированы, и им могли быть даны соответствующие права доступа.

Защитить систему от доступа паролями или аналогичными средствами.

Предпринять меры (т.е. использовать формальные процедуры, автоматический выход из системы) для обеспечения отключения пользователей от системы по окончании работы или при оставлении своего терминала или ПК без присмотра (за консультацией обращаться к специалистам соответствующих служб).

Обеспечить защиту всех системных и прикладных программ с тем, чтобы они могли обновляться только теми, кто имеет на это право.

Внедрить процедуры проверки для обнаружения изменений в программных файлах (контрольное суммирование).

Обеспечить защиту всех уязвимых данных с тем, чтобы они могли быть доступны только тем, кто имеет на это разрешение.

Держать очень уязвимую информацию (особенно это касается информации, которую не должны видеть лица, имеющие доступ к привилегированным идентификаторам пользователя) на съемных носителях, таких как дискеты. Такие данные должны быть обеспечены защитой и храниться отдельно от системы (см. параграф «Планирование мероприятий по обеспечению физической безопасности»). Шифровать уязвимые данные во время хранения и/или передаче по линиям связи.

3.5.3 Обязательные правила

Все системы (включая переносные и «домашние» компьютеры), в которых используются уязвимые данные, должны настраиваться и эксплуатироваться таким образом, чтобы доступ к таким данным могли иметь только имеющие соответствующие полномочия сотрудники (за консультацией обращайтесь к администратору безопасности).

3.6 Планирование мероприятий по обеспечению физической безопасности

Физическая безопасность - это физические (не программные - охрана, замки, двери, решетки и. т.п.) средства контроля доступа к ресурсам системы.

Любое физическое имущество должно предохраняться от потери, повреждения или кражи, компьютерное оборудование не составляет исключения. Однако физическая защита компьютерного оборудования представляет собой первую оборонительную линию для любой компьютерной системы, которую оно поддерживает. В некоторых системах, например, операционных системах UNIX, физический доступ к серверу позволяет обойти все меры защиты системы. Физическая безопасность обеспечивает защиту компьютерной системы в целом, т.е. программное обеспечение и данные, а также аппаратные средства.

Следовательно, меры, принимаемые для сохранения физической безопасности компьютерного оборудования, должны отражать не только стоимость замены оборудования, но и возможный ущерб от потери системы, программного обеспечения и данных. В некоторых случаях организация могла бы оказаться в затруднительном положении, если бы содержащее уязвимые данные и/или системы оборудование было вынесено из организации.

В общем, риск случайного повреждения может быть снижен, если руководствоваться общим здравым смыслом (и соблюдать инструкции по технике безопасности). Однако, для защиты систем от воздействия окружающей среды, неосторожности, намеренного вмешательства и кражи необходимы другие меры. С уменьшением размеров аппаратных средств увеличивается возможность их кражи, особенно это касается таких компонентов как диски и ПК. Существует риск кражи и таких компонентов, как платы памяти и процессорные чипы, которые малы, легко снимаются и довольно дорого стоят.

3.6.1 Потенциальные угрозы

Потеря конфиденциальности вследствие:

•несанкционированного доступа к уязвимой информации в результате утери или кражи компьютерного оборудования.

Потеря доступности вследствие:

•  утери, повреждения или кражи компьютерного оборудования;

•  пропадания питания или бросков напряжения.

3.6.2. Пути снижения рисков

•  обеспечить защиту оставляемых без присмотра аппаратных средств, которые поддерживают дорогостоящие, критичные и/или уязвимые компьютерные системы - устанавливать их в закрываемом на ключ шкафу, в отдельной закрываемой на ключ комнате, или установить замки на клавиатурах;

•  надежно хранить все портативные носители данных (дискеты, ленты) в соответствии с их уязвимостью, критичностью или ценностью хранящихся на них данных - держать в сейфе, если они не используются в данный момент. Заметим, что стандартные, даже огнестойкие, сейфы не обеспечивают надлежащей защиты магнитных носителей;

•  обеспечить защиту источников питания критичных систем.

3.7 Слежение за состоянием безопасности

Основанием для защиты информационной системы с использованием мер безопасности является повышение уверенности в конфиденциальности, целостности и доступности, как самой системы, так и ее данных.

Однако установление необходимых мер безопасности само по себе не является гарантией того, что они будут продолжать свою работу так, как от них ожидается, в течение всего срока функционирования системы. Например, безопасность может быть скомпрометирована по невнимательности в процессе внесения обычных изменений в систему; плохое администрирование системы может допустить возникновение ошибок, которые постепенно подрывают целостность системы; изменения могут быть сделаны с деструктивным намерением. Если не существует процедур слежения за состоянием безопасности, то вполне вероятно, что случаи компрометации останутся незамеченными до тех пор, пока не произойдет функциональный сбой, раскрытие конфиденциальной информации или финансовые потери.

Поэтому важно, чтобы менеджеры систем и администраторы сетей имели средства выявления слабых мест в безопасности систем и обнаружения фактических брешей в безопасности при их появлении. Однако наличие таких возможностей требует накладных расходов. Затраты при этом должны соразмеряться с потенциальными рисками. Хорошо обдуманная и спроектированная функция слежения за состоянием безопасности КИС должна помочь добиться правильного соотношения между затратами и риском.

3.7.1 Потенциальные угрозы

Потеря конфиденциальности, доступности и целостности вследствие:

•  остающихся незамеченными случаев нарушения безопасности (например, несанкционированного доступа к привилегированным или иным идентификаторам пользователя, программному обеспечению, уязвимым данным);

•  санкционированных изменений в системе, приводящих к неожиданной и незамеченной потере эффективности действующих мер обеспечения безопасности;

•  несанкционированных изменений, снижающих степень безопасности, но остающихся незамеченными (например, приводящих к неадекватному или неправильному контролю доступа к уязвимым данным в течение долгого периода времени).

3.7.2 Пути снижения рисков

Проектировать такую систему или процедуру слежения за состоянием безопасности, которая бы:

•  учитывала все аспекты безопасности системы;

•  отслеживала те области, где бреши в безопасности будут наиболее уязвимыми;

•  отслеживала те области, где изменения (будь то технологические, организационные или структурные) могут снизить эффективность существующих в настоящий момент мер безопасности;

•  уделяла основное внимание областям риска и отчетности (например, сообщениям об исключительных ситуациях);

•  отслеживала свою собственную эффективность (т.е. регистрировала свои собственные удачи и сбои).

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24