Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Уровни конфиденциальности информации




Уровни безотказности

Основные способы защиты информации в вычислительной системе

 

Обеспечение безотказности, или надежности доступа к инфор­мации, является одним из способов защиты информации. В табл. 8.1 описаны четыре уровня безотказности.


Таблица 8.1

Параметр Класс 0 Класс 1 Класс 2 Класс 3
Максимально возможное непрерывное время отказа 1 нед. 1 сут. 1 ч. 1 ч.
В какой период время отказа не может превышать указанное выше значение В рабочее время В рабочее время В рабочее время 24 часа в сутки
Средняя вероятность доступ­ности данных в произвольный момент времени, %     99,5 99,9
Среднее максимальное время отказа 1 день в неделю 2 часа в неделю 20 мин. в неделю 12 мин. в месяц

 

Обеспечение определенного уровня конфиденциальности ин­формации является одной из самых важных мер защиты, прини­маемых в рассмотрение при создании определенной политики безопасности учреждения. В табл. 8.2 описаны уровни конфиден­циальности информации.

Таблица 8.2

Класс Тип информации Описание Примеры
  Открытая информация Общедоступная информация Информационные бро­шюры, сведения, публи­ковавшиеся в СМИ
  Внутренняя информация Информация, недоступ­ная в открытом виде, но не несущая никакой опасности при ее раскрытии Финансовые отчеты и тестовая информация за давно прошедшие периоды, отчеты об обычных заседаниях и встречах, внутренний телефонный справоч­ник фирмы
  Конфиденциальная информация Раскрытие информации ведет к значительным потерям на рынке Реальные финансовые данные, планы, проек­ты, полный набор све­дений о клиентах, ин­формация о бывших и нынешних проектах с нарушениями этиче­ских норм
  Секретная информация Раскрытие информации приведет к финансовой гибели компании (зависит от ситуаций)

При работе с информацией 1-го класса конфиденциальности ре­комендуется выполнение следующих требований:

— осведомление сотрудников о закрытости данной информации;

— общее ознакомление сотрудников с основными возможными методами атак на информацию;

— ограничение физического доступа;

— полный набор документации по правилам выполнения опера­ций с данной информацией.

При работе с информацией 2-го класса конфиденциальности к перечисленным выше требованиям добавляются следующие:

— расчет рисков атак на информацию;

— поддержание списка лиц, имеющих доступ к данной инфор­мации;

— по возможности выдача подобной информации под расписку (в том числе электронную);

— автоматическая система проверки целостности системы и ее средств безопасности;

— надежные схемы физической транспортировки;

— обязательное шифрование при передаче по линиям связи;

— схема бесперебойного питания ЭВМ.

При работе с информацией 3-го класса конфиденциальности ко всем перечисленным выше требованиям добавляются следующие:

— детальный план спасения либо надежного уничтожения ин­формации в аварийных ситуациях (пожар, наводнение, взрыв);

— защита ЭВМ либо носителей информации от повреждения водой и высокой температурой;

— криптографическая проверка целостности информации.

Функции каждого человека, так или иначе связанного с конфи­денциальной информацией в организации, можно классифициро­вать и в некотором приближении формализовать. Подобное, общее описание функций носит название роли. В зависимости от разме­ров организации некоторые из перечисленных ниже ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом.

Специалист по информационной безопасности играет основную роль в разработке и поддержании политики безопасности пред­приятия. Он проводит расчет и перерасчет рисков, ответствен за поиск самой свежей информации об обнаруженных уязвимостях в используемом программном обеспечении и в целом в стандарт­ных алгоритмах.

Владелец информации — лицо, непосредственно работающее с данной информацией. Зачастую только он в состоянии реально оценить класс обрабатываемой информации, а иногда и рассказать о нестандартных методах атак на нее (узкоспецифичных для этого вида данных).

Поставщик аппаратного и программного обеспечения — обычно стороннее лицо, которое несет ответственность перед фирмой за поддержание должного уровня информационной безопасности в по­ставляемых им продуктах.

Разработчик системы и (или) программного обеспечения играет основную роль в уровне безопасности разрабатываемой системы. На этапах планирования и разработки должен активно взаимодей­ствовать со специалистами по информационной безопасности.

Руководитель подразделения является промежуточным звеном между операторами и специалистами по информационной безо­пасности. Его задача — своевременно и качественно инструктиро­вать подчиненный ему персонал обо всех требованиях службы безопасности и следить за их выполнением на рабочих местах. Ру­ководители подразделений должны быть осведомлены обо всей поли­тике безопасности организации, но доводить до сведения подчинен­ных только те ее аспекты, которые непосредственно их касаются.

Политика безопасности — это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов в организации. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные направления разработки политики безопасности:

— определение того, какие данные и насколько серьезно необ­ходимо защищать;

— определение того, кто и какой ущерб может нанести органи­зации в информационном аспекте;

— вычисление рисков и определение схемы уменьшения их до приемлемой величины.

Существуют две системы оценки текущей ситуации в области информационной безопасности в организации. Они получили об­разные названия «исследование снизу вверх» и «исследование сверху вниз».

Первый метод достаточно прост, требует намного меньших ка­питальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме: «Вы — злоумышленник. Ваши дей­ствия?» То есть служба информационной безопасности, основыва­ясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможна ли такая атака со стороны реального злоумышленника.

Метод «сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки инфор­мации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо за­щищать. Далее следует изучение текущего состояния системы ин­формационной безопасности с целью определения, что из класси­ческих методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этапе производится класси­фикация всех информационных объектов на классы в соответ­ствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Далее следует выяснение того, насколько серьезный ущерб мо­жет принести организации раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название «вычисление рисков». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность та­кой атаки». Существует множество схем вычисления рисков, оста­новимся на одной из самых простых[4].

Ущерб от атаки может быть представлен неотрицательным числом:

  1. — раскрытие информации принесет ничтожный моральный и финансовый ущерб организации;
  2. — ущерб от атаки есть, но он незначителен, основные финансовые операции и положение организации на рынке не затронуты;
  3. — финансовые операции не ведутся в течение некоторого времени, за это время организация терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально;
  4. — значительные потери на рынке и в прибыли. От организации уходит ощутимая часть клиентов;
  5. — потери очень значительны, организация на период до года те­ряет положение на рынке. Для ввосстановления положения требуются крупные финансовые займы;
  6. — организация прекращает существование.

Вероятность атаки представляется неотрицательным числом:

  1. — данный вид атаки отсутствует;
  2. — реже, чем раз в год;
  3. — около 1 раза в год;
  4. — около 1 раза в месяц;
  5. — около 1 раза в неделю;
  6. — практически ежедневно.

Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.

Затем составляется таблица рисков организации (табл. 8.3).


Таблица 8.3

Таблица рисков организации

Описание атаки Ущерб Вероятность Риск (= Ущерб * Вероятность)
Спам (переполнение почтового ящика)      
Копирование жесткого дис­ка из центрального офиса      
 
Итого  

 

На этапе анализа таблицы рисков задаются некоторым макси­мально допустимым риском, например значением 7. Сначала про­веряется каждая строка таблицы на непревышение риска этого значения. Если такое превышение имеет место, значит, данная строка — это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 7x2 = 14) с интегральным риском (ячейка «Ито­го»). Если интегральный риск превышает допустимое значение, значит, набирается множество мелких погрешностей в системе бе­зопасности, которые в сумме не дадут организации эффективно работать. В этом случае из строк выбираются те, которые дают са­мый значительный вклад в значение интегрального риска, и произ­водится попытка их уменьшить или устранить полностью.

На самом ответственном этапе производится собственно разра­ботка политики безопасности предприятия, которая обеспечит надлежащие уровни как отдельных рисков, так и интегрального риска. При ее разработке необходимо, однако, учитывать объек­тивные проблемы, которые могут встать на пути реализации поли­тики безопасности. Такими проблемами могут стать законы страны и международного сообщества, внутренние требования корпора­ции, этические нормы общества.

После описания всех технических и административных мер, планируемых к реализации, производится расчет экономической стоимости данной программы. В том случае когда финансовые вло­жения в программу безопасности являются неприемлемыми или просто экономически невыгодными по сравнению с потенциальным ущербом от атак, производится возврат на уровень, где мы задава­лись максимально допустимым риском 7, и увеличение его на один или два пункта.

Завершается разработка политики безопасности ее утвержде­нием у руководства организации и детальным документированием. За этим должна следовать активная реализация всех указанных в плане компонентов. Перерасчет таблицы рисков и как следствие модификация политики безопасности организации должны произ­водиться раз в два года.




Поделиться с друзьями:


Дата добавления: 2014-11-29; Просмотров: 1997; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.007 сек.