При рассмотрении структуры СИБ возможен традиционный подход – выделение обеспечивающих подсистем. СИБ, как и любая ИС, должна иметь определенные виды собственного обеспечения, опираясь на которые, она будет способна выполнить свою целевую функцию. С учетом этого СИБ должна иметь:
- Правовое обеспечение – совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации.
- Организационное обеспечение. Имеется ввиду, что реализация информационной безопасности осуществляется определенными структурными единицами, такими, например, как служба безопасности фирмы и ее составные структуры: режим, охрана и др.
- Информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование СИБ. Сюда могут входить как показатели доступа, учета, хранения, так и информационное обеспечение расчетных задач различного характера, связанных с деятельностью службы безопасности.
- Техническое (аппаратное) обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности СИБ.
- Программное обеспечение. Имеются в виду различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и способов несанкционированного доступа к информации.
- Математическое обеспечение. Это математические методы, используемые для различных расчетов, связанных с оценкой опасности технических средств разведки на стороне злоумышленников, зон и норм необходимой защиты.
- Лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в среде обеспечения информационной безопасности.
- Нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации; различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований соблюдения конфиденциальности.
Нормативно-методическое обеспечение может быть слито с правовым.
Необходимо отметить, что из всех мер защиты в настоящее время ведущую роль играют организационные мероприятия. Поэтому следует выделить вопрос организации службы безопасности.
Реализация политики безопасности требует настройки средств защиты, управления системой защиты и осуществления контроля функционирования АИС.
Как правило, задачи управления и контроля решаются административной группой, состав и размер которой зависят от конкретных условий. Очень часто в эту группу входят администратор безопасности, менеджер безопасности и операторы.
Обеспечение и контроль безопасности представляют собой комбинацию технических и административных мер. По данным зарубежных источников, у сотрудников административной группы обычно 1/3 времени занимает техническая работа и около 2/3 – административная (разработка документов, связанных с защитой АИС, процедур проверки защиты системы и т. д.). Разумное сочетание этих мер способствует уменьшению вероятности нарушений политики безопасности.
Административную группу иногда называют группой информационной безопасности. Обычно она обособлена от всех отделов и групп, занимающихся управлением самой АИС, программированием и другими относящимися к системе задачами, во избежание возможного столкновения интересов.
В обязанности входящих в эту группу сотрудников должно быть включено не только исполнение директив вышестоящего руководства, но и участи в выработке решений по всем вопросам, связанным с процессом обработки информации, с точки зрения обеспечения его защиты. Все их распоряжения, касающиеся этой области, обязательны к исполнению сотрудниками всех уровней и организационных звеньев АИС.
Нормативы и стандарты по защите информации накладывают требование на построение ряда компонентов, которые традиционно входили в обеспечивающие подсистемы самих АИС, т. е. можно говорить о наличии тенденции к слиянию обеспечивающих подсистем АИС и СИБ.
Примером может служить использование операционных систем – основы системного ПО КИС. В разных странах выполнено множество исследований по анализу и классификации изъянов защиты АИС. Выявлено, что основные недостатки АИС сосредоточены в операционных системах. Использование защищенных ОС является одним из важнейших условий построения АИС.
Составлены сводные таблицы характеристик и параметров операционных систем, прошедших оценку в соответствии с требованиями министерства обороны США и «Оранжевой книги» [17]. Особенно важны требования к ОС, ориентированным на работу с локальными и глобальными сетями. Развитие Интернета оказало особенно сильное влияние на разработку защищенных ОС. Развитие сетевых технологий привело к появлению большого числа сетевых компонентов. До сих пор случается, что АИС не проходили сертификацию с учетом требований к сетевому ПО, но используются в сетевом окружении и даже подключаются к Интернету. При этом выявляются не обнаруженные ранее изъяны, что требует непрерывной доработки ОС и других элементов АИС.
Наиболее защищенными считались ОС на базе UNIX, но и они потребовали существенной переработки в части защиты.
С момента появления WINDOWS начались атаки на эту ОС. Было разработано несколько модификаций этой ОС, каждая последующая с более совершенной защитой.
В самой большой сети мира Internet атаки на компьютерные системы прокатываются как цунами, не зная ни государственных границ, ни расовых или социальных различий. Идет постоянная борьба интеллекта, а также организованности системных администраторов и изобретательных хакеров.
Потребовались совершенствования в существующих стандартах и нормах по части защиты информации. Не зря в добавление к «оранжевой книге» появились новые требования Министерства обороны США, например «Красная книга»
Надо отдать должное корпорации Microsoft – ее реакция на увеличение угроз чрезвычайно активна. По мере появления сообщений об уязвимых местах в очередной версии ОС WINDOWS быстро создаются заплаты (hotfixes), а затем пакеты обновления (service packs), помогающие «укрепить» ОС в лучшую сторону.
Схема СИБ с отражением состава, а также информационных, программных и других связей между отдельными блоками (методами и средствами) .
Препятствия преграждают путь злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. д.). Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств, финансов и информации от противоправных действий. Примером физических средств: замки на дверях, решетки на окнах, средства охранной сигнализации и т. д.
Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопряжены с подобной аппаратурой по стандартному интерфейсу.
Программные средства – это специальные программы и программные комплексы, предназначенные для защиты информации в АИС. Эти комплексы имеют широкое назначение – от выполнения операций при криптографии до реализации диагностики и лечения при борьбе с вирусными программами. Многие программные средства СИБ слиты с ПО самой АИС. Широкое назначение этих комплексов и взаимосвязь с другими блоками отражены в блок-схеме стрелками.
Маскировка потоков данных. Механизмы этой процедуры способствует засекречиванию потоков данных. Они основываются на генерации объектами АИС фиктивных блоков, их шифровании и организации передачи по каналам сети. Тем самым затрудняется возможность получения информации посредством наблюдения за внешними характеристиками потоков, циркулирующих по каналам связи.
Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в АИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможным или существенно затрудняется за счет проведения организационных мероприятий. Требуя наименьшие затраты для реализации, комплекс этот дает результаты, превосходящие по эффективности результаты работы многих других блоков. Комплекс мер реализуется группой информационной безопасности, но должен находиться под контролем Первого руководителя.
Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Морально-этические средства защиты включают все возможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения АИС и АСУ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписанные (например, честность), либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения. Характерным примером таких предписаний является «Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США».
Побуждение – такой метод защиты, который побуждает пользователей и персонал АИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.
Принуждение – такой метод защиты, при котором пользователи и персонал АИС вынуждены соблюдать правила обработки, передачи и использования информации под угрозой материальной, административной или уголовной ответственности.
Регламентация – создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которой нормы и стандарты по защите выполняются в наибольшей степени.
Принципы построения СИБ можно прочитать тут