Існує два підходи до проблеми забезпечення безпеки комп'ютерних систем та мереж (КС): «фрагментарний» і комплексний.
«Частковий» підхід спрямований на протидію чітко визначеним загрозам у заданих умовах. В якості прикладів реалізації такого підходу можна вказати окремі засоби управління доступом, автономні засоби шифрування, спеціалізовані антивірусні програми і т. П. Перевагою такого підходу є висока вибірковість до конкретної загрози. Істотний недолік - відсутність єдиної захищеної середовища обробки інформації. Фрагментарні заходи захисту інформації забезпечують захист конкретних об'єктів КС тільки від конкретної загрози. Навіть невелике видозміна загрози веде до втрати ефективності захисту.
Комплексний підхід орієнтований на створення захищеного середовища обробки інформації в КС, що об'єднує в єдиний комплекс різнорідні заходи протидії загрозам. Організація захищеного середовища обробки інформації дозволяє гарантувати певний рівень безпеки КС, що є безсумнівним достоїнством комплексного підходу. До недоліків цього підходу відносяться: обмеження на свободу дій користувачів КС, чутливість до помилок установки і налаштування засобів захисту, складність управління. Комплексний підхід застосовують для захисту КС великих організацій або невеликих КС, що виконують відповідальні завдання або обробних особливо важливу інформацію. Порушення безпеки інформації в КС великих організацій може нанести величезний матеріальний збиток як самим організаціям, так і їх клієнтам. Тому такі організації змушені приділяти особливу увагу гарантіям безпеки і реалізови-вать комплексний захист. Комплексного підходу дотримуються більшість державних і великих комерційних підприємств та установ. Цей підхід знайшов своє відображення в різних стандартах. Комплексний підхід до проблеми забезпечення безпеки заснований на розробленій для конкретної КС політики безпеки. Політика безпеки регламентує ефективну роботу засобів захисту КС. Вона охоплює всі особливості процесу обробки інформації, визначаючи поведінку системи в різних ситуаціях. Надійна система безпеки мережі не може бути створена без ефективної політики мережевої безпеки. Політики безпеки докладно розглядаються в гл. 3.
Для захисту інтересів суб'єктів інформаційних відносин необхідно поєднувати заходи наступних рівнів:
Інформаційна безпека - це нова галузь діяльності, тут важливо не тільки забороняти і карати, а й вчити, роз'яснювати, допомагати. Суспільство має усвідомити важливість даної проблематики, зрозуміти основні шляхи вирішення відповідних проблем. Держава може зробити це оптимальним чином. Тут не потрібно великих матеріальних витрат, потрібні інтелектуальні вкладення.
Заходи адміністративно-організаційного рівня. Адміністрація організації повинна усвідомлювати необхідність підтримки режиму безпеки і виділяти на ці цілі відповідні ресурси. Основою заходів захисту адміністративно-організаційного рівня є політика безпеки (див. Гл. 3) і комплекс організаційних заходів.
До комплексу організаційних заходів належать заходи безпеки, реалізовані людьми. Виділяють наступні групи організаційних заходів:
Для кожної групи в кожній організації повинен існувати набір регламентів, що визначають дії персоналу.
Заходи і засоби програмно-технічного рівня. Для підтримки режиму інформаційної безпеки особливо важливі заходи програмно-технічного рівня, оскільки основна загроза комп'ютерних систем виходить від них самих: збої обладнання, помилки програмного забезпечення, промахи користувачів і адміністраторів і т. П. В рамках сучасних інформаційних систем повинні бути доступні наступні механізми безпеки :
Необхідність застосування стандартів. Інформаційні системи (ІС) компаній майже завжди побудовані на основі програмних і апаратних продуктів різних виробників. Поки немає жодної компанії-розробника, яка надала б споживачеві повний перелік засобів (від апаратних до програмних) для побудови сучасної ІС. Щоб забезпечити в різнорідної ІС надійний захист інформації потрібні фахівці високої кваліфікації, які повинні відповідати за безпеку кожного компонента ІС: правильно їх налаштовувати, постійно відслідковувати зміни, контролювати роботу користувачів. Очевидно, що чим різноманітніше ІС, тим складніше забезпечити її безпеку. Достаток в корпоративних мережах і системах пристроїв захисту, міжмережевих екранів (МЕ), шлюзів і VPN, а також зростаючий попит на доступ до корпоративних даних з боку співробітників, партнерів і замовників призводять до створення складного середовища захисту, важкою для управління, а іноді і несумісною .
Інтероперабельність продуктів захисту є невід'ємною вимогою для КІС. Для більшості гетерогенних середовищ важливо забезпечити узгоджене взаємодія з продуктами інших виробників. Прийняте організацією рішення безпеки має гарантувати захист на всіх платформах в рамках цієї організації. Тому цілком очевидна потреба в застосуванні єдиного набору стандартів як постачальниками засобів захисту, так і компаніями - системними інтеграторами і організаціями, що виступають в якості замовників систем безпеки для своїх корпоративних мереж і систем.
Стандарти утворюють понятійний базис, на якому будуються всі роботи щодо забезпечення інформаційної безпеки, і визначають критерії, яким має слідувати управління безпекою. Стандарти є необхідною основою, що забезпечує сумісність продуктів різних виробників, що надзвичайно важливо при створенні систем мережевої безпеки в гетерогенних середовищах.
Комплексний підхід до вирішення проблеми забезпечення безпеки, раціональне поєднанні законодавчих, адміністративно-організаційних та програмно-технічних заходів і обов'язкове проходження промисловим, національним і міжнародним стандартам - це той фундамент, на якому будується вся система захисту корпоративних мереж.
Для пошуку рішень проблем інформаційної безпеки при роботі в мережі Інтернет був створений незалежний консорціум ISTF (Internet Security Task Force) - громадська організація, що складається з представників і експертів компаній-постачальників засобів інформаційної безпеки, електронних бізнесів і провайдерів Internet-інфраструктури. Мета консорціуму - розробка технічних, організаційних та операційних керівництв з безпеки роботи в Internet.
Консорціум ISTF виділив 12 областей інформаційної безпеки, на яких в першу чергу повинні сконцентрувати свою увагу творці електронного бізнесу, щоб забезпечити його працездатність. Цей список, зокрема, включає:
Їх реалізація означає, що захист інформації в системі електронного бізнесу повинна бути комплексною. Для комплексної зашиті від загроз і гарантії економічно вигідного й безпечного використання комунікаційних ресурсів для електронного бізнесу необхідно:
Згідно з рекомендаціями ISTF, першим і найважливішим етапом розробки системи інформаційної безпеки електронного бізнесу є механізми управління доступом до мереж загального користування та доступом з них, а також механізми безпечних комунікацій, реалізовані МЕ і продуктами захищених віртуальних мереж VPN.
Супроводжуючи їх засобами інтеграції та управління всією ключовою інформацією системи захисту (PKI - інфраструктура відкритих ключів), можна отримати цілісну, централізовано керовану систему інформаційної безпеки. Наступний етап включає інтегровані в загальну структуру засоби контролю доступу користувачів в систему разом з системою одноразового входу і авторизації (Single Sign On).
Антивірусний захист, засоби аудиту та виявлення атак, по суті, завершують створення інтегрованої цілісної системи безпеки, якщо мова не йде про роботу з конфіденційними даними. У цьому випадку потрібні засоби криптографічного захисту даних і електронно-цифрового підпису.
Для реалізації основних функціональних компонентів системи безпеки для електронного бізнесу застосовуються різні методи та засоби захисту інформації:
Компанія «Сучасні системи безпеки бізнесу» активно впроваджує передові технології в сфери безпеки бізнесу та технічного захисту інформації. Основними напрямками нашої діяльності є: пошук закладних пристроїв (захист від прослуховування, прихованих камер і т.д.); проектування, монтаж і обслуговування систем безпеки бізнесу: відеоспостереження; контроль доступу; облік робочого часу; охоронна і пожежна сигналізація; вимірювання тепловтрат приміщень та рекомендації щодо теплоізоляції; вимірювання радіоактивного фону в приміщеннях і на територіях. Дзвоніть нам за вказаним номером телефону і ми відповімо на всі Ваші запитання: