Головна
Безпека життєдіяльності та охорона праці || Хімічні науки || Бізнес і заробіток || Гірничо-геологічна галузь || Природничі науки || Зарубіжна література || Інформатика, обчислювальна техніка та управління || Мистецтво. Культура || Історія || Літературознавство. Фольклор || Міжнародні відносини та політичні дисципліни || Науки про Землю || Загальноосвітні дисципліни || Психологія || Релігієзнавство || Соціологія || Техніка || Філологія || Філософські науки || Екологія || Економіка || Юридичні дисципліни
ГоловнаЕкономікаДержавне та муніципальне управління → 
« Попередня Наступна »
Нікітов В. А.. Інформаційне забезпечення державного управління / Авт.: Нікітов В. А., Орлов Є. І., Старовойтов А. В., Савін Г. І.; За ред. Ю. В. Гуляєва - М.: Слов'янський діалог,. - 415 с., 2000 - перейти до змісту підручника

Політика безпеки ІТКМ

Така політика необхідна в розподіленої системі для того, щоб всі інформаційні ресурси були захищені достатнім безліччю заходів . Вона використовується для керівництва по організації захисту і завжди пов'язана з особливостями захищається середовища, підтримує несуперечливість користувача дій і гарантує певну їх поведінку.

Політика безпеки відноситься до всіх інформаційних ресурсів ІТКМ, програмами, баз даних, операційним системам, апаратних засобів, а також визначає правила поведінки користувачів мережі, обслуговуючого персоналу і вимоги до постачальників обладнання.

Мета її - це ефективне управління ризиками, вибір співробітника, відповідального за безпеку інформаційних ресурсів, встановлення основи для стабільного середовища обробки, гарантія відповідності законам і указам і збереження контролю над системою у випадку зловживань, втрат або неавторизованого розголошення.

Політика безпеки визначає також взаємини між інформаційними системами органів державної влади, як вхідними, так і не входять до ІТКМ. Ми вже відзначали, що ІТКМ є тією системою, в якій зберігається і обробляється інформація національного значення та першорядної важливості. Будучи розподіленої, вона працює як по закритих, так і по відкритих каналах зв'язку, і в цьому зв'язку треба забезпечити доступ до неї безлічі розподілених користувачів, у тому числі не належать системі ІТКМ, яка повинна взаємодіяти також з іншими федеральними, відомчими та регіональними системами для отримання та надання інформації.

З урахуванням потенційних загроз безпеки такої інформаційної системи необхідна реалізація комплексу заходів і засобів захисту з використанням таких технологій, як:

технологія захисту розподілених інформаційних ресурсів;

технологія захисту цілісності та автентичності інформації; технологія захисту мереж і каналів;

технологія захисту інформації від витоку технічними каналами;

технологія підтримки довіреної загальносистемного програмного середовища;

адміністрування системи безпеки.

Завдання забезпечення безпеки

Кінцева мета інформаційної безпеки ІТКМ - забезпечення цілісності, доступності, конфіденційності, повноти, актуальності наданої інформації в інтересах органів державної влади, причому на всіх етапах ( зберігання, обробка і передача інформації, аутентифікація та авторизація ресурсів системи та її користувачів) на базі сучасних інформаційних технологій.

При цьому повинна гарантуватися захист від: комплексного впливу, спрямованого на порушення функціонування безпосередньо інформаційної та телекомунікаційної середовища;

несанкціонованого нелегітимного доступу до технологічної (службової) та іншої інформації, пов'язаної з роботою мережі;

руйнування вбудованих засобів захисту. ІТКМ повинна забезпечувати інтегральну безпеку за рахунок використання криптографічних, алгоритмічних та організаційно-технічних заходів, засобів і способів. Це загальне поняття включає в себе:

фізичну безпеку (захист будівель, приміщень, рухомих засобів і т. п.);

безпеку апаратних засобів (захист ЕОМ, мережевого обладнання і т. п.);

безпека інформаційних ресурсів системи (баз даних, баз документів, інформаційних сховищ, метаінформації, серверів додатків);

безпеку програмно-математичного забезпечення (захист від програмних вірусів, "троянських коней", логічних бомб, хакерів і т. д.);

безпеку зв'язку (захист каналів зв'язку від зовнішніх впливів будь-якого виду);

безпеку мережі в цілому (додаткові заходи захисту, що забезпечують її комплексність).

Об'єктами захисту в системі ІТКМ є додатки, інформаційні ресурси, система управління та засоби забезпечення функціонування системи.

Загальна політика безпеки

Стосовно до ІТКМ вона повинна відповідати цілому ряду положень: 1)

Задовольняти нормативним документам Гостехкомиссии, ФАПСИ і враховувати вимоги міжнародних стандартів. 2)

Необхідний рівень безпеки адекватно визначається цінністю захищається інформації і відповідає трьом рівням -

конфіденційно;

секретно;

цілком таємно. 3)

Рівні визначають вимоги, яким повинні задовольняти як програмні, так і апаратні засоби і канали зв'язку. 4)

Система ІТКМ ділиться на кілька різних областей безпеки в соотве гствіі з необхідним рівнем секретності. 5)

Забороняється читання інформації вищого рівня безпеки суб'єктам, що належить нижчих рівнів безпеки. 6)

Забороняється запис інформації з вищим рівнем безпеки в область, що має більш низький рівень безпеки. 7)

В системі ІТКМ забезпечується контроль дій всіх користувачів при роботі з інформаційними ресурсами.

8)

Слід уникати використання програмних продуктів і пакетів, вихідні тексти яких не контролюються. 9)

Політика безпеки в ІТКМ носить дозволяючий характер, тобто користувач отримує доступ тільки до тих ресурсів, до яких йому дозволено. 10)

Необхідно використовувати поняття екранів і фільтрів на всіх рівнях моделі OSI. 11)

При захист інформації в каналах зв'язку і базах даних та інформаційних сховищах слід користуватися криптографічними методами. 12)

Повинно забезпечуватися виявлення порушень цілісності об'єктів даних. 13)

Треба надійно "відгородити" програмні продукти засобів обчислювальної техніки від впровадження програмних "вірусів" і закладок. 14)

Програмне забезпечення, що використовується в ІТКМ, не може порушувати штатний функціонування засобів захисту. 15)

Необхідна розумна достатність рівня захисту, диференційована відповідно до ступеня важливості оброблюваної інформації. 16)

Потрібно уніфікація засобів і методів захисту. 17)

Повинна забезпечуватися децентралізація засобів захисту. 18)

Реалізація багаторубіжними захисту в найбільш важливих компонентах досягається поєднанням криптографічних, програмно-технічних та організаційно-технічних заходів. 19)

Найважливішою вимогою залишається безперервність функціонування всіх організаційних, фізичних і програмних заходів забезпечення безпеки.

Політика використання інформаційних ресурсів 1)

Інформаційні ресурси, які потребують захисту, надаються користувачам тільки після повної їх взаємної аутентифікації і авторизації. 2)

Користувачеві забезпечується доступ тільки до тієї інформації, до якої він має доступ за родом своєї діяльності. 3)

Не можна кошти інформаційних систем (електронна пошта, дошки оголошень) застосовувати для розповсюдження і створення матеріалів, що мають конфіденційний характер, а також гриф "таємно" і т. д. без використання відповідних засобів захисту. 4)

Особиста інформація користувачів не може бути доступна іншим користувачам і обслуговуючому персоналу, за винятком спеціальних випадків. 5)

Користувач ІТКМ не повинен мати можливість відмовитися від факту формування або прийому інформації. 6)

Необхідно домогтися несумісних за прийнятої концепції захисту процесів і відносин за видами обробки між суб'єктами та об'єктами системи ізолювання. 7)

У процесі функціонування системи слід контролювати і забезпечувати цілісність санкціонованих конфігурацій програмних і апаратних компонентів. 8)

Треба забезпечувати контроль виконання технологічних процесів (їх логічна завершеність, санкционированность, сумісність), а також оперативне відпрацювання всіх видів реакції системи на порушення прийнятих угод. 9)

Слід протоколювати всі дії користувача при доступі до додатків і інформаційних ресурсів.

Політика використання екранів і фільтрів передбачає досягнення наступних цілей:

1) Вся система ІТКМ ділиться на зони за критеріями необхідного рівня безпеки. 2)

Кожна зона має свої власні сервери та засоби захисту, адекватні необхідному рівню безпеки. 3)

Передбачені механізми фізичного поділу областей, призначених для обробки інформації з різним рівнем секретності. 4)

Інформація, що проходить через кордони зон безпеки, пропускається через механізми фільтрації, щоб виключити її неавторизоване розголошення. 5)

Взаємодія користувачів з системою ІТКМ дозволяється тільки на прикладному рівні. 6)

Кожна зона безпеки ІТКМ захищена від зовнішнього проникнення спеціальними програмно-апаратними комплексами на всіх рівнях моделі OSI (фізичному, канальному, мережному, транспортному і т. д.).

Політика забезпечення готовності та надійності включає такі імперативи: 1)

Кожен сервер захисту ІТКМ зобов'язаний дублюватися. 2)

Всю інформацію, що відноситься до захисту, слід періодично записувати на однократно записувані носії. 3)

Система повинна зберігати працездатність при локальних порушеннях безпеки, не знижуючи при цьому необхідного рівня захисту інформації.

Політика використання методів криптографії увазі виконання ряду вимог: 1)

Використовувані засоби і методи криптографії обов'язково сертифікуються ФАПСИ. 2)

При формуванні інформації користувачами ІТКМ забезпечується електронний підпис, однозначно визначає джерело. 3)

Забезпечується як індивідуальне, так і магістральний шифрування каналів передачі інформації, при цьому використовується як абонентське, так і прозоре шифрування. 4)

Здійснюється контроль цілісності програмної та інформаційної частин ІТКМ. 5)

Використовуються кошти встановлення автентичності та цілісності документальних повідомлень при їх передачі по каналах зв'язку.

6)

Виключається можливість відмов від авторства і змісту електронних документів.

Політика фізичного захисту включає реалізацію ряду важливих заходів, а саме:

1) Захист обладнання і технічних засобів системи, приміщень, де вони розміщуються, від витоку конфіденційної інформації з технічних каналах. 2)

Захист шіфротехнікі, устаткування, технічних і програмних засобів від витоку інформації за рахунок апаратних і програмних закладок. 3)

Всі використовувані в ІТКМ технічні засоби зобов'язані проходити спецперевірки на відсутність закладок. 4)

Організація захисту відомостей про інтенсивність, тривалості та трафіки обміну інформацією. 5)

Використання для передачі та обробки інформації каналів і способів, що утруднюють її перехоплення. 6)

Забезпечення захисту технічних засобів і приміщень, в яких ведеться обробка конфіденційної інформації, від витоку по побічних каналах і від можливо впроваджених у них електронних пристроїв знімання інформації. 7)

Дублювання критично важливих каналів зв'язку та обладнання.

Організаційні заходи

До їх числа належать:

забезпечення організаційно-режимних заходів захисту;

розробка посадових інструкцій для користувачів та обслуговуючого персоналу системи ІТКМ;

дублюючий контроль найбільш важливих операцій, що стосуються безпеки системи;

організація "гарячої лінії", за якою користувачі системи можуть повідомити анонімно про свої підозри на порушення безпеки системи;

узгодження принципів взаємодії служби безпеки зі службами адміністрування та управління ІТКМ.

Під адмініструванням та управлінням інформаційною безпекою мається на увазі наступне:

1) В системі ІТКМ використовується централізоване управління захистом системи.

Якщо немає довіри до системи, вона все одно не буде використовуватися, навіть при тому, що всі компоненти задовольняють пред'явленим функціональним вимогам. Довіра встановлюється тільки тоді, коли в системі є певний набір властивостей і особливостей, які задовольняють її замовника, і вона ці якості явно демонструє. Іншими словами, повинна бути впевненість в тому, що комп'ютерна система може виконувати свої дії і при цьому забезпечувати цілісність, конфіденційність і виконувати свої функції довгий час. Така вимога міститься у відповіді на наступне запитання: "Яким способом ми можемо зберігати високий рівень довіри до системи, яка може бути розподіленої, і де високий ризик порушень різного роду?" Адже щоб відновити одного разу втрачену довіру до системи, доведеться виконати величезну роботу.

 Модель довіри до інформаційної системи ІТКМ повинна складатися з трьох компонентів: 1)

 захист, що включає механізми: аутентифікації, авторизації, цілісності, конфіденційності та неможливості відмови; 2)

 готовність, що базується на таких властивостях і якостях, які дозволять використовувати систему в будь-який момент; 3)

 продуктивність, необхідна для того, щоб попереджати збої програмного забезпечення і можливі втрати контролю. 

 Коли використовується одиночний комп'ютер, відносно легко визначити причини неправильної роботи системи: у цьому випадку перед нами досить обмежене число місць, в яких треба шукати вирішення проблеми. Це звичайно прості операції, де знаходиться інформація і де, можливо, змінюються файли. 

 Більш витончені системи, в яких фігурує безліч файлів, вимагають додаткового механізму на випадок помилок, зміни файлів або коли в операції беруть участь декілька файлів. Складність системи зростає на кілька порядків, коли виконується комп'ютерна програма і змінюються файли на багатьох індивідуальних комп'ютерах в різних місцях. І ми, природно, сумніваємося, чи можна довірити системі виконати те, що хочемо, визначити, успішно чи ні пройшло все, і повернути всі процеси в ту точку, де перебували до помилки. У разі довіри до системи такі властивості повинні бути гарантовані. Існує три речі, що сьогодні стримують реалізацію розподілених комп'ютерних систем: доступна смуга пропускання каналів, ефективна система управління і система безпеки. 

 Компоненти системи, що відповідають за підтримання довіреної середовища, повинні вибиратися на етапі проектування. Довірені розподілені комп'ютерні системи потрібні навіть частіше, ніж відповідні механізми захисту. 

 Безпека інформації досягається включенням в систему таких механізмів логічного контролю та захисту, які забезпечують необхідний рівень довіри користувача до отримуваних ним з системи результатами, і забезпечується за рахунок деякої програмної, апаратної, інформаційної та організаційної надмірності. 

 « Попередня  Наступна »
 = Перейти до змісту підручника =
 Інформація, релевантна "Політика безпеки ІТКМ"
  1.  Основні підсистеми ІТКМ
      політики щодо системи багаторівневої
  2.  4.1. Призначення і завдання інформаційно-телекомунікаційної системи
      безпеку державних інформаційних систем, переданої і оброблюваної інформації. Створювана система повинна діяти як у мирний час, так і в особливі періоди, в тому числі і при відпрацюванні надзвичайних ситуацій. На різних рівнях державного управління система повинна надавати користувачам різні інформаційні та аналітичні матеріали. На муніципальному
  3.  Загальна схема обміну інформацією в ІТКМ
      безпеки для їх регіональних підсистем. При цьому відомства природно зберігають можливість побудови власної повномасштабної регіональної інфраструктури, якщо буде відповідне фінансування. Технологія інформаційної взаємодії федеральних, відомчих н регіональних ІАЦ У складі ІТКМ пропонується реалізувати технологію інформаційної взаємодії входять до її
  4.  Модель порушника
      безпеки ІТКМ має вирішальне значення, а ненавмисне або навмисне спотворення інформаційних ресурсів, несанкціонований доступ до інформації, що захищається ІТКМ може становити значну загрозу безпеки і обороноздатності країни, при створенні ІТКМ слід орієнтуватися на засоби інформаційної безпеки, забезпечувати захист від порушника, що задовольняє
  5.  ПЕРЕЛІК СКОРОЧЕНЬ І УМОВНИХ ПОЗНАЧЕНЬ
      безпеки АРМ PKC - АРМ розбору конфліктних ситуацій АС - автоматизована система АСІО - автоматизована система інформаційного обміну АСПГ - автоматизована система проведення голосування АСПР - автоматизована система планових розрахунків АСУ - автоматизована система управління АСУП - АСУ підприємством АСУТП - АСУ технологічним процесом БД - база даних
  6.  Міжвідомча координація
      політики, діють в рамках своїх функціональних обов'язків, у тому числі: Минпромнауки Росії організовує і фінансує роботи по підпрограмі «Безпека», здійснює через відповідні механізми та форми державну підтримку пріоритетним дослідженням з проблем безпеки, побудови та експлуатації складних технічних систем, створення сучасної нормативно- законодавчої
  7.  Програмно-цільові методи
      політики в галузі природної та техногенної безпеки. Цьому присвячені дослідження, що ведуться з 1991 22 року в рамках підпрограми «Безпека населення і народногосподарських об'єктів з урахуванням ризику виникнення природних і техногенних катастроф» (підпрограма «Безпека»), що входить до складу Федеральної цільової науково-технічної програми «Дослідження і розробки за пріоритетними
  8.  ЗМІСТ
      політики 16 Програмно-цільові методи 22 Економічні механізми 23 Теорія безпеки 30 Міжвідомча координація 40 Державна інноваційна політика 41 МЕТОДИ ФОРМУВАННЯ ОПТИМАЛЬНИХ ПРОГРАММ51 Огляд існуючих підходів 51 Інтегральна оцінка ризику 55 ЕКОНОМІЧНІ МЕХАНІЗМИ, ПОГОДЖЕННЯ ІНТЕРЕСІВ 72 Опис моделей управління 72 Оцінка ефективності економічних механізмів 84
  9.  Бурков В.М., Щепкін А.В.. Екологічна безпека. М.: ІПУ РАН, 2003. - 92 с., 2003
      безпекою. Основна увага приділяється технології розробки математичних моделей економічних механізмів зниження ризиків виникнення надзвичайних ситуацій та пом'якшення їх наслідків. Для фахівців, що займаються питаннями регулювання та управління екологічною
  10.  Криптографічний захист інформації
      політики безпеки. Зусилля адміністратора засобів інформаційної безпеки повинні розподілятися за трьома напрямками: адміністрування системи в цілому; адміністрування функцій безпеки; адміністрування механізмів безпеки. Серед дій, що відносяться до системи в цілому, відзначимо підтримка актуальності політики безпеки, взаємодія з іншими
  11.  Висновок
      безпека однієї держави неможливо забезпечити за рахунок безпеки інших, а насильство не може бути способом вирішення складних, заплутаних міжнародних
  12.  Механизом стимулювання підвищення рівня безпеки (зниження очікуваного збитку).
      безпеки (зниження
  13.  Механізми оподаткування
      безпеки, наприклад, за лінійним законом m (y) = mo - py. Позначимо через По прибуток підприємства без урахування витрат на зростання рівня безпеки. Тоді залишкова або чистий прибуток (прибуток за вирахуванням податків) буде дорівнює f (y) = (1 - mo + by) [По - j (y)]. Зауважимо, що стимулювання зростання рівня безпеки за допомогою податкових механізмів на практиці може виявитися досить складним завданням,
  14.  Безпека соціальної системи
      політика і соціальна структура нестабільні. Це створює колосальні труднощі для державно-управлінської практики, позначається на якості життя і соціальному стані всіх верств населення, вимагає глибокого і точного теоретичного усвідомлення ситуації, що склалася з метою розробки ефективних тактичних і стратегічних рішень. Реальні соціальні зміни, які носять стійкий,
  15.  Доктрина інформаційної безпеки РФ про стан і вдосконаленні правових відносин в інформаційній сфері
      політики в галузі забезпечення інформаційної безпеки РФ. Робота в цьому напрямку передбачає: оцінку ефективності застосування чинних законодавчих та інших нормативних правових актів в інформаційній сфері та вироблення програми їх вдосконалення; створення організаційно-правових механізмів забезпечення информацион ної безпеки; визначення правового
  16.  Механізми обмеження ризику (квот)
      безпеки, порушення яких веде до економічних санкцій (від штрафів до зупинки виробництва, заборони будівництва і т.д). Відповідні стандарти стосуються, в першу чергу, 80 застосовуваних технологій виробництва (будівництва), організаційно-технічних заходів щодо забезпечення безпеки виробництва. Норми і нормативи обмежують, як правило, гранично допустимі концентрації,
  17.  Питання для самопідготовки
      політиці, бізнесі. Що у них спільного і які відмінності? 7. Як пов'язані якість управління і безпека соціальної системи? 8. Визначте зміст поняття «соціальна безпека». 9. Які внутрішні і зовнішні загрози розвитку сучасного російського суспільства? 10. Як можна визначити ефективність соціального управління? Які Ви знаєте критерії та