Захисту податкової інформації в автоматизованій інформаційній системі дпс україни як єдиний комплекс



Сторінка2/9
Дата конвертації15.11.2016
Розмір0.97 Mb.
1   2   3   4   5   6   7   8   9

Задачі системи комп'ютерної безпеки


Перелік основних задач, що повинні забезпечуватися системою комп'ютерної безпеки включає:

- керування доступом користувачів до ресурсів АІС з метою її захисту від неправомірного випадкового чи навмисного втручання в роботу системи і несанкціонованого (з перевищенням наданих повноважень) доступу до її інформаційних, програмних і апаратних ресурсів з боку сторонніх осіб, а також осіб з числа персоналу і користувачів;

- захист даних, переданих по каналах зв'язку;

- реєстрація, збір, збереження, обробка і видача зведень про всі події, що відбуваються в системі і мають відношення до її безпеки;

- контроль роботи користувачів системи з боку адміністрації й оперативне оповіщення адміністратора безпеки про спроби несанкціонованого доступу до ресурсів системи;

- контроль і підтримка цілісності критичних ресурсів системи захисту і середовища виконання прикладних програм;

- забезпечення замкнутого середовища перевіреного програмного забезпечення з метою захисту від безконтрольного впровадження в систему потенційно небезпечних програм (у який можуть міститися шкідливі закладки чи небезпечні помилки) і засобів подолання системи захисту, а також від впровадження і поширення комп'ютерних вірусів;

- керування засобами системи захисту.

Звичайно розрізняють зовнішню і внутрішню безпеку комп'ютерних систем. Зовнішня безпека включає захист АІС від стихійних лих (пожежа, повінь і т.п.) і від проникнення в систему зловмисників ззовні з цілями розкрадання, одержання доступу до інформації чи виведення системи з ладу.

Усі зусилля по забезпеченню внутрішньої безпеки комп'ютерних систем фокусуються на створенні надійних і зручних механізмів регламентації діяльності всіх її законних користувачів і обслуговуючого персоналу для примуса їх до безумовного дотримання встановленої в ДПС України дисципліни доступу до ресурсів системи (у тому числі до інформації).


Класифікація мір забезпечення безпеки комп'ютерних систем


По способах здійснення всі міри забезпечення безпеки комп'ютерних систем підрозділяються на:

- правові (законодавчі),

- морально-етичні,

- організаційні (адміністративні),

- фізичні

- технічні (апаратурні і програмні).

До правових мір захисту відносяться діючі в країні і ДПС України закони, укази і нормативні акти, що регламентують правила поводження з інформацією, що закріплюють права й обов'язки учасників інформаційних відносин у процесі її обробки і використання, а також встановлюють відповідальність за порушення цих правил, перешкоджаючи тим самим неправомірному використанню інформації і які є стримуючим фактором для потенційних порушників.

До морально-етичних мір протидії відносяться норми поводження, що традиційно склалися чи складаються в міру поширення ЕОМ у ДПС України та країні взагалі. Ці норми здебільшого не є обов'язковими, як законодавчо затверджені нормативні акти, однак, їхнє недотримання веде звичайно до падіння авторитету, престижу людини, групи осіб чи ДПС України в цілому. Морально-етичні норми бувають як неписані (наприклад, загальновизнані норми чесності, патріотизму і т.п.), так і писані, тобто оформлені в деякий звід правил, наказів чи розпоряджень.



Організаційні (адміністративні) міри захисту - це міри організаційного характеру, що регламентують процеси функціонування системи обробки даних, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів із системою таким чином, щоб найбільшою мірою ускладнити чи виключити можливість реалізації загроз безпеки. Вони включають:

- заходи, здійснювані при проектуванні, будівництві й обладнанні обчислювальних центрів і інших об'єктів систем обробки даних;

- заходи щодо розробки правил доступу користувачів до ресурсів системи (розробка політики безпеки);

- заходи, здійснювані при підборі і підготовці персоналу системи;

- організацію охорони і надійного пропускного режиму;

- організацію обліку, збереження, використання і знищення документів і носіїв з інформацією;

- розподіл реквізитів розмежування доступу (паролів, ключів шифрування і т.п.);

- організацію явного і схованого контролю за роботою користувачів;

- заходи, здійснювані при проектуванні, розробці, ремонті і модифікаціях устаткування і програмного забезпечення і т.п.

Фізичні міри захисту засновані на застосуванні різного роду механічних, електро- чи електронно-механічних пристроїв і споруджень, спеціально призначених для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонентів системи й інформації, що захищається, а також технічних засобів візуального спостереження, зв'язку й охоронній сигнализації.

Технічні (апаратно-програмні) міри захисту засновані на використанні різних електронних пристроїв і спеціальних програм, що входять до складу АІС і виконують (самостійно чи в комплексі з іншими засобами) функції захисту (ідентифікацію й автентифікацію користувачів, розмежування доступу до ресурсів, реєстрацію подій, криптографічне закриття інформації і т.д.).

Взаємозв'язок розглянутих вище мір забезпечення безпеки приведена на рис.1.




Рис. 1 Взаємозв'язок мір забезпечення безпеки
1 - Організаційні міри забезпечують виконання існуючих нормативних актів і будуються з урахуванням існуючих правил поводження, прийнятих для підрозділів ДПС України;

2 - Втілення організаційних мір вимагає створення нормативних документів

3 - Для ефективного застосування організаційні міри повинні бути підтримані фізичними і технічними засобами

4 - Застосування і використання технічних засобів захисту вимагає відповідної організаційної підтримки.


Достоїнства і недоліки різних мір захисту

1. Законодавчі і морально-етичні міри


Ці міри визначають правила поводження з інформацією і відповідальність суб'єктів інформаційних відносин за їхнє дотримання.

Законодавчі і морально-етичні міри протидії є універсальними в тім розумінні, що застосовуються для всіх каналів проникнення і НСД до АІС і інформації. У деяких випадках вони є єдино застосовними, як наприклад, при захисті відкритої інформації від незаконного тиражування чи при захисті від зловживань службовим становищем при роботі з інформацією.


2. Організаційні міри


Організаційні міри відіграють значну роль у забезпеченні безпеки комп'ютерних систем. Організаційні міри - це єдине, що залишається, коли інші методи і засоби захисту відсутні чи не можуть забезпечити необхідний рівень безпеки. Однак, це зовсім не означає, що систему захисту необхідно будувати винятково на їхній основі, як це часто намагаються зробити. Цим мірам характерні серійозні недоліки, такі як:

- низька надійність без відповідної підтримки фізичними, технічними і програмними засобами (люди схильні до порушення будь-яких установлених додаткових обмежень і правил, якщо тільки їх можна порушити);

- додаткові незручності, зв'язані з великим обсягом рутинної формальної діяльності.

Організаційні міри необхідні для забезпечення ефективного застосування інших мір і засобів захисту в частині, що стосується регламентації дій людей. У той же час організаційні міри необхідно підтримувати більш надійними фізичними і технічними засобами.


3. Фізичні і технічні засоби захисту


Фізичні і технічні засоби захисту покликані усунути недоліки організаційних мір, поставити міцні бар'єри на шляху зловмисників і максимально виключити можливість ненавмисних (помилкових чи по недбалості) порушень персоналу і користувачів системи.

Навіть при допущенні можливості створення абсолютно надійних фізичних і технічних засобів захисту, що перекривають усі канали, які необхідно перекрити, завжди залишається можливість впливу на персонал системи, що здійснює необхідні дії по забезпеченню коректного функціонування цих засобів (адміністратора АІС, адміністратора безпеки і т.п.). Разом із самими засобами захисту ці люди утворять так називане "ядро безпеки". У цьому випадку, стійкість системи безпеки буде визначатися стійкістю персоналу з ядра безпеки системи, і підвищувати її можна тільки за рахунок організаційних (кадрових) заходів, законодавчих і морально-етичних мір. Але навіть маючи закони і проводячи оптимальну кадрову політику, всерівно проблему захисту до кінця вирішити не вдасться. По-перше, тому, що навряд чи удасться знайти персонал, у якому можна було б бути абсолютно упевненим, і у відношенні якого неможливо було б почати дій, що змушують його порушити заборони. По-друге, навіть абсолютно надійна людина може допустити випадкове, ненавмисне порушення.


1.3. Основні принципи побудови комплексної системи захисту інформації в АІС ДПС України
Захист інформації в АІС повинний ґрунтуватися на наступних основних принципах:

- системності,

- комплексності;

- безперервності захисту;

- розумної достатності;

- гнучкості керування і застосування:

- відкритості алгоритмів і механізмів захисту;

- простоти застосування захисних мір і засобів.


1.Принцип системності


Системний підхід до захисту комп'ютерних систем припускає необхідність обліку усіх взаємозалежних, взаємодіючих і елементів, що змінюються в часі, умов і факторів, істотно значимих для розуміння і рішення проблеми забезпечення безпеки АІС.

При створенні системи захисту необхідно враховувати всі слабкі, найбільш уразливі місця системи обробки інформації, а також характер, можливі об'єкти і напрямки атак на систему з боку порушників (особливо висококваліфікованих зловмисників), шляхи проникнення в розподілені системи і НСД до інформації. Система захисту повинна будуватися з урахуванням не тільки усіх відомих каналів проникнення і НСД до інформації, але і з урахуванням можливості появи принципово нових шляхів реалізації загроз безпеки.

2.Принцип комплексності


У розпорядженні фахівців з комп'ютерної безпеки мається широкий спектр методів і засобів захисту комп'ютерних систем. Комплексне їх використання припускає застосування різнорідних засобів при побудові цілісної системи захисту, що перекриває всі канали реалізації загроз і не утримуючих слабких місць на стиках окремих її компонентів. Захист повинен будуватися ешелоновано. Зовнішній захист повинен забезпечуватися фізичними засобами, організаційними і правовими мірами. Однією з найбільш укріплених ліній оборони покликані бути засоби захисту, реалізовані на рівні операційних систем (ОС) у силу того, що ОС - це саме та частина комп'ютерної системи, що керує використанням усіх її ресурсів. Прикладний рівень захисту, що враховує особливості предметної області, являє внутрішній рубіж оборони.

3.Принцип безперервності захисту


Захист інформації - це не разовий захід і навіть не визначена сукупність проведених заходів і встановлених засобів захисту, а безупинний цілеспрямований процес, що припускає вживання відповідних заходів на всіх етапах життєвого циклу АІС, починаючи із самих ранніх стадій проектування, а не тільки на етапі її експлуатації. Розробка системи захисту повинна вестися паралельно з розробкою самої системи, що захищається. Це дозволить врахувати вимоги безпеки при проектуванні архітектури і, у кінцевому рахунку, дозволить створити більш ефективні (як по витратах ресурсів, так і по стійкості) захищені системи. Більшості фізичних і технічних засобів захисту для ефективного виконання своїх функцій необхідна постійна організаційна (адміністративна) підтримка (своєчасна зміна і забезпечення правильного збереження і застосування імен, паролів, ключів шифрування, перевизначення повноважень і т.п.). Перерви в роботі засобів захисту можуть бути використані зловмисниками для аналізу застосовуваних методів і засобів захисту, для впровадження спеціальних програмних і апаратних "закладок" і інших засобів подолання системи захисту після відновлення її функціонування.

4.Розумна достатність


Створити абсолютно нездоланну систему захисту принципово неможливо. При достатній кількості часу і засобів можна перебороти будь-який захист. Тому має сенс вести мову тільки про деякий прийнятний рівень безпеки. Високоефективна система захисту коштує дорого, використовує при роботі істотну частину потужності і ресурсів комп'ютерної системи і може створювати відчутні додаткові незручності користувачам. Важливо правильно вибрати той достатній рівень захисту, при якому витрати, ризик і розмір можливого збитку були б прийнятними (задача аналізу ризику).
1   2   3   4   5   6   7   8   9


База даних захищена авторським правом ©lecture.in.ua 2016
звернутися до адміністрації

    Головна сторінка