Комплексные методы защиты информации

Комплексные методы защиты информации

Контрольная работа

по дисциплине

«Информационная безопасность в телекоммуникационных системах»

на тему

«Комплексные меры по защите информации (экономическая целесообразность, физическая, электромагнитная, криптографическая, активная защита)»

Содержание:

1.                 Введение                                                                                2

2.                 Экономическая целесообразность                                              3

3.                 Физическая защита                                                             7

4.                 Электромагнитная защита                                                 9

5.                 Криптографическая защита                                                         13

6.                 Активная защита                                                                  17

7.                 Библиографический список                                                        19

Введение

Анализ состояния дел в области защиты информации показывает, что в промышленно развитых странах мира уже сложилась вполне оформившаяся инфраструктура защиты информации в системах обработки данных. И, тем не менее, количество фактов злоумышленных действий над информацией не только не уменьшается, но и имеет достаточно устойчивую тенденцию к росту. Среди всех возможных каналов утечки информации наибольшую опасность в России в ближайшее время, очевидно, будут представлять технические каналы. Такое предположение основывается на следующих фактах:

·                    наличии в России большого числа технически грамотных специалистов, знания и навыки которых не востребованы вследствие тяжелого экономического положения;

·                    выхода на российский рынок западных фирм - производителей аппаратуры для технического шпионажа;

·                    недостаточного внимания, а чаще всего просто игнорирования проблем безопасности информации со стороны зарождающегося российского бизнеса.

Проблема обеспечения безопасности средств и систем, связанных с обработкой информации (информационная безопасность) обусловлена автоматизацией всей информационной инфраструктуры объектов и массового подключения систем обработки информации к локальным и глобальным сетям, что существенно расширило возможности несанкционированного доступа к информационным ресурсам предприятий. В настоящее время все ведущие западные страны и Россия, в том числе, поднимаются на новый этап развития - этап становления информационного общества, когда суммарная стоимость информации и информационных технологий, использующихся в обществе, в ближайшем будущем превзойдет затраты па другие виды деятельности. Информация и информационные технологии становятся основным рыночным товаром в обществе. Поэтому наиболее важными составляющими объекта защиты является информация и средства обработки и хранения информации.

Главным отличием информационной инфраструктуры, как объекта защиты, является то, что она имеет распределенный характер, охватывая практически все компоненты организации. Все это существенно усложняет обеспечение безопасности объекта обработки информации. Защита информации может осуществляться лишь в комплексе; отдельные меры не будут иметь смысла. При этом следует помнить, что:

·                    стойкость защиты во всех звеньях должна быть примерно одинакова; усиливать отдельные элементы комплекса при наличии более слабых элементов - бессмысленно.

·                    при преодолении защиты информации усилия прикладываются именно к слабейшему звену.

Для противостояния процессу нарушения безопасности необходимо выделить однородные элементы защиты. Поскольку они обеспечивают однотипность средств используемых для противодействия угрозам, то необходимо произвести системную классификацию процессов обеспечения защищенности, выделив в нем однородные подпроцессы. Современные системы безопасности основываются на реализации комплекса мероприятий по организации защиты информации.

Экономическая целесообразность

Многие решения в области защиты информации часто принимаются на интуитивно-понятийном уровне, без каких-либо экономических расчетов и обоснований. В результате только те начальники служб ИБ (CISO), которые за счет своей “инициативности” смогли заявить и отстоять потребность в защите информации могли как-то повлиять на планирование бюджета компании на ИБ.

Однако современные требования бизнеса, предъявляемые к организации режима ИБ, диктуют настоятельную необходимость использовать в своей работе более обоснованные технико-экономические методы и средства, позволяющие количественно измерять уровень защищенности компании, а также оценивать экономическую эффективность затрат на ИБ.

Для оценки эффективности корпоративной системы защиты информации рекомендуется использовать некоторые показатели эффективности, например показатели: совокупной стоимости владения (ТСО), экономической эффективности бизнеса и непрерывности бизнеса(BCP), коэффициенты возврата инвестиций на ИБ (ROI) и другие.

В частности, известная методика совокупной стоимости владения (TCO) была изначально предложена аналитической компанией Gartner Group в конце 80-х годов (1986-1987) для оценки затрат на информационные технологии. Методика Gartner Group позволяет рассчитать всю расходную часть информационных активов компании, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, реструктуризацию бизнеса и т. д.

Существенно, что сегодня методика ТСО может быть использована для доказательства экономической эффективности существующих корпоративных систем защиты информации. Она позволяет руководителям служб информационной безопасности обосновывать бюджет на ИБ, а также доказывать эффективность работы сотрудников службы. Кроме того, поскольку оценка экономической эффективности корпоративной системы защиты информации становится "измеримой", становится возможным оперативно решать задачи контроля и коррекции показателей экономической эффективности и в частности показателя ТСО. Таким образом, показатель ТСО можно использовать как инструмент для оптимизации расходов на обеспечение требуемого уровня защищенности корпоративной информационной системы (КИС) и обоснование бюджета на ИБ. При этом в компании эти работы могут выполняться самостоятельно, с привлечением системных интеграторов в области защиты информации, или совместно предприятием и интегратором.

Следует отметить, что показатель ТСО может применяться практически на всех основных этапах жизненного цикла корпоративной системы защиты информации и позволяет “навести порядок” в существующих и планируемых затратах на ИБ. С этой точки зрения показатель ТСО позволяет объективно и независимо обосновать экономическую целесообразность внедрения и использования конкретных организационных и технических мер и средств защиты информации. При этом для объективности решения необходимо дополнительно учитывать и состояния внешней и внутренней среды предприятия, например показатели технологического, кадрового и финансового развития предприятия. Так как не всегда наименьший показатель ТСО корпоративной системы защиты информации может быть оптимален для компании.

Понятно, что умелое управление ТСО позволяет рационально и экономно реализовывать средства бюджета на ИБ, достигая при этом приемлемого уровня защищенности компании, адекватного текущим целям и задачам бизнеса. Существенно, что сравнение определенного показателя ТСО с аналогичными показателями ТСО по отрасли (аналогичными компаниями) и с “лучшими в группе” позволяет объективно и независимо обосновать затраты компании на ИБ. Ведь часто оказывается довольно трудно или даже практически невозможно оценить прямой экономический эффект от затрат на ИБ. Сравнение же “родственных” показателей ТСО позволяет убедиться в том, что проект создания или реорганизации корпоративной системы защиты информации компании является оптимальным по сравнению с некоторым среднестатистическим проектом в области защиты информации по отрасли. Указанные сравнения можно проводить, используя усредненные показатели ТСО по отрасли, рассчитанные экспертами Gartner Group или собственные экспертами компании с помощью методов математической статистики и обработки наблюдений.

Методика ТСО Gartner Group позволяет ответить на следующие актуальные вопросы:

·                    Какие ресурсы и денежные средства тратятся на ИБ?

·                    Оптимальны ли затраты на ИБ для бизнеса компании?

·                    Насколько эффективна работа службы ИБ компании по сравнению с другими?

·                    Как эффективно управлять инвестированием в защиту информации?

·                    Какие выбрать направления развития корпоративной системы защиты информации?

·                    Как обосновать бюджет компании на ИБ?

·                    Как доказать эффективность существующей корпоративной системы защиты информации и службы ИБ компании в целом?

·                    Какова оптимальная структура службы ИБ компании?

·                    Как правильно оценить аутсортинговые услуги по сопровождению корпоративной системы защиты информации?

·                    Как оценить эффективность проекта в области защиты информации?

В целом, определение затрат компании на ИБ подразумевает решение следующих трех задач:

1.                  оценку текущего уровня ТСО корпоративной системы защиты информации и КИС в целом;

2.                  аудит ИБ предприятия на основе сравнения уровня защищенности предприятия и рекомендуемого уровня ТСО;

3.                  формирование целевой модели ТСО.

Рассмотрим каждую из перечисленных задач.

Оценка текущего уровня ТСО. В ходе работ по оценке ТСО проводится сбор информации и расчет показателей ТСО организации по следующим направлениям:

·                    существующие компоненты КИС (включая систему защиты информации) и информационные активы компании (серверы, клиентские компьютеры, периферийные устройства, сетевые устройства);

·                    существующие расходы на аппаратные и программные средства защиты информации (расходные материалы, амортизация);

·                    существующие расходы на организацию ИБ в компании (обслуживание систем защиты информации (СЗИ) и систем корпоративной защиты информации (СКЗИ), а также штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработку концепции и политики безопасности и пр.);

·                    существующие расходы на организационные меры защиты информации;

·                    существующие косвенные расходы на организацию ИБ в компании и в частности обеспечение непрерывности или устойчивости деятельности компании.

По результатам собеседования с TOP-менеджерами компании и проведения инструментальных проверок уровня защищенности организации проводится анализ следующих основных аспектов: политики безопасности; организации защиты; классификации и управления информационными ресурсами; управления персоналом; физической безопасности; администрирования компьютерных систем и сетей; управления доступом к системам; разработки и сопровождения систем; планирования бесперебойной работы организации; проверки системы на соответствие требованиям ИБ.

На основе проведенного анализа выбирается модель ТСО, сравнимая со средними и оптимальными значениями для репрезентативной группы аналогичных организаций, имеющих схожие с рассматриваемой организацией показатели по объему бизнеса. Такая группа выбирается из банка данных по эффективности затрат на ИБ и эффективности соответствующих профилей защиты аналогичных компаний.

Сравнение текущего показателя ТСО проверяемой компании с модельным значением показателя ТСО позволяет провести анализ эффективности организации ИБ компании, результатом, которого является определение “узких” мест в организации, причин их появления и выработка дальнейших шагов по реорганизации корпоративной системы защиты информации и обеспечения требуемого уровня защищенности КИС.

Формирование целевой модели ТСО. По результатам проведенного аудита моделируется целевая (желаемая) модель, учитывающая перспективы развития бизнеса и корпоративной системы защиты информации (активы, сложность, методы лучшей практики, типы СЗИ и СКЗИ, квалификация сотрудников компании и т. п.).

Кроме того, рассматриваются капитальные расходы и трудозатраты, необходимые для проведения преобразований текущей среды в целевую среду. В трудозатраты на внедрение включаются затраты на планирование, развертывание, обучение и разработку. Сюда же входят возможные временные увеличения затрат на управление и поддержку.

Для обоснования эффекта от внедрения новой корпоративной системы защиты информации (ROI) могут быть использованы модельные характеристики снижения совокупных затрат (ТСО), отражающие возможные изменения в корпоративной системе защиты информации.

Расходы на операции конечных пользователей. Это затраты на самоподдержку конечных пользователей, а также на поддержку пользователей друг друга в противовес официальной ИС поддержке. Затраты включают: самостоятельную поддержку, официальное обучение конечных пользователей, нерегулярное (неофициальное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.

Расходы на простои. Данная категория учитывает ежегодные потери производительности конечных пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ресурсы и программное обеспечение для связи.

Для анализа фактической стоимости простоев, которые связаны с перебоями в работе сети и которые оказывают влияние на производительность, исходные данные получают из обзора по конечным пользователям. Рассматриваются только те простои, которые ведут к потере производительности.

Вместе с методикой ТСО можно использовать разнообразные методы для расчета возврата инвестиций (ROI). Как правило, для оценки доходной части сначала анализируют те цели, задачи и направления бизнеса, которые нужно достигнуть с помощью внедрения или реорганизации существующих проектов в области системной интеграции, автоматизации и информационной безопасности. Далее используют некоторые измеримые показатели эффективности бизнеса для оценки эффекта отдельно по каждому решению. Допустим, с целью сокращения операционных расходов, обеспечения приемлемой конкурентной способности, улучшения внутреннего контроля и т. д. Указанные показатели не надо выдумывать, они существуют в избыточном виде. Далее можно использовать методики расчета коэффициентов возврата инвестиций в инфраструктуру предприятия (ROI), например, также Gartner Group.

Достаточно результативно использовать следующую комбинацию: ТСО как расходную часть и ROI как расчетную. Кроме того, сегодня существуют и другие разнообразные методы и технологии расчета и измерения различных показателей экономической эффективности

Для исключения лишних расходов по защите вся информация делится на категории в соответствии с требуемой степенью защиты. Эта степень определяется, исходя из:

·                    возможного ущерба для владельца при несанкционированном доступе к защищаемой информации;

·                    экономической целесообразности преодоления защиты для противника.

Естественно, производить такую оценку для каждого документа было бы слишком трудоёмко. Поэтому сложилась практика определения категорий секретности документов, по которым документы распределяются по формальным признакам. Например, в наших государственных органах принято 4 категории секретности:

·                    «для служебного пользования»,

·                    «секретно» (кат.3),

·                    «совершенно секретно», (кат.2)

Страницы: 1, 2