Белова Н.Е., Бражников С.А. Основы информационной безопасности. Методическое пособие

Подождите немного. Документ загружается.

на основе двух первых разделов реферата, то есть когда автор уже уяснил

основные характеристики информационной системы организации, а также

перечень и особенности главных наиболее вероятных информационных угроз её

нормальному функционированию

В четвёртом разделе формулируются основные задачи СИБ, и

предлагается перечень (пока только перечень!) возможных средств реализации

задач СИБ, которые, в конечном итоге, позволят эффективно противостоять всем

выявленным угрозам информационной системе организации.

В пятом разделе уже конкретно отрабатывается перечень реальных

средств обеспечения безопасности доступа в информационную систему

организации из всех внешних сетей, то есть предлагаются средства защиты

периметра информационной системы организации – её внешних входов и

выходов. Выбор всех средств обязательно обосновывается, указываются ссылки

на соответствующие информационные источники и данные об этих средствах

заносятся в таблицу (Приложение 2). Причём, конкретные реализации каждого

типа средства защиты отбираются и заносятся в Таблицу, как минимум, дважды,

чтобы в дальнейшей работе иметь возможность сравнивать, по крайней мере, два

конкретных средства защиты, и аргументировано выбирать лучшее из них.

Указанный порядок формирования Таблицы должен выполняться и для всех

других средств. В этом же разделе реферата аналогичным образом отбираются и

средства защиты данных и программ. Но при выборе этого типа средств защиты

необходимо иметь в виду, что здесь необходимо предложить как средства общей,

коллективной защиты, так и средства защиты программ и данных личного,

индивидуального применения. Эта особенность индивидуальных средств защиты

должна отмечаться в Таблице в колонке “Тип средства“ (индивидуальный или

общий соответственно).

В шестом разделе работы выбираются и предлагаются к применению

средства идентификации и аутентификации пользователей – должностных лиц

организации. При выборе средств этого типа, кроме учёта их традиционной

функциональности необходимо обязательно учесть и их перспективную

функциональность – необходимость борьбы с самой актуальной сегодня “бедой“

всех информационных систем управления организациями, пожалуй, без

исключения, - это борьба с инсайдерами – “засланными казачками”. Для решения

этой комплексной и весьма деликатной задачи необходимо применение и

соответствующего комплекса средств и методов борьбы. Кроме того, для

должностных лиц, попавших под подозрение, служба безопасности должна иметь

и практически использовать дополнительные средства защиты, которые способны

выявить инсайдера и убедительно, на конкретных неопровержимых фактах,

доказать сотрудничество с “недружественными”, например, с активно

конкурирующими с нами организациями. В комплекс средств борьбы с

инсайдерами в настоящее время включают такие средства как интеллектуальные

турникеты на проходной, фиксирующие для всех без исключения должностных

лиц организации факты входа и выхода, время, видеофайл с фактом прохода

через турникет и, возможно, прочее. Для подозрительных должностных лиц

необходимо иметь средства отслеживания телефонных переговоров со всех видов

телефонов, контроля над электронной почтой и посещением “подозрительных

сайтов” в Интернет, любые факты обмена во всех доступных глобальных сетях,

особенно по адресам подозрительных корреспондентов и прочее. На сервере

СИБ обязательно необходимо предусмотреть наличие специальных комплексных

средств борьбы с предполагаемыми инсайдерами. При выборе таких средств

защиты обязательно нужно учитывать тот весьма важный факт, что при своём

функционировании они ни в коем случае не должны накапливать и/или

оперировать конфиденциальными личными данными сотрудников, даже в том

случае, если они подозреваются в незаконных действиях, так как такие действия

со стороны администрации могут преследоваться по закону. Но грань между

дозволенным и недозволенным здесь весьма тонкая, но о ней необходимо

помнить постоянно, даже при выборе и внедрении средств обеспечения

информационной безопасности

Естественно, назначение средств идентификации и особенно аутентификации

пользователей не ограничивается только задачей борьбы с инсайдерами. Более

распространённой и ощутимой “бедой” в информационном процессе являются

самые банальные непредумышленные ошибки должностных лиц при обмене с

базами данных, с файлами документов, с различными средствами программного

обеспечения. Для предотвращения нежелательных воздействий на программы и

данные необходимо предусмотреть основные и резервные средства борьбы,

причём, желательно как искусственные, так и естественные, применяемые

совместно и функционально дополняющие друг друга. Но все предложения по

аутентификации должны быть сделаны в строгом соответствии с требованиями

основного регламентирующего документа по аутентификации для

информационных систем организационного управления:

ГОСТ Р 51241 – 98 “Средства и системы контроля и управления доступом.

Классификация. Общие технические требования и методы испытаний”.

И особенно дополнительного приложения к этому ГОСТ: Приложение Б.

“Средства вычислительной техники. Показатели защищённости от

несанкционированного доступа к информации по классам защищённости”.

Перечисленные выше документы, разработанные Гостехкомиссией Российской

Федерации, являются обязательными для всех систем информационной

безопасности государственных организаций и всех прочих организаций России,

которые обмениваются любыми данными с государственными структурами.

Конкретно, из Приложения Б к ГОСТ Р 51241 – 98 необходимо заполнить

Таблицу В.1. (Приложение 3), в которой конкретно по всем 16 строкам с

наименованиями показателей защищённости задать для описываемой СИБ

конкретные данные по классам защищённости 4, 5 и 6. В таблице Приложения 3

по всем классам защищённости задано исходное состояние, помеченное знаком

“-” (отсутствие признака). Задача при разработке реферата состоит в том, чтобы

при анализе ситуации, конкретно сложившейся в информационной системе

организации, задать в вышеупомянутой Таблице В.1 в соответствующей её

строке вместо знаков “-” знаки “+”, определив, таким образом, каждую

конкретную характеристику описываемой СИБ.

В седьмом разделе реферата следует рассмотреть применение для целей

обеспечения информационной безопасности организации электронной цифровой

подписи (ЭЦП). Хотя федеральный закон “Об электронной цифровой подписи”

принят Государственной Думой Российской Федерации ещё в самом начале

текущего века, но практического применения это универсальное и надёжное

средство обеспечения безопасности “электронного” документооборота у нас в

стране до сих пор не получило, что является, в частности, и причиной

недостаточной защищённости вышеупомянутого документооборота в России. В

реферате необходимо показать основные возможности и преимущества

отечественных средств обеспечения применения ЭЦП, которые, по общему

признанию, являются на текущий момент самыми совершенными в мире и,

вместе с тем, предложить конкретные средства и способы использования ЭЦП

для борьбы с угрозами информационной системе организации. Необходимо при

этом учесть, что в настоящее время необходимость использования ЭЦП

признано в мире повсеместно и эти средства поддерживаются сейчас уже

некоторыми программными продуктами общего применения, например, OS MS

Vista, даже в редакции Home Edition.

В реферате основное внимание рекомендуется сосредоточить в основном на

отечественных разработках обеспечения безопасности и выбирать такие из них,

которые позволят реализовать комплексную защиту объектов информационной

системы организации, что и характерно для таких средств какими является ЭЦП.

Ярким примером таких средств может служить комплекс программ шифрования

данных на основе ЭЦП “Веста”, который обеспечивает стойкость шифрования

данных на уровне более 10

, в то время как алгоритм DES (США)

обеспечивает стойкость шифрования только на уровне не лучше чем 10

Данные закрытые ЭЦП с помощью “Весты” можно, например, гарантированно

безопасно передавать сегодня по любым открытым каналам связи. Все

предложения по структуре средств выбранных в этом разделе также должны быть

занесены в таблицу Приложения 2. После этого указанная таблица может

считаться сформированной полностью.

В восьмом разделе реферата необходимо сформулировать основные

предложения по структуре СИБ, которая формируется на основании данных

таблицы Приложения 2. Основным критерием выбора комплекса средств СИБ

считается экономический критерий, точнее min стоимость совокупности

отобранных для использования средств обеспечения безопасности. Для

достижения указанной цели можно поступить следующим образом. Сначала

путём аргументированного сравнения пар одинаковых по функциональности

средств безопасности в таблице оставляют единственные средства и, задав по

колонке “Цена” функционал суммирования получают некоторую стоимость

отобранных для реализации средств СИБ. Указанную операцию повторяют

несколько раз до получения функционально полного набора средств при их

рациональной приемлемой стоимости.

На основании данных окончательной редакции таблицы и формируется

аппаратный комплекс подсистемы управления СИБ, куда включаются

следующие обязательные элементы:

- сервер подсистемы управления СИБ;

- рабочая станция администратора СИБ;

- коммутатор подсистемы управления СИБ;

- брандмауэр, который включается в разрыв линии связи соединяющей

центральный коммутатор ЛВС организации и коммутатор подсистемы

управления СИБ;

- возможно многофункциональное устройство, работающее только на

информационные потребности СИБ.

В девятом разделе реферата анализируются путём сравнения, полученные

ценовые характеристики стоимости отобранных к реализации средств

обеспечения безопасности и данные годового дохода организации. Если

стоимость отобранных средств СИБ составляет 5 – 7 % от годового дохода

организации, то можно внедрять отобранные средства СИБ сразу полностью.

Если же полученная стоимость элементов СИБ превышает установленную

заранее ценовую норму, то необходимо выработать предложения по поэтапному

внедрению средств СИБ. В этом случае все предлагаемые к внедрению средства

СИБ располагаются в таблице Приложения 2 в порядке важности, значимости,

весомости угроз информационной безопасности организации, которые

соответствующие средства призваны предотвращать. Реализация полнокровной

системы информационной безопасности в таком случае может осуществляться на

протяжении нескольких лет, поэтапно.

В десятом последнем разделе реферата подводятся итоги проделанной

работы, которые должны быть чётко и доказательно сформулированы в виде

основных количественных характеристик, главным образом экономического

содержания. Например, желательно сравнить объём финансов, затраченных на

приобретение и запуск в эксплуатацию средств СИБ и естественное уменьшение

объёма убытков от воздействия соответствующих угроз информационной

безопасности. Естественно, если результат такого сравнения окажется

положительным, то затраты на СИБ следует считать выгодными. В противном

же случае надо продолжить исследования комплекса угроз информационной

безопасности и соответствующих средств их ликвидации. Кроме того, в

Заключении следует оценить хотя бы ближайшие перспективы дальнейшего

развития и совершенствования средств СИБ и необходимость, предполагаемую

выгодность их внедрения и практического использования в СИБ организации.

4. Реферируемые источники. Специфика работы над реферируемыми

источниками.

Успех или неудача любого реферата определяется в значительной степени

объёмом совокупности и содержательностью отобранных для реферирования

источников. Немаловажную роль играет и умение работать с различными

печатными и электронными источниками, умение и настойчивость при работе в

библиотеках, читальных залах, на выставках, конференциях. Наконец, умение

правильно оценивать важность и перспективность данных, добывать из них

ИНФОРМАЦИЮ, накапливать, селектировать, обобщать полученные данные,

отвергать ненужные, делать правильные выводы. При формировании перечня

источников для рассматриваемой конкретной темы реферата необходимо в

первую очередь отобрать источники, достаточно полно описывающие

современные угрозы информационным системам организационного управления,

От полноты и содержательности именно этих данных в первую очередь будет

зависеть успех реферата (или его неудача!). Очень важны в этом плане реальные

статистические данные организации о конкретных угрозах желательно за более

длительный период, например, хотя бы за год. В нашем случае написания

учебного варианта реферата такими данными следует просто задаться на

консультации с преподавателем, ведущим лекционную часть дисциплины.

Именно эти статистические данные и перечень источников об угрозах позволят

начать работу над рефератом, начать подбор источников по средствам борьбы с

наиболее “актуальными” угрозами информационной системе организации. Но

подбор литературных источников, естественно, только фундамент для работы.

Основная цель реферирования отобранных источников двоякая.

Во-первых, составить список и отобрать перечень характеристик

информационных угроз типичных для информационной системы

рассматриваемой организации.

Во-вторых, реферируя отобранные источники, поставить всем элементам

перечня угроз во взаимно однозначное соответствие перечень средств

информационной безопасности, призванных ликвидировать или же снизить

ущерб от угрозы до допустимого уровня. Кроме того, во втором перечне

необходимо при реферировании задать по возможности наиболее

представительный перечень характеристик (желательно количественных),

которые нейтрализуют угрозу полностью или хотя бы частично, но до

приемлемого допустимого уровня. После получения из источников

вышеперечисленных сведений в дальнейшей работе над рефератом к ним следует

обращаться только за справками, уточнениями, дополнительными сведениями,

потребность в которых возникла уже в процессе обработки полученных

первоначально данных. И ещё одно весьма важное замечание. Прямое

переписывание в реферат материалов источников без ссылок на авторов

(плагиат), говоря честно не столько преступен, это скорее социальная сторона

проблемы, сколько разительно показывает неподготовленность, неграмотность, а

порою (прости меня читатель!) просто глупость “автора” такого “реферата”, его

неспособность, непригодность к творческой работе. Таким “специалистам”

деньги платить нельзя, так как они берут чужие и рано или поздно подведут, не

исключено и в серьёзном деле.

5. Заключение. Оформление Пояснительной записки реферата.

Оформление Пояснительной записки реферата важный и весьма

ответственный период работы. Одна из задач этого этапа весьма прозаична –

показать товар лицом. Но с другой стороны, надлежащее оформление любого

официального документа – важное требование делопроизводства любой

организации. Если эти требования выполняться не будут, то с документами

просто невозможно будет работать эффективно.

При оформлении результатов реферирования необходимо обязательно

использовать предлагаемые типовые бланки документов – Приложений

настоящего методического пособия. При заполнении бланка титульного листа

вписываются только:

- полное официальное название организации, в интересах которой

разрабатывается реферат;

- корректируется шифр группы;

- вписываются фамилия и инициалы студента исполнившего реферат;

- надпись в левом верхнем углу бланка “Приложение 1” - убирается.

Конкретные указания по использованию таблиц Приложений 2 и 3 даются в

соответствующих описаниях в тексте настоящего Методического пособия. При

размещении этих бланков таблиц в тексте реферата надписи “Приложение 2” и

“Приложение 3” - убираются.

Срок сдачи отчёта устанавливается и вписывается в титульный лист

преподавателем, ведущим лекционную часть дисциплины.