Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа
Подождите немного. Документ загружается.
Глава 25. Вместо заключения
Следовательно, прежде всего, следует разработать политику информаци-
онной безопасности, а уже с ее использованием приступать к разработ-
ке, либо к выбору из представленных на рынке технических средств
защиты информации.
Однако здесь существует противоречие, состоящее в следующем: с од-
ной стороны, политика информационной безопасности выставляет
требования к системе защиты, с другой стороны, может она быть реали-
зована только на основе тех возможностей (механизмов защиты), кото-
рые реализуются системой защиты. То есть именно система защиты яв-
ляется центральным звеном, определяющим возможности защиты
информации на предприятии в принципе.
Разработка политики информационной безопасности
Разработка политики информационной безопасности в общем случае являет-
ся итерационной процедурой, состоящей из выполнения следующих шагов.
Первый шаг — разработка гипотетически идеальной для предприятия
политики, куда закладываются те требования, которые идеаль-
но подходят для данного предприятия — формулируется некий
идеальный профиль защиты.
Второй шаг — выбор (либо разработка) системы защиты, максималь-
но обеспечивающей выполнение требований гипотетически иде-
альной политики информационной безопасности.
Третий шаг — определение требований политики информационной бе-
зопасности, которые не выполняются системой защиты.
Далее возможны следующие пути:
» осуществление доработки выбранного средства защиты в части вы-
полнения ими сформулированных требований;
• выполнение (по возможности) данных требований организационны-
ми мерами. Здесь главное — не свести все к абсурду, например, если
рассматривать для ОС Windows NT/2000/XP в качестве потенциаль-
ного злоумышленника пользователя, то с учетом того, что пользова-
тель может запустить любую программу с внешнего устройства ввода,
т.е. получает инструментарий преодоления системы защиты, в каче-
стве организационных мероприятий может быть предусмотрено ис-
пользование компьютеров без внешних устройств ввода);
» пересмотр политики информационной безопасности (если это возмож-
но) с учетом возможностей выбранного средства защиты информации.
Сделано это должно быть таким образом, чтобы чтобы не выполняемые
системой защиты требования не выдвигались в качестве основных тре-
бований к обеспечению информационной безопасности (однако заме-
тим, что это не должно привести к ослаблению защиты информации на
предприятии: мы говорим о пересмотре, не об усечении возможностей).
381
Часть VII. Специальные вопросы защиты от НСД
Проблемы реализации принятого профиля
информационной безопасности
В результате выполнения рассмотренной в предыдущем пункте проце-
дуры будет сформирована политика информационной безопасности, обес-
печиваемая техническими возможностями выбранной системы защиты.
Возникает резонный вопрос: а может ли случиться так, что разработан-
ный на предприятии профиль защиты принципиально не достижим, либо,
наоборот, реализуется с большой избыточностью (это тоже плохо, т.к. в
данном случае необоснованно снижается производительность, повыша-
ется цена системы защиты и т.д.)?
Гипотетически подобное возможно. Это обусловлено тем, что встроен-
ные в современные универсальные ОС механизмы защиты еще весьма
далеки от совершенства (их недостатки рассмотрены в предыдущих гла-
вах), а добавочные средства защиты на отечественном рынке еще не столь
широко представлены, чтобы обеспечить всевозможные профили защи-
ты, потребность в которых может возникнуть на практике.
Существующие системы защиты скорее имеют больше общего, чем раз-
личий. Пожалуй, значительно среди них выделяется КСЗИ «Панцирь» -
здесь реализовано 9 патентов на изобретения сотрудников ЗАО
«НПП
«Информационные технологии в бизнесе» (на сегодняшний день по ре-
ализованным техническим решения подано 15 заявок на изобретения),
Это объективно иллюстрирует существенные отличия данной системы.
Вместе с тем отметим, что если в полном объеме политику информаци-
онной безопасности обеспечить техническими средствами защиты не
удается, должны быть выделены «слабые» места защиты и выработаны
соответствующие организационные мероприятия по возможной локали-
зации потенциально опасных для системы защиты угроз.
Общее правило выбора системы технической защиты информации
Обобщая все сказанное, отметим, что система технической защиты ин-
формации является ключевым звеном политики информационной безо-
пасности, которая в своей основе базируется именно на механизмах тех-
нической защиты информации. Обоснованный выбор средства защиты
для установки в корпоративной сети предприятия может быть осуществ-
лен только на основе анализа на совпадения требуемого профиля защи-
ты предприятия и профиля защиты, реализуемого системой зашиты, в
частности добавочной.
Поэтому выбор системы защиты, равно как и разработка политики ин-
формационной безопасности, в общем случае является взаимосвязанной
итерационной процедурой, состоящей из выполнения рассмотренных
выше шагов.
382
Список литературы
1.
Гостехкомиссия
России. Руководящий документ. Средства вычислительной
техники. Защита от несанкционированного доступа к информации. Показа-
тели защищенности от НСД к информации. — Москва, 1992.
2. Гостехкомиссия России. Руководящий документ. Автоматизированные систе-
мы. Защита от несанкционированного доступа к информации. Классифика-
ция автоматизированных систем и требования по защите информации. -
Москва, 1992.
3. Дейтел Г. Введение в операционные системы.
Т.1.
— М.: Мир, 1987.
4. Емелин И.В., Эльгиян Р.В. Обеспечение многоуровневой защиты в информа-
ционных и вычислительных системах. —
М.:
ВНИИМИ,
1979.
5. Коберниченко
А.В.
Недокументированные возможности Windows NT. -
Москва,
«Нолидж»,
1998.
6. Кофман
А.,
Крюон Р. Массовое обслуживание. Теория и приложения. — Мос-
ква, «Мир», 1965.
7. Люцарев B.C., Ермаков
К.В.,
Рудный
Е.Б.,
Ермаков
И.В.
Безопасность компь-
ютерных сетей на основе Windows NT. — Москва, «Русская редакция». — 1998.
8. Мельников В. Защита информации в компьютерных системах —
М.:
Финан-
сы и статистика; Электроинформ, 1997.
9. Оголюк А.А., Щеглов А.Ю. Технология и программный комплекс защиты
рабочих станций и информационных серверов в
Intranet-сетях/уИнформаци-
онные
технологии. —
№1.
— 2000.
10. Оголюк А.А., Щеглов А.Ю. Технологии построения системы защиты слож-
ных информационных систем//Экономика и производство. — №3. — 2001.
11.
Павличенко
И.П.,
Щеглов А.Ю. Обеспечение замкнутости программной сре-
ды путем разграничения прав доступа к файловой
системе//3ащита
инфор-
мации. Конфидент. — №4-5. — 2002.
12. Павличенко
И.П.,
Щеглов А.Ю. Новые технологии защиты вычислительных
систем. 1. Механизмы разграничения прав доступа к файловой системе и
обеспечения замкнутости программной
среды//Информационные
техноло-
гии. — №12. - 2002.
13. Хофман
Л.Дж.
Современные методы защиты информации. —
М.:
Советское
радио, 1980.
14. Хуотаринен
А.В.,
Щеглов А.Ю. Технология физической защиты сетевых уст-
ройству/Экономика
и производство. — №4. — 2002.
15. Хуотаринен А.В., Щеглов А.Ю.
Комплексирование
объектной и технической
защиты вычислительной сети // Сборник научных статей «Современные тех-
нологии». Под. ред.
С.А.
Козлова и
В.О.
Никифорова, СПб, 2002.
16. Щеглов
А.Ю.Дарасюк
М.В.,
Оголюк А.А. Технология защиты рабочих стан-
ций в сетевых архитектурах
«клиент-сервер»//ВУТЕ.
Россия — №1 — 2000.
17. Щеглов А.Ю.Дарасюк М.В., Оголюк А.А. Технология оптимизации ядра от-
крытых операционных систем по требованиям информационной
безопасное
-
ти//Информационные
технологии. — №4. — 2000.
383
18. Щеглов А.Ю. Проблемы и принципы проектирования системы защиты ин-
формации от несанкционированного доступа. Часть 2. Системный подход к
построению системы
защиты//Экономика
и производство. — №10-12. — 1999.
19. Щеглов
А.Ю.,
Павличенко
И.П.
Технологии защиты рабочих станций и сер-
веров корпоративной сети//ЭКСПРЕСС ЭЛЕКТРОНИКА. - №5/2002.
20. Щеглов А.Ю. Принципы обслуживания заявок в вычислительных системах с
динамическими относительными
приоритетами//Информационные
техноло-
гии.
-
№8.
-
1997.
21. Щеглов А.Ю. Исследование эффективности обслуживания заявок в ЛВС ре-
ального времени по приоритетным
расписаниям//Информационные
техноло-
гии.
-
№12.
-
1998.
22. Щеглов А.Ю. Метод синтеза расписаний обслуживания заявок для распреде-
ленных вычислительных систем и ЛВС реального
времени//Информационные
технологии. — №10. — 1997.
23. Щеглов А.Ю. Основы теории надежности СЗИ. Назначение средств добавоч-
ной защиты // Защита информации. Кофидент. — №4. — 2003.
24. Щеглов А.Ю. Система защиты рабочих станций, информационных и функ-
циональных серверов вычислительных систем и сетей с динамическими спис-
ками санкционированных событий. Патент №2166792.
25. Щеглов А.Ю. Система защиты рабочих станций, информационных и функ-
циональных серверов вычислительных систем и сетей. Патент №2169941.
26. Щеглов А.Ю. Распределенная система защиты вычислительных систем и се-
тей. Патент №2169942.
27. Щеглов А.Ю. Система оптимизации структуры ядра открытых операционных
систем по требованиям информационной безопасности. Патент №2174254.
28. Щеглов А.Ю. Система обеспечения целостности обработки информации вы-
числительных систем. Патент №2180135.
29. Щеглов А.Ю. Система защиты и контроля целостности резидентной програм-
мы. Патент №2185657.
30. Щеглов А.Ю. Система контроля доступа к запускаемым процессам (програм-
мам). Патент №2202122.
31. Щеглов А.Ю. Система контроля доступа к информационным ресурсам. Па-
тент № 2207618.
32. Щеглов А.Ю. Система разграничения доступа к ресурсам. Патент № 2207619.
33. Щеглов
А.Ю.,
Оголюк А.А., Павличенко
И.П.
и др. Комплексная система
защиты информации «Панцирь» для ОС Windows 95/98/NT/2000 (КСЗИ «Пан-
цирь»).
Свидетельство об официальной регистрации программы для ЭВМ №
2002611971 от
22.11.2002.
Правообладатель ЗАО
«НПП
«Информационные
технологии в бизнесе».
34. www.rootshell.com
35. www.securityfocus.com
36. www.sysinternals.com
384