Файл: Система защиты информации в зарубежных странах (Теоретические аспекты систем защиты информации).pdf

Отсутствие се­тевой политики безопасности может привести к серьезным проблемам в области защиты информации, поэтому американская компания Cisco ее разработку начи­нает с оценки рисков сети и создания рабочей группы по реагированию на инциденты^[13].

В компании Cisco со­здают политики использования, описывающие обязан­ности и роли сотрудников для надлежащей защиты корпоратив­ной конфиденциальной информа­ции.

Следующим шагом является создание по­литики допустимого использования для компаньонов, чтобы их проинформи­ровать о доступной для них информа­ции. При этом четко излагаются любые действия, которые будут восприниматься как враждебные, а также описываются возможные способы реагирования при выявлении данных действий.

Затем со­здается политика допустимого использования для администраторов, в которой описаны процедуры администрирования учетных записей сотрудников, проверки привилегий и внедрения политики.

Анализ рисков заключается в категорировании информационных активов компа­нии, определении наиболее значимых угроз и уязвимости активов и обоснованному выбору соответствующие контрмеры безопасности. Отмечаются уровни информационных рисков такие, как:

• Низкий уровень риска, который подразумевает, что скомпрометированные информа­ционные системы и данные, которые доступны для изучения неавторизован­ными пользователями, утеряны или повреждены, не повлекут финансовые пробле­мы, серьезный ущерб и проблем с правоохранительными органами.
• Средний уровень риска, который подразумевает, что скомпрометированные данные и информа­ционные системы повлекут умеренный ущер­б или небольшие проблемы с правоохранительными органа­ми, или умеренные финансо­вые проблемы, а также получе­ние дальнейшего доступа к дру­гим системам. Информация и затронутые систе­мы нуждаются в уме­ренных усилий по восстановле­нию.
• Высокий уровень риска, который подразумевает, что скомпрометированные данные и информа­ционные системы повлекут значительный ущерб или серьезные проблемы с правоохрани­тельными органами, или финансовые проблемы, нанесе­ние ущерба безопасности и здоровью сотрудников. Затронутые системы и информация нуждаются в существенных усилий по восстановлению^[14].

Определяется уро­вень риска для каждого из устройств: серверов аутентификации, устройств мониторинга сети, сетевых устройств, файловых серверов, почтовых серверов, серверов сете­вых приложений (DHCP и DNS), персональных компьютеров, сервера баз данных (MS SQL Server, Oracle) и иных устройств.

Сетевое оборудование, такое как маршрутизаторы, коммутато­ры, DHCP- и DNS-серверы в случае компрометации использованы могут быть для дальнейшего проникновения в сеть и поэтому относятся к группе высокого или среднего уровней рисков. Вероятное повреждение данных устройств может привести к прекращению или сбою ра­боты всей сети. Данные инциденты наносят серьезный ущерб ком­пании.

Выделяется пять наиболее общих типов пользователей:

1. Администраторы являются внутренними пользователями, которые отвечают за сете­вые ресурсы.
2. Привилегированные пользователи являются внутренними пользователями с необходимостью высокого уровня до­ступа.
3. Рядовые пользователи являются внутренними пользователями с обычным уров­нем доступа.
4. Партнеры являются внешними пользователями с необходимостью доступа к не­которым ресурсам.
5. Другие являются внешними пользователями или клиентами.

Определение типов доступа и уровней рисков, которые требуемы для каж­дой сети, формирует некоторую матрицу безопасности (рис. 3).

Рисунок 3. Матрица безопасности Cisco

Таким образом, американская компания Cisco разработку информационной безопасности начи­нает с оценки рисков сети и создания рабочей группы по реагированию на инциденты. Со­здаются политики использования, описывающие обязан­ности и роли сотрудников для надлежащей защиты корпоратив­ной конфиденциальной информа­ции, по­литики допустимого использования для компаньонов и политика допустимого использования для администраторов.

Анализ рисков заключается в категорировании информационных активов компа­нии, определении наиболее значимых угроз и уязвимости активов и обоснованному выбору соответствующие контрмеры безопасности.

Матрица безопасности является стартом для даль­нейших действий по обеспечению без­опасности, к примеру, таких, как со­здание соответствующей стратегии по ограничению доступа к сетевым ресурсам.

2.3 Система защиты информации в Западной Европе

В Западной Европе политика безопасности информации и информационных систем представляет защиту целостности информации и гарантирование доступа к ней, что является необходимым условием исполнения любой государственной политики. Под влиянием политики информационной безопасности находятся три типа акторов:

• Граждане, в особенности те, которые озабочены защитой личных данных как необходимым условием личных свобод в демократическом государстве.
• Компании, существование и успех которых зависят от защиты их прав интеллектуальной собственности, честной конкуренции и надежного функционирования процессов производства и распределения материальных благ, которое в свою очередь неосуществимо без информационных систем.
• Государственный аппарат, ответственный за защиту некоторых видов информации.

В каждой из данных областей целью является защита информации, сетей и информационных систем посредством определенных технических, юридических и оперативных мер, которые должны учитывать обеспечение личных свобод.

Правительственные агентства такие, как DACAN в НАТО, CESG в Великобритании, NLNCSA в Нидерландах, АНБ в США по-прежнему обладают монополией в производстве для правительств криптографических средств. Тем не менее, к настоящему времени значительный сегмент рынка систем информационной безопасности отошел к частным подрядчикам, которые удовлетворяют потребности общественного и частного сектора. В настоящее время правительственные организации уже не могут справиться с функциями контроля над данными подрядчиками и поэтому переходят постепенно к практике лицензирования их деятельности.

В Европе у Великобритании самая жесткая система органов защиты информации, которая создавалась в рамках государства и ради его целей. Существуют службы безопасности в торговых, промышленных фирмах, частные службы безопасности, служб безопасности в сфере оборонной промышленности, объединения служб безопасности.

Из законодательства Великобритании упомянем семейство так называемых добровольных стандартов BS 7799, которые помогают организациям сформировать на практике программы безопасности.

С конца 1990-х годов члены Евросоюза создали правовые и оперативные структуры для ответа на нападения против своих информационных систем и защиты критической информационной инфраструктуры. Данные структуры можно классифицировать по трем категориям:

• CSIRT и CERT являющиеся частными или общественными техническими организациями, которые осуществляют мониторинг, ранее предупреждение и ответ на нападения.
• Подразделения борьбы с компьютерной преступностью.
• Другие подразделения, которые ответственны за защиту критической инфраструктуры^[15].

Политика информационной безопасности отдельных стран-членов ЕС базируется на общих принципах, которые закреплены в ряде общеевропейских документов и принципах рыночной экономики. Участие большинства членов Евросоюза в общей оборонной организации (НАТО), которая во многом определяет конкретные методы обеспечения информационной безопасности, также содействует сходству политических курсов отдельных европейских стран.

Во Франции создан официальный сайт Хартии Интернет, в котором определены принципы добровольных обязательств пользователей и создателей информационных услуг и проектов, которые связаны с интернет.

Национальное агентство безопасности информационных систем создано при генеральном секретаре национальной обороны в начале 2010 г. решением премьер-министра Франции в целях более эффективного решения вопросов обеспечения информационной безопасности, а также выработки новых технологий воздействия на телекоммуникационные и информационные сети зарубежных стран.

В 1997 г. в Германии принят закон об коммуникационных и информационных услугах, в котором определен статус цифровой подписи, введены поправки в законы о запрете на распространение морально вредной для молодежи информации, в уголовный кодекс, об охране авторских прав.

В Германии существует стройная система государственных органов власти и структур, а также замыкающихся на них фирм, которые осуществляют регулирование и контроль за развитием, использованием и эксплуатацией телекоммуникаций, а также сертификацию компьютерных и информационных изделий, услуг и систем на предмет уровня безопасности их и защищенности от несанкционированного доступа.

Первый в Германии закон о защите персональных данных принят был в земле Гессен в 1970 году. До этого подобных законов в мире нигде не было.

В Германии нет общего закона, который гарантирует свободу информации. В 1998 г. земля Бранбенберг приняла закон о свободе информации, который открывает гражданам доступ к государственным базам данных. Надзор за его исполнением возложен на комиссара по защите информации и персональных данных.

В министерстве юстиции Швейцарии выработаны рекомендации для провайдеров такие, как:

1. Если провайдер располагает конкретной информацией, которая дает основания подозревать, что конкретное содержание сети может быть незаконным, он немедленно должен провести расследование и блокировать в случае необходимости доступ к данному содержанию. В случае, если есть сведения, что информация незаконна, то провайдер должен принять технические меры по блокированию доступа к данному содержанию.
2. Необходимо иметь в виду рекомендацию 1 в случае, когда провайдер знает, что конкретное содержание какой-либо сети нарушает авторские права.
3. Провайдерам рекомендуется создать центр для сбора и анализа информации от провайдеров, их клиентов и иных лиц о незаконном содержании.
4. Провайдерам рекомендуется заключать соглашения на обслуживание только со взрослыми лицами. Клиенты должны иметь доступ к сети только через идентификацию и пароль.
5. В контракте провайдеры должны зарезервировать за собой право «замораживать» временно подозрительные источники информации и в одностороннем порядке разрывать контракт, если клиент распространяет незаконное содержание, или если данное содержание может быть получено с его компьютеров.
6. Контракт на обслуживание должен в явном виде приглашать потребителей сообщать о незаконном содержании сети и любых иных незаконных приложений, о которых стало им известно.
7. Провайдеры должны знать, что наказание за показ сцен насилия по статьям Уголовного кодекса Швейцарии не ограничивается фотопрезентациями или кино, но распространяется и на иные формы презентации, особенно в компьютерных играх. Это же положение относится к порнографии.
8. Провайдеры должны информировать потребителей о потенциальных проблемах, которые связаны с защитой данных, используемых в интернете. Также необходимо уделять особое внимание мерам по сохранению точности и конфиденциальности персональных данных, ограничению доступа к ним.
9. Провайдер должен обрабатывать только персональные данные потребителя, которые необходимы для обеспечения его услугами. Стоит принять все необходимые организационные и технические меры, чтобы данная информация доступна была только персоналу для выполнения им необходимых работ. Недопустимо использование данных в иных целях. Данные могут предоставляться третьим лицам только лишь с согласия потребителей.
10. Провайдерам не следует делать доступными адреса, телефоны и имена клиентов по интернету без их согласия за исключением случаев, когда на это есть законные основания или есть значительный общественный интерес.
11. Провайдеру следует особое внимание в договоре об услугах уделять обязанностям клиента по соблюдению авторских прав и сохранять за собой возможность временно прекращать доступ к источнику нарушения авторских прав и в одностороннем порядке прекращать контракт в случае таких нарушений.

Таким образом, в компании IBM следуют этапам разработки политики безопасности, имеется структура руко­водящих документов по обеспече­нию информационной безопаснос­ти: корпоративная политика безопасности, стандарты, процедуры. Компания Cisco разработку информационной безопасности начи­нает с оценки рисков сети и создания рабочей группы по реагированию на инциденты. Со­здаются политики использования, описывающие обязан­ности и роли сотрудников для надлежащей защиты корпоратив­ной конфиденциальной информа­ции, по­литики допустимого использования для компаньонов и политика допустимого использования для администраторов. Анализ рисков заключается в категорировании информационных активов компа­нии, определении наиболее значимых угроз и уязвимости активов и обоснованному выбору соответствующие контрмеры безопасности. Матрица безопасности является стартом для даль­нейших действий по обеспечению без­опасности, к примеру, таких, как со­здание соответствующей стратегии по ограничению доступа к сетевым ресурсам.

В Западной Европе политика безопасности информации и информационных систем представляет защиту целостности информации и гарантирование доступа к ней. С конца 1990-х годов члены Евросоюза создали правовые и оперативные структуры для ответа на нападения против своих информационных систем и защиты критической информационной инфраструктуры, которые классифицируются по трем категориям:

• CSIRT и CERT, которые осуществляют мониторинг, ранее предупреждение и ответ на нападения.
• Подразделения борьбы с компьютерной преступностью.
• Другие подразделения, которые ответственны за защиту критической инфраструктуры.

ЗАКЛЮЧЕНИЕ

На основании вышеизложенного можно сделать ряд выводов.

Система защиты определяется как организованная совокупность всех органов, средств, мероприятий и методов, которые предусмотрены в компьютерных информационных системах для обеспечения защиты информации от утечки, разглашения и несанкционированно доступа к ней.

Неформальные средства защиты информации делятся на законодательные, морально-этические и организационные средства. Формальные средства защиты информации представлены техническими средствами, которые в свою очередь состоят из аппаратных, физических, криптографических и программных средств. В качестве отдельного вида наиболее эффективных средств защиты информации выделяют математические или криптографические методы, которые могут быть реализованы в виде программ, технических устройств и программно-аппаратных средств.