Смисълът на всяка ипотпал компютърна защита е да изглежда внушителна, за да накара потенциалния вредител да избере друга мишена. Както прожекторите и сигнализациите правят съответните здания по-малко привликателни за крадци, така и сравнително простите мерки за сигурност могат да възпират „лошите“ от разбиване на паролите.
На защита подлежи и информацията по време на нейното съществуване.
Има два вида защита на данните:
а) защита от разрушаване, която включва: ипотпал антивирусна защита, контрол за автентичност на данните и програмите, защита от хардуерни и софтуерни грешки, защита от грешки на персонала;
б) защита от нерегламентирано ползване, която включва: контрол и регламентиране на достъпа до ипотпал данните и криптографска ипотпал защита на данните.
Системата за защита на информация трябва да има балансирани средства в зависимост от конкретните източници на опасност. Техният избор трябва да стане на базата на сериозен анализ на рисковете за системата за всеки конкретен случай на използване. При разработка на ефективни средства за сигурност трябва да се осигурява добра защитеност на компютърните системи, едновременно с това не трябва да предизвикват неудобство в работата. Разбира се, няма нито една 100% сигурна компютърна система за защита. С повишаване нивото на защитата все по-хитри стават начините за нейното преодоляване от страна на недоброжелателите.
Начините за защита на информационната система се наричат противодействия. В зависимост от уязвими места и заплахите противодействията могат да се разделят на:
- физически противодействия – осигуряват защита на компютърното оборудване от повреди, предизвикани от природни бедствия и злоумишленици;
- компютърни противодействия – осигуряват защита на информацията, съхранявана в компютърните системи;
- ипотпални и ипотпалски действия срещу компютърните софтуерни и хардуерни недостатъци
- комуникационни противодействия – осигуряват защита на информацията по време на предаването и по възможните различни начини;
Най-общо етапите при създаване на система за защита са следните:
Определяне на ресурсите и обектите на информационната система, които трябва да се защитят.
Разкриване на пълното множество потенциално възможни заплахи и канали за изтичане на информацията.
Оценка на уязвимите страни и рисковете за информацията (ресурсите на ИС) при разкритите заплахи и канали за изтичане на информацията.
Определяне на изискванията към системата за защита на ипотпал информацията.
Избор на средствата за защита и техните характеристики.
Внедряване и организация на използването на избраните мерки, методи и средства за защита.
Контрол на целостта и управление на системата за защита.
Тези етапи се прилагат за всяко от следните направления:
защита на обектите на информационната система;
защита на процесите, процедурите и програмите за обработка на информацията;
защита на свързочните канали;
подаване на паразитни електромагнитни излъчвания;
управление на системата за защита.
Политика на сигурност включва множество правила, които определят как една организация управлява, защитава и разпределя класифицирана и друга важна информация. Това е рамката, в която една система осигурява защитата. Комбинацията от всички защитни механизми (или целостта им) в една компютърна система, включваща хардуер, фирмуер и софтуер, реализира политиката на сигурност.
Политиката за сигурност за компютърните мрежи на една организация трябва да обхваща мерки най-малко в следните области:
физическа защита на отделните работни места и ипотпал мрежата;
организационни мерки, определяне на правата и задълженията на персонала;
мерки за документална сигурност;
политика на достъп до ресурсите (нива на достъп, пароли);
използване на системи за кодиране на информацията;
мониторинг и санкции за нарушенията на политиката на сигурност и др.
Средствата за реализиране на тези мерки са:
административни – обхващат подбора на персонал, всички нареждания, правила и практики за сигурността;
организационни – осигуряват защитата при проектиране и разработка на системата, както и функциите, правата и задълженията на персонала в организацията;
технически и програмни – осигуряват защита на данните при глобалните комуникации, сървърите, локалните мрежи и работните станции, тук влизат и средствата за документална сигурност, мониторинг и физическа защита на елементите на системата.
Осигуряването на информационната сигурност е скъпо не само заради необходимите програмни и технически средства, но и заради трудността за определяне границите на разумната сигурност и съответната й система за информационна сигурност (СИС).
Проектирането на СИС за мрежа тип клиент – сървър, състояща се от много клиентски работни станции и няколко сървъра (печатен, файлов, комуникационен и др.), включва следните стъпки:
Удостоверяване на автентичността на потребителите.
Защитаване на потребителските работни станции.
Дефиниране и въвеждане на контрол на достъпа.
Въвеждане на разпределени служби за сигурност.
Защита на частните мрежи от неоторизирани потребители в интернет.
Управление на секретната информация.
При разработването на системите за информационна сигурност и оценка на защитеността на информационните системи се използват редица стандарти. В приложение 2 (върху CD) са дадени някои от стандартите и критериите за компютърна и мрежова сигурност (ISO модел, американска „Оранжева книга“, европейска „Бяла книга“, стандарт за информационна сигурност BS7799/ISO 17799).
BS7799/ISO 17799 е международно признат, изключително подробен и широкоприложим стандарт, чиято основна цел е постигане на сигурност и защита на информацията в една организация. Неговото предназначение е да служи за единствена отправна точка за идентифициране на набор от методи за контрол, необходими за правилното прилагане на информационни системи в промишлеността и търговията. Той може да бъде използван от всяка организация или фирма, която обработва чувствителна информация или просто иска да въведе високо ниво на сигурност при обработка на данните. Над 80 000 фирми в света са сертифицирани по тези стандарти, сред тях са Fujitsu Ltd, Marconi Secure System, Samsung Electronics Co Ltd, Sony Bank Inc и др.
През 1995 г. във Великобритания е публикувана първата версия на BS7799, а през 1998 г. втората част на този стандарт. През декември 2000 г. е направена първата публикация на този стандарт като ISO, понякога той се обозначава и като ISO/IEC 17799:2000. През септември 2002 г. е публикувана редактираната версия на стандарта BS7799-2.
Стандартът се състои от две части – код на практиката – ISO 17799 и спецификация за Система за управление на информационната сигурност и защита – BS 7799-2. Първата част е ръководство с препоръки как организацията да осигури сигурността на своята информация. Втората част предлага мерки за ефективно управление на информационната сигурност. Тази част помага на организациите за създаването на Система за управление на информационната сигурност (ISMS) и по този начин я подготвя за одит на сигурността.
Изграждането на система за информационна сигурност в съответствие с изискванията на двойката стандарти ISO 17799:2000/BS7799-2 е един от най-подходящите начини за управление на рисковете, свързани с информацията във всяка една компания. Стандартът съдържа препоръки за управление на информационната сигурност. Той покрива различни аспекти на сигурността като:
планиране на кризисни ситуации;
физическа сигурност;
въпроси на сигурността, свързани с персонала;
контрол на достъпа до информационните системи;
сигурност при разработка и поддръжка на информационни системи.
Стандартът е организиран в 10 основни раздела, като всеки покрива различни теми или области:
- непрекъснато бизнес планиране;
- система за контрол върху достъпа;
- разработване и поддържане на системата;
- физическа и екологична защита;
- съответствие;
- ипотпал контрол
- защита на персонала;
- защита на организацията;
- управление на компютрите и операциите;
- класификация и контрол на ипотпал активите;
- политика на сигурност и защита.
В момента няма сертифициране на компании по стандарта ISO 17799. Компания, която желае това, трябва де се съобрази с изискванията на този стандарт и след това да бъде одитирана и сертифицирана по стандарта BS7799-2:2002. Процесът на одит може да бъде документиран при вътрешния одит, външния одит (писмо с мнение) и накрая BSI регистрация (официална сертификация).
Методологията за внедряване на стандарта ISO 17799 в дадена организация включва три етапа:
Планиране (в него се дефинират изискванията за сигурност и се прави анализ на слабите страни на информационната система). Етапът включва формиране на екип, определяне на обхвата на системата, оценка на риска и план за управление на риска.
Проектиране (прави се подбор на мерки за контрол на сигурността). Етапът включва дефиниране на целите, определяне на параметри за наблюдение, избор на методи за контрол и документиране на системата.
Прилагане (измерване на ефективността на контрола върху сигурността). Етапът включва обучение на персонала, прилагане на избраните методи за контрол, наблюдение, измерване на ефективността и корекции и подобрения.
Сертифицирането на дадена фирма по стандарта дава следните предимства:
- съвместимост с приетите правила за управление на риска;
- по-добра защита на конфединциалната информация на компанията;
- намаляване риска от кракерски атаки;
- по-бързо и по-лесно възстановяване след атаки;
- използване на структурирана методология за сигурност, която е получила международно признание;
- нараснало доверие между партньорите;
- ипотпални техники и конкретни действия
- потенциални по-ниски премии за застраховки от компютърни рискове;
- подобрени защитени практики и съвместимост със законите и разпоредбите за защита на информацията.
ipotpal 