Проблемами в процессе защиты информации в ИС

В ИС принято устанавливать и строго соблюдать регламент доступа в различные служебные помещения для разных категорий сотрудников.

Степень защиты информации от неправомерного доступа и противозаконных действий зависит от качества разработки организационных мер, направленных на исключение:

• доступа к аппаратуре обработки информации;

• бесконтрольного выноса персоналом различных носителей информации;

• несанкционированного введения данных в память, изменения или стирания хранящейся в ней информации;

• незаконного пользования системами обработки информации и полученными данными;

• доступа в системы обработки информации посредством самодельных устройств;

• неправомочной передачи данных по каналам связи из информационно-вычислительного центра;

• бесконтрольный ввод данных в систему;

• обработка данных по заказу без соответствующего требования заказчика;

• неправомочное считывание, изменение или стирание данных в процессе их передачи или транспортировки носителей информации.

Основными проблемами в процессе защиты информации в ИС является:

• предотвращение утечки, хищения, утраты, искажения, подделки информации;

• предотвращение угроз безопасности личности, общества, государства;

• предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

• предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;

• обеспечение правового режима документированной информации как объекта собственности;

• защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

• сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

• гарантия прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Открытые системы клиент/сервер подкупают администраторов ИС исключительно простым доступом к корпоративной информации, но обескураживают сложностью решения задач защиты данных в связи с разнородностью вычислительных компонентов - аппаратных платформ, операционных систем, СУБД и прикладного ПО.

Сторонники архитектуры клиент/сервер получили возможность исключительно простого доступа к корпоративным данным. Однако это осложнило проблему безопасности, что в полной мере почувствовали администраторы информационных систем на больших машинах. Для них понятия “открытая система” и “безопасность” казались вообще несовместимыми.

Распределенная система имеет несколько точек входа, через которые осуществляется доступ к данным. Это могут быть файл-серверы локальной сети, рабо­чие станции и серверы БД. Чем больше в системе таких входов, тем острее проблема безопасности.

Уровень защиты всей системы определяется степенью защиты ее самого уязвимого звена, которым, как правило, являются включенные в сеть персональные компьютеры. Многие производители СУБД, стараясь облегчить жизнь конечных пользователей, перекладывают функции контроля доступа к данным на операционные системы. Возникающей лазейкой охотно пользуются хакеры, маскируясь под клиентов.

Процесс обеспечения БИТ появляется не тогда, когда случилось первое нарушение, а когда идет формирование будущей компьютерной системы.

В защите нуждаются все сервисы и коммуникационные пути между ними. В то же время, не все запланированные сервисы обладают полным набором механизмов безопасности. Для каждого сервиса основные цели, а именно: конфиденциальность, целостность и доступность, трактуются по-своему.

Целостность с точки зрения системы управления базами данных и с точки зрения почтового сервера -понятия принципиально разные.

Файловые серверы могут контролировать доступ пользователей к различным частям файловой системы.

Удаленные вычисления должны контролироваться таким образом, чтобы только авторизованные пользователи могли получать доступ к удаленным компонентам и приложениям.

Современные топологии и протоколы требуют, чтобы сообщения были доступны большому числу узлов при передаче к желаемому назначению. Это гораздо дешевле и легче, чем иметь прямой физический путь между каждой парой машин. Вытекающие из этого возможные угрозы предусматривают как активный, так и пассивный перехват сообщений, передаваемых в линии.

Службы Обмена сообщениями увеличивают риск для информации, хранимой на сервере или передаваемой между источником и отправителем. Неадекватно защищенная электронная почта может быть легко перехвачена, изменена или повторно передана, что влияет как на конфиденциальность, так и на целостность сообщения.

Прочие проблемы безопасности ИС:

• неадекватная политика управления и безопасности ИС;

• отсутствие обучения особенностям использования ИС и защиты;

• неадекватные механизмы защиты для рабочих станций;

• неадекватная защита в ходе передачи информации.

Необходима формальная политика безопасности, которая определяла бы правила использования ИС.

Политика безопасности является сжатой формулировкой позиции высшего руководства по вопросам информационных ценностей, ответственности по их защите и организационным обязательствам. Политика должна определять роль каждого служащего при обеспечении адекватной защиты ИС и передаваемой в ней информации.