Под информационной безопасностью понимают состояние защищенности обрабатываемых, хранимых и передаваемых данных от незаконного ознакомления, преобразования и уничтожения, а также состояние защищенности информационных ресурсов от воздействий, направленных на нарушение их работоспособности.
Природа этих воздействий может быть самой разнообразной. Это и попытки проникновения злоумышленников, и ошибки персонала, и выход из строя аппаратных и программных средств, стихийные бедствия (землетрясение, ураган, пожар и т.п.). Основные угрозы безопасности в корпоративных компьютерных сетях подробно анализируются в разделе 2.
Информационная безопасность компьютерных систем и сетей достигается принятием комплекса мер по обеспечению конфиденциальности, целостности, достоверности, юридической значимости информации, оперативности доступа к ней, а также по обеспечению целостности и доступности информационных ресурсов и компонентов системы или сети. Перечисленные базовые свойства информации нуждаются в более полном толковании.
Конфиденциальность информации – это ее свойство быть доступной только ограниченному кругу пользователей информационной системы, в которой циркулирует данная информация. По существу, конфиденциальность информации – это ее свойство быть известной только допущенным и прошедшим проверку субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы информация должна быть неизвестной.
Под целостностью информации понимается ее свойство сохранять свою структуру и/или содержание в процессе передачи и хранения. Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, то есть если не произошло их случайного или преднамеренного искажения или разрушения.
Достоверность информации – свойство, выражаемое в строгой принадлежности информации субъекту, который является ее источником, либо тому субъекту, от которого она принята.
Юридическая значимость информации означает, что документ, являющийся носителем информации, обладает юридической силой.
Под доступом к информации понимается ознакомление с информацией и ее обработка, в частности копирование, модификация или уничтожение. Различают санкционированный и несанкционированный доступ к информации. Санкционированный доступ к информации не нарушает установленные правила разграничения доступа.
Несанкционированный доступ характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями таких правил разграничения доступа. Несанкционированный доступ – наиболее распространенный вид компьютерных нарушений.
Правила разграничения доступа служат для регламентации права доступа к компонентам системы.
Оперативность доступа к информации – это способность информации или некоторого информационного ресурса быть доступными конечному пользователю в соответствии с его оперативными потребностями.
Целостность ресурса или компонента системы – это его свойство быть неизменным в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений либо разрушающих воздействий.
Доступность ресурса или компонента системы – это его свойство быть доступным законным пользователям системы. С допуском к информации и ресурсам системы связана группа таких понятий, как идентификация, аутентификация, авторизация.
С каждым объектом системы (сети) связывают некоторую информацию (число, строку символов), идентифицирующую объект. Эта информация является идентификатором объекта системы (сети). Объект, имеющий зарегистрированный идентификатор, считается законным (легальным).
Идентификация объекта – это процедура распознавания объекта по его идентификатору. Выполняется при попытке объекта войти в систему (сеть).
Следующий этап взаимодействия системы с объектом – аутентификация. Аутентификация объекта – это проверка подлинности объекта с данным идентификатором. Процедура аутентификации устанавливает, является ли объект именно тем, кем он себя объявил.
После идентификации и аутентификации объекта выполняют авторизацию. Авторизация объекта – это процедура предоставления законному объекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы (сети).
Под угрозой безопасности для системы (сети) понимаются возможные воздействия, которые прямо или косвенно могут нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в системе (сети).
С понятием угрозы безопасности тесно связано понятие уязвимости компьютерной системы (сети). Уязвимость системы (сети) – это любая характеристика компьютерной системы, использование которой может привести к реализации угрозы.
Атака на компьютерную систему (сеть) – это действие, предпринимаемое злоумышленником с целью поиска и использования той или иной уязвимости системы. Таким образом, атака – это реализация угрозы безопасности.
Противодействие угрозам безопасности – цель, которую призваны выполнить средства защиты компьютерных систем и сетей. Безопасная или защищенная система – это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.
Комплекс средств защиты представляет собой совокупность программных и технических средств сети. Комплекс средств защиты создается и поддерживается в соответствии с принятой в данной организации политикой обеспечения информационной безопасности системы.
Политика безопасности – это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты компьютерной системы (сети) от заданного множества угроз безопасности.
Корпоративные сети относятся к распределенным компьютерным системам, осуществляющим автоматизированную обработку информации. Проблема обеспечения информационной безопасности является центральной для таких компьютерных систем. Обеспечение безопасности корпоративной сети предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования корпоративной сети, а также попыткам модификации, хищения, вывода из строя или разрушения ее компонентов, то есть защиту всех компонентов корпоративной сети (аппаратных средств, программного обеспечения, данных и персонала).
Существуют два подхода к проблеме обеспечения безопасности корпоративной сети: «фрагментарный» и комплексный.
«Фрагментарный» подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать: отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.п. Достоинство этого подхода заключается в высокой избирательности к конкретной угрозе. Существенным недостатком его является отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов корпоративной сети только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.
Комплексный подход ориентирован на создание защищенной среды обработки информации в корпоративной сети, сводящей воедино разнородные меры противодействия угрозам. Организация защищенной среды обработки информации позволяет гарантировать определенный уровень безопасности корпоративной сети, что можно отнести к несомненным достоинствам комплексного подхода. К его недостаткам относятся ограничения на свободу действий пользователей корпоративной сети, чувствительность к ошибкам установки и настройки средств защиты, сложность управления.
Комплексный подход применяют для защиты корпоративных сетей крупных организаций или небольших корпоративных сетей, выполняющих ответственные задачи или обрабатывающих особо важную информацию. Нарушение безопасности информации в корпоративных сетях крупных организаций может нанести огромный материальный ущерб, как самим организациям, так и их клиентам. Поэтому такие организации вынуждены уделять особое внимание гарантиям безопасности и реализовывать комплексную защиту. Комплексного подхода придерживается большинство государственных и крупных коммерческих предприятий и учреждений. Этот подход нашел свое отражение в различных стандартах.
Комплексный подход к проблеме обеспечения безопасности основан на разработанной для конкретной корпоративной сети политике безопасности.