Исследование подходов к защите данных при подключении информационных систем общего пользования к международной сети Интернет

ВВЕДЕНИЕ
Современные методы и средства обработки информации не только дают возможность повышения эффективности всех видов деятельности человека, но и создают целый комплекс проблем, связанных с вопросами ее защиты.
Информационная система общего пользования – это сложная система, включающая тысячи самых разнообразных компонентов: компьютеры разных типов и назначения, системное и прикладное программное обеспечение, коммуникационное оборудование, кабельную систему. Основная задача системных интеграторов и администраторов состоит в том, чтобы эта громоздкая и весьма дорогостоящая система как можно лучше справлялась с обработкой потоков информации, циркулирующих в ней, и позволяла принимать им своевременные и рациональные решения. Стоит отметить, что в связи с циклоническим развитием компьютеризации и цифровизации, содержание информации в сетях общего пользования, интенсивность ее потоков и способы ее обработки постоянно меняются.
…

1.1 Основные определения и понятия
Деятельность развитого государства невозможна без высокого уровня информационного обеспечения всех его политических, экономических, силовых, социальных структур, отдельных организаций и граждан. Эта задача решается путем информатизации общества.
Информатизация – это процесс обеспечения информационных потребностей государства, общества, личности на основе применения новейших информационных технологий.
Информатизация базируется на национальных информационных ресурсах и обеспечивается посредством информационных систем и телекоммуникационных сетей.
Информационные ресурсы – это отдельные документы и массивы документов, документы и массивы документов информационных в системах (библиотеках, архивах, фондах, банках, банках данных и т. п.).
…

1.2 Защита информации при использовании глобальных сетей
Информационные сети общего пользования, подключенные к глобальной сети Интернет более подвержены вторжениям, чем локальные сети или централизованные корпоративные информационные системы. Все главные особенности такого рода сетей обуславливают её повышенную опасность и необходимость грамотного построения защиты данных.
Первой такой особенностью является наличие глобальных связей. По своей природе глобальные связи не позволяют воспрепятствовать злонамеренному доступу к передаваемым по этим линиям связи данным. Нельзя дать никаких гарантий, что в некоторой, недоступной для контроля точке пространства, некто, используя, например, анализатор протокола, не подключится к передающей среде для захвата и последующего декодирования пакетов данных.
…

1.3 Нормативно-правовое обеспечение защиты информации
Законодательный уровень является важнейшим для обеспечения ИБ. На нормативно-правовом уровне различают две группы мер:
– ограничительные меры, направленные на создание и поддержание в обществе негативного отношения к нарушениям и нарушителям ИБ;
– направляющие и координирующие меры, способствующие повышению образованности общества в области ИБ, помогающие в разработке и распространении средств обеспечения ИБ (меры созидательной направленности).
Требования по защите информации в информационных системах общего пользования предъявляются в интересах формирования условий, при которых в случае их выполнения достигается определенный уровень защищенности информации, достаточный для недопущения нанесения существенного ущерба государству или обществу. Системой таких требований регулируются различные аспекты деятельности органов, организаций и предприятий в области защиты информации (рисунок 1.4).
…

Выводы по разделу 1
В данном разделе были рассмотрены вопросы анализа составляющих информационной безопасности при работе с международной сетью Интернет. Для более удобного и чёткого представления информации даны основные понятия и определения из данной области. Проанализированы аспекты защиты информации при использовании глобальных сетей. Отмечено, что обеспечение защиты данных при подключении к сети Интернет должно носить намного более глубокий и разветвлённый характер, чем при работе внутри локальных сетей. В третьем параграфе раздела представлены основные нормативно-правовые документы, определяющие вопросы информационной безопасности (в том числе и при работе с Интернет) на территории Российской Федерации.
…

2.1 Классификация угроз безопасности информации
Угроза безопасности информации – это совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренны-ми воздействиями на нее. Попытка реализации угрозы называется атакой. Чаще всего угроза является следствием наличия уязвимых мест в защите ИС.
Классификация возможных угроз интересам субъектов информационных отношений АС может быть проведена по ряду базовых признаков:
1.
…

2.2 Классификация уязвимостей информационных систем
Уязвимость ИС – недостаток или слабое место в ИС, которое используется при реализации угрозы ИБ. Производя атаку, нарушитель использует уязвимости ИС. Поэтому одним из важнейших механизмов защиты является процесс поиска и устранения уязвимостей. Рассмотрим различные признаки, по которым можно осуществлять классификацию уязвимостей.
По этапам жизненного цикла ИС, на котором возникают уязвимости [8] (рисунок 2.1):
– уязвимости проектирования (на этапе проектирования ИС);
– уязвимости реализации (на этапе реализации ИС);
– уязвимости конфигурации (на этапе эксплуатации ИС).
Рисунок 2.1 – Классификация уязвимостей информационных систем по этапам жизненного цикла
Уязвимости проектирования наиболее серьезны – они обнаруживаются и устраняются с большим трудом. В этом случае уязвимость свойственна проекту или алгоритму и, следовательно, даже совершенная реализация не избавит его от заложенной в нем слабости.
…

2.3 Анализ стратегий защиты данных
Условно средства защиты информации можно разделить на формальные и неформальные. К формальным относятся такие средства, которые выполняют свои функции по защите преимущественно без участия человека. К неформальным относятся средства, основу содержания которых составляет целенаправленная деятельность людей. Формальные средства составляют технические средства, нормативно-правовые и морально-этические.
Нормативно-правовые включают в себя законы и другие нормативно-правовые акты, а также механизмы их реализации, регламентирующие отношения в информационной сфере государства и общества.
Морально-этические средства – правила и нормы поведения, сложившиеся в обществе или коллективе, не закрепленные законодательно или административно, но поддерживаемые в коллективах через традиции и механизм общественного мнения. Соблюдение установившихся правил и норм способствует защите информации и перекрытию некоторых каналов утечки информации.
…

2.3.1 Анализ проблем безопасности при удаленном доступе.
Обеспечение безопасности данных при удаленном доступе – проблема если и не номер один, то, по крайней мере, номер два, после проблемы обеспечения приемлемой для пользователей пропускной способности. При активном использовании транспорта Интернет она становится проблемой номер один.
Неотъемлемым свойством систем удаленного доступа является наличие глобальных связей. По своей природе глобальные связи, не позволяют воспрепятствовать злонамеренному доступу к передаваемым по этим линиям данным. Нельзя дать никаких гарантий, что в некоторой, недоступной для контроля точке пространства, некто, используя, например, анализатор протокола, не подключится к передающей среде для захвата и последующего декодирования пакетов данных. Такая опасность присуща всем видам территориальных каналов связи и не связана с тем, используются ли собственные, арендуемые каналы связи или услуги общедоступных территориальных сетей.
…

2.3.2 Анализ использования сертификатов для аутентификации пользователей
Обеспечение безопасности при работе в Интернет стало особенно важной проблемой в условиях массового интереса к построению частных виртуальных сетей с использованием транспортных средств Интернет, а также использования методов Интернет для хранения, представления и поиска информации в информационных системах общего доступа. Далее рассмотрим некоторые средства обеспечения безопасности.
При организации доступа к некоторым ресурсам Интернет все чаще возникает необходимость во введении некоторых ограничений. Это означает, что среди множества пользователей Интернет, владелец ресурса должен определить некоторые правила определения тех, кому доступ разрешен, и предоставить им способ, с помощью которого они могли бы доказывать свою принадлежность к легальным пользователям. Следовательно, необходима процедура аутентификация, пригодная для использования в Интернет. На рисунке 2.
…

2.4 Предложения по организации защиты данных при подключении информационных систем общего пользования к сети Интернет
Классические способы и средства, применяемые для защиты Интернет-ресурсов, передаваемой по сети информации и межсетевых взаимодействий, не всегда спасают от реализации угроз безопасности информации.
Поэтому для надежной защиты информационных ресурсов общего пользования необходимо руководствоваться Требованиями о защите информации, содержащейся в информационных системах общего пользования, утвержденными совместным приказом ФСБ РФ № 416 и ФСТЭК РФ № 489 от 31 августа 2010 года [13].
…

Выводы по разделу 2
В данном разделе было проведено исследование подходов к защите данных при подключении информационных систем общего пользования к международной сети Интернет, главной целью которого являлось разработка предложений по организации защиты данных при подключении к сети Интернет. Сформированы классификации возможных уязвимостей и способов защиты данных информационных систем общего пользования. В связи с широкими масштабами угроз вопросы обеспечения безопасности при подключении к сети Интернет требуют комплексного подхода с использованием как организационных, так и технических средств защиты. Разработаны предложения по организации защиты данных при подключении информационных систем общего пользования к сети Интернет на основе приказа ФСБ РФ № 416, ФСТЭК РФ № 489 от 31 августа 2010 года «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования».
…

ЗАКЛЮЧЕНИЕ
Интерес к информационной безопасности вызван понятными и объективными причинами на любых стадиях информационного цикла. Для будущих специалистов – проектировщиков систем информационной безопасности важно знать не только основные компоненты систем информационной безопасности, но и динамику их уязвимости в различные периоды жизненного цикла организации и в условиях повышенных внешних угроз, связанных с общеэкономическим кризисом. Особенно актуальными данные вопросы выглядят при безопасном взаимодействии пользователей информационных систем общего доступа и международной сети Интернет.
В первом разделе ВКР были рассмотрены вопросы анализа составляющих информационной безопасности при работе с международной сетью Интернет, проанализированы аспекты защиты информации при использовании глобальных сетей и представлены основные нормативно-правовые документы, определяющие вопросы информационной безопасности (в том числе и при работе с Интернет) на территории Российской Федерации.
…