;
. захист конфіденційних даних від НСД, в тому числі використання засобів шифрування;
. захист конфіденційних даних при передачі по каналах зв'язку з використанням засобів шифрування;
. виявлення і попередження атак з INTERNET та внутрішньої мережі;
. реєстрація значних подій в журналі для цілей повсякденного контролю або спеціальних розслідувань;
. резервне копіювання критично важливих даних;
. відновлення роботи АС після відмов, особливо для систем з підвищеними вимогами до доступності.
При формуванні даних рекомендацій важливими факторами з'явилися ефективність захисту і фінансові міркування. Після опису всіх заходів, що плануються до реалізації, проводиться розрахунок економічної вартості даної програми. У тому випадку, коли фінансові вкладення в програму безпеки є неприйнятними або просто економічно невигідними в порівнянні з потенційним збитком від атак, проводиться повернення на рівень, де ми задавалися максимально допустимим ризиком 5 і збільшення його на один або два пункти.
2.5 Модель порушника
Складемо модель передбачуваного порушника. Згідно керівному документу ГТК РФ Концепція захисту засобів обчислювальної техніки і автоматизованих систем від несанкціонованого доступу до інформації в якості порушника розглядається суб'єкт, що має доступ до роботи зі штатними засобами і частинами АС (користувач, обслуговуючий персонал і програмісти). І за рівнем можливостей, що надаються ними порушникам, вироблятися класифікація останніх. Класифікація є ієрархічною, тобто кожен наступний рівень включає в себе функціональні можливості попереднього. Розглянутий порушник у своєму рівні є фахівцем вищої кваліфікації, знає все про АС і, зокрема, про систему і засобах її захисту. Виділяється чотири рівні цих можливостей (Табл. 2.5).
Таблиця 2.4.3
Можливості порушників
УровеньВозможності нарушітеляПотенціальная група порушників ПервийСамий низький рівень можливостей - запуск завдань (програм) з фіксованого набору, що реалізують заздалегідь передбачені функції по обробці інформацііПользователі АС, що мають безпосередній доступ до завдань (програмам) і доступ з повноваженнями, обмеженими на рівні операційної сістеми.ВторойСозданіе і запуск власних програм з новими функціями з обробки інформацііПользователі АС, що мають до них доступ і доступ з не обмеженими операційною системою полномочіямі.ТретійУправленіе функціонуванням АС, тобто вплив на базове програмне забезпечення системи, на склад і конфігурацію її оборудованіяПользователі АС, наділені повноваженнями з управління системними ресурсами (адміністратори мережі) ЧетвертийВесь обсяг можливостей осіб, які здійснюють проектування, реалізацію і ремонт технічних засобів АС, аж до включення до складу АС власних технічних засобів з новими функціями з обробки інформацііОбслужівающій персонал, програмісти АС. Фахівці сторонніх організацій, що здійснюють постачання, монтаж і ремонт обладнання АС.
Враховуючи всі вище перераховані загрози інформації в автоматизованій системі та модель порушника можна зробити висновок про те, що інформація, що обробляється в розглянутій організації, схильна зазначеним загрозам і потребує комплексної захисті. Тут можна виділити наступне:
· необхідно захистити зберігаються й оброблювані дані від несанкціонованого доступу до них;
· необхідно забезпечити цілісність і справжність інформації;
· необхідно забезпечити надійність функціонування системи обробки даних.
2.6 Концепція безпеки
Під безпекою об'єкта розуміється стан захищеності інтересів власників, керівництва та клієнтів, матеріальних цінностей та інформаційних ресурсів від внутрішніх і зовнішніх загроз.
Забезпечення безпеки є невід'ємною складовою частиною діяльності об'єкта. Стан захищеності являє собою вміння і здатність об'єкта надійно протистояти будь-яким спробам кримінальних структур або зловмисникам завдати шкоди законним інтересам об'єкта.
Об'єктами безпеки є:
· персонал (керівництво, співробітники);
· фінансові кошти, матеріальні цінності, технології;
· Інформаційні ресурси (інформація з обмеженим доступом, конфіденційна інформація, надана у вигляді документів і масивів незалежно від форми та виду їх подання);
· засоби і системи інформатизації (обчислювальні мережі різного рівня та призначення, технічні засоби передачі інформації, допоміжні технічні засоби і системи);
