Безопасность информационных систем

Безопасность информационных систем складывается из:

• безопасности компьютерных систем
• безопасности данных

Безопасность компьютерных систем

Определение безопасности систем, данное в U.S. National Information Systems Security Glossary: "Безопасность системы: защита информационных систем от угроз неавторизованного изменения или доступа к информации во время её хранения, обработки или передачи, отказа обслуживания авторизованных пользователей или обслуживания неавторизованных пользователей, включая меры, необходимые для обнаружения, документирования и учёта этих угроз. {{System security. The protection of information systems against unauthorized access to or modification of information, whether in storage, processing or transit, and against the denial of service to authorized users or the provision of service to unauthorized users, including those measures necessary to detect, document, and counter such threats.}}

Обеспечение безопасности систем заключается в постоянном внесении патчей для закрытия проблем с безопасностью программного обеспечения, постоянном аудите и контроле, а также изначальной конфигурации системы как безопасной. Полностью безопасных систем не существует, основная цель - достичь компромиса между безопасностью системы, требуемыми усилиями по поддержанию этого уровня безопасности и удобством использования системы. На уровень безопасности системы влияет важность данных, хранящихся в этой системе, и предполагаемые сценарии их использования.

Безопасность данных

Для обеспечения безопасности данных следует принимать во внимание

• Целостность (integrity) данных.
• Конфиденциальность (confidentiality) данных.
• Доступность (availability) данных.

Целостность данных

Данные не должны изменяться случайно или со злым умыслом. Целостность данных включает себя как хранение, так и передачу данных. При хранении на данные не должны влиять возможные ошибки/разрушение физических накопителей. Для этого следует исключать возможность влияние на хранение данных сбоев питания системы, проводить резервное копирование, ограничивать физический доступ к хранилищам данных.

При передаче данные должны передаваться надёжным способом, с исключением ошибок передачи. При передаче данных в сетях следует обращать внимание на возможное изменение данных злоумышленниками в процессе передачи. Для этого используется шифрование каналов связи, ограничение доступа к физическому уровню сетей.

Кроме того, должны приниматься меры, направленные на выявление потери целостности данных и определение ответственных за это механизмов.

В целостность данных не включаются возможные ошибки ввода данных пользователем.

Конфиденциальность данных

Конфиденциальность данных осуществляется путём ограничения возможности чтения и записи данных кругом авторизованных на это лиц или систем. Целостность данных должна обеспечить правильность передачи данных, а конфиденциальность -
исключить их перехват/получение неавторизованными для этого лицами.

Для обеспечения конфиденциальности данных требуется обеспечить:

• аутентификацию пользователей (т.е. определять, _кто_ хочет получить доступ)
• авторизацию пользователей (т.е. определять, какие данные доступны)
• защиту данных от неавторизованного доступа

Конфиденциальность данных может быть нарушена с использованием ошибок в программном обеспечении, позволяющих повысить уровень доступа пользователей. Также могут быть использованы возможности по физическому доступу к системам с защищаемыми данными и/или к сетям их передачи.

Доступность данных

Для доступности данных следует обеспечить невозможность их утраты и доступ к ним для авторизованного персонала на определённом уровне качества. Для обеспечения доступности данных следует обеспечить противодействие:

• атакам, направленным на отказ в обслуживании (DoS). Данные атаки направлены на потребление всех доступных ресурсов системы (процессора, дисковой памяти, ширины пропускания сетевых каналов, ресурсов операционной системы), при котором авторизованные пользователи не смогут получить доступ к системе. Данная угроза может исходить не только от неавторизованных пользователей, но и от легальных пользователей системы.
• атакам, нпаравленным на разрушение/удаление данных в системе.
• случайной потере данных из-за ошибки авторизованного оператора. Единственный способ противодействия - организация системы резервного копирования.
• потери данных из-за ошибок в программном обеспечении/его конфигурации, сбоев аппаратного обеспечения, сбоев питания, нежелательных перезагрузов системы, пр.

Ссылки

• Securing Linux, part 1 [eng] - общие положения о безопасности.
• "How to Suck at Information Security" - список вещей, которые не следует делать в сфере информационной безопасности.

Дата создания: 2006-05-24 15:50:48 (Фетисов Н. А. (naf))
Последнее изменение: 2009-01-18 23:07:30 (Фетисов Ф. А. (faf))
Владелец: Фетисов Н. А. (naf)
Версия: 2  Все версии