Разработка модели оценки рисков информационной безопасности корпоративной сети
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?статки, а на практике взаимно дополняют друг друга[12].
Для функционирования сетевого сканера необходим только один компьютер, имеющий сетевой доступ к анализируемым системам, поэтому в отличие от продуктов, построенных на технологии программных агентов, нет необходимости устанавливать в каждой анализируемой системе своего (для каждой ОС) агента.
К недостаткам сетевых сканеров можно отнести большие временные затраты, необходимые для сканирования всех сетевых компьютеров из одной системы, и создание большой нагрузки на сеть. Кроме того, в общем случае трудно отличить сеанс сканирования от действительных попыток атак. Сетевыми сканерами также с успехом пользуются злоумышленники.
Системы анализа защищенности, построенные на интеллектуальных программных агентах, - потенциально более мощные средства, чем сетевые сканеры. Однако, несмотря на все их достоинства, обращение к программным агентам не может заменить сетевого сканирования, так что эти средства лучше применять совместно. Кроме того, сканеры представляют собой более простое, доступное, дешевое и во многих случаях более эффективное средство анализа защищенности.
3.5 Рекомендации по инвестициям в информационную безопасность организации
По статистике, самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины:
ограничение бюджета;
отсутствие поддержки со стороны руководства.
Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности задачи для ИТ-менеджера обосновать, зачем необходимо вкладывать деньги в информационную безопасность.
Но эта проблема кардинально меняется, в результате потери информации и руководство в срочном темпе начинает выделять нужные средства, уже после утери ценной информации.
Часто считается, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках - техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными[24].
Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и всё это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным.
3.6 Рекомендации к построению добавочной защиты
С учетом сказанного можно признать обоснованными следующие подходы к построению добавочных средств защиты для защищенных ОС (т.е. обладающих встроенными механизмами защиты):
-добавление механизмов защиты, отсутствующих в ОС, и усиление добавочными средствами штатных встроенных механизмов защиты;
-реализация всех механизмов защиты добавочными средствами и их применение наряду со встроенными механизмами.
Очевидно, что первому подходу присущи два недостатка: во-первых, невозможность решения концептуальных вопросов защиты информации, рассмотренных ранее, во-вторых, невозможность резервирования основных механизмов защиты. При этом к основным механизмами защиты от НСД относятся механизмы идентификации и аутентификации пользователя при входе в систему, а также механизмы управления доступом к ресурсам. Что касается второго подхода, то он, возможно, характеризуется некоторой избыточностью. Вместе с тем он позволяет в полном объеме решать рассматриваемые проблемы защиты информации.
В качестве замечания следует отметить, что, на наш взгляд, в критичных приложениях по изложенным ранее причинам недопустимо использование свободно распространяемых (не коммерческих) средств защиты, а также свободно распространяемых защищенных систем (в частности ОС) без применения средств добавочной защиты. Говоря же о средствах добавочной защиты, прежде всего следует иметь в виду использование коммерческих отечественных продуктов, сертифицированных по принятым требованиям информационной безопасности[20].
Особенности проектирования системы защиты на основе оценки защищенности системы Этапы проектирования системы защиты Задача проектирования системы защиты принципиально отличается от задач проектирования иных информационных систем. Дело в том, что проектирование осуществляется с учетом статистических данных об уже существующих угрозах. Однако в процессе функционирования системы защиты поле угроз может принципиально измениться. В частности, это связано с тем, что многие угрозы предполагают нахождение злоумышленниками ошибок в реализации системных и прикладных средств, которые могут быть неизвестны на момент создания системы защиты, но должны быть учтены в процессе ее функционирования. Поэтому проектирование системы защиты - процедура итерационная, в общем случае предполагающая следующие этапы, на рисунке 1:
-проектирование первоначальной системы защиты (исходный вариант);
-анализ защищенности на основе статистических данных, полученных в процессе эксплуатации системы защиты;
-модификация узких мест системы защиты (настройка / замена / дополнение отдельных механизмов защиты информации).
Рисунок 1 - Проектиров