Організаційно-правове забезпечення АСК

До організаційної частини структури АСК належить методичне забезпечення складових інформаційного блока – інструкції виконання певних процедур, опис алгоритмів обробки інформації, вказівки по налагодженню та експлуатації технічного забезпечення АСК; правове забезпечення – сукупність правових норм, що регламентують правовідносини при функціонуванні АСК та юридичний статус її функціонування, накази щодо створення та структури АСК, ліцензії на програмне забезпечення тощо; ергономічне забезпечення – сукупність вимог, спрямованих на узгодження технічних характеристик комп'ютеризованих засобів з параметрами середовища робочих місць та з психологічними, психофізіологічними, антропометричними, фізіологічними характеристиками і можливостями людини – оператора АСК.

Обсяги методичного забезпечення залежать від рівня складності СКБД, з якою працюють фахівці. При використанні високоінтегрованих СКБД рівня ERP з фахівцями при впровадженні АСК проводять спеціальні заняття та тренінги, роботу фахівців на початку супроводжують досвідчені програмісти, виявляючи типові помилки фахівців, усунення яких описують у інструкціях. При використанні локальних СКБД їх інтерфейс орієнтований на не підготовленого фахівця, у якого відсутня спеціальна комп'ютерна підготовка, проте наявність підказок, заготовлених форм достатньо для початку роботи у мережі.

Одним з обов'язкових етапів при встановленні АСК є вирішення організаційних питань, де однією з головних проблем є організація забезпечення захисту відомчої інформації. Сучасна економіка з її глобальним характером вимагає глобальних інформаційних зв'язків. Більша частина виробничої інформації має конфіденційний характер, що вимагає особливих умов забезпечення захисту інформації. Ефективне застосування інформаційних технологій у поєднанні з технологіями в галузі інформаційної безпеки є найважливішим стратегічним чинником підвищення конкурентоспроможності сучасних підприємств, організацій і особливо корпорацій.

Особливістю корпоративних мереж є їх масштабність, де присутня значна кількість робочих станцій, серверів, і адміністратору мережі складно побудувати надійний її захист. Тому забезпечення безпеки корпоративних мереж є задачею значно складнішою, а втрати від несанкціонованого доступу до інформації у корпоративних мережах можуть бути дуже суттєвими.

Для забезпечення секретності передачі інформації у мережі у протоколі ISO 7498-2 визначена архітектура секретності для кожного із рівнів [8]. Під архітектурою секретності розуміють рекомендації розробникам протоколів, де визначаються типи загальних загроз у мережі відкритих систем та методи боротьби з ними. Елементом правового забезпечення є регламентація доступу до інформації та її захисту, що описується правилами інформаційної безпеки.

Інформація з точки зору безпеки має такі категорії, як:

• – конфіденційність – гарантії того, що конкретна інформація доступна тільки тим, кому призначена. Порушення цієї категорії називається розкраданням або розкриттям інформації;
• – цілісність – гарантії того, що інформація існує у початковому вигляді, не було несанкціонованих втрат або змін інформації при передачі або зберіганні. Порушення цієї категорії називається фальсифікацією повідомлень;
• – автентичність – гарантії того, що джерело інформації є саме та особа, яка заявлена як автор. Порушення цієї категорії називається фальсифікація автора повідомлення;
• – апельованість – гарантія того, що за необхідності є можливість посилання на автора.

Інформаційні системи з точки зору надійності мають такі категорії, як:

• – надійність – гарантія того, що система веде себе так, як заплановано;
• – точність – гарантія того, що система забезпечує точне виконання всіх команд;
• – контроль доступу – гарантія того, що різні групи користувачів мають різний доступ до інформації;
• – контрольованість – гарантія того, що у будь-який час є можливість перевірки любого компонента програми;
• – контроль ідентифікації – гарантія того, що підключений саме той клієнт, який себе таким видає;
• – стійкість до умисних збоїв – гарантія того, що при внесенні навмисних збоїв у певних рамках система буде працювати стабільно.

Мережні атаки на інформацію класифікують за рівнями:

• – фізичний – внесення шумів при передачі, що порушує роботу;
• – канальний – збій синхропосилок через кабель;
• – мережний – неправильно маршрутизуються пакети передачі;
• – транспортний – придумуються різні схеми складання неправильних пакетів;
• – сеансів – буфер сервера забивається неповними пакетами і він чекає відповіді, не працюючи з іншими клієнтами.

Різні види захисту від порушення роботи у мережі умовно поділяють на три класи: засоби фізичного захисту (архівація та дублювання інформації); програмні засоби (антивірусні програми, рангування доступу, програмний контроль доступу); адміністративні заходи (доступ до приміщення, стратегія безпеки фірми).

Визначені сім класів захищеності засобів обчислювальної техніки і дев'ять класів захисту мереж – від 1А до ЗБ. Практично будь-який захист базується на шифрах, проте потужності сучасних комп'ютерів, навіть персональних, сьогодні достатні для дешифровки навіть 40-бітного ключа за один день. Убудовані програмні засоби мережних ОС типу Windows NT-2000, Windows Millennium з протоколом захисту РРТР створюють лише видимість захисту.

Також складна задача у корпоративних мережах контроль автентичності. Тому використовуються різні програмні й технічні засоби ідентифікації користувача – від пароля до розпізнавання голосу або відеоідентифікації. Використання засобів для віддаленого доступу до локальної мережі підприємства значно ускладнює цю задачу. Паролі, що передаються через мережу віддаленими легальними користувачами, можуть бути перехопленими та використаними для несанкціонованого доступу. Для захисту використовують декілька паралельних каналів ідентифікації паролів, електронний ключ (смарт-карта) та інше.

Для боротьби з копіюванням паролів також вживають заходів:

• – захист робочої станції від запуску сторонніх програм;
• – відключення дисководів;
• – використання спеціальних драйверів, що блокують запуск виконавчих файлів без відома оператора;
• – монітори, що повідомляють про будь-які зміни у системному налагоджені та списку автоматичного запуску програм.

У мостах і маршрутизаторах використовують сегментацію пакетів – їх розподіл по паралельних лініях для захисту від зчитування.

При використанні терміналів з фізичним доступом з метою зменшення ймовірності зчитування інформації необхідно виконувати такі правила:

• 1. Захищеність термінала доступу повинна відповідати рівню захисту приміщення, термінали без пароля можуть бути лише у приміщеннях, де можуть бути присутні лише особи рівного рівня доступу або вищого.
• 2. Системи контролю за доступом у приміщення повинні ПОВНОЦІННО функціонувати. У місцях значного скупчення людей клавіатура та дисплей повинні бути відокремлені від посторонніх.
• 3. Будь-який віддалений термінал повинен запитувати ім'я реєстрації та пароль. Потрібно враховувати, що зловмисник протягом дня може перевірити номери всіх модемів на АТС.
• 4. Використовувати схему зворотного дзвінка від модема для контролю номера телефону АТС. Модеми, що не використовуються, повинні бути вимкнуті (на ніч або на обід).
• 5. Із логін-запиту терміналу потрібно виключити логотипи фірми, її назву, щоб не спрощувати роботу хакеру.
• 6. Рекомендується на вході до системи висвічувати попередження про відповідальність за несанкціонований доступ – когось із порушників це може зупинити.

Дуже потужний засіб захисту – це система разових паролів, що автоматичного генеруються при кожній реєстрації.

Для комплексного захисту від крадіжки паролів необхідно:

• – фізичний доступ до мережних кабелів повинен відповідати рівню доступу до інформації;
• – при визначенні топології на кожному сегменті мають бути оператори з рівними правами.

Для бізнесових питань та особистого листування може використовуватись шифрування. Можуть використовуватись такі засоби.

Тайнопис – кодові перетворення інформації, коли дійсний зміст відомий лише двом особам, які переписуються. Тоді стороннім невідомий алгоритм шифрування і його дешифрувати досить складно.

Криптографія з ключем – симетрична (один ключ для шифрування та дешифрування) та асиметрична (один ключ, відомий усім, для шифрування другий, особистий, для дешифрування). Симетричні криптоалгоритми поділяють на перестановочні – коли змінюється порядок передачі блоків інформації, та підстановочні – коли за певними законами замінюються блоки інформації.