Обеспечение информационной безопасности автоматизированных систем

Обеспечение информационной безопасности автоматизированных систем

АО "НБИ" выполняет разработку автоматизированных информационных систем в защищенном исполнении, а также оказывает услуги по модернизации существующих информационных систем, с внедрением современных средств защиты, по индивидуальным требованиям Клиента. 

Правильно выстроенная система информационной безопасности способствует обеспечению корректного хранения данных, их грамотной обработке в информационных системах и передаче в телекоммуникационных сетях.

Компьютеры и другая цифровая техника стали незаменимыми для бизнеса и коммерции, промышленности и государственных учреждений, поэтому они всё чаще становятся мишенью для атак.

Для того чтобы компания или частное лицо могли с уверенностью использовать вычислительные средства, они должны быть уверены, что устройство никоим образом не скомпрометировано и что все коммуникации будут безопасны, а информация – защищена от случайного или намеренного изменения, или уничтожения.

Специалисты АО «НБИ» оказывают услуги:

по разработке автоматизированных информационных систем в защищенном исполнении, как для предприятий и учреждений госсектора, так и для энергетических организаций;

по модернизации существующих информационных систем, с внедрением современных средств защиты, по индивидуальным требованиям Клиента.

1. Принцип триады

1.1. Конфиденциальность

Основным принципом работы с информацией в настоящее время является принцип триады: конфиденциальность, целостность и доступность информации. Реализуя механизмы информационной безопасности необходимо соблюсти баланс этой триады.

НБИ: принцип триады информационной безопасности

Защищая информацию, мы хотим иметь возможность ограничить доступ к ней тем, кому разрешено ее видеть или использовать; всем остальным должно быть запрещено что-либо узнавать о ее содержании. В этом заключается суть конфиденциальности информации.


1.2. Целостность информации

Целостность - это гарантия того, что доступная информация не была изменена и действительно представляет собой то, что изначально было создано. Целостность информации подтверждает носимый этой информацией смысл. Информация может потерять свою целостность из-за злого умысла, например, когда кто-то, кто не уполномочен вносить изменения в информацию, их вносит.


1.3. Доступность информации

Доступность информации означает, что информация может быть доступна и изменена любым уполномоченным на это лицом в соответствующие сроки. В зависимости от типа информации, соответствующие временные рамки могут быть разными. Иногда на принятие решения отводятся минуты, и соответствующая информация должна быть доступна немедленно, в то время как в других случаях необходим итог за день.
Чаще всего клиентам АО «НБИ» необходимо, чтобы требуемая для них информация была доступна двадцать четыре часа в сутки, семь дней в неделю.


1.4 Причины изменений составляющих триады

Составляющие триады могут быть изменены намеренно (хакером, правонарушителем), либо это может произойти непреднамеренно, например, в результате скачка напряжения компьютера повреждается файл или кто-то, уполномоченный вносить изменения, случайно удаляет файл или вводит неверную информацию.


2. Инструменты для защиты информации

Чтобы обеспечить конфиденциальность, целостность и доступность информации, организации могут выбирать из множества инструментов. Каждый из этих инструментов может быть использован как часть общей политики информационной безопасности.

Компаниями уровня АО «НБИ» предлагается клиентам концепция информационной безопасности, которая основана на модели нарушителя и модели угроз информации для конкретного клиента. Обязательными элементами концепции являются следующие составные части.


3. Обязательные элементы концепции безопасности

3.1. Идентификация и аутентификация

Механизм идентификации и аутентификации является основным в области информационной безопасности и означает определение подлинности получающего доступ к информации пользователя (с помощью логина и пароля или ключа электронной подписи) и предоставление ему определенных прав для работы с информацией.

Однако указанные выше способы идентификации и аутентификации (логин, пароль и ключ электронной подписи) достаточно легко скомпрометировать, поэтому все более активно используется третий способ идентификации и аутентификации – с помощью физической характеристики, такой как сканирование сетчатки глаза или отпечатка пальца. Идентификация человека по его физическим характеристикам называется биометрией.


3.2 Многофакторная аутентификация

Более безопасный способ аутентификации пользователя - это многофакторная аутентификация. Комбинируя два или более из перечисленных выше факторов, человеку становится гораздо труднее выдать себя за другого.


3.3 Контроль доступа

После проверки подлинности осуществляется контроль доступа. Он позволяет убедиться, что конкретный пользователь может получить доступ только к соответствующим информационным ресурсам. Управление доступом определяет, какие пользователи имеют право читать, изменять, добавлять и/или удалять информацию. Существует несколько различных моделей контроля доступа: список управления доступом (ACL) и управление доступом на основе ролей (RBAC).

Для каждого информационного ресурса, которым организация хочет управлять, может быть создан список пользователей, имеющих возможность выполнять определенные действия. Это список управления доступом, или ACL. Для каждого пользователя назначаются определенные функции, такие как чтение, запись, удаление или добавление. Только пользователи, включенные в список с определенными правами, могут выполнять эти функции. Если пользователя нет в списке, он может даже не знать, что информационный ресурс существует.

Списки контроля доступа являются простыми для понимания и использования. Однако у них есть несколько недостатков. Основным недостатком является то, что каждый информационный ресурс управляется отдельно, поэтому, если администратор безопасности захочет добавить или удалить пользователя в большой набор информационных ресурсов, это будет довольно сложно. И по мере увеличения числа пользователей и ресурсов ACL становится все труднее поддерживать.


3.4 НБИ использует ролевой контроль доступа – RBAC

Недостатки списков контроля привели к усовершенствованному методу контроля доступа, называемому ролевым контролем доступа, или RBAC.

В RBAC вместо предоставления определенным пользователям прав доступа к информационному ресурсу пользователям назначаются роли, а затем этим ролям назначается доступ. Это позволяет администраторам управлять пользователями и ролями отдельно, упрощая администрирование и, как следствие, повышая безопасность.

4. Требования к системе защиты информации, используемые АО "НБИ" по умолчанию

АО «НБИ» активно использует ролевой контроль доступа к ресурсам информационных систем. Кроме того, в компании существуют базовые принципы информационной безопасности (требования защиты информации), это:

Идентификация пользователей, записей, основных процессов и др.;

Иерархическая структура доступа;

Определение функциональных возможностей пользователя в зависимости от его роли;

Возможность ограничения доступа к определенным файлам и объектам.

Указанные требования по умолчанию используются в проектируемых подсистемах информационной безопасности автоматизированных и информационных систем компании.

5. Концепция информационной безопасности АО «НБИ»

Все решения АО «Национальное бюро информатизации» обеспечивают должный уровень защищенности информации. Клиент может быть уверен в том, что конфиденциальные сведения не попадут в руки третьих лиц, а система не подвержена критическим уязвимостям. Информация, с которой работает клиент, вполне отвечает требованиям указанной выше триады.


6. Сертификация комплекса средств защиты информации

На определенном этапе проектирования подсистемы информационной безопасности комплекс средств информационной безопасности проходит в установленном порядке сертификационные испытания на соответствие требованиям по защите информации ФСТЭК России. Необходимость сертификационных испытаний часто определяется назначением проектируемой информационной системы, например, государственные информационные системы проходят ее в обязательном порядке.

7. Гарантии по информационной безопасности

Мы гарантируем полную конфиденциальность, целостность и доступность, а также безопасность данных в целом на все время пользования программными продуктами АО «НБИ»

Специалисты нашей компании подходят к вопросам информационной безопасности взвешено и серьезно, полагая вопросы защиты информации одними из важнейших при проектировании информационной системы.

Введите запрос и нажмите Enter