Дифференциация мер защиты информации в зависимости от ее важности и частоты и вероятности возникновения угроз безопасности является следующим основным принципом противодействия угрозам.
К принципам противодействия угрозам также относится принцип достаточности мер защиты информации, позволяющий реализовать эффективную защиту без чрезмерного усложнения системы защиты информации.
Противодействие угрозам безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу автоматизированных систем за счет налагаемых ограничений организационного и технического характера. Поэтому одним из принципов противодействия угрозам является принцип максимальной дружественности системы обеспечения информационной безопасности. При этом следует учесть совместимость создаваемой системы противодействия угрозам безопасности информации с используемой операционной и программно-аппаратной структурой автоматизированной системы и сложившимися традициями учреждения.
Принцип системного подхода к построению системы противодействия угрозам безопасности позволяет заложить комплекс мероприятий по защите информации уже на стадии проектирования, обеспечив оптимальное сочетание организационных и технических мер защиты информации. Важность реализации этого принципа основана на том, что дополнение функционирующей незащищенной автоматизированной системы средствами защиты информации сложнее и дороже, чем изначальное проектирование и построение защищенной системы.
Из принципа декомпозиции механизма воздействия угроз безопасности информации вытекает принцип самозащиты и конфиденциальности системы защиты информации, заключающийся в применимости принципов противодействия угрозам к самой системе защиты и соблюдении конфиденциальности реализованных механизмов защиты информации в автоматизированной системе. Реализация данного принципа позволяет контролировать целостность системы защиты информации, управлять безопасностью через администратора безопасности, восстанавливать систему защиты при ее компрометации и отказах оборудования.
Из совокупности этих принципов вытекает необходимость выбора средств защиты еще на этапе подготовки к обработке конфиденциальной информации. Однако такой выбор нельзя провести квалифицировано, если неизвестен существующий рынок средств защиты информации
Особенно насущная проблема - защита каналов передачи данных между головным офисом и филиалами компании. Так как данные передаются через открытые сети (например, Интернет), то это вынуждает полностью "закрывать" канал. Для этого используются VPN (Virtual Private Network), то есть виртуальные частные сети. Сейчас к этой аббревиатуре добавилась буква S (SVPN - Secure Virtual Private Network), то есть защищенная виртуальная частная сеть. VPN организует шифрованный канал точка-точка или точка - многоточка между офисами, филиалами или удаленными сотрудниками компании.
Среди всего разнообразия межсетевых экранов особенно выделяется продукция компании Check Point Software Technologies - мирового лидера по производству систем сетевой защиты. Компания вошла в рейтинг NASDAQ и в этом году выпустила новый продукт Next Generation, который пришел на смену выдающемуся МЭ Check Point Firewall-1/VPN-1.
Комплект продуктов сетевой безопасности, называемый Check Point FireWall-1/VPN-1, обеспечивает контроль доступа в сетях Интернет, Интранет, Экстранет, а также удаленного доступа с расширенными функциями авторизации и установления подлинности пользователей. FireWall-1 позволяет транслировать сетевые адреса (NAT) и сканировать потоки данных на наличие недопустимой информации и вирусов (совместно работает с Kaspersky Antivirus).
Широкий набор основных и сервисных функций дает возможность реализовать интегрированное решение по обеспечению сетевой и информационной безопасности, полностью отвечающее современным требованиям любых организаций, как крупных, так и небольших. Набор продуктов Check Point основывается на единой, комплексной политике безопасности. Это обеспечивает централизованное слежение за функционированием этих систем, управление ими и единое конфигурирование.
Только FireWall-1/VPN-1 позволяет организации создать единую, интегрированную политику безопасности, которая распространялась бы на множество межсетевых экранов и управлялась бы с любой выбранной для этого точки сети предприятия.
Продукт имеет и массу дополнительных возможностей, таких, как управление списками доступа аппаратных маршрутизаторов, балансировка сетевой нагрузки на серверы, а также и элементы для построения систем повышенной надежности, которые также полностью интегрируются в Хотя PIX 520 - бесспорный лидер в высокопроизводительной защите крупной организации, появление Виртуальных Частных Сетей (VPN) и увеличивающееся число маленьких и средних предприятий, ведущих свой бизнес в Internet, расширило запросы рынка на системы сетевой защиты. Большому количеству организаций сегодня требуется, мощная система сетевой защиты, способная поддерживать VPN за приемлемую цену.
PIX 515 был разработан для удовлетворения этих нужд. Теперь, с выпуском PIX v.5.0, все устройства, включая PIX 515-R и PIX 515 UR, полностью поддерживают IPSEC. Эта версия программного обеспечения позволяет PIX создавать и/или принимать VPN туннели между двумя PIX, между PIX и любым Cisco маршрутизатором с поддержкой VPN, между PIX и Сиско Безопасный Cisco Secure VPN клиентом.
PIX 515-R-BUN с ограниченной программной лицензией - решение начального уровня для организаций нуждающихся в высокопроизводительно средстве защиты с ограниченной функциональностью. Производительность устройства: 50,000 одновременных соединений, пропускная способность до 170 Mbps.
PIX 515-UR (unrestricted) обеспечиват ту же функциональность, как и PIX 515-R-BUN, плюс дополнительно имеет возможность организовывать конфигурации с горячим резервом, а так же позволяет иметь до шести 10/100 Ethernet портов. PIX 515 UR обеспечивает производительность до 170 Mbps и поддерживает до 100,000 одновременных соединений.
Избыточность системы сетевой защиты критична для тех организаций, в которых Internet является ключевым аспектом бизнеса. Каждая минута простоя системы сетевой защиты -потерянный доход. Для удовлетворения этих нужд Cisco предлагает запасную систему (fail-over bundle) для PIX 515 UR. Эта система обеспечивает организацию вторым устройствомсетевой защиты, специально предназначенной для работы в запасном режиме. Цена такого комплекта значительно меньше стоимости основного комплекса.
При расширении бизнеса организации может потребоваться также расширить возможности системы защиты, для этого предусмотрен переход от PIX-515-R к PIX-515-UR. PIX-515-SW-UPG= и PIX-MEM-32= превращают PIX 515 с ограниченной лицензией в неограниченный вариант.
22. Петухов Г., Основы теории эффективности целенаправленных процессов. Часть 1. Методология, методы, модели. МО СССР, 1989.
23. Пугачев В.. Теория вероятностей и математическая статистика. М.: Наука, 1979.
24. Сабынин, В. Специалисты, давайте говорить на одном языке и понимать друг друга. Информост — Средства связи, № 6.
25. Сэйер, П. Lloyd страхует от хакеров. Computerworld Россия, 2000, № 30.
26. Хмелев Л.. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции «Безопасность информационных технологий», Пенза, июнь 2001.
27. Проскуряков А.М. Интеллектуальная собственность. - Вологда: Ардвисура, 1998.
28. Ярочкин В.И. Безопасность информационных систем. - М.: изд. "Ось-89", 1996.
29. Ярочкин В.И. Система безопасности фирмы. - М.: изд. "Ось-89", 1998.
30. Теория автоматического управления. В 2-х частях/ Под ред. А.А.Воронова. - М.: Высшая школа, 1986.
31. ГОСТ 51583-00 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие требования."
32. ГОСТ Р 51624-00 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования."
33. ИСО/МЭК 15408-99 «Критерии оценки безопасности информационных технологий».
34. ГОСТ Р ИСО 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура защиты информации".