Понятие комплексной системы защиты информации
Глава 1. Разработка проекта комплексной системы защиты информации Основные понятия Информация - сведения независимо от формы их представления, которые подлежат защите. Защита информации (далее ЗИ) - совокупность мероприятий, направленных на обеспечение безопасности её свойств: - конфиденциальности (необходимость предотвращения разглашения, утечки какой-либо информации); - целостности (данные не были изменены при выполнении какой-либо операции над ними); - доступности (состояние информации, при котором субъекты, имеющие права доступа, могут реализовывать их беспрепятственно). Комплексная система защиты информации (КСЗИ) - совокупность методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность ЗИ предприятия. Объект - пассивная сторона отношений (то, над чем совершается действие). Субъект - активная сторона отношений (тот, кто совершает действия над объектом). Угроза - это потенциальные и реальные действия, явления, процесс или событие, которые способны нанести вред, ущерб предприятию или остановить его деятельность полностью. Уязвимость - слабое место в системе, которое делает возможным реализацию угроз. Автоматизированная система (далее АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. Средства вычислительной техники (далее СВТ) - совокупность технических и математических средств, методов и приемов, используемых для механизации и автоматизации процессов вычислений и обработки информации. Уязвимость - слабое место в системе, которое делает возможным реализацию угроз. Атака- это совокупность преднамеренных действий злоумышленников, направленных на нарушение одного из трёх свойств информации. Комплекс средств защиты - совокупность программных и технических средств, для обеспечения защиты СВТ и АС от НСД. Политика безопасности (далее ПБ) - совокупность документированных руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации Нетривиальная задача - задача, требующая необыкновенного, оригинального, специфического решения.
Подходы к проектированию систем защиты информации ГОСТ РФ 51275-99 определяет объект информатизации как «совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров». Слово «совокупность» в данном определении указывает на то, что объект информатизации это единая информационная система, охватывающая в целом предприятие, учреждение, организацию. В реальной жизни все эти отдельные «объекты информатизации» расположены в пределах одного предприятия и представляют собой единый комплекс компонентов, связанных общими целями, задачами, структурными отношениями, технологией информационного обмена и т. д. Современное предприятие - большое количество разнородных компонентов, объединенных в сложную систему для выполнения поставленных целей, которые в процессе функционирования предприятия могут модифицироваться. Многообразие и сложность влияния внутренних и внешних факторов, которые часто не поддаются строгой количественной оценке, приводят к тому, что эта сложная система может обретать новые качества, не свойственные составляющим ее компонентам. Современное предприятие представляет собой сложную систему, в рамках которой осуществляется защита информации. Рассмотрим основные особенности современного предприятия: - сложная организационная структура; - многоаспектность функционирования; - высокая техническая оснащенность; - необходимость расширения доступа к информации; - всевозрастающий удельный вес безбумажной технологии обработки информации; - накопление на технических носителях огромных объемов информации; - долговременное хранение больших объемов информации на машинных носителях; - непосредственный и одновременный доступ к ресурсам (в т. ч. и к информации) автоматизированных систем большого числа пользователей различных категорий и различных учреждений. Таким образом, создание индустрии переработки информации, с одной стороны, создает объективные предпосылки для повышения уровня производительности труда и жизнедеятельности человека, с другой стороны, порождает целый ряд сложных и крупномасштабных проблем. Одной из них является обеспечение сохранности и установленного статуса информации, циркулирующей и обрабатываемой на предприятии.
Понятие комплексной системы защиты информации Главное направление поиска новых путей защиты информации заключается не просто в создании соответствующих механизмов, а представляет собой реализацию регулярного процесса, осуществляемого на всех этапах жизненного цикла систем обработки информации при комплексном использовании всех имеющихся средств защиты. При этом все средства, методы и мероприятия, используемые для ЗИ, наиболее рациональным образом объединяются в единый целостный механизм — причем не только от злоумышленников, но и от некомпетентных или недостаточно подготовленных пользователей и персонала, а также нештатных ситуаций технического характера. Основной проблемой реализации систем защиты является: - с одной стороны, обеспечение надежной защиты, находящейся в системе информации: исключение случайного и преднамеренного получения информации посторонними лицами, разграничение доступа к устройствам и ресурсам системы всех пользователей, администрации и обслуживающего персонала; - с другой стороны, системы защиты не должны создавать заметных неудобств пользователям в ходе их работы с ресурсами системы. Проблема обеспечения желаемого уровня защиты информации весьма сложная, требующая для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специальных средств и методов, а создания целостной системы организационно-технологических мероприятий и применения комплекса специальных средств и методов по ЗИ. На основе теоретических исследований и практических работ в области ЗИ сформулирован системно-концептуальный подход к защите информации. Под системностью как основной частью системно-концептуального похода понимается: - системность целевая, т. е. защищенность информации рассматривается как основная часть общего понятия качества информации; - системность пространственная, предлагающая взаимоувязанное решение всех вопросов защиты на всех компонентах предприятия; - системность временная, означающая непрерывность работ по ЗИ, осуществляемых в соответствии планам; - системность организационная, означающая единство организации всех работ по ЗИ и управления ими. Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также целенаправленной организации всех работ по ЗИ. Комплексный подход к построению любой системы включает в себя: - изучение объекта внедряемой системы; - оценку угроз безопасности объекта; - анализ средств, которыми будем оперировать при построении системы; - оценку экономической целесообразности; - изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности; - соотношение всех внутренних и внешних факторов; - возможность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца. Комплексный подход не рекомендует приступать к созданию системы до тех пор, пока не определены следующие ее компоненты: 1. Входные элементы. Это те элементы, для обработки которых создается система. В качестве входных элементов выступают виды угроз безопасности, возможные на объекте; 2. Ресурсы. Это средства, которые обеспечивают создание и функционирование системы (например, материальные затраты, энергопотребление, допустимые размеры и т. д.). Обычно рекомендуется четко определять виды и допустимое потребление каждого вида ресурса, как в процессе создания системы, так и в ходе ее эксплуатации; 3. Окружающая среда. Следует помнить, что любая реальная система всегда взаимодействует с другими системами, каждый объект связан с другими объектами. Очень важно установить границы области других систем, не подчиняющихся руководителю данного предприятия и не входящих в сферу его ответственности. Характерным примером важности решения этой задачи является распределение функций по защите информации, передаваемой сигналами в кабельной линии, проходящей по территориям различных объектов. Как бы ни устанавливались границы системы, нельзя игнорировать ее взаимодействие с окружающей средой, ибо в этом случае принятые решения могут оказаться бессмысленными. Это справедливо как для границ защищаемого объекта, так и для границ системы защиты; 4. Назначение и функции. Для каждой системы должна быть сформулирована цель, к которой она стремится. Эта цель может быть описана как назначение системы, как ее функция. Чем точнее и конкретнее указано назначение или перечислены функции системы, тем быстрее и правильнее можно выбрать лучший вариант ее построения. Следует иметь в виду, что, как правило, глобальная цель достигается через достижение множества менее общих локальных целей (подцелей). Построение такого «дерева целей» значительно облегчает, ускоряет и удешевляет процесс создания системы. Таким образом, учитывая многообразие потенциальных угроз информации на предприятии, сложность его структуры, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания СЗИ на основе комплексного подхода. Процесс создания комплексной системы защиты информации может быть представлен в виде непрерывного цикла, так как это показано на рис. 1.
Рис. 1. Непрерывный цикл создания СЗИ
Популярное: Модели организации как закрытой, открытой, частично открытой системы: Закрытая система имеет жесткие фиксированные границы, ее действия относительно независимы... Почему двоичная система счисления так распространена?: Каждая цифра должна быть как-то представлена на физическом носителе... Как построить свою речь (словесное оформление):
При подготовке публичного выступления перед оратором возникает вопрос, как лучше словесно оформить свою... Как распознать напряжение: Говоря о мышечном напряжении, мы в первую очередь имеем в виду мускулы, прикрепленные к костям ... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (485)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |