Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Основы методики построения системы защиты информации.
Авторы пособия «Безопасность граждан и организаций» Теплов Э.П., Янин Ю.П. [30] вводят принцип: «равнопрочность границ зон безопасности», который определяет, что все границы охраняемых зон, все пути доступа в эти зоны должны быть одинаково надежно контролируемы. Не должно быть ситуации, когда, например, входы и помещения здания таможни оборудованы современными системами безопасности и контроля, но при этом - закрытые совещания в кабинете начальника таможни на втором этаже проходят при открытых окнах, выходящих на неконтролируемую территорию. Что же такое система информационной безопасности? Для начала определим – термин «безопасность». Закон Российской Федерации «О безопасности» от 5 марта 1992 г. определяет безопасность как «состояние защищенности … от … угроз». Согласно [27], «Безопасность информации – состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, целостность и доступность информации при ее обработке техническими средствами». То есть, любая структура, решающая вопросы безопасности информации, по своей сути может являться системой защиты информации. А что попадает под понятие «система»? По определению академика П.К. Анохина «система» - (systema - греч. целое, составленное из частей) - это особая целостность, состоящая из избирательно вовлеченных в нее элементов (частей), соединенных между собой определенными взаимосвязями (взаимоотношениями) так, что это соединение обеспечивает взаимосодействие элементов. В соответствии с определением, приведенным в ГОСТ Р ИСО/МЭК 12207-99, «система — это комплекс, состоящий из процессов, технических и программных средств, устройств и персонала, обладающий возможностью удовлетворять установленным потребностям или целям». Систему всегда характеризует качественнаяопределенность, отличающая данную систему от остальных. Это особое качество называется системным, и является тем новым качеством, которого не имели ранее (до образования системы) отдельно взятые элементы, и которое теперь принадлежит всем ее элементам. Система, также, качественно характеризуется взаимосвязями (отношениями) с внешней средой, с другими системами. «Взаимосвязи» понимаются нами как отношения между элементами системы, и взаимоотношения с другими (внешними) системами и объектами, имеющие прямые и обратные связи. Более того, система должна быть динамичной и своевременно реагировать на изменения окружающей обстановки, на дестабилизирующие факторы, то есть, система должна развиваться. Это подтверждает следующее утверждение: Любая система может функционировать и развиваться только за счет использования материально-энергетических и информационных поступлений (дотаций) из окружающей внешней среды; абсолютно изолированное саморазвитие невозможно. Говоря о безопасности, можно сказать, что система защиты должна не просто состоять из набора каких-либо защищающих элементов, а эти элементы должны быть взаимосвязаны, должны образовывать единую защитную структуру, и чем лучше определены взаимосвязи, тем качественнее будет система. Плюс – обязательное вложение средств, направленных на обеспечение работоспособности системы и ее развитие. Кроме того, необходимо помнить, что любая система имеет свой жизненный цикл, и для обеспечения безопасного состояния объекта его необходимо учитывать. Жизненный цикл системы безопасности будет состоять из следующих этапов:
1) Исследование защищаемого объекта и его среды, моделирование системы защиты (рождение системы). 2) Реализация модели системы защиты (развитие системы). 3) Эксплуатация системы защиты (существование системы). 4) Утилизация системы защиты (разрушение системы). Рассматриваемая методика, описанная в работах [5, 6, 7], в своем основном объеме будет касаться первого, второго и третьего этапов жизненного цикла. Для создания системы защиты необходимо провести всесторонний анализ ситуации: конкретизировать объект защиты, определить его взаимоотношения с окружающим миром, выделить их опасную составляющую, и определить способы нейтрализации или уменьшения уровня воздействия. Иными словами, необходимо ответить на три основных вопроса: - Что защищать? - От кого защищать? - Как защищать? При этом, необходимо учитывать объемы возможных затрат на построение и эксплуатацию системы, и не забывать, что основная задача системы защиты – минимизация ущерба для защищаемого объекта. Методика построения системы защиты информации, которую мы рассмотрим ниже, состоит из пяти основных этапов: - определение защищаемого объекта; - описание окружающей обстановки (среды, в которой находится защищаемый объект, отражающей совокупность условий, прямо или косвенно влияющих на процесс обеспечения безопасности); - описание системы защиты информации; - реализация системы защиты информации; - эксплуатация системы защиты информации.
Перед началом рассмотрения методики предлагаю несколько ключевых определений: Угроза – это возможное происшествие или деяние, преднамеренное или нет, которое может оказать отрицательное воздействие на среду, в которой обрабатывается информация, а также на саму информацию, подвергаемую обработке. Иначе говоря, угроза - это возможное событие, в результате наступления которого возникает какой-либо ущерб, убыток. Под обработкой информации подразумевается ее прием, передача, хранение и собственно обработка, как таковая. Уязвимость – характеристика защищаемого объекта, которая делает возможным появление угрозы для него. Т.е. уязвимость - нежелательная реакция защищаемого объекта на некоторые внешние воздействия производимые источниками угроз. Источники угроз – перечень лиц (субъектов), а так же природных и техногенных факторов, которые могут реализовать каждую из угроз с определенной вероятностью. Иными словами, источник угроз – это лицо, имеющее возможность осознанно, по ошибке или незнанию, предпринять попытку реализации угрозы по отношению к объекту защиты и использовать при этом различные возможности, методы и средства, либо фактор, который может оказать на объект защиты воздействие, влекущее за собой определенный ущерб. Модель – некое обобщенное описание исследуемого объекта, сделанное на основе интересующих нас признаков.
Рассмотрим последовательно этапы построения системы защиты:
I этап
II этап
III этап
Рис. 1. Этапы построения системы защиты.
Первый этап – выделение наиболее важных защищаемых информационных массивов (либо составляющих этих массивов), исходя из особенностей конкретной организации. Второй этап – определение множества угроз для защищаемой информации, и создание модели источников угроз, исходя из условий расположения организации и окружающей обстановки. Третий этап – разработка политики обеспечения информационной безопасности в организации, и построение модели системы защиты на основе полученных данных [5, 6]. Четвертый этап – создание системы защиты на основе утвержденной модели, включая требуемые положения и инструкции. Пятый этап – эксплуатация системы защиты информации [7]. Так как система защиты должна находиться в состоянии динамического равновесия, и быть готовой к противодействию любым угрозам, то необходима периодическая адаптация системы к новым условиям. Для этого необходимы: периодический анализ окружающей обстановки, и, при необходимости, модификация политики информационной безопасности организации.
|
Последнее изменение этой страницы: 2017-04-12; Просмотров: 476; Нарушение авторского права страницы