Основные признаки систем информационной безопасности.

Основные признаки систем информационной безопасности.

В результате решения проблем безопасности информации современные ИС и ИТ должны обладать следующими основными признаками:

· наличием информации различной степени конфиденциальности;

· обеспечением криптографической защиты информации различной степени конфиденциальности при передаче данных;

· иерархичностью полномочий субъектов доступа к программам к компонентам ИС и ИТ (к файлам-серверам, каналам связи и т.п.);

· обязательным управлением потоками информации как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;

· наличием механизма регистрации и учета попыток несанкционированного доступа, событий в ИС и документов, выводимых на печать;

· обязательным обеспечением целостности программного обеспечения и информации в ИТ;

· наличием средств восстановления системы защиты информации;

· обязательным учетом магнитных носителей;

· наличием физической охраны средств вычислительной техники и магнитных носителей;

· наличием специальной службы информационной безопасности системы.

Принципы создания систем информационной безопасности.

Создание систем информационной безопасности (СИ Б) в ИС и ИТ основывается на следующих принципах:

Системный подход к построению системы защиты, означающий оптимальное сочетание взаимосвязанных организационных, программных, аппаратных, физических и других свойств, подтвержденных практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации.

Принцип непрерывного развития системы. Этот принцип, являющийся одним из основополагающих для компьютерных информационных систем, еще более актуален для СИ Б. Способы реализации угроз информации в ИТ непрерывно совершенствуются, а потому обеспечение безопасности ИС не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования СИБ, непрерывном контроле, выявлении ее узких и слабых мест потенциальных каналов утечки информации и новых способов несанкционированного доступа.

Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т. е. предоставление как пользователям, так и самим работникам ИС минимума строго определенных полномочий, достаточных для выполнения ими своих служебных обязанностей.

Полнота контроля и регистрации попыток несанкционированного доступа, т. е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИТ без ее предварительной регистрации.

Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала.

Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

Обеспечение всевозможных средств борьбы с вредоносными программами.

Обеспечение экономической целесообразности использования системы защиты, что выражается в превышении возможного ущерба ИС и ИТ от реализации угроз над стоимостью разработки и эксплуатации СИБ.

Система защиты информации.

При рассмотрении структуры СИБ возможен традиционный подход — выделение обеспечивающих подсистем.

Система информационной безопасности, как и любая ИС, должна иметь определенные виды собственного программного обеспечения, опираясь на которые она будет способна выполнить свою целевую функцию.

1. Правовое обеспечение — совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации.

2. Организационное обеспечение. Имеется в виду, что реализация информационной безопасности осуществляется определенными структурными единицами, такими, например, как служба безопасности фирмы и ее составные структуры: режим, охрана и др.

3. Информационное обеспечение, включающее в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование СИ Б. Сюда могут входить как показатели доступа, учета, хранения, так и информационное обеспечение расчетных задач различного характера, связанных с деятельностью службы безопасности.

4. Техническое (аппаратное) обеспечение. Предполагается широкое использование технических средств как для защиты информации, так и для обеспечения деятельности СИ Б.

5. Программное обеспечение. Имеются в виду различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и способов несанкционированного доступа к информации.

6. Математическое обеспечение. Это — математические методы, используемые для различных расчетов, связанных с оценкой опасности технических средств, которыми располагают злоумышленники, зон и норм необходимой защиты.

7. Лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере обеспечения информационной безопасности.

8. Нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации; различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований соблюдения конфиденциальности.

Нормативно-методическое обеспечение может быть слито с правовым.

Компьютерная техника.

Главным элементом комплекса технических средств, предназначенных для автоматической обработки информации в процессе решения управленческих задач, является электронная вычислительная машина, или компьютер.

В сфере экономики это — компьютеры различной мощности, быстродействия, размеров. Они предназначены для решения самых различных задач: экономических, математических, информационных и других задач, отличающихся сложностью алгоритмов и большим объемом обрабатываемых данных, и широко используются в мощных вычислительных комплексах.

Характерными чертами современных компьютеров являются: высокая производительность; разнообразие форм обрабатываемых данных — двоичных, десятичных, символьных, при большом диапазоне их изменения и высокой точности представления; обширная номенклатура выполняемых операций, как арифметических, логических, так и специальных; большая емкость оперативной памяти; развитая организация системы ввода-вывода информации, обеспечивающая подключение разнообразных видов внешних устройств.

Проблемно-ориентированные вычислительные средства служат для решения более узкого круга задач, связанных, как правило, с управлением технологическими объектами, регистрацией, накоплением и обработкой относительно небольших объемов данных, выполнением расчетов по относительно несложным алгоритмам. Они обладают ограниченными по сравнению с универсальными компьютерами аппаратными и программными ресурсами. К проблемно-ориентированным можно отнести, в частности, всевозможные управляющие вычислительные комплексы.

Специализированные вычислительные средства используются для решения узкого круга задач или реализации строго определенной группы функций. Такая узкая ориентация позволяет четко специализировать структуру, существенно снизить сложность и стоимость компьютеров при сохранении высокой производительности и надежности их работы. К специализированным можно отнести, например, программируемые микропроцессоры специального назначения; адаптеры ¹ и контроллеры, выполняющие логические функции управления отдельными несложными техническими устройствами, агрегатами и процессами; устройства согласования и сопряжения работы узлов вычислительных систем.

По размерам и функциональным возможностям применяемые в управленческой деятельности компьютеры подразделяются на сверхбольшие (мэйнфреймы), большие, малые, сверхмалые (микрокомпьютеры).

Функциональные возможности современных компьютеров отличают:

· быстродействие, измеряемое усредненным количеством операций, выполняемых машиной за единицу времени;

· разрядность и формы представления чисел, с которыми оперирует вычислительная система;

· номенклатура, емкость и быстродействие всех запоминающих устройств;

· номенклатура и технико-экономические характеристики внешних устройств хранения, обмена и ввода-вывода информации;

· типы и пропускная способность устройств связи и сопряжения узлов компьютера между собой (внутримашинного интерфейса);

· способность компьютера одновременно работать с несколькими пользователями и выполнять при этом несколько программ (многопрограммность);

· типы и технико-эксплуатационные характеристики операционных систем, используемых в машине;

· наличие и функциональные возможности программного обеспечения;

· способность выполнять программы, написанные для других типов машин (программная совместимость с другими компьютерами);

· система и структура машинных команд:

· возможность подключения к каналам связи и к вычислительной сети;

· эксплуатационная надежность компьютеров;

· коэффициент полезного использования компьютеров во времени, определяемый соотношением времени полезной работы и времени профилактики.

Требования к корпоративной информационной системе.

Корпоративная вычислительная сеть — это интегрированная, многомашинная, распределенная система одного предприятия, имеющего территориальную рассредоточенность, состоящая из взаимодействующих локальных вычислительных сетей структурных подразделений и подсистемы связи для передачи информации.

Построение корпоративной вычислительной сети обеспечивает:

· реализацию унифицированного доступа специалистов различных подразделений крупных предприятий к коммуникационным ресурсам;

· единое централизованное управление, администрирование и техническое обслуживание информационно-коммуникационных ресурсов;

· организацию доступа к структурированной информации в режимах on-line и off-line;

· организацию единой системы электронной почты и электронного документооборота;

· защиту электронной почты на основе международных стандартов с созданием защищенных шлюзов в существующие сети передачи данных, работающих по протоколам РОРЗ, SMTP, UUCP;

· организацию глобальной службы каталогов в интересах абонентов корпоративной вычислительной сети на базе протокола Х.500;

· реализацию единого пользовательского интерфейса, предоставляющего пользователям средства работы с коммуникационными ресурсами корпоративной вычислительной сети;

· взаимодействие корпоративной сети крупных предприятий с бизнес-системами других организаций, вычислительными сетями государственных учреждений, финансово-кредитных органов, участвующих в информационном обмене на правах абонентов телекоммуникационной корпоративной системы;

■ функциональную наращиваемость, обеспечивающую построение корпоративной вычислительной сети, как постоянно развивающейся и совершенствующейся, открытой для внедрения новых аппаратно-программных ресурсов, позволяющих развивать и совершенствовать состав и качество информационно-коммуникационных услуг без нарушения нормального функционирования сети.

28. Ключевые вопросы построения информационных систем.

Переход экономики страны на рыночные отношения привел к тому, что в области проектирования ИС появился самостоятельный рынок услуг. Он охватывает работы по проектированию, покупке и установке вычислительной техники, разработке локальных сетей, прокладке сетевого оборудования и обучению пользователей. Компании, предоставляющие такие услуги, получили название системных интеграторов. Следует отметить, что этот термин имеет два понятия. Согласно первому, под термином «системный интегратор» понимаются как компании, специализирующиеся на сетевых и телекоммуникационных решениях (сетевые интеграторы), имеющие в свою очередь сеть своих продавцов, так и компании — программные интеграторы. Существует и другая трактовка понятия «системный интегратор», которая закрепляет за компанией комплексное решение задач заказчика при проектировании ИС. При этом имеется в виду, что заказчик полностью доверяет легальную проработку и реализацию проекта системному интегратору, оставляя за собой лишь определение исходных данных и задач, которые должна решать реализуемая ИС.

Участие системного интегратора на всех этапах процесса проектирования дает возможность создавать более эффективные информационные системы. Так, в самом начале проекта формируется консультационная группа для проведения предпроектных исследований. Тесное сотрудничество с производителями позволяет предлагать проектные решения на базе технологий и оборудования, которые появятся на рынке через год или два, т. е. предлагаются наиболее современные решения, которые морально не устареют к тому моменту, когда будет спроектирована и запушена ИС.

Фирмы-интеграторы создают, как правило, дилерскую сеть представительств в ряде городов России и в странах СНГ. При этом компании осуществляют техническую и информационную поддержку своих дилеров, проводя совместные семинары и презентации, регулярно рассылая им информационно-рекламные материалы о новых продуктах и перспективных технологиях, осуществляют совместное участие в крупных региональных проектах.

Другим вариантом организации системной интеграции является выполнение проектов от консалтинга до создания прикладной системы, т. е. заказчику сдается готовая к эксплуатации информационная система «под ключ» и допускается привлечение организаций и квалифицированных специалистов в качестве партнеров для реализации некоторых составляющих проекта. Этот вариант носит название проектной интеграции. В основе практической реализации работы при этом лежит умение находить составные части для решения комплексной задачи, умение распределять ответственность и составлять план-график работ для того, чтобы задача была действительно решена. Проектная интеграция — это интеграция существующих проектов, привлечение и использование нужных ресурсов.

Проектный интегратор совершенствует работу ИС путем поиска на рынке уже существующих, внедренных решений и объединения их. Возникающие при этом частные проблемы, дабы не отвлекать средства на предпроектное обследование, проектный интегратор решает, опираясь на сотрудников отдела автоматизации заказчика. В консультациях с заказчиком выделяются и снимаются проблемы, осуществляется поиск и выбор нужных решений, после чего проектный интегратор связывается с теми, кто внедрил такое решение, и оформляет технико-экономическое обоснование. Результатом деятельности проектной интеграции является подготовленный в сжатые сроки и внедренный продукт, состоящий из разработок фирмы — проектного интегратора и выполненных с учетом пожеланий отдела автоматизации организации-заказчика без затрат на предпроектное обследование разработок субподрядчика.

Планирование информационной системы.

Под технологией проектирования информационных систем (ИС) понимают упорядоченный в логической последовательности набор методических приемов, технических средств и проектировочных методов, нацеленных на реализацию общей концепции создания или доработки проекта системы и ее компонентов [2, 62]. В числе особенностей следует отметить широкие возможности и безусловную необходимость включения в технологию стандартных пакетов прикладных программ, наличие информационных связей с системами автоматизированного проектирования предназначенного на продажу продукта, применение инструментальных средств программирования. Для разработки ИС управления большое значение имеют качество и состав базы проектирования.

Примером результата проектирования ИС управления производственной и финансовой деятельностью предприятия может служить комплексная автоматизированная информационная система управления «ОЛИМП» (Росэкспертиза, Россия), представляющая собой интегрированную технологическую систему, ориентированную на использование программных решений фирмы Microsoft, т.е. всех традиционных составляющих электронного офиса. С функциональной точки зрения «ОЛИМП» предоставляет возможности для решения задач управления производством, маркетингом, движением материальных и финансовых потоков, ведения оперативного, бухгалтерского и административного учета, планирования и ан&пиза. Зарубежными аналогами такой разработки являются системы R3 фирмы SAP (Германия), SCALA (Швеция), Champion (США) и другие, созданные на основе СУБД реляционного типа и технологии «клиент-сервер».

Элементарной базовой конструкцией технологической цепочки проектирования ИС и ее главного компонента — ИТ является так называемая технологическая операция — отдельное звено технологического процесса. Это понятие определяется на основе кибернетического подхода к процессу разработки ИТ. Автоматизация данного процесса предопределяет необходимость формализации технологических операций, последовательного объединения их в технологическую цепь взаимосвязанных проектных процедур и их изображение. Использование разработчиком такого методического приема позволяет сократить временные, трудовые, финансовые затраты на проектирование и модернизацию системы.

Основными нормативными документами, регламентирующими процесс создания любого проекта ИС и ИТ, являются ГОСТы и их комплексы на создание и документальное оформление информационной технологии, автоматизированных систем, программных средств, организации и обработки данных, а также руководящие документы Гостехкомиссии России по разработке, изготовлению и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в информационных системах и средствах вычислительной техники.