Какие есть требования к защите информации

Требования к режимам функционирования системы

К функционированию системы предъявляются следующие требования:

1) круглосуточная работоспособность системы;

2) наличие обработки исключительных ситуаций;

3) автоматизированный мониторинг действий пользователей;

4) защита информации от несанкционированного доступа;

5) распределенный доступ пользователей к системе (каждый редактирует только «свои данные» и имеет доступ только к тем данным, которые ему настроены);

6) обеспечение сохранности информации при авариях (отказах технических средств, потере питания т.п.);

7) должна быть обеспечена возможность поэтапного наращивания, как производительности, так и функционального состава системы;

8) система должна иметь открытые интерфейсы для развития и интеграции;

9) система должна обеспечить хранение нормативно-справочной, нормативно-методической информации, форм отчетности.

Требования по диагностированию системы

Для своевременного предупреждения возникновения аварийных ситуаций, внештатных ситуаций, вызванных внешними факторами (например, внешняя избыточная нагрузка) должно регулярно проводиться диагностирование и мониторинг системы.

Диагностирование должно выполняться в течение всего штатного режима работы.

Диагностирование системы при первоначальной установке и после модернизации (исправления ошибок) должно проводиться путем проведения серии взаимосвязанных тестов, включающих в себя ввод тестовых данных, проверку правильности их обработки и проверку формируемых системой отчетов.

В режиме промышленной эксплуатации система должна позволять администратору осуществлять диагностику по следующим направлениям:

1) Диагностика информационного хранилища данных. Выполняется программными модулями системы в части проверки структуры данных, сохранности информационного хранилища данных, состояния индексов и триггеров. Может выполняться дополнительная диагностика средствами СУБД.

2) Диагностика OLAP-кубов. Выполняется программными модулями системы в части проверки корректности многомерных моделей. Может выполняться дополнительное диагностирование средствами сервера OLAP.

3) Диагностика функционирования системы выполняется администратором системы с помощью функций Windows-интерфейса системы. Позволяет выявить ошибки при подключении к иным БД для закачки данных и ошибки системы, возникающие при работе пользователей.

Требования к информационной безопасности

Требования к информационной безопасности и защите информации в системе ограничиваются реализацией механизма управления и контроля доступа к данным. Защита от несанкционированного доступа должна осуществляться с обязательным использованием функций по разграничению полномочий и обеспечению безопасности хранения, предоставляемых программным обеспечением СУБД и операционной системы, на которых функционирует система.

В системе должно обеспечиваться разграничение прав доступа на следующих уровнях:

1) разграничение прав доступа пользователей к объектам системы;

2) разграничение доступа к функциям системы (функции, доступ к которым пользователю запрещен, не должны отображаться на экране);

3) разграничение доступа к данным (информация о данных, доступ к которым пользователю запрещен, не должна отображаться на экране);

4) разделение полномочий на работу с данными (просмотр, редактирование).

В рамках системы должны присутствовать специализированные программные модули администрирования, обеспечивающие выполнение следующих функций:

1) возможность гибкой настройки полномочий пользователей на доступ к системе;

2) ведение протокола доступа к ресурсам системы (с возможностью экспорта в файл) по полям (дата, время, тип события, тип объекта, наименование объекта, идентификатор объекта, имя пользователя, идентификатор пользователя, рабочая станция);

3) ведение протокола ошибок системы для аудита (дата и время, имя пользователя, идентификатор пользователя, имя программы, рабочая станция, текст ошибки);

4) ведение списка пользователей, допущенных к работе с системой;

5) фиксация в протоколе доступа всех действий пользователей: попытки доступа пользователя к любому объекту системы, изменение информационного состояния системы, выполнение каждой операции в Системе.

Для веб-интерфейса системы должны выполняться следующие требования:

1) вход пользователей в систему возможен только после аутентификации пользователя;

2) должна использоваться аутентификация с указанием логина/пароля или по доменной аутентификации пользователя;

3) должна быть обеспечена возможность работы через защищенный канал связи с поддержкой SSL (Secure Sockets Layer);

4) всем пользователям в системе распределяются права на доступ к определенному набору документов;

5) должна быть возможность объединить пользователей в группы и назначить права группам пользователей;

6) для незарегистрированных пользователей должен существовать отдельный пользователь или группа «Гость». Этому пользователю или группе администратор системы также должен настраивать доступ к той части информации, которую можно считать публичной;

7) состав аналитических отчетов системы подразделяется на «открытую» и «закрытую» части. Отчеты «открытой» части доступны для всех пользователей и группы «Гость». Отчеты «закрытой» части доступны согласно индивидуально назначенным правам для отдельных пользователей. Распределение данных аналитических отчетов для отражения в «открытой» и «закрытой» частях системы производится Заказчиком по итогам предпроектного обследования.

Требования к надежности

Состав и количественные значения показателей надежности для системы в целом

Проектные решения должны обеспечивать:

· Сохранение работоспособности системы при отказе или выходе из строя по любым причинам одного из компонентов комплекса технических средств или телекоммуникационной подсистемы;

· Сохранение всей накопленной на момент отказа или выхода из строя информации при отказе двух и более одинаковых по назначению компонентов системы не зависимо от их назначения, с последующим восстановлением после проведения ремонтных и восстановительных работ функционирования системы.

Технические меры по обеспечению надежности должны предусматривать:

1) Резервирование критически важных компонентов и данных системы и отсутствие единой точки отказа;

2) Использование технических средств с избыточными компонентами и возможностью их горячей замены;

3) Конфигурирование используемых средств и применение специализированного ПО, обеспечивающего высокую доступность.

Организационные меры по обеспечению надежности должны быть направлены на минимизацию ошибок персонала (пользователей), а также персонала службы эксплуатации при эксплуатации и проведении работ по обслуживанию комплекса технических средств системы, минимизацию времени ремонта или замены вышедших из строя компонентов за счет:

· Квалификации персонала (пользователей);

· Квалификации обслуживающего персонала;

· Регламентации и нормативного обеспечения выполнения работ персонала (пользователей);

· Регламентации проведения работ и процедур по обслуживанию и восстановлению системы;

· Своевременного оповещения пользователей о случаях нештатной работы компонентов системы;

· Своевременной диагностики неисправностей;

· Наличия договоров на сервисное обслуживание и поддержку компонентов комплекса технических средств.

В целом, надежность аппаратно-программного обеспечения должна обеспечивать выполнение задач системы с временем однократного простоя не более 30 мин и суммарным временем простоя не более 24 часов в год.

При работе системы возможны следующие аварийные ситуации, которые влияют на надежность работы системы:

1. Сбои технических средств:

1.1 Сбой в электроснабжении сервера: информация восстанавливается с поддержкой целостности на момент сбоя. Требуется перезагрузка сервера и повторное соединение рабочих станций с сервером. При этом теряются все не сохраненные данные на рабочих станциях. Целостность обеспечивается путем поддержки механизма транзакций сервером БД. В случае невозможности запуска сервера или использования БД, данные системы восстанавливаются из резервной копии.

1.2 Сбой в электроснабжении рабочей станции операторов системы: все, не сохраненные на момент сбоя данные рабочей станции, теряются и восстановлению не подлежат; на сервере обеспечивается целостность информации. Для продолжения работы на рабочей станции требуется перезагрузка операционной системы и повторное подключение к БД. На прочие рабочие станции и сервер сбой одной из рабочих станций не оказывает никакого влияния.

1.3 Сбой в электроснабжении обеспечения локальной сети (поломка сети): система остается неработоспособной до восстановления нормального функционирования сети. После восстановления функционирования сети требуется повторное подключение рабочих станций операторов к серверу.

Это интересно:  Льгота по налогу на транспорт для пенсионеров

1.4 Если одна из рабочих станций (или единственная рабочая станция при локальной работе) располагается непосредственно на сервере, то сбой сети не оказывает на нее никакого влияния.

1.5 Поломка сервера (потеря всей информации, хранимой на сервере): все данные теряются, восстановление информации происходит из резервной копии, хранящейся удаленно от сервера.

2. Ошибки программного обеспечения:

2.1 Ошибки системы, не выявленные при отладке и испытании системы, Разработчик обязан устранить в течение гарантийного срока эксплуатации. Срок устранения зависит от сложности выявленных ошибок и составляет от 5 до 30 дней.

2.2 Сбои программного обеспечения сервера: требуется переустановка программного обеспечения сервера. Если потеряна информация, хранимая на сервере, то требуется восстановление данных из резервной копии.

2.3 Сбои программного обеспечения рабочих станций операторов и пользователей: требуется переустановка программного обеспечения рабочей станции.

Основные требования, предъявляемые к системе защиты информации

Поскольку система защиты информации предназначена обеспечивать безопасность всей защищаемой информации, к ней должны предъявляться следующие требования:

  • • она должна быть привязана к целям и задачам защиты информации на конкретном предприятии;
  • • должна быть целостной: содержать все ее составляющие, иметь структурные связи между компонентами, обеспечивающие ее согласованное функционирование;
  • • должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на безопасность информации, и все виды, методы и средства защиты;
  • • должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты, т. е. базироваться на принципе гарантированного результата;
  • • должна быть «вмонтированной» в технологические схемы сбора, хранения, обработки, передачи и использования информации;
  • • должна быть компонентно, логически, технологически и экономически обоснованной;
  • • должна быть реализуемой, обеспеченной всеми необходимыми ресурсами;
  • • должна быть простой и удобной в эксплуатации и управлении, а также в использовании законными потребителями;
  • • должна быть непрерывной;
  • • должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки информации, условий защиты.

Таким образом, обеспечение безопасности информации — непрерывный процесс, который заключается в контроле защищенности, выявлении «узких мест» в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты.

Безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты; никакая система защиты не обеспечит безопасность информации без специальной подготовки пользователей и соблюдения ими всех правил защиты и никакую систему защиты нельзя считать абсолютно надежной, так как всегда может найтись злоумышленник, который найдет лазейку для доступа к информации.

Общие положения. Требования к защите компьютерной информации

Читайте также:

  1. I Общие положения
  2. I. Общие положения
  3. I. Общие положения.
  4. I. Общие требования
  5. I. Основные положения
  6. II. Индивидуальные и общие индексы
  7. II. Общие положения
  8. II.ОБЩИЕ ПОЛОЖЕНИЯ
  9. III. Местные и общие проявления кровотечений.
  10. III. Местные и общие проявления кровотечений.
  11. III. Организация вахты на мостике. Общие принципы организации вахты
  12. VIII. 1. Общие сведения

Требования к защите компьютерной информации

Естественным ходом развития информационных технологий явился принципиальный переход от открытости к защищенности при построении информационных систем.На сегодняшний день большинство программных продуктов, применяющихся для построения информационных систем, обладают встроенными средствами защиты.Это касается не только ОС,но СУБД и других приложений.

1.Достаточно ли встроенных в современные ОС и приложения механизмов защиты для обеспечения гарантированной защиты информации от НСД?

2.В предположении,что встроенных механизмов защиты недостаточно (а с учетом существующей статистики угроз это именно так),то чем это вызвано?Почему защищенность компьютерной информации остается недостаточной,несмотря на устойчивую тенденцию к усилению встроенных в современные универсальные ОС и приложения механизмов защиты?Каким образом следует усиливать встроенные механизмы добавочными средствами защиты?

3.Какие функции должны обеспечивать и какими характеристиками должны обладать системы встроенной и добавочной защиты,чтобы обеспечить надежное противодействие попыткам НСД?

4.В предположении,что добавочные механизмы защиты необходимы,каким образом комплексировать (взаимосвязывать)в защищаемой вычислительной системе встроенные и добавочные механизмы защиты?

Подходы к защите компьютерной информации определяются характеристиками:

формализованными требованиями к набору и параметрам механизмов защиты,регламентирующими современные требования к обеспечению компьютерной безопасности (требованиями,определяющими что должно быть);

реальными механизмами защиты,реализуемыми при защите компьютерной информации.К таковым относятся прежде всего средства защиты ОС,т.к.большинство приложений используют встроенные в ОС механизмы защиты (определяющими,что есть);

существующей статистикой угроз компьютерной безопасности —существующими успешными атаками на информационные компьютерные ресурсы (определяющими,насколько эффективно то,что есть и дающими оценку достаточности требований к тому,что должно быть).

Классификация требований к системам защиты

Первая группа требований (необходимые требования)заключается в необходимости реализации системой защиты формализованных мер безопасности (то есть мер,заданных соответствующими нормативными документами в области защиты информации).

«Оранжевая книга » КРИТЕРИИ ОЦЕНКИ НАДЕЖНЫХ КОМПЬЮТЕРНЫХ СИСТЕМ Министерства обороны США.

Согласованные критерии оценки безопасности информационных технологий,Information Technology Security Evaluation Criteria,ITSEC, Европейские страны.

Данные документы носят общий характер.В них не в полной мере предусматривается классификация объектов,для которых должна быть реализована защита.В частности,эти документы предъявляют единые требования для всех семейств ОС.И это несмотря на то,что ОС различных семейств имеют принципиально отличные принципы построения,а значит,для них различаются и способы НСД.

Вторая группа требований (дополнительные требования)заключается в необходимости учета существующей (текущей)статистики угроз для конкретного типа защищаемого объекта,а также потенциально возможных угроз (на данный момент отсутствующих в опубликованных угрозах,но гипотетически возможных).Необходимость этой группы требований обусловлена тем, что формализованные требования не могут учитывать все возможные угрозы объектам всех типов, требующих защиты. Также формализованные требования не могут соперничать по скорости обновления со скоростью изменения статистики угроз.

Необходимыми являются формализованные требования, определяемые соответствующими нормативными документами в области защиты информации. Достаточной является совокупность формализованных и дополнительных требований, формулируемых на основе анализа текущей статистики угроз защищаемому объекту, а также потенциально возможных угроз.

Общие подходы к построению систем защиты компьютерной информации

Формализованные требования к защите и их классификация

Общие подходы в системах защиты целесообразно рассматривать относительно соответствия их принятым формализованным требованиям. Эти требования предъявляются к механизмам защиты,которые в той или иной мере реализуются современными ОС, приложениями и добавочными средствами защиты.

Требования к защите средств вычислительной техники (СВТ)[1 ],формализуют условия защищенности отдельно взятого средства — ОС, СУБД,приложения.

Требования к защите автоматизированных систем (АС)[2 ],формализуют условия защищенности объекта с учетом:

• совокупности механизмов защиты,реализуемых установленными на защищаемом объекте средствами,включая ОС,СУБД (если есть),приложениями,добавочными механизмами защиты (если есть);

• дополнительных организационных мер, принимаемых для безопасного функционирования АС. как правило,приложения используют механизмы защиты ОС.

Что касается СУБД,то механизмы защиты СУБД дополняют защитные механизмы ОС,так как возникает необходимость защиты дополнительных объектов доступа — «таблиц ».И действительно, для ОС защищаемыми файловыми объектами являются:логические диски (тома), каталоги,файлы. При работе с базами данных сложность обусловлена тем, что таблицы различных пользователей,к которым должен разграничиваться доступ,могут находиться в одном файле. Таким образом, получается, что в общем случае невозможно управлять доступом к базам данных только механизмами защиты ОС.Однако это относится только к СУБД. Остальные приложения обычно довольствуются защитными механизмами ОС. То есть,можно сказать,что,как правило,все механизмы защиты автоматизированных систем (АС)по умолчанию реализуются собственно ОС.

Это интересно:  Начисление районного коэффициента и северной надбавки

Выделяются следующие основные группы механизмов защиты:

*механизмы управления доступом;

*механизмы регистрации и учета;

*механизмы криптографической защиты;

*механизмы контроля целостности.

Первая группа «Подсистема управления доступом » является основополагающей

Остальные же группы механизмов реализуются в предположении, что механизмы защиты первой группы могут быть преодолены злоумышленником. В частности они могут использоваться:

*для контроля действий пользователя — группа «Подсистема регистрации и учета »;

« для противодействия возможности прочтения похищенной информации (например,значений паролей и данных)— группа «Криптографическая подсистема »;

*для контроля осуществленных злоумышленником изменений защищаемых объектов (исполняемых файлов и файлов данных) при осуществлении к ним НСД и для восстановления защищаемой информации из резервных копий • • группа «Подсистема обеспечения целостности ».

Кроме того,эти группы механизмов могут использоваться для проведения расследования по факту НСД.

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

Основные требования, предъявляемые к защите информации

Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:

1. Весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе.

2. Значительное число фирм, специализирующихся на решении вопросов защиты информации.

3. Достаточно четко очерченная система взглядов на эту проблему.

4. наличие значительного практического опыта и другое.

И тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют устойчивую тенденцию к росту.

Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов.

Причем в этом должны активно участвовать:

Из этого следует, что:

1. Обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий.

2. Безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм – систему защиты информации.При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий.

3. Никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.

С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту от внутренних и внешних угроз.

Таким образом, под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.

Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий.

С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:

1. Непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации.

2. Плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации).

3. Целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд.

4. Обоснованной.Сложность решаемых задач, большой объем работ, а также ограниченность ресурсов вызывают необходимость глубокого научного обоснования принимаемых решений по защите информации. При обосновании необходимости защиты надо исходить из внешнеполитических, оборонных и экономических интересов госу­дарства, закладывая в решение проблем передовые научно-техни­ческие идеи и достижения.

5. Достаточной. Означает необходимость поиска надежных мер защиты, избегая излишних затрат. Обеспечивается применением наиболее совершенных методов и средств защиты. Способствует соблюдению баланса интересов государства и отдельных органи­заций (предприятий), граждан.

6. Гибкой в управлении. Ввиду многочисленности защищаемых объектов и сведений, возможного резкого изменения разведобстановки, условий защиты и важности защищаемой информации нуж­на гибко управляемая структура, обеспечивающая способность прогнозирования угроз и их упреждающую нейтрализацию, опе­ративную и эффективную ликвидацию последствий угрозы. Обес­печивается главным образом высокой степенью автоматизации средств и систем защиты и наличием быстродействующей обрат­ной связи.

7. Конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб.

8. Активной. Защищать информацию необходимо с достаточной степенью настойчивости

9. Надежной. Методы и формы защиты должны быть надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены.

10. Своевременной. Своевременность диктует необходимость заблаговременной, до начала проведения секретных работ, разработки мер защиты и контроля. Несвоевременное проведение мероприятий по защите может не только снизить ее эффективность, но и привести к об­ратному результату.

11. Универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации.

12. Комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита – это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимно обусловливающих друг друга сторон, свойств, тенденций.

Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:

1. Охватывать весь технологический комплекс информационной деятельности.

2. Быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа.

3. Быть открытой для изменения и дополнения мер обеспечения безопасности информации.

4. Быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность, злоумышленников относительно ее возможностей.

5. Быть простой для технического обслуживания и удобной для эксплуатации пользователями.

6. Быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации.

7. Быть комплексной, обладать целостностью, означающей, что ни одна часть не может быть изъята без ущерба для всей системы.

К системе защиты информации предъявляются также определенные требования:

· четкость определения полномочий и прав пользователей на доступ к определенным видам информации;

· предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;

· сведение к минимуму числа общих для нескольких пользователей средств защиты;

Это интересно:  Когда менять паспорт рф по возрасту сроки

· учет случаев и попыток несанкционированного доступа к конфинденциальной информации;

· обеспечение оценки степени конфинденциальной информации;

· обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.

Исторически сложившийся подход к классификации государственной информации (данных) по уровням требований к ее защищенности основан на рассмотрении и обеспечении только одного свойства информации — ее конфиденциальности (секретности). Требования же к обеспечению целостности и доступности информации, как правило, лишь косвенно фигурируют среди общих требований к системам обработки этих данных. Считается, что раз к информации имеет доступ только узкий круг доверенных лиц, то вероятность ее искажения (несанкционированного уничтожения) незначительна. Низкий уровень доверия к АС и предпочтение к бумажной информационной технологии еще больше усугубляют ограниченность данного подхода.

Если такой подход в какой-то степени оправдан в силу существующей приоритетности свойств безопасности важной государственной информации, то это вовсе не означает, что его механический перенос в другую предметную область (с другими субъектами и их интересами) будет иметь успех.

Во многих областях деятельности (предметных областях) доля конфиденциальной информации сравнительно мала. Для коммерческой и персональной информации, равно как и для государственной информации, не подлежащей засекречиванию, приоритетность свойств безопасности информации может быть иной. Для открытой информации, ущерб от разглашения которой несущественен, важнейшими могут быть такие качества, как доступность, целостность или защищенность от неправомерного тиражирования. К примеру, для платежных (финансовых) документов самым важным является свойство их целостности (достоверности, неискаженности). Затем, по степени важности, следует свойство доступности (потеря платежного документа или задержка платежей может обходиться очень дорого). Требований к обеспечению конфиденциальности отдельных платежных документов может не предъявляется вообще.

Попытки подойти к решению вопросов защиты такой информации с позиций традиционного обеспечения только конфиденциальности, терпят провал. Основными причинами этого, на наш взгляд, являются узость существующего подхода к защите информации, отсутствие опыта и соответствующих проработок в плане обеспечения целостности и доступности информации, не являющейся конфиденциальной.

Развитие системы классификации информации по уровням требований к ее защищенности предполагает введение ряда степеней (градаций) требований по обеспечению каждого из свойств безопасности информации: доступности, целостности, конфиденциальности и защищенности от тиражирования. Пример градаций требований к защищенности:

Количество дискретных градаций и вкладываемый в них смысл могут различаться. Главное, чтобы требования к защищенности различных свойств информации указывались отдельно и достаточно конкретно (исходя из серьезности возможного наносимого субъектам информационных отношений ущерба от нарушения каждого из свойств безопасности информации).

В дальнейшем любой отдельный функционально законченный документ (некоторую совокупность знаков), содержащий определенные сведения, вне зависимости от вида носителя, на котором он находится, будем называть информационным пакетом.

К одному типу информационных пакетов будем относить пакеты (типовые документы), имеющие сходство по некоторым признакам (по структуре, технологии обработки, типу сведений и т.п.).

Задача состоит в определении реальных уровней заинтересованности (высокая, средняя, низкая, отсутствует) субъектов в обеспечении требований к защищенности каждого из свойств различных типов информационных пакетов, циркулирующих в АС.

Требования же к системе защиты АС в целом (методам и средствам защиты) должны определяться, исходя из требований к защищенности различных типов информационных пакетов, обрабатываемых в АС, и с учетом особенностей конкретных технологий их обработки и передачи (уязвимости).

В одну категорию объединяются типы информационных пакетов с равными приоритетами и уровнями требований к защищенности (степенью важности обеспечения их свойств безопасности: доступности, целостности и конфиденциальности).

Предлагаемый порядок определения требований к защищенности циркулирующей в системе информации представлен ниже:

1. Составляется общий перечень типов информационных пакетов, циркулирующих в системе (документов, таблиц). Для этого с учетом предметной области системы пакеты информации разделяются на типы по ее тематике, функциональному назначению, сходности технологии обработки и т.п. признакам.

2. На последующих этапах первоначальное разбиение информации (данных) на типы пакетов может уточняться с учетом требований к их защищенности.

Затем для каждого типа пакетов, выделенного в первом пункте, и каждого критического свойства информации (доступности, целостности, конфиденциальности) определяются (например, методом экспертных оценок):

· перечень и важность (значимость по отдельной шкале) субъектов, интересы которых затрагиваются при нарушении данного свойства информации;

· уровень наносимого им при этом ущерба (незначительный, малый, средний, большой, очень большой и т.п.)и соответствующий уровень требований к защищенности.

При определении уровня наносимого ущерба необходимо учитывать:

· стоимость возможных потерь при получении информации конкурентом;

· стоимость восстановления информации при ее утрате;

· затраты на восстановление нормального процесса функционирования АС и т.д.

Если возникают трудности из-за большого разброса оценок для различных частей информации одного типа пакетов, то следует пересмотреть деление информации на типы пакетов, вернувшись к предыдущему пункту методики.

3. Для каждого типа информационных пакетов с учетом значимости субъектов и уровней наносимого им ущерба устанавливается степень необходимой защищенности по каждому из свойств информации (при равенстве значимости субъектов выбирается максимальное значение уровня).

Пример оценки требований к защищенности некоторого типа информационных пакетов приведен в таблице 1.

Оценка требований к защищенности информационных пакетов

Субъекты Уровень ущерба по свойствам информации
Конфиденциальность Целостность Доступность Защита от тиражирования
N 1 Нет Средняя Средняя Нет
N 2 Высокая Средняя Средняя Нет
N 3 Низкая Низкая Низкая Нет
В итоге Высокая Средняя Средняя Нет

Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию.

С учетом этого система защиты информации может иметь:

1. Правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия.

2. Организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и другими.

3. Аппаратное обеспечение. Предполагается широкое использование технических средств как для защиты информации, так и для обеспечения деятельности собственно СЗИ.

4. Информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности.

5. Программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации.

6. Математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты.

7. Лингвистическое обеспечение.Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации.

8. Нормативно-методическое обеспечение.Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.

Статья написана по материалам сайтов: studref.com, studopedia.su, studopedya.ru.

«

Помогла статья? Оцените её
1 Star2 Stars3 Stars4 Stars5 Stars
Загрузка...
Добавить комментарий