Безопасность информационных систем. Учебное пособие
Шрифт:
4) обеспечить государственную поддержку фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.
Четвертая составляющая национальных интересов в информационной сфере включает защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.
В этих целях требуется:
1) повысить безопасность информационных систем (включая сети связи), прежде всего первичных сетей связи и информационных систем органов государственной власти, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными
2) интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля их эффективности;
3) обеспечить защиту сведений, составляющих государственную тайну;
4) расширять международное сотрудничество России в области безопасного использования информационных ресурсов, противодействия угрозе противоборства в информационной сфере.
5.3. Концепция информационной безопасности
Концепцией защиты информации называется инструментально-методологическая база, обеспечивающая практическую реализацию стратегий защиты (оборонительной, наступательной, упреждающей), при ее оптимизации и минимальности затрат. На рисунке 7 приведена структура концепции защиты информации.
Рис. 7. Структура концепции защиты информации: 1 – концепции, задающие ситуацию защиты; 2 – методология описания ситуации защиты; 3 – система показателей уязвимости (защищенности) информации; 4 – система дестабилизирующих факторов, влияющих на уязвимость (защищенность) информации; 5 – методология оценки уязвимости (защищенности) информации; 6 – методология определения требований к защите информации; 7 – система концептуальных решений по защите информации: а) функции защиты, б) задачи защиты, в) средства защиты, г) система защиты; 8 – требования к концептуальным решениям; 9 – условия, способствующие повышению эффективности защиты
1. Концепции, задающие ситуацию защиты. Ситуацию защиты формируют концепции построения и использования автоматизированных систем обработки данных (АСОД) и условия их функционирования. АСОД предназначены для оптимального управления информационным обеспечением деятельности современных объектов (предприятий, учреждений и т. п.) на регулярной основе.
Решениями данной концепции являются формирование на каждом специальном объекте информационного кадастра, построение унифицированной технологии автоматизированной обработки информации и разработка методологии организации информационного обеспечения деятельности объектов.
Унифицированная технология автоматизированной обработки информации представлена в табл. 8.
2. Методология описания ситуации защиты. Описание ситуации защиты необходимо проводить в строго формальном представлении архитектуры и процессов функционирования рассматриваемой системы. Одной из наиболее характерных особенностей ситуаций является повышенное влияние случайных факторов, что затрудняет формальное описание системы.
3. Система показателей уязвимости (защищенности) информации. Под показателем уязвимости информации понимается мера потенциально возможного негативного воздействия на защищаемую информацию. Величина, дополняющая меру уязвимости до максимально возможного значения представляет собою меру защищенности информации.
4. Система дестабилизирующих факторов, влияющих на уязвимость (защищенность) информации. Под дестабилизирующим фактором понимается событие или явление, которое может произойти в АСОД или системе защиты, и содержащее в себе потенциальную возможность такого негативного воздействия на информацию, результатом которого может быть повышение значений каких-либо показателей уязвимости защищаемой информации и соответственно – снижение показателей ее защищенности.
Таблица 8
Унифицированная технология автоматизированной обработки информации
5. Методология оценки уязвимости (защищенности) информации. Данная методология должна содержать методы, модели и инструментальные средства определения текущих и прогнозирования будущих значений каждого из системы показателей уязвимости (защищенности) информации под воздействием каждой из потенциально возможных угроз и любой их совокупности.
6. Методология определения требований к защите информации. Данный компонент определяет подходы, средства и методы практической организации защиты. По возможности требования к любым параметрам создаваемых систем должны быть выражены в количественном эквиваленте. С повышенным влиянием на систему различных неопределенностей, требования к системе защиты определяются эвристическими и теоретико-эмпирическими методами. Построение системы необходимо проводить во взаимосвязи с задачами оптимизации и стандартизации.
7. Система концептуальных решений по защите информации. Под концептуальным решением понимается решение, которое создает объективные предпосылки для формирования инструментальных средств, необходимых и достаточных для эффективного решения всей совокупности задач по защите информации на регулярной основе и в соответствии с требованиями к их решению. Требования к решению задач определяются целями функционирования системы защиты. Концептуальные решения должны быть научно обоснованными и оптимальными. Принятие решений относится к слабоструктурированным задачам, и методики их решения должны основываться на эвристических методах.
8. Требования к концептуальным решениям. Данный компонент концепции защиты заключается в обосновании таких требований к каждому из концептуальных решений, которые обеспечивали бы достижение целей их принятия наиболее рациональным способом.
9. Условия, способствующие повышению эффективности защиты. Данный компонент защиты информации заключается в формировании и обосновании перечней и содержания условий, соблюдение которых будет существенно способствовать повышению уровня защиты при расходовании выделенных для этих целей средств, обеспечивающих требуемый уровень защиты.