Информационная безопасность. Курс лекций
Шрифт:
Отсюда следует, что унифицированная концепция защиты представляет собою кибернетическую систему, что и создает объективные предпосылки для оптимального решения задач защиты.
Лекция 8
Требования руководящих документов по обеспечению информационной безопасности и нсд
Учебные вопросы:
1. Основные положения по обеспечению ИБ
2. Показатели защищенности средств вычислительной техники (СВТ)
3. Классы защищенности автоматизированных систем
Введение
Эффективность
• разрешается противоречие между необходимостью оперативной и правильной реакции на различные ситуации функционирования управляемого объекта и еще существующими неавтоматизированными способами обработки и подготовки решения;
• частично устраняется субъективизм, вносимый принимающими решение должностными лицами;
• интенсивное развитие информационных технологий предоставляет широкие возможности по совершенствованию процессов управления как на государственном, так и всех других уровнях.
Результатом развития информационных технологий стало повсеместное использование вычислительной техники и ИВС для решения широкого круга задач обработки и передачи информации.
С развитием информационных технологий увеличивается и опасность несанкционированного вмешательства в работу как государственных, так и коммерческих информационных систем, которая в условиях современной российской действительности усугубляется целым рядом дополнительных негативных факторов. Основными факторами, осложняющими предотвращение и нейтрализацию угроз информационной безопасности являются:
1) широкое применение зарубежных средств вычислительной и коммуникационной техники, вызванное объективной невозможностью отечественной промышленности удовлетворить спрос на современное компьютерное и связное оборудование;
2) бесконтрольное и нескоординированное создание и развитие государственными и коммерческими структурами выделенных и корпоративных телекоммуникационных систем, влекущее не только невозможность создания единого информационного пространства из-за разнотипности используемого оборудования, но и невозможность обеспечения надежной защиты информации из-за распыления необходимых для этого сил и средств и их неподконтрольности;
3) инвестиционная политика в области телекоммуникаций проводится без тщательного анализа ее последствий в части обеспечения информационной безопасности и надежности функционирования сетей связи;
4) незаконное распространение на российском рынке несертифицированных отечественных и импортных программно-аппаратных средств защиты информации;
5) недостаточная отработка вопросов сопряжения компьютерных сетей органов государственной власти, учреждений и организаций Российской Федерации с международными информационными сетями.
Дополнительно к вышеперечисленным факторам необходимо добавить
• увеличение мощности ЭВМ и упрощение работы с ними, что приводит к понижению квалификации пользователя;
• упрощение техники программирования и широкая степень доступности средств создания программного обеспечения (ПО), что немаловажно для создания программных средств, могущих оказывать деструктивное воздействие на автоматизированные системы обработки информации и обрабатываемую ими информацию;
• широкая доступность различного (в том числе и «пиратского») как отечественного, так и импортного программного обеспечения, которое потенциально может нести в себе разнообразные деструктивные функции;
• широкое развитие локальных и глобальных ВС, способствующее быстрому распространению РПС.
В связи с перечисленными факторами, вопросы информационной безопасности и защиты информации в автоматизированных системах обработки информации (АСОИ) в настоящее время становятся все более актуальными.
Однако, безопасность (в подавляющем большинстве случаев) является качественной характеристикой системы: ее трудно измерить в каких-либо единицах; у различных групп специалистов, занимающихся проблемами безопасности может быть свой взгляд на безопасность и средства ее достижения. Для согласования всех точек зрения на проблему создания защищенных систем разрабатываются стандарты информационной безопасности. Это документы, регламентирующие основные понятия и концепции информационной безопасности на государственном или межгосударственном уровне, определяющие понятие "защищенная система" посредством стандартизации требований и критериев безопасности, образующих шкалу оценки степени защищенности ВС.
Вопрос 1. Основные положения по обеспечению ИБ
Руководствуясь целями обеспечения защиты информации в автоматизированных системах Гостехкомиссия (ГТК) при Президенте Российской федерации (РФ) опубликовала ряд руководящих документов, посвященных вопросам защиты от несанкционированного доступа к информации:
1. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. М.: 1997
2. Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанцционированного доступа к информации. М.: 1997
3. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М.: 1997
4. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М.: 1997.
5. Гостехкомиссия России. Руководящий документ. Межсетевые экраны. Защита от несанкционированного доступа к информации. М.: 1997.