Атомная энергетика Ядерные реакторы Курс электрических цепей Примеры решения задач по начертательной геометрии Сборник задач по физике Информатика

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ

Информационная безопасность.

Термин "безопасность" определяется как "состояние защищённости жизненно важных интересов личности, общества, государства от внутренних и внешних угроз». Состояние защищенности — это стабильно прогнозируемое во времени состояние окружения, в котором предприятие может осуществлять свои уставные задачи без перерывов, нарушений и потери конкурентоспособности

Следует различать понятия информационная безопасность и безопасность информации. Первое понятие охватывает более широкий круг проблем. Информационная безопасность — состояние защищённости информационной сферы (информационной среды общества), обеспечивающее её формирование и развитие в интересах граждан, организаций и государства. Жизненно важные интересы — совокупность потребностей, обеспечивающих существование и прогрессивное развитие. Объекты безопасности — личность, её права и свободы, общество — его духовные и материальные ценности, государство — его конституционный строй, суверенитет и территориальная целостность. С точки зрения информационной безопасности необходимо защитить граждан (информационная безопасность личности) от ненужной информации, от разрушающего психику и сознание потока информации. С другой стороны, необходимо обеспечить право граждан на информацию.

Информационная безопасность как составная часть экономической безопасности предпринимательской деятельности включает в себя: а) комплексную программу обеспечения безопасности информационных ресурсов предприятия и б) экономически обоснованную технологическую систему защиты, обеспечивающую должный уровень защищенности, готовности, надежности ИС и безопасность информации.

Безопасность информации — это обеспечение ее конфиденциальности, целостности и доступности законным пользователям. Безопасность информации - состояние защищённости информации, обрабатываемой средствами вычислительной техники (ВТ), находящуюся на машинных и традиционных носителях, от внутренних и внешних угроз.

Угрозам — случайным или намеренным действиям, выводящим фирму, независимо от рода ее деятельности, из состояния безопасности со стороны внешнего окружения и внутренних источников подвержены персонал, имущество, информация и товары при перемещении. Кроме того, фирма может быть признана виновной в судебном порядке за ущерб, нанесённый третьим лицам (включая и собственных служащих) или собственности.

Таким образом, можно определить цель обеспечения безопасности информации, которая заключается в защите прав собственности на неё, и задачи безопасности, которые заключаются в защите её от утечки, копирования, блокирования, модификации и утраты.

Классы безопасности информационных систем.

В 1983 году Министерство обороны США выпустило Orange Book книгу в оранжевой обложке под названием Критерии оценки достоверных компьютерных систем. За пределами США также появились аналоги Оранжевой книги : это руководящие документы Гостехкомиссии, а также Критерии оценки безопасности информационных технологий, действующие в странах Западной Европы. Новый международный стандарт ISO/IEC 15408 Единые критерии оценки безопасности в области ИТ чаще всего называют просто Common Criteria ( Единые критерии ).

Критерии, сформулированные в TCSEC, ITSEC и CCITSE, определяют разбиение компьютерных систем на четыре уровня безопасности. Уровень A самый высокий. Далее идет уровень B (в порядке понижения безопасности здесь идут классы B3, B2, B1). Затем наиболее распространенный уровень C (классы C2 и C1). Самый нижний уровень D. Следуя компромиссу между требованиями безопасности, эффективностью системы и ее ценой, подавляющее большинство компаний стремится сегодня получить сертификат по классу C2.

Класс D. Минимальный уровень безопасности. В этот класс попадают системы, которые были заявлены на сертификацию, но ее не прошли.

Класс С1. Избирательная защита доступа. Предусматривает наличие достоверной вычислительной базы (TCB), выполнение требований к избирательной безопасности. Обеспечивается отделение пользователей от данных (меры по предотвращению считывания или разрушения данных, возможность защиты приватных данных). В настоящее время по этому классу сертификация не предусмотрена.

Класс C2. Управляемая защита доступа. Системы данного класса способны осуществлять более четко выделенный контроль в плане избирательной защиты доступа. Действия пользователя связываются с процедурами идентификации/аутентификации. Наделение и лишение пользователей привилегий доступа. Кроме этого, ведется аудит событий, критичных с точки зрения безопасности, выполняется изоляция ресурсов.

Класс B1. Маркированное обеспечение безопасности. В дополнение к требованиям класса C2 необходимо неформальное описание модели политики безопасности, маркировки данных, а также принудительного управления доступом к поименованным субъектам и объектам.

Класс B2. Структурированная защита. В этом классе систем TCB должна опираться на четко определенную и документированную формальную модель политики безопасности. Действие избирательного и принудительного управления доступом распространяется на все субъекты и объекты в системе. Выявляются тайные каналы. TCB должна четко декомпозироваться на элементы, критичные и некритичные с точки зрения безопасности. Усиливаются механизмы аутентификации. Обеспечивается управление механизмами достоверности в виде поддержки функций системного администратора и оператора. Подразумевается наличие механизмов строгого управления конфигурацией.

Класс B3. Домены безопасности. TCB должна удовлетворять требованиям эталонного механизма мониторинга, который контролирует абсолютно весь доступ субъектов к объектам и при этом быть достаточно компактным, чтобы его можно было проанализировать и оттестировать. Требуется наличие администратора по безопасности. Механизмы аудита расширяются до возможностей оповещения о событиях, критичных по отношению к безопасности. Требуются процедуры восстановления системы. Система крайне устойчива к вторжению.

Класс A1. Верифицированное проектирование. Данный класс систем функционально эквивалентен классу B3 в том смысле, что не требуется добавления дополнительных архитектурных особенностей или предъявления иных требований к политике безопасности. Существенное отличие состоит в требовании наличия формальной спецификации проектирования и соответствующих методов верификации. В данном классе не зарегистрировано ни одной ОС.

Классификация угроз информационной безопасности. Факторы угроз: глобальные, региональные и локальные. Угрозы безопасности деятельности предприятий и информации подразделяются на внешние и внутренние. Их перечень обширен и для каждого предприятия индивидуален. Общими для всех являются угрозы стихийных бедствий, техногенных катастроф и деятельность людей - непреднамеренные ошибки персонала (нарушители) или преднамеренные действия (злоумышленники), приводящие к нарушениям безопасности.

Программно-техническое обеспечение безопасности информационных систем. При разработке компьютерных систем, выход из строя или ошибки в работе которых могут привести к тяжелым последствиям, вопросы компьютерной безопасности становятся первоочередными. Известно много мер, направленных на предупреждение преступления. Выделим из них технические, организационные и правовые. 

Жизненный цикл КИС. Модели жизненного цикла КИС: каскадная, спиральная. В основе деятельности по созданию и использованию программного обеспечения любого типа (поэтому далее – просто ПО) лежит понятие его жизненного цикла (ЖЦ). Жизненный цикл является моделью создания и использования ПО, отражающей его различные состояния, начиная с момента возникновения необходимости в данном ПО и заканчивая моментов его полного выхода из употребления у всех пользователей.


На главную