КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Системный подход к защите информации
|
|
|
|
В общем случае способы и средства технической защиты информации должны создать вокруг объекта защиты преграды, препятствующие реализации угроз безопасности информации как при непосредственном контакте злоумышленников с ее источниками, так и при ее утечке. Учитывая активность, непрерывность, скрытность разведки, большое количество потенциальных источников информации в организациях, многообразие побочных полей и электрических сигналов, возникающих при обработке, хранении и передаче информации и способных уносить ее за пределы объекта защиты, проблема защиты информации относится к числу сложных, так называемых слабо формализуемых проблем. Эти проблемы не имеют, как правило, формальных методов решения.
Слабо формализуемые проблемы и задачи наиболее часто приходится решать как коллективам, так и отдельным людям. Несмотря на огромные достижения науки число проблем и задач, которые удается свести к формализуемым и решить строго математически, существенно меньше, чем не имеющих такого решения.
В общем случае рассматриваемые проблемы и задачи характеризуются большим количеством и многообразием факторов, влияющих на результат решения, причем это влияние часто не удается однозначно выявить и строго описать. К ним, в первую очередь, относятся задачи, результаты решения которых зависят от людей. Только в отдельных простейших случаях удается однозначно и формально описать реакции человека на внешние воздействия. В большинстве других вариантов сделать это не удается.
Однако, из этого утверждения не следует, что организация эффективной защиты информации зависит исключительно от искусства специалистов по защите информации. Человечеством накоплен достаточно большой опыт по решению слабо формализуемых проблем, который оформлен как системный подход к решению слабо формализуемых проблем и системный анализ объектов исследования.
|
|
|
Системный подход - это концепция решения сложных слабо формализуемых проблем, рассматривающая объект изучения (исследования) или проектирования в виде системы.
Основные принципы системного подхода состоят в следующем:
- любая система является подсистемой более сложной системы, которая влияет на структуру и функционирование рассматриваемой;
- любая система имеет иерархическую структуру, элементами и связями которой нельзя пренебрегать без достаточных оснований;
- при анализе системы необходим учет внешних и внутренних влияющих факторов, принятие решений на основе их небольшого числа без рассмотрения остальных может привести к нереальным результатам;
- накопление и объединение свойств элементов системы приводит к появлению качественно новых свойств, отсутствующих у ее элементов.
Последний принцип утверждает, что система как целое приобретает дополнительные свойства, отсутствующие у ее частей, в отличие от традиционного который, предполагает, что свойства объекта или субъекта есть совокупность свойств его частей. Примером традиционного подхода могут служить используемые официальной медициной методы диагностики и лечения болезней человека по результатам исследования отдельных его органов. Человек к старости после прохождения многочисленных кабинетов узкоспециализированных врачей приобретает такой букет болезней, что если он будет строго выполнять все рекомендации врачей, то ему грозит отравление лекарствами гораздо раньше срока естественной смерти. В то же время результаты исследований доказывают, что человека нельзя делить на части без учета информационных, химических, электромагнитных, электрических связей между его органами и даже клетками и что лечить надо не отдельные болезни, а человека в целом. Пренебрежение принципом целостности в медицине привело к тому, что образовавшуюся нишу заполняют знахари, экстрасенсы, так называемые народные целители и другие «самородки», заряжающие энергией зубные пасты и газеты.
|
|
|
Эффективность реализации системного подхода на практике зависит от умения специалиста выявлять и объективно анализировать все многообразие факторов и связей достаточно сложного объекта исследования, каким является. например, организация как объект защиты. Необходимым условием такого умения является наличие у специалиста так называемого системного мышления, формируемого в результате соответствующего обучения и практики решения слабо формализуемых проблем. Системное мышление - важнейшее качество не только специалиста по защите информации, но любого организатора и руководителя.
Системный анализ предусматривает применение комплекса методов, методик и процедур, позволяющих выработать количественные рекомендации по решению любых, прежде всего, слабо формализуемых проблем. Математической основой для системного анализа является аппарат исследования операций.
Система задается (описывается) следующими параметрами (характеристиками):
- целями и задачами (конкретизированными в пространстве и во времени целями):
- входами и выходами системы:
- ограничениями, которые необходимо учитывать при построении (модернизации, оптимизации) системы:
- процессами внутри системы, обеспечивающими преобразование входов в выходы.
Решение проблемы защиты информации с точки зрения системного подхода можно сформулировать как трансформацию существующей системы в требуемую.
Целями системы защиты являются обеспечение требуемых уровней безопасности информации на фирме, в организации, на предприятии (на объекте защиты). Задачи конкретизируют цели применительно к видам и категориям защищаемой информации, а также элементам объекта зашиты и отвечают на вопрос, что надо сделать для достижения целей. Кроме того, уровень защиты нельзя рассматривать в качестве абсолютной меры, безотносительно от ущерба, который может возникнуть от потери информации и использования ее злоумышленником во вред владельцу информации.
|
|
|
В качестве ориентира для оценки требуемого уровня защиты необходимо определить соотношение между ценой защищаемой информации и затратами на ее защиту. Уровень защиты рационален, когда обеспечивается требуемый уровень безопасности информации и минимизируются расходы на информацию.
Ограничения в виде требований к системе предусматривают принятие таких мер по защите информации, которые не снижают эффективность функционирования системы при их выполнении. Можно настолько ужесточить меры управления доступом к источникам информации, что наряду со снижением возможности ее хищения или утечки снизится эффективность выполнения сотрудниками своих функциональных обязанностей.
Входами системы зашиты информации являются:
- воздействия злоумышленников при физическом проникновении к источникам конфиденциальной информации с целью ее хищения, изменения или уничтожения;
- различные физические поля электрические сигналы, создаваемые техническими средствами злоумышленников и которые воздействуют на средства обработки и хранения информации;
- стихийные силы, прежде всего, пожары, приводящие к уничтожению или изменению информации;
- физические поля и электрические сигналы с информацией, передаваемой по функциональным каналам связи;
- побочные электромагнитные и акустические поля, а также электрические сигналы, возникающие в процессе деятельности объектов защиты и несущие конфиденциальную информацию.
Выходами системы защиты являются меры по защите информации, соответствующие входным воздействиям.
Алгоритм процесса преобразования входных воздействий (угроз) в меры защиты определяет вариант системы защиты. Вариантов, удовлетворяющих целям и задачам, может быть много. Сравнение вариантов производится по количественной мере, называемой критерием эффективности системы. Критерий может быть в виде одного показателя, учитывающего основные характеристики системы или представлять собой набор частных показателей. Единый общий критерий эффективности называется глобальным.
|
|
|
В качестве частных показателей критерия эффективности системы защиты информации используются, в основном, те же. что и при оценке эффективности разведки. Это возможно потому, что цели и задачи, а, следовательно, значения показателей эффективности разведки и защиты информации близки по содержанию, но противоположны по результатам. То, что хорошо для безопасности информации, плохо для разведки, и наоборот.
Частыми показателями эффективности системы защиты информации являются.
- вероятность обнаружения и распознавания органами разведки объектов защиты:
- погрешности измерения признаков объектов защиты;
- достоверность (вероятность ошибки) дискретного элемента информации (буквы, цифры, элемента изображения).
Очевидно, что система защиты тем эффективнее, чем меньше вероятность обнаружения и распознавания объекта защиты органом разведки (злоумышленником), чем ниже точность измерения им признаков объектов защиты, ниже разборчивость речи, выше вероятность ошибки приема органом разведки дискретных сообщений.
Для выбора рационального (обеспечивающего достижение целей, решающего поставленные задачи при полном наборе входных воздействий с учетом ограничений) варианта путем сравнения показателей нескольких вариантов используется глобальный критерий в виде отношения эффективность/стоимость. Под эффективностью понимается степень выполнения системой задач, под стоимостью - затраты на защиту.
Для защиты информации на основе системного подхода и анализа необходимо, наряду с организационным и техническим, методическое обеспечение. В соответствии с алгоритмом проектирования системы оно должно обеспечивать:
- моделирование объекта защиты;
- выявление и моделирование угроз безопасности информации;
- разработку мер инженерно-технической защиты информации.
|
|
|
|
Дата добавления: 2014-01-15; Просмотров: 8092; Нарушение авторских прав?; Мы поможем в написании вашей работы!