В этом разделе излагаются основные принципы и этапы разработки системы защиты информации.
Практика разработки систем защиты информации позволила выделить ряд основных принципов защиты информации в автоматизированных системах.
Комплексность механизма защиты информации подразумевает, что надежная защита информации от НСД обеспечивается сочетанием организационных мер, программных, криптографических и аппаратных средств защиты. На основании зарубежного и отечественного опыта проектирования можно утверждать, что только комбинированным и комплексным использованием всех названных средств может быть обеспечена защита данных. Организационные меры играют ведущую роль в системе защиты от НСД - являются самостоятельным инструментом защиты и одновременно объединяют все средства и методы в целостный механизм защиты информации в системе.
Принцип персональной ответственности заключается в том, что каждый пользователь должен нести персональную ответственность за свою деятельность в системе, включая любые операции с конфиденциальной информацией и возможные нарушения ее защиты.
Минимизация и разделение полномочий по доступу к обрабатываемой информации и процедурам обработки. При этом каждому сотруднику из числа пользователей, обслуживающего и эксплуатирующего персонала должен предоставляться наименьший набор полномочий по доступу к обрабатываемой конфиденциальной информации и процедурам ее обработки. В то же время эти полномочия должны быть достаточными для успешного выполнения сотрудниками своих служебных обязанностей. Положение, при котором одно лицо становится ответственным за полную отработку любой деловой операции, недопустимо.
Полнота контроля и регистрации попыток несанкционированного доступа означает, что данные должны быть защищены на любом технологическом участке в каждый момент времени. Доступ абонентов в систему и их действия должны контролироваться и фиксироваться для проведения возможного расследования. Меры и средства защиты должны исключать возможность совершения неавторизованных операций. Любая операция должна совершаться от имени конкретного пользователя и регистрироваться соответствующим образом до ее совершения. Анализ зарегистрированных попыток нарушения защиты должен служить основой для выработки рекомендаций по совершенствованию системы защиты.
Несекретность проектирования. Поскольку задача сокрытия деталей реализации системы защиты, предназначенной для эксплуатации в течение продолжительного периода времени, является практически невыполнимой, механизм защиты должен быть эффективен даже в том случае, когда его структура и принципы функционирования становятся известными нарушителям.
Равнопрочность механизма защиты. Вероятности получения одинакового ущерба в случае обхода средств защиты или их несанкционированного отключения на различных технологических участках должны быть равны. Принцип подразумевает дифференциацию требований к мерам и средствам защиты в зависимости от величины ущерба, который может быть понесен в случае их обхода/отключения. В частности, критические операции в АИС (ущерб от которых в случае их несанкционированного совершения превышает определенный, заранее зафиксированный уровень) должны проходить дополнительную проверку на правомочность их выполнения.
Контроль за функционированием системы защиты. Данный принцип утверждает, с одной стороны, необходимость создания специальных средств и методов, направленных на предотвращение попыток несанкционированного вмешательства в работу механизмов защиты, и, с другой стороны, необходимость разработки мероприятий по проверке работоспособности и корректности этого механизма. Мероприятия по контролю за функционированием системы защиты могут быть достаточно эффективными только тогда, когда система защиты имеет достаточно простую логическую структуру, и для каждого ее компонента можно доказать (может быть качественно): функциональную пригодность; корректность функционирования, в смысле объявленных функций и спецификаций.
Экономичность механизма защиты. Стоимость разработки и эксплуатации мер и средств защиты не должна превышать величины возможного ущерба при создании и эксплуатации АИС без соответствующих мер и средств защиты.
Документированность системы защиты. Атрибуты безопасности должны включаться во все документы по системе, касающиеся ее программных и аппаратных средств, их проектирования, приобретения, эксплуатации и обслуживания.
Создавая систему защиты информации необходимо определить ее ориентировочную стоимость и дать разностороннюю оценку предполагаемых методов и средств защиты.
Процесс создания системы защиты информации состоит из следующих этапов:
инженерно-техническое обследование и описание информационных ресурсов системы;
определение наиболее критичных, уязвимых мест системы;
вероятностная оценка угроз безопасности информационным ресурсам;
экономическая оценка возможного ущерба;
стоимостной анализ возможных методов и средств защиты информации;
определение рентабельности применения системы защиты информации
Контрольные вопросы к главе 6
Попробуйте ответить на эти вопросы, не обращаясь к материалу учебника. Если у вас возникают затруднения, следуйте по ссылкам, указанным после вопроса.
Опишите основные потребительские свойства проекта. см. 6.1.1
Чем характеризуется социальный, технический и экономический эффект от внедрения АИС? см. 6.1.1
В чем состоит сущность принципа модульности при проектировании АИС? см. 6.1.1
Перечислите основные средства проектирования. см. 6.1.2
Какие из средств проектирования применяются в случае автоматизированного проектирования? см. 6.1.2 6.1.2.3
Что такое типовое проектное решение? см. 6.1.2
Каковы особенности метода оригинального проектирования? см. 6.1.2.1
В чем достоинства и недостатки метода оригинального проектирования? см. 6.1.2.1
В чем состоит сущность метода типового проектирования? см. 6.1.2.2
В чем преимущества метода типового проектирования по сравнению с оригинальным проектированием? см. 6.1.2.2
Каким образом в типовом проектировании достигается типовой характер информационного, программного и технического обеспечения? см. 6.1.2.2
см. 6.1.2.2
Какие подклассы метода типового проектирования вам известны? см. 6.1.2.2
Чем отличаются методы элементного и подсистемного проектирования? см. 6.1.2.2
Опишите сущность метода автоматизированного проектирования. см. 6.1.2.3
Какова роль моделей в автоматизированном проектировании? см. 6.1.2.3
Какие три относительно самостоятельные стадии включает разработка АИС? см. 6.1.3
Какие два этапа составляют предпроектную стадию? Подготовкой каких документов завершается каждый из них? см. 6.1.3.1
Какова роль разработчика и заказчика на предпроектной стадии? см. 6.1.3.1
Каков состав документов технического задания? см. 6.1.3.1 рис. 6.2.
Какова роль разработчика и заказчика на предпроектной стадии? см. 6.1.3.1
Опишите сущность второй стадии проектирования информационной системы. см. 6.1.3.2
В чем состоит назначение и состав технического проекта? см. 6.1.3.2 рис. 6.2.
В чем состоит назначение и состав рабочего проекта? см. 6.1.3.2 рис. 6.2.
Какова роль разработчика и заказчика на стадии технического и рабочего проектирования? см. 6.1.3.2
Назовите три основных этапа ввода ИС в эксплуатацию. см. 6.1.3.3
Какие документы подписываются при вводе ИС в эксплуатацию? см. 6.1.3.3
Как рассчитывается экономическая эффективность? см. 6.2
Из каких компонентов складывается экономический эффект от реализации новых технологий? см. 6.2.1
В чем проявляется прямой экономический эффект от реализации новых технологий? см. 6.2.1
В чем проявляется косвенный экономический эффект от реализации новых технологий? см. 6.2.1
Для чего при расчете косвенного экономического эффекта применяют метод экспертных оценок? см. 6.2.1
Из каких частей складываются затраты, связанные с реализацией информационных технологий? см. 6.2.2
Из чего состоят капитальные затраты при внедрении новых информационных технологий? см. 6.2.2
Из чего состоят текущие затраты при внедрении новых информационных технологий? см. 6.2.2
В каких случаях используют показатели сравнительной экономической эффективности? см. 6.2.3
В чем состоит сущность метода сравнительной экономической эффективности? см. 6.2.3
Определите понятие «безопасность информации». см. 6.3
Какие факторы приводят к обострению проблемы защиты информации и информационных систем? см. 6.3.1
Какие объективные причины способствуют бурному росту компьютерных преступлений? см. 6.3.1
Назовите основные типы дестабилизирующих факторов. см. 6.3.2
Какие основные аспекты учитывают при разработке системы защиты? см. 6.3.3
Опишите основные угрозы безопасности экономической информации. см. 6.3.4
Сформулируйте основные методы защиты информации. см. 6.3.5.1
Перечислите средства защиты экономической информации. см. 6.3.5.2
Что включают в себя программные средства защиты экономической информации? см. 6.3.5.2
Для чего предназначены криптографические средства защиты экономической информации? см. 6.3.5.2
Перечислите основные принципы защиты информации в информационнных системах. см. 6.3.6
Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет
studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав!Последнее добавление