КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Организационно-административное обеспечение безопасности информации
По мнению специалистов, организационные мероприятия играют важную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала, игнорирующего элементарные правила защиты. Организационное обеспечение (рис. 3.7) — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий. Влияния этих аспектов практически невозможно избежать с помощью технических средств, программно-математических методов и физических мер. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или по крайней мере сводили к минимуму) возможность возникновения опасности для информации. К организационным мероприятиям можно отнести:
В каждом конкретном случае такие мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях. Очевидно, что организационные мероприятия охватывают самые различные источники информации и технические средства ее переработки. Значительная доля организационных мероприятий приходится на работу с сотрудниками. Организационные мероприятия при работе с сотрудниками предприятий различных форм собственности в общем плане включают в себя: – беседы при приеме на работу; – ознакомление с правилами и процедурами работы с конфиденциальной информацией на данном предприятии; – обучение сотрудников правилам и процедурам работы с конфиденциальной информацией; – беседы с увольняемыми. В результате беседы при приеме на работу устанавливается целесообразность приема кандидата на соответствующую вакансию. При приеме на работу возможно заключение между предприятием и сотрудником соглашения о неразглашении конфиденциальной информации, которая является собственностью организации. В подтверждение требований сохранения в тайне коммерческой информации поступающий на работу сотрудник дает подписку о сохранении коммерческой тайны предприятия и обязуется не раскрывать секреты фирмы. Обучение сотрудников предполагает не только приобретение и систематическое поддержание на высоком уровне производственных навыков, но и психологическое их воспитание в глубокой убежденности, что необходимо выполнять требования промышленной (производственной) секретности, информационной безопасности, защиты интеллектуальной собственности и коммерческой тайны. Систематическое обучение способствует повышению уровня компетентности руководства и сотрудников в вопросах защиты коммерческих интересов своего предприятия. Беседы с увольняющимися имеют главной целью предотвратить разглашение информации или ее неправильное использование. В ходе беседы следует особо подчеркнуть, что каждый увольняющийся сотрудник имеет твердые обязательства о неразглашении фирменных секретов и эти обязательства, как правило, подкрепляются подпиской о неразглашении известных сотруднику конфиденциальных сведений. Одним из важных направлений мероприятий является четкая организация системы делопроизводства и документооборота, которая обеспечивает порядок делопроизводства, порядок учета, обработки, хранения, уничтожения и контроля наличия и правильности исполнения документов. При реализации системы особое внимание нужно уделять безопасности документов и конфиденциальной информации. Организационные мероприятия по защите информации предусматривают: – обеспечение безопасности рабочих зданий и территории; – обеспечение безопасности отдельных зон и конкретных помещений; – организацию четкой системы контроля допуска и доступа на территорию (в помещение), к определенной информации. Документирование информации проводится по строго определенным правилам. Основные из них изложены в ГОСТ 6.38-90 «Система организационно-распорядительной документации. Требования к оформлению документов», ГОСТ 6.10.4-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники» и некоторых других. Надо отметить, что эти ГОСТы предполагают 31 реквизит, которые делают информацию документом, но не обязательно, чтобы присутствовали все предлагаемые реквизиты. Главный реквизит — это текст. Поэтому любая информация, изложенная в виде связного текста без каких-либо дополнительных реквизитов, уже может рассматриваться как документ, для придания определенной юридической силы которому необходимы такие важные реквизиты, как дата и подпись. Особый порядок существует только для документов, полученных из автоматизированных информационных систем. При этом, в определенных случаях, применяется процедура заверения электронной подписью информации, полученной от удаленного объекта. Основные организационные мероприятия — разработка перечня охраняемых сведений и проведение аттестации помещений на предмет выработки конкретных мер для защиты конфиденциальной информации. При аттестации помещений составляют аттестационные паспорта. Эта работа производится группами специалистов, оформляется актом, прикладываются соответствующие рекомендации и отдается приказ по организации, где указаны конкретные исполнители и сроки реализации. Для защиты информации требуется создать специальную административную службу, обеспечивающую все организационные мероприятия. Ее штатная структура, численность и состав определяется реальными потребностями фирмы, степенью конфиденциальности ее информации и общим состоянием безопасности. Защита информации — удовольствие достаточно дорогое, поэтому одним из принципов построения системы защиты должно стать дифференцирование степени защиты по ее важности и ценности. Анализ мирового и отечественного опыта обеспечения безопасности говорит о необходимости создания целостной системы безопасности учреждения, связывающей организационные, оперативные и оперативно-технические меры защиты с использованием современных методов прогнозирования, анализа и моделирования ситуаций. Важным дополнением организационных мероприятий является поддержка правильной конфигурации сетевой операционной системы. Решают такую задачу, как правило, системные администраторы. Администратор создает определенные правила, которые должны соблюдаться уже не людьми, а операционной системой. Администрирование системы — это правильное составление файлов конфигурации. В этих файлах (а их может быть несколько, например, по одному файлу для каждой части системы) и содержится описание правил функционирования системы. Административное обеспечение очень дешево, т.к. средства расходуются только на содержание специалиста (причем один специалист способен управлять сразу несколькими системами). Более того, большинством современных систем можно управлять удаленно. Обучение пользователей при этом требуется самое минимальное. Обычно система сама не даст пользователю произвести запрещенные действия, он просто видит, что какое-либо действие в системе просто не получается. Если административными мерами закрыт определенный порт соединения, то слабая с точки зрения безопасности программа ICQ не сможет соединиться со своим сервером и, как следствие, не будет функционировать. Уязвимость системы кроется в том, что, во-первых, система аутентификации пользователя базируется на имени пользователя и его пароле (имеются в виду общеупотребительные системы, экзотические случаи вроде использования сетчатки глаза в расчет не берутся), а во-вторых, в необходимости наличия в системе пользователя, наделенного правом администрировать систему — супервизора (supervisor). Достаточно нарушить режим хранения пароля супервизора и вся система окажется доступна для несанкционированного воздействия. Кроме того, система, основанная на таких правилах, — это статичная, закостенелая система. Она способна противостоять лишь строго определенным атакам. При возникновении какой-либо новой угрозы, не предусмотренной изначально, сетевая атака может быть не просто успешной, но и оказаться невидимой для системы. Пользователи должны уяснить для себя два несложных правила: – даже зная пароль супервизора, не следует вмешиваться в дела системных администраторов; – системные файлы, созданные в процессе администрирования, играют важную роль в системе безопасности корпоративных сетей, поэтому не следует трогать эти файлы, а уж тем более, удалять. Чтобы свести к минимуму риск в коммерческой деятельности, нужно оценивать всевозможные угрозы безопасности с учетом двух факторов: – возможной частоты угроз; – возможного ущерба от них. Поэтому очень важно четко уяснить, какая используемая в вашем учреждении информация, пусть даже не принадлежащая вам, подлежит обязательной защите. Начать надо с проведения предварительного анализа имеющейся информации. От этого в дальнейшем будет зависеть выбор степени ее защиты. Все это позволит дифференцировать мероприятия по обеспечению безопасности информации и, тем самым, сократить расходы. Принятие организационных мер по обеспечению безопасности информации ложится в первую очередь на администраторов сети и специалистов по защите информации. Выявить вмешательство в компьютерную систему часто трудно вследствие того, что злоумышленникам удается скрыть следы проникновения в систему. Все попытки взлома систем обнаруживаются, как правило, совершенно случайно. Например, администратор сети заметил пропуск в файле протокола или вхождение в систему в отсутствие пользователя. Или он был предупреждён другими администраторами безопасности о присутствии постороннего в сети. Обычно злоумышленники действуют в нерабочее время (с 18.00 до 8.00)» а также в выходные и праздничные дни. Поэтому для выявления несанкционированного доступа необходимо: – регулярно проверять файлы протоколов, особенно протоколов входа в систему; – отслеживать подсоединение неизвестных пользователей в непривычное время; – обращать внимание на идентификаторы пользователей, которые оставались какое-то время неиспользованными и оказались снова задействованными. Одним из способов выявления постороннего присутствия в сети является запуск каждые 10 мин обычной shell-процедуры, фиксирующей все процессы и соединения по сети в отдельном файле. Эта программа формирует списки пользователей, всех текущих процессов и сетевых подключений. Сегодня на рынке средств защиты представлены разнообразные системы защиты информации. Перед администратором безопасности встает вопрос определения необходимости и порядка их применения. Очевидно, что далеко не все компьютеры организации нужно оснащать дополнительными системами защиты информации, так как это требует новых материальных затрат и может только затруднить эксплуатацию всей компьютерной сети в целом. Применение средств защиты информации целесообразно при: – размещении на компьютерах средств криптографической защиты данных (здесь дополнительные средства защиты информации необходимы для защиты ключей электронной цифровой подписи и шифрования); – необходимости регламентации и протоколирования действий пользователей, работающих на компьютерах, подключенных к сети (в этом случае система защиты не позволяет пользователям действовать так, как не предусмотрено технологией обработки данных); – необходимости ограничения доступа пользователей, работающих на компьютере, к его локальным ресурсам (дискам, каталогам, файлам или внешним устройствам), а также исключения самостоятельного изменения состава и конфигурации программных средств, установленных на компьютере. Применение дополнительных средств защиты предполагает выполнение администратором безопасности ряда действий. Он должен: – устанавливать средства зашиты информации на компьютеры; – настраивать средства защиты информации путем задания прав доступа пользователей к ресурсам (как компьютеров, так и сети); – контролировать состояние защищенности компьютерной сети путем оперативного мониторинга и анализа системных журналов. Следует учитывать, что с первого раза правильно настроить систему защиты практически невозможно. Обычно это связано с отсутствием полного детального списка всех аппаратных, программных и информационных ресурсов системы, подлежащих защите, и готового противоречивого перечня прав доступа и полномочий каждого пользователя. Поэтому этап внедрения системы защиты информации обязательно включает первоначальное выявление, последовательное уточнение и соответствующее изменение настроек, устанавливаемых в этой системе. Очевидно, что те же самые действия администратору безопасности придется неоднократно повторять и на этапе эксплуатации системы защиты информации при изменениях состава технических средств» программного обеспечения и т. д. Такие изменения происходят довольно часто, поэтому средства управления этой системы должны обеспечивать удобство осуществления необходимых при этом настроек. В случае, если средства управления не приспособлены к этому, а сами системы защиты информации не обладают достаточной гибкостью, то очень скоро они становятся не помощником, а обузой для всех и, в первую очередь, — для администраторов безопасности. В конце концов такие системы защиты информации обречены на отторжение. Деятельность администратора безопасности на этапе эксплуатации системы защиты информации состоит в корректном и своевременном изменении полномочий пользователей и настройке защитных механизмов на компьютерах сети. С увеличением масштаба защищаемой компьютерной сети и при сохранении неизменным количества людей, отвечающих за ее информационную безопасность, изменяются требования к способам управления этой системой. Как показывает практика, решения, приемлемые для одного компьютера или небольшой сети из 10—15 рабочих станций, обычно не устраивают обслуживающий персонал и администраторов безопасности больших сетей, объединяющих сотни машин. Проблемы по управлению полномочиями пользователей и настройками системы защиты информации в компьютерной сети могут быть решены, например, на основе использования системы централизованного управления доступом к сети. Принцип реализации такой системы состоит в применении специального сервера управления доступом, работающего на основном файловом сервере сети, который осуществляет автоматическую синхронизацию центральной базы данных защиты с локальными базами данных защиты, размещенных на рабочих станциях. Введение распределенной базы данных защиты (центральной и локальных) гарантирует, что выход из строя сети или сервера управления доступом не будет препятствовать нормальному функционированию средств защиты на рабочих станциях. При данной системе управления доступом полномочия пользователя меняются периодически и заносятся в центральную базу данных защиты, а их изменение на конкретных компьютерах происходит во время очередного сеанса синхронизации. Кроме того, при смене пользователем своего пароля на одной из рабочих станций его новый пароль автоматически отражается в центральной базе данных защиты, а также передается на рабочие станции, на которых данному пользователю разрешено работать. Администратору безопасности необходимо контролировать состояние компьютерной сети как оперативно (путем слежения за состоянием защищенности компьютеров сети), так и не оперативно (путем анализа содержимого журналов регистрации событий системы защиты информации). Использование сервера управления доступом для оперативного контроля за состоянием рабочих станций и работой пользователей позволяет отказаться от постоянного администратора безопасности. В этом случае сервер управления доступом автоматически регистрирует несанкционированные действия, происходящие в сети, и всегда обладает оперативной информацией о состоянии рабочих станций. Увеличение количества рабочих станций и использование программных средств, включающих много разнообразных компонентов, приводит к существенному увеличению объемов журналов регистрации событий в системе зашиты информации. Объем сведений, хранящийся в журналах, может стать настолько большим, что администратор уже физически не сможет полностью проанализировать их содержимое за приемлемое время. Зашита от компьютерных вирусов в настоящее время основывается на применении организационных мероприятий и программных средств, которые практически включают в себя аппаратные возможности компьютеров, программных средств, системного программного обеспечения и специальных программных средств защиты. Организационные средства также позволяют минимизировать риск заражения компьютеров вирусами, а при заражении — сразу же информировать пользователя и помочь уничтожить вирус и его последствия. Организационные меры защиты включают следующие основные мероприятия: – резервирование (наличие всех основных компонентов операционной системы и программного обеспечения в архивах, копирование таблиц распределения файлов дисков, ежедневное ведение архивов изменяемых файлов); – профилактика (систематическая выгрузка содержимого активной части винчестера на дискеты, раздельное хранение компонентов программного обеспечения и программ пользователей, хранение неиспользуемых программ в архивах); – ревизия (обследование вновь получаемых программ на дискетах и дисках на наличие вирусов, систематическая проверка длин файлов, хранящихся на винчестере, использование и постоянная проверка контрольных сумм при хранении и передаче программного обеспечения, проверка содержимого загрузочных секторов винчестера и используемых дискет системных файлов); – фильтрация (разделение винчестера на логические диски с различными возможностями доступа к ним, использование резидентных программных средств слежения за файловой системой); – защита, основанная на применении специальных программных средств. Все эти мероприятия, в той или иной степени, включают использование различных программных средств защиты. К их числу необходимо отнести программы-архиваторы, программы резервирования важных компонентов файловой системы, просмотра содержимого файлов и загрузочных секторов, подсчета контрольных сумм и собственно программ защиты. Инженерно-техническое обеспечение безопасности информации В настоящее время для получения конфиденциальной информации злоумышленниками, в том числе и промышленными шпионами, используются самые разнообразные средства и способы проникновения на объекты, разработанные на основе последних достижений науки и техники, с использованием новейших технологий в области миниатюризации в интересах скрытного их использования. Для противодействия этому натиску службы безопасности оснащаются необходимой аппаратурой, не уступающей по надежности и функциональным возможностям аппаратуре злоумышленников. Инженерно-техническое обеспечение безопасности информации путем осуществления необходимых технический и организационных мероприятий должно исключать:
Методы защиты информации от большинства угроз базируются на инженерных и технических мероприятиях (рис. 3.8). Инженерно-техническая защита — это совокупность специальных органов, технических средств и мероприятий, функционирующих совместно для выполнения определенной задачи по защите информации. Инженерно-техническая защита использует следующие средства:
Физические средства включают в себя различные инженерные средства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и защищающие персонал (личные средства безопасности), материальные средства и финансы, информацию от противоправных действий. По уровню физической защиты все зоны и производственные помещения могут быть подразделены на три группы: · тщательно контролируемые зоны с защитой высокого уровня; · защищенные зоны; · слабо защищенные зоны. К первой группе относятся, как правило, серверные комнаты, помещения с сетевым и связным оборудованием, архив программ и данных. Ко второй группе относятся помещения, где расположены рабочие места администраторов, контролирующих работу сети, а также периферийное оборудование ограниченного пользования. В третью группу входят помещения, в которых оборудованы рабочие места пользователей и установлено периферийное оборудование общего пользования. К аппаратным средствам относятся приборы, устройства, приспособления и другие технические решения, используемые в интересах обеспечения безопасности. В практике деятельности любой организации находит широкое применение самая различная аппаратура: от телефонного аппарата до совершённых автоматизированных информационных систем, обеспечивающих ее производственную деятельность. Основная задача аппаратных средств — стойкая безопасность коммерческой деятельности. Программные средства — это специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки данных. Криптографические средства — это специальные математические и алгоритмические средства защиты информации, передаваемой по сетям связи, хранимой и обрабатываемой на компьютерах с использованием методов шифрования. В общем случае система физической безопасности должна включать в себя следующие подсистемы:
При построении системы физической безопасности, удовлетворяющей сформулированным требованиям, выбираются и объединяются средства противодействия из числа указанных ниже:
6. ОПРЕДЕЛЕНИЕ СТЕПЕНИ ЗАЩИЩЕННОСТИ СЕТИ Компьютерная сеть любой современной организации — это разнородная многокомпонентная система. Защита одного или нескольких компонентов не может обеспечить необходимый уровень защищенности информационных ресурсов предприятия, что в современной сложной обстановке, когда различные негативные проявления типа вирусных атак стали обычным повседневным явлением, — настоятельная потребность. Разумеется, компьютерной сети угрожают не только вирусы, здесь можно отметить сбои, остановки в работе, ошибки в программах, конфликты периферийных устройств, «дыры» в операционных системах и другие вредоносные факторы. Кроме того, вопросами обеспечения безопасности часто начинают заниматься тогда, когда информационное пространство объекта уже сформировалось. Между тем, любая информация — ценнейший товар предприятия. Ее потеря из-за неэффективно организованной защиты может обернуться серьезными финансовыми проблемами для ее собственника. Большинство пользователей сети предприятия (фирмы) являются профессионалами в различных областях, но не владеют в достаточной мере специальными знаниями в области защиты информации для оценки уровня безопасности сети. Если кто-либо из них, возможно, сможет грамотно сконфигурировать сложно настраиваемый комплекс, использовать специализированные прикладные программы, осуществлять администрирование сети, то многие не справятся с несложными операциями подключения внешних устройств. Поэтому даже в том случае, когда элементы комплекса средств защиты полностью или частично внедрены, вопрос, насколько они эффективны, остается актуальным. Для решения этого вопроса не всегда необходимо прибегать к таким дорогостоящим и требующим значительных временных затрат средствам, как сертификационная процедура оценки по требованиям безопасности. Современные требования, предъявляемые к защищенным компьютерным системам, изложены в документе, имеющем статус международного стандарта, который получил название «Общие критерии» (Common Criteria for Information Technology Security Evaluation. Version 1.0) и появился совсем недавно, отличаются большей гибкостью, динамизмом по сравнению с предшествующими. При этом подход, основанный на разработке подобных требований к информационным системам и дальнейшей оценке соответствия им, можно считать наиболее приемлемым. В настоящее время существует несколько методов оценки защищенности компьютерных сетей (рис. 3.9). Среди них можно выделить: – аналитический; – имитационный; – экспертный. Ни один из этих методов не имеет преимущества над другим. При выборе и использовании методов и моделей той или иной группы следует опираться только на их соответствие решаемой задаче и применять те методы, которые в данной ситуации наиболее оправданы. Что касается самого метода оценки защищенности, то здесь можно сказать следующее. Действительно, с методической точки зрения аналитические и имитационные модели, которые разработаны к настоящему времени, выглядят более предпочтительными, так как основываются на формализованном представлении предметной области. Экспертные методы позволяют находить решение в условиях слабоструктурированной предметной области. Однако отметим, что существующие на сегодняшний день модели и методики оценки во многом ориентированы на узкого специалиста-профессионала, который хорошо разбирается в данной конкретной проблематике. Что же касается вопроса определения необходимого набора требований и критериев оценки и их соблюдения, то здесь основная трудность состоит в сложности выработки полного и достоверного их множества и повторяющемся характере процедуры их конкретизации в течение всего жизненного цикла компьютерной сети. И эта трудность до сих пор не преодолена. Кроме того, найти компромисс между стремлением проектировщиков систем защиты к конкретности требований и совместимости их с современными типами архитектур локальных и распределенных сетей и желанием пользователей получить простую, однозначную и в то же время гибкую систему требований, определяющих защищенность, очень трудно. А с учетом роли специалистов-оценщиков, требующих детально регламентировать процедуру квалификационного анализа и максимально четко определить совокупность критериев оценки и их значения, ситуация достижения компромисса становится практически нереальной. Поэтому при решении задачи анализа защищенности компьютерной сети целесообразно сформировать группу специалистов-экспертов различного профиля (метод экспертной оценки), которые будут взаимодействовать с заказчиком (пользователем, проектировщиком) и корректировать требования в соответствии с их непониманием решаемых задач. Таким образом, процессы оценки качества функционирования сети с точки зрения безопасности будут органически вписываться в сценарий проектирования и эксплуатации компьютерной сети, а руководство предприятия и его ведущие специалисты смогут активно участвовать в этом процессе. Эксперты же, руководствуясь опытом и знаниями, смогут подсказать, на что следует обратить внимание, и ответить на вопрос, связанный с возможностью эксплуатации оцениваемой компьютерной сети с учетом обеспечиваемого уровня защищенности, который оправдан с точки зрения важности охраняемой и обрабатываемой средствами данной сети информации. Сама же оценка защищенности будет выполнять сразу несколько функций: – аналитическую, которая включает тщательное и всестороннее изучение сетевой структуры, ее элементов, внешней среды, в которой она функционирует; – контрольную, связанную с выработкой требований к разработке, внедрению и эксплуатации средств защиты; – консультативно-диагностическую, ориентированную на анализ состояния системы защиты сети, формирование рекомендаций по предпочтению и использованию механизмов, обеспечивающих защищенность. Применение метода экспертных оценок не является новым для решения задач в различных областях. Например, в медицине довольно часто практикуется сопоставление мнений ведущих специалистов, когда необходимо поставить диагноз и определить способ лечения пациента в случаях особо сложных заболеваний. Аналогично этому, в отношении задачи оценки защищенности компьютерной сети можно провести некоторую аналогию. Здесь при анализе механизмов, обеспечивающих защищенность, эксперт ставит своего рода диагноз, дающий ответ на вопрос о возможности использования данной системы для обработки конфиденциальной информации. При этом мнение одного специалиста может оказаться совершенно отличным от мнения другого, так как разные эксперты могут детально разбираться каждый в своей, достаточно узкой, профессиональной области. Объединение, сопоставление и анализ результатов оценки различных специалистов позволяют получить более полную картину относительно объекта экспертизы. Такой методический подход как раз и способствует выявлению широкого диапазона мнений специалистов в данной предметной области и получению на этой базе объективного экспертного заключения о защищенности оцениваемой компьютерной сети. Кроме того, при данном подходе возможно проведение экспертного анализа собственными силами предприятия, активно использующего средства информатизации. Это, конечно, не означает, что необходимость в специализированной оценке, осуществляемой сегодня специальными государственными структурами на основе соответствующих стандартов и нормативных документов, практически отпадает. Однако благодаря предварительному анализу защищенности по предлагаемой процедуре может уменьшиться вероятность повторного обращения в специализированные центры, в случае, когда принято решение о том, чтобы подвергнуть локальную сеть сертификационной процедуре. При выборе показателей оценки защищенности компьютерной сети должны учитываться следующие принципы: – ясность и измеряемость значений; – отсутствие перекрытия между используемыми показателями; – соответствие установившимся понятиям и терминологии; – возможность последующего уточнения, дополнения и детализации. Каждый показатель может принимать значения типа: «высокая», «средняя», «низкая», «полное соответствие», «частичное» и т. д. Такая формулировка создает достаточно удобства для работы эксперта, так как ему предлагается оценить степень соответствия фактического и требуемого состояния системы защиты сети по некоторым важным параметрам.
Дата добавления: 2014-01-07; Просмотров: 6288; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |