Методы и средства построения систем информационной безопасности и их структура

Создание систем информационной безопасности (СИБ) в ИС и ИТ основывается на следующих принципах:

- Системный подход к построению системы защиты, означающий оптимальное сочетание взаимосвязанных организационных, программных, аппаратных, физических и других свойств, подтвержденных практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации.

- Принцип непрерывного развития системы. Этот принцип, являющийся одним из основополагающих для компьютерных информационных систем, еще более актуален для СИБ. Способы реализации угроз информации в ИТ непрерывно совершенствуются, а потому обеспечение безопасности ИС не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования СИБ, непрерывном контроле, выявлении ее узких и слабых мест, потенциальных каналов утечки информации и новых способов несанкционированного доступа.

- Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т. е. предоставление как пользователям, так и самим работникам ИС минимума строго определенных полномочий, достаточных для выполнения ими своих служебных обязанностей.

- Полнота контроля и регистрации попыток несанкционированного доступа, т. е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИТ без ее предварительной регистрации.

- Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала.

- Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

- Обеспечение всевозможных средств борьбы с вредоносными программами.

- Обеспечение экономической целесообразности использования системы защиты, что выражается в превышении возможного ущерба ИС и ИТ от реализации угроз над стоимостью разработки и эксплуатации СИБ.

Методы и средства обеспечения безопасности информации в ИС схематически представлены на рис. 9.1.

Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Рис. 9.1. Методы и средства обеспечения безопасности информации

Управление доступом — методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации. Управление доступом включает следующие функции защиты:

- идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

- опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

- проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

- разрешение и создание условий работы в пределах установленного регламента;

- регистрацию (протоколирование) обращений к защищаемым ресурсам;

- реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.

Механизмы шифрования — криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по
каналам связи большой протяженности этот метод является единственно надежным.

Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ. Цели принимаемых мер — это уменьшение вероятности инфицирования АИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС. Овладение этим комплексом мер и средств требует знакомства со специальной литературой.

Регламентация — создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение — метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение — метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Вся совокупность технических средств подразделяется на аппаратные и физические.

Аппаратные средства — устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.

Программные средства — это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. Как отмечалось, многие из них слиты с ПО самой ИС.

Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография — это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

Организационные средства осуществляют регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий. Комплекс этих мер реализуется группой информационной безопасности, но должен находиться под контролем первого руководителя.

Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Морально-этические средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения. Характерным примером таких предписаний является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.

Список литературы

1. Автоматизация расчетов по материально-техническому обеспечению производства /В.Ф. Ситник, Н.С. Пличук, Б.Г. Волков. -К.: Техника, 1990.

2. Автоматизация управления предприятием / В. В. Баронов и др. — М.: ИНФРА-М, 2000. —239 с.

3. Автоматизированные информационные технологии в экономике: Учеб. / М. И. Семенов и др.; Под общ. ред. И. Т. Трубилина. — М.: Финансы и статистика, 1999. — 416 с.

4. Антонюк Б.Б. Информационные системы управления. -М., 1986.

5. Бажин И.И. Информационные системы менеджмента. – М.: ГУ-ВШЭ, 2000. – 688с.

6. Балагин В.В. Теоретические основы автоматизированного управления: Учеб. пособие для вузов. -Мн.: Вишейшая школа, 1991.

7. Баронов В. В., Попов Ю. И., Позин Б. А., Титовский И. Н. Особенности использования и внедрения ERP-систем в России: Материалы Internet. — Http: //www.citforum.ru

8. Барсуцкий Я.Г. Информационная система управления. - К.: Наукова думка, 1986.

9. Береза А. М. Основи створення інформаційних систем: Навч. посібник.—2-ге вид., перероб. і доп.—К.: КНЕУ, 2001.—214с.

10. Берсуцкий Я.Г. Информационная система управления предприятием. - К.: Наукова думка, 1986.

11. Берсуякий Я.Г. Информационная система управления. - К.: Наукова думка, 1986.

12. Бойко В.В., Савинков В.М. Проектирование баз данных информационных систем. - М.: Финансы и статистика, 1991.

13. Васильев Р.Ф. Охота за информацией. М., 1973, с.20.

14. Введение в информационный бизнес: Учеб. пособие /О.В. Голосов, С.А. Охрименко, А.В. Хорошилов и др. Под ред. В.П. Тихомирова, А.В. Хорошилова. -М.: Финансы и статистика, 1996.

15. Внедрение ERP-систем (эталонный процесс). Материал Internet. — http: //koi.citforum.tula.ru

16. Вовканыч С.И., Парфенцева Н.А. “Социальный интеллект”: метафора или научное понятие? // Социс, 1993, № 8, с.153.

17. Вовчак І.С. Автоматизовані системи менеджменту. - Тернопіль: СМП «Астон», 1998.

18. Вовчак І.С. Інформаційні системи та комп'ютерні технології в менеджменті. Навчальний посібник. - Тернопіль: Карт-бланш, 2001. -354 с.

19. Гордієнко І. В. Інформаційні системи і технології в менеджменті: Навч.-метод. посібник для самост. вивч. дисц. — 2-ге вид., перероб. і доп. — К.: КНЕУ, 2003. — 259 с.

20. Грабауров В.А. Информационные технологии для менеджеров. — М.: Финансы и статистик», 2001.— 368 с.

21. Громов Г.Р. Очерки информационной технологии. М., 1993, с. 19-20.

22. Гужва В.М. Інформаційні системи і технології на підприємствах: Навч. посібник. – К.: КНЕУ, 2001. – 400с.

23. Давинський Г. В. Побудова і функціонування складних систем управління. - К.: Вита щкола, 1989.

24. Данилевский Г.Ю., Петухов И.А., Шибанов B.C. Информационная технология в промышленности. - Л.: Машиностроение, 1988.

25. Информационные технологии управления: Учеб. пособие для вузов /Под ред. проф. ГА. Титоренко. - 2-е изд., доп. — М.: ЮНИТИ-ДАНА, 2003. - 439 с.

26. Колин К.К. Социальная информатика - научная база постиндустриального общества // Социальная информатика - 94, М., 1994, с.5.

27. Компьютеризация информационных процессов на промышленных предприятиях /В.Ф. Ситник, С.П. Риппа и др. - К.: Техника; - Катовице: Экономическая академия им. Карола Адамецкого, 1991.

28. Литвин І. Інформаційні процеси в управлінні. -Тернопіль: Економічна думка, 1998.

29. Мельников В. Защита информации в компьютерных системах. — М.: Финансы и статистика, Элекгронинформ, 1997.

30. Опис системи mySAP SCM: Матеріали Internet. — http: //www. sap.com/cis/solutions/scm/

31. Опис стандартів IDEF: Матеріали Internet. —http: //www.idef.com

32. Ракитов А.И. Философия компьютерной революции. М.1991, с.32-33.

33. Ріппа С.П. Прийняття рішень в економіці на основі комп'ютерних баз знань. -Львів: Каменяр, 1997.

34. Роза К. де. Эволюция развития информационных систем. Методология CSRP: Материалы Internet. — http: //www.tline.ru

35. Системный А. Мир систем управления: Материалы Internet. — Б/а.

36. Ситник В. Ф., Писаревська Т. А., Єрьоміна Н. В., Краєва О. С. Основи інформаційних систем: Навч. посібник / За ред. В. Ф. Ситника. —- 2-ее вид., перероб. і доп. — К.: КНЕУ, 2001. — 420 с.

37. Ситник В.Ф., Гужва В.М. та ін. Системи підтримки прийняття рішень. - К.: Техніка, 1995.

38. Ситник В.Ф., Сорока X., Еремина Н.В. и др. Компьютеризация информационных процесов на промышленных предприятиях. -К.: 1991.

39. Соколова И.В. Проблемы становления информатики как учебной дисциплины // Социальная информатика - 95, М., 1995, с.19-22.

40. Соломатин Е. CRM — бизнес на лояльности. Business Online 7/2001: Матеріали Internet. — http: //www.telecominfo.ru

41. Твердохлеб Н.Г. Машинная обработка экономической информации промышленных предприятий и объединений. - М.: Статистика, 1979.

42. Тычков Ю.И. Совершенствование управления промышленным предприятием с использованием информационных систем. -Новосибирск, 1988.

43. Урсул А. Информатизация партии: необходимость концепции и принципы ее разработки // Кадры партии, 1990, №2, с.71.

44. Эглинтайн Н. Что такое ERP?: Материалы Internet. — http: //www. consulting.ru.

 

[1] - от лат. mediatus - выступающий посредником

[2] термин “безбумажная информатика” введен академиком Глушковым В.М.

[3] - широкий обмен мыслями, значениями, в которые вступает каждый новый автор и каждый новый текст.

[4] - взаимодействие между текстами