Принципы обеспечения условий безопасности в ИС

Информационная безопасность – это меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе.

Цель:

обезопасить ценность системы, защитить и гарантировать точность информации, минимизировать разрушения, которые могут иметь место если информация будет модифицирована или разрушена.

Информационная безопасность дает гарантию:

1. конфидициальности критической информации;

2. доступность информации когда она нужна;

3. учет всех процессов связанных с информацией;

4. целостность информации и связанность с ней процессов.

Некоторые технологии по защите системы и обеспечение учета свех событий могут быть встроены в сам компьютер, либо могут быть встроенны в программу. При принятии решения о выборе уровня сложности технологии для защиты системы требуется установление критичности и последующего определения адекватного уровня.

Под критическими данными понимаем данные, которые требуют защиты из-за вероятности нанесения ущерба в том случае, если произойдет умышленное или случайное раскрытие, изменение или разрушение данных. Данный термин включает в себя данные чьё неправильное использовани или раскрытие может отрицательно отразится на способности организации решать свои задачи, а так же персональные данные, защита которых требуется указом президента РФ и законами РФ.

 

Принципы безопасности

Безопасность определяется как совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:

1. невозможность миновать защитные средства, т.е. применительно к межсетевым экранам принцип невозможности миновать защитные средства означает, что все информационные потоки в защищаемую сеть и из нее должны проходить через экран. Не должно быть "тайных" модемных входов или тестовых линий, идущих в обход экрана.

2. усиление самого слабого звена, т.е. надежность любой обороны определяется самым слабым звеном. Часто самым слабым звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобретает нетехнический характер.

3. недопустимость перехода в открытое состояние означает, что при любых обстоятельствах (в том числе нештатных), СЗИ либо полностью выполняет свои функции, либо должна полностью блокировать доступ.

4. минимизация привилегий; этот принцип предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.

5. разделение обязанностей - предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс. Это особенно важно, чтобы предотвратить злонамеренные или неквалифицированные действия системного администратора.

6. многоуровневая защита предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией - управление доступом и, как последний рубеж, - протоколирование и аудит. Эшелонированная оборона способна по крайней мере задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий.

7. разнообразие защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками преодоления СЗИ.

8. простота и управляемость информационной системы определяет возможность формального или неформально доказательства корректности реализации механизмов защиты. Только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное администрирование.

9. обеспечение всеобщей поддержки мер безопасности - носит нетехнический характер. Рекомендуется с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое.