![]() Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Информационная безопасностьинформационных систем
Сравнительный анализ стандартов информационной безопасности. Опыт эксплуатации существующих компьютерных систем обработки информации показывает, что проблема обеспечения безопасности еще далека от своего решения, а предлагаемые производителями различных систем средства защиты сильно различаются как по решаемым задачам и используемым методам, так и по достигнутым результатам. Это определяет актуальность проблемы построения защищенных систем обработки информации, решение которой следует начать с анализа причин сложившейся ситуации. Проблема защиты машинной информации на современном уровне развития информатизации общества столь важна и многогранна, что заслуживает более подробного рассмотрения, чем другие аспекты автоматизации профессиональной деятельности. Для того чтобы объединить усилия всех специалистов в направлении конструктивной работы над созданием защищенных систем, необходимо определить, что является целью исследований, что мы хотим получить в результате и чего в состоянии достичь. Для ответа на эти вопросы и согласования всех точек зрения на проблему создания защищенных систем разработаны и продолжают разрабатываться стандарты информационной безопасности. Это документы, регламентирующие основные понятия и концепции информационной безопасности на государственном или межгосударственном уровне, определяющие понятие «защищенная система» посредством стандартизации требований и критериев безопасности, образующих шкалу оценки степени защищенности вычислительных систем (ВС). В соответствии с этими документами защищенная система обработки информации представляет собой систему, отвечающую тому или иному стандарту информационной безопасности. Этот факт позволяет сопоставлять степени защищенности различных систем относительно установленного стандарта. Основные понятия и определения. Политика безопасности — совокупность норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз. Модель безопасности — формальное представление политики безопасности. Дискреционное, или произвольное, управление доступом — управление доступом, основанное на совокупности правил предоставления доступа, определенных на множестве атрибутов безопасности субъектов и объектов, например, в зависимости от грифа секретности информации и уровня допуска пользователя. Ядро безопасности — совокупность аппаратных, программных и специальных компонентов ВС, реализующих функции защиты и обеспечения безопасности. Идентификация — процесс распознавания сущностей путем присвоения им уникальных меток (идентификаторов). Аутентификация — проверка подлинности идентификаторов сущностей с помощью различных (преимущественно криптографических) методов. Адекватность — показатель реально обеспечиваемого уровня безопасности, отражающий степень эффективности и надежности реализованных средств защиты и их соответствия поставленным задачам (в большинстве случаев это задача реализации политики безопасности). Таксономия — наука о систематизации и классификации слож-ноорганизованных объектов и явлений, имеющих иерархическое строение. Таксономия основана на декомпозиции явлений и поэтапном уточнении свойств объектов (иерархия строится сверху вниз). Прямое взаимодействие — принцип организации информационного взаимодействия (как правило, между пользователем и системой), гарантирующий, что передаваемая информация не подвергается перехвату или искажению. Защищенная система обработки информации для определенных условий эксплуатации обеспечивает безопасность (доступность, конфиденциальность и целостность) обрабатываемой информации и поддерживает свою работоспособность в условиях воздействия на нее заданного множества угроз. Под защищенной системой обработки информации предлагается понимать систему, которая соответствует требованиям и критериям стандартов информационной безопасности. Отсюда вытекают следующие задачи, которые необходимо и достаточно решить, для того чтобы создать защищенную систему обработки информации, а именно: . в ходе автоматизации процесса обработки конфиденциальной информации реализовать все аспекты этого процесса, связанные с обеспечением безопасности обрабатываемой информации; . обеспечить противодействие угрозам безопасности, действующим в среде эксплуатации защищенной системы; · реализовать необходимые требования соответствующих стандартов информационной безопасности.
|