Файловый архив студентов. Файловый архив студентов.
1264 вуза, 4628 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московская финансово-юридическая академия
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ИБиЗИ методичка.doc
Скачиваний:
400
Добавлен:
17.04.2014
Размер:
643.07 Кб
Скачать
►Содержание►

1.4. Системный подход к построению системы защиты информации

Современное понятие защиты информации находится в центре внимания исследователей в различных странах уже несколько десятков лет и ассоциируется, как правило, с проблемами создания систем защиты информации на различных уровнях её использования. Несмотря на то, что существует еще большое количество неразрешенных и спорных вопросов в теории информационной безопасности, в настоящее время сложилась типовая структура системы защиты информации, используемая большинством развитых стран мира.

Под защитой информации в общем виде понимают соединение в единое целое отдельных элементов, механизмов, процессов, явлений, мероприятий, мер и программ их взаимосвязей, способствующих реализации целей защиты и обеспечению структурного построения системы защиты.

Под системой защиты информации – будим понимать совокуп­ность взаимосвязанных элементов, функционирование которых направлено на обеспечение безопасности информации, образует

Такими элементами являются люди, инженерные конструкции и технические средства, обеспечивающие защиту информации независимо от их принадлежности к другим системам. Ядро системы защиты образуют силы и средства, основными функциями которых является обеспечение информационной безопасности. Однако они составляют лишь часть сил и средств системы защиты информации. Например, в систе­му защиты информации входят не только структурные подразде­ления (служба безопасности, отдел режима и секретности, 1-й от­дел и др.), предназначенные для защиты информации, но все работники организации, обязанные в меру своей ответственности обеспечивать защиту информации. Следовательно, они также являются элементами системы защиты информации организации. И если какой-либо сотрудник организации нарушит правила обраще­ния с секретными или конфиденциальными документами, то возможен огромный ущерб, несмотря на безупречную работу других элементов системы защиты.

Для системы защиты информации очень трудно точно указать места входов и выходов. Входами любой системы являются силы и воздействия, изменяющие состояние системы. Такими силами и воздействиями являются угрозы. Угрозы могут быть внутренни­ми и внешними, в том числе такие трудно локализуемые как сла­бая правовая дисциплина сотрудников, некачественная эксплуатация средств обработки информации или наличие в помещении радио и электрических приборов, побочные физические процес­сы в которых способствуют несанкционированному распространению защищаемой информации. Источниками угроз могут быть злоумышленники, технические средства внутри организации, работники организации, техногенные и стихийные бедствия и т. д.

Выходы системы представляют собой реакцию системы на входы. Выходами системы являются меры по защите информации. Однако локализовать в пространстве выходы системы так же сложно, как и входы. Каждый сотрудник, например, в меру своей от­ветственности обязан заниматься задачами защиты информации и принимать меры по обеспечению ее безопасности. Меры по защи­те информации также включают разнообразные способы и средс­тва, в том числе документы, определяющие доступ сотрудников к защищаемой информации в конкретном структурном подразделе­нии организации.

Следовательно, система защиты информации представляет собой модель системы, объединяющей силы и средства организации, обеспечивающие защиту информации.

К параметрам системы, по терминологии относятся (рис. 3):

  • цели и задачи (конкретизированные в пространстве и во време­ни цели);

  • входы и выходы системы;

  • ограничения, которые необходимо учитывать при построении (модернизации, оптимизации) системы;

  • процессы внутри системы, обеспечивающие преобразование входов в выходы.

Цели представляют собой ожидаемые результаты функциони­рования системы защиты информации, а задачи то, что надо сделать для того, чтобы система могла обеспечить достижение поставленных целей. Возможность решения задач зависит от ресурса, выделяемого на защиту информации. Ресурс включает в себя людей, решающих задачи защиты информации, финансовые, технические и другие средства, расходуемые на защиту информации. Входами системы защиты информации являются угрозы информации, а выходами — меры, которые надо применить для предотвращения уг­роз или снизив их до допустимого уровня. Наконец, мероприятия, действия и технологии, определяющие меры защиты, соответствующие угрозам, образуют процесс.

Процесс представляет собой выбор для угроз на входе системы рациональных вариантов защиты, удовлетворяю­щих значениям используемых показателей эффективности защи­ты. Следовательно, процесс выбора должен включать также пока­затели эффективности, по которым производится выбор мер из множества известных.

Решение проблемы защиты информации с точки зрения системного подхода можно сформулировать как трансформацию существующей системы, не обеспечивающей требуемый уровень защищенности, в систему с заданным уровнем безопасности информации.

Рис 3. Параметры системы защиты информации

Компонентами для построения и обеспечения системы защиты информации являются:

  • предмет защиты;

  • объекты (предметы) защиты;

  • источники угрозы безопасности информации;

  • угрозы безопасности информации;

  • мотивы условия и обстоятельства реализации угроз со стороны нарушителей;

  • каналы утечки, пути несанкционированного доступа к конфиденциальной информации;

  • методы и способы доступа к объекту (предмету) защиты, реализация угроз;

Предмет защиты выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).

Объект защиты конфиденциальной информацииявляются люди, документы, публикации, технические носители информации, техниче­ские средства обеспечения производственной и трудовой деятель­ности, продукция и отходы производства.

Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы.

Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.

Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкциониро­ванного доступа к охраняемым сведениям.

Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, доступности. Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к изменению характеристик информационной безопасности.

Мотивы, условия и обстоятельств, которые толкают (заставляют) нарушителей умышленно (преднамеренно) или не умышленно (не преднамеренно, случайно, ошибочно) к свершению правонарушений или преступлений.

Канал утечки или путь несанкционированного доступа это путь от источника информации через среду распространения к нарушителю получателю) информации.

Методы и способы доступа к источнику информации это выбор и применение и использование средств взлома или обхода средств защиты информации.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности