- •Утверждаю
- •1. Введение
- •2. Основные понятия и определения
- •3. Концептуальная модель информационной безопасности
- •4. Общие положения концепции обеспечения безопасности информационных систем (ис)
- •Структура концепции обеспечения информационной безопасности.
- •5. Заключение
- •Литература Основная литература
- •Дополнительная литература
4. Общие положения концепции обеспечения безопасности информационных систем (ис)
Основные понятия концепции. Широко употребляемое в настоящее время понятие "концепция" происходит от латинского слова "conceptia" и в известных отечественных словарях имеет различное содержание: определенный способ понимания, трактовки какого-либо явления, основная точка зрения, руководящая идея для их освещения; ведущий замысел, конструктивный принцип различных видов деятельности. Исследования и систематизация существующих подходов к формированию концепций защиты информации и принципов построения современных информационных технологий позволили развить и сформулировать концепцию обеспечения информационной безопасности (ИБ) информационных систем и таких их классов как информационно-телекоммуникационные, автоматизированные системы обработки информации и управления.
Концепция обеспечения информационной безопасности ИС представляет содержание теоретических основ обеспечения информационной безопасности и их прикладных направлений, обеспечивающих принципы реализации оптимального уровня защиты информации, информационного ресурса, информационных систем, информационной среды личности, общества, государства с учетом затрат ресурсов, направленных на получение конечного народнохозяйственного результата, сбалансированного и согласованного развития производства.
С учетом этой концепции обеспечение ИБ предполагает реализацию дифференцированной комплексной защиты информации, при которой интегрированы в единое целое средства, механизмы, процессы, методы, мероприятия, программы и их взаимосвязи, способствующие реализации целей защиты, обеспечению структурного построения системы защиты, реализации концептуального подхода защиты и ее функционировании на всех этапах жизненного цикла.
Практическая реализация концепции предполагает систематизацию совокупности сведений и решений, необходимых и достаточных для изучения, анализа и синтеза систем защиты, решения задач и проблем защиты, возникающих в реальных информационных системах различных в условиях постоянного внешнего воздействия дестабилизирующих факторов и множества потенциальных угроз.
Структура концепции обеспечения информационной безопасности.
Основу общей структуры рассматриваемой концепции составляет ряд положений:
1. Формирование структурного представления системы обработки информации с учетом:
– сфер деятельности (экономика, политика, оборона, социальная сфера, управление, экология, СМИ, и др.);
– отношения к различным организационно-правовым формам собственности;
– степени самостоятельности функционирования, деятельности, взаимосвязей с различными государственными, общественными органами (министерствами, ведомствами, организациями) внутри страны и за рубежом.
2. Обоснование системной классификации информации, циркулирующей и обрабатываемой в информационных системах соответствующих классов:
– по степени важности (отнесение сведений и информации к государственной тайне, коммерческой тайне, интеллектуальной собственности, персональным данным);
– сферам (областям) ее использования (военная, экономическая и т.д.);
– степени (возможности) использования наработанной в ВПК информации в интересах народного хозяйства (двойное применение закрытой информации и информационных технологий в рамках программы конверсии);
– степени компьютеризации, автоматизации процесса обработки сведений и информации в системах ее обработки и управления.
3. Уточнение (формирование) унифицированной структуры информационных ресурсов и потоков в системе обработки и управления:
– формирование информационного ресурса по объектам отношений физических и юридических лиц государства (документы, массивы документов, в том числе находящиеся в информационных системах государственного, общественного, ведомственного и личностного характера), по классам ин формационных систем различного назначения (библиотеки, архивы, банки данных, базы данных, информационные технологии, процедуры и алгоритмы сбора, обработки, передачи, хранения, информации, научно-технический потенциал и т.д.);
– формирование структуры потоков обмена информационными ресурсами в системе обработки информации и управления.
4. Структурирование и представление среды, в которой должна осуществляться защита информации.
5. Формирование целей, задач комплексной защиты информации (обеспечения безопасности информации и информационной безопасности) и выбор моделей и методов их решения.
6.Уточнение перечня, структуры, классификации и характеристик объектов защиты информации.
7. Выявление, классификация и оценка возможных дестабилизирующих факторов, характеристик источников угроз безопасности информации и каналов утечки информации, оказывающих влияние на защищенность информации.
8. Выбор способов, методов и средств обеспечения безопасности информации и инструментальных средств системных оценок эффективности защиты информации.
9. Разработка системы концептуальных решений, обеспечивающих организацию эффективной защиты информации от любых потенциально возможных угроз.
10. Формирование системы условий, обеспечивающих практическую реализацию заданных вариантов и стратегий эффективной защиты.