Читайте также:
|
Системный подход - это концепция решения сложных слабоформализуемых проблем, рассматривающая объект изучения (исследования) или проектирования в виде системы.
Основные принципы системного подхода состоят в следующем:
- любая система является подсистемой более сложной системы, которая влияет на структуру и функционирование рассматриваемой;
- любая система имеет иерархическую структуру, элементамии связями которой нельзя пренебрегать без достаточных оснований;
- при анализе системы необходим учет внешних и внутренних влияющих факторов, принятие решений на основе их небольшого числа без рассмотрения остальных может привести к нереальным результатам;
- накопление и объединение свойств элементов системы приводит к появлению качественно новых свойств, отсутствующих у ее элементов. Последний принцип утверждает, что система как целое приобретает дополнительные свойства, отсутствующие у ее частей, в отличие от традиционного, который предполагает, что свойства объекта или субъекта есть совокупность свойств его частей.
С позиции системного подхода совокупность взаимосвязанных элементов, функционирование которых направлено на обеспечение безопасности информации, образует систему защиты информации. Такими элементами являются люди (руководство и сотрудники организации, прежде всего, службы безопасности), инженерные конструкции и технические средства, обеспечивающие защиту информации. Следует подчеркнуть, что речь идет не о простом наборе взаимосвязанных элементов, а объединенных целями и решаемыми задачами.
Решение проблемы защиты информации с точки зрения системного подхода можно сформулировать как трансформацию существующей системы в требуемую.
Целями системы защиты являются обеспечение требуемых уровней безопасности информации на фирме, в организации, на предприятии (в общем случае - на объекте защиты). Задачи конкретизируют цели применительно к видам и категориям защищаемой информации, а также элементам объекта защиты и отвечают на вопрос, что надо сделать для достижения целей.
Рис. 13.1. Основные характеристики системы защиты
В качестве ориентира для оценки требуемого уровня защиты необходимо определить соотношение между ценой защищаемой информации и затратами на ее защиту. Уровень защиты рационален, когда обеспечивается требуемый уровень безопасности информации и минимизируются расходы на информацию. Эти расходы Сри складываются из:
- затрат на защиту информации Сзи;
- ущерба Суи за счет попадания информации к злоумышленнику и использования ее во вред владельцу.
Между этими слагаемыми существует достаточно сложная связь, таккакущерб из-за недостаточной безопасности информации уменьшается, с увеличением расходов на ее защиту.
Входами системы инженерно-технической защиты информации являются:
- воздействия злоумышленников при физическом проникновении к источникам конфиденциальной информации с целью ее хищения, изменения или уничтожения;
- различные физические поля электрические сигналы, создаваемые техническими средствами злоумышленников и которые воздействуют на средства обработки и хранения информации;
- стихийные силы, прежде всего, пожара, приводящиек уничтожениюили изменению информации;
- физические поля и электрические сигналы с информацией, передаваемой по функциональным каналам связи;
- побочные электромагнитные и акустические поля, а также электрические сигналы, возникающие в процессе деятельности объектов защиты и несущие конфиденциальную информацию.
Выходами системы защиты являются меры по защите информации, соответствующие входным воздействиям.
Алгоритм процесса преобразования входных воздействий (угроз) в меры защиты определяет вариант системы защиты. Вариантов, удовлетворяющих целям и задачам, может быть много.
Проектирование требуемой системы защиты проводится путем системного анализа существующей и разработки вариантов требуемой. Алгоритм этого процесса включает следующие этапы:
- определение перечня защищаемой информации, целей,задач, ограничений и показателей эффективности системы защиты;
- моделирование существующей системы и выявление ее недостатков с позиции поставленных целей и задач:
- определение и моделирование угроз безопасностиинформации;
- разработка вариантов (алгоритмов функционирования) проектируемой системы:
- сравнение вариантов по глобальному критерию и частным показателям, выбор наилучших вариантов:
- обоснование выбранных вариантов системы в докладной записке или в проекте для руководства организации;
- доработка вариантов или проекта с учетом замечаний руководства.
Так как отсутствуют формальные способы синтеза системы защиты, то ее оптимизация при проектировании возможна путем постепенного приближения к рациональному варианту в результате нескольких итераций.
Алгоритм проектирования системы защиты информации представлен на рис. 13.3.
В ходе проектирования создаются модели объектов защиты и угроз безопасности информации, в том числе модели каналов утечки информации, оцениваются угрозы, разрабатываются способы защиты информации, выбираются технические средства, определяются эффективность защиты и необходимые затраты. Разработка способов и средств защиты информации прекращается, когда достигается требуемый уровень ее безопасности, а затраты на защиту соответствуют ресурсам.
Рис. 13.3. Алгоритм проектирования системы защиты информации
Корректировка мер по защите информации производится после рассмотрения проекта руководством организации, а также в ходе реализации проекта и эксплуатации системы защиты.
Дата добавления: 2015-10-28; просмотров: 153 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Особенности лицензирования и сертификации в области защиты информации. | | | Принципы построения и основные характеристики индикаторов электромагнитного поля. |