Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Трехуровневая модель проблемы защищенности ИС

Читайте также:
  1. A. Шестишаговая модель
  2. II. ПРОБЛЕМЫ РАЗВИТИЯ
  3. II.Диагностика проблемы.
  4. III. ПРОБЛЕМЫ ДЛЯ ИТОГОВОГО КОНТРОЛЯ
  5. III. ФИЛОСОФСКИЕ ПРОБЛЕМЫ СОЗНАНИЯ.
  6. IX.8. Социальные и этические проблемы научно-технического прогресса
  7. Part 10. Страны третьего мира. Проблемы миграции.

 

 

Система целей Средства Исполнение
Общая цель: Установки: Обеспечение:
защищенные • защищенность • законы, нормы
информационные • конфиденциаль- • характер ведения бизнеса
системы ность • контракты, обязательства
Цели: • целостность • внутренние принципы
• безопасность • готовность к работе • международные, отраслевые, и
• безотказность • точность внутренние стандарты
• деловое взаимо- • управляемость Реализация:
действие • безотказность • методы взаимодействия с внеш-
  • прозрачность ней и внутренней средой • методы работ
  • удобство пользо-
  вания • анализ рисков
  Подтверждения: • методы разработки, внедрения,
  • внутренняя оценка • эксплуатации и сопровождения
  • аккредитация • обучение
  • внешний аудит  

Это качественное определение содержит необходимое достаточное условие безопасности. При этом не обусловливается, какие механизмы и каким образом реализуют безопасность — практическая реализация зависит от многих факторов: вида и размера бизнеса, предметной области деятельности компании, типа информационной системы, степени ее рас-пределейности и сложности, топологии сетей, используемого ПО и т.д. В общем случае можно говорить о степени доверия, или надежности систем, оцениваемых по двум основным критериям.

1. Наличие и полнота политики безопасности — набор внешних и корпоративных стандартов, правил и норм поведения, отвечающих законодательным актам страны и регламентирующих сбор, обработку, распространение и защиту информации. В частности, стандарты и правила определяют, в каких случаях и каким образом пользователь имеет право оперировать с конкретными наборами данных. В политике сформулированы права и ответственности пользователей и персонала отделов информационной безопасности (ИБ), позволяющие выбирать механизмы защиты безопасности системы. Политика безопасности — это активный компонент защиты, включающий в себя анализ возможных угроз и рисков, выбор мер противодействия и методологию их применения. Чем больше информационная система и чем больше она имеет «входов» и «выходов» (распределенная система), тем «строже», детализированнее и многообразнее должна быть политика безопасности.


20.2. Методология анализа защищенности информационной системы 489

2. Гарантированностъ безопасности — мера доверия, которая может быть оказана архитектуре, инфраструктуре, программно-аппаратной реализации системы и методам управления ее конфигурацией и целостностью. Гарантированность может проистекать как из тестирования и верификации, так и из проверки (системной или эксплуатационной) общего замысла и исполнения системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность является пассивным, но очень важным компонентом защиты, реализованным качеством разработки, внедрения, эксплуатации и сопровождения информационной системы и заложенных принципов безопасности.

Концепция гарантированности является центральной при оценке степени защиты, с которой информационную систему можно считать надежной. Надежность обеспечивается всей совокупностью защитных механизмов системы в целом и надежностью вычислительной базы (ядра системы), отвечающих за проведение в жизнь политики безопасности. Надежность вычислительной базы определяется ее реализацией и корректностью исходных данных, вводимых административным и операционным персоналом. Компоненты вычислительной базы могут не быть абсолютно надежными, однако это не должно влиять на безопасность системы в целом.

Основное назначение надежной вычислительной базы — выполнять функции монитора обращений и действий, т.е. контролировать допустимость выполнения пользователями определенных операций над объектами. Монитор проверяет каждое обращение к программам или данным на предмет их согласованности со списком допустимых действий. Таким образом, важным средством обеспечения безопасности является механизм подотчетности или протоколирования. Надежная система должна фиксировать все события, касающиеся безопасности, а ведение протоколов дополняется аудитом — анализом регистрационной информации.

Эти общие положения являются основой для проектирования и реализации безопасности открытых информационных систем [4].


Дата добавления: 2015-10-16; просмотров: 120 | Нарушение авторских прав


Читайте в этой же книге: Правовые и информационно-справочные системы и базы данных | Понятие открытых систем | Международные структуры в области стандартизации информационных технологий | Архитектурные спецификации (эталонные модели) | Эталонная модель среды открытых систем (модель OSE) | Базовая эталонная модель взаимосвязи открытых систем | Понятие профиля открытой системы | Классификация профилей | Основные свойства и назначение профилей | Пример компоновки функционального профиля |
<== предыдущая страница | следующая страница ==>
Определение защищенной информационной системы| Методология анализа защищенности информационной системы

mybiblioteka.su - 2015-2024 год. (0.006 сек.)