ВУЗ:
Составители:
Информационная система – это организационно-упорядоченная совокупность информационных ресурсов, техниче-
ских средств, технологий и персонала, реализующих информационные процессы в традиционном или автоматизированном
режиме для удовлетворения информационных потребностей пользователей.
Информационная безопасность АСОИ – состояние рассматриваемой автоматизированной системы, при котором она,
с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних информационных уг-
роз, а с другой − ее наличие и функционирование не создает информационных угроз для элементов самой системы и внеш-
ней среды.
Информационная безопасность достигается проведением соответствующего уровня политики информационной безо-
пасности.
Под
политикой информационной безопасности понимают совокупность норм, правил и практических рекомендаций,
регламентирующих работу средств защиты АСОИ от заданного множества угроз безопасности.
Система защиты информации – совокупность правовых норм, организационных мер и мероприятий, технических,
программных и криптографических средств и методов, обеспечивающих защищенность информации в системе в соответст-
вии с принятой политикой безопасности.
6.2.1. ОСНОВНЫЕ ПОЛОЖЕНИЯ БЕЗОПАСНОСТИ
ИНФОРМАЦИОННЫХ СИСТЕМ
Что касается подходов к реализации защитных мероприятий по обеспечению безопасности информационных систем, то
сложилась трехэтапная (трехстадийная) разработка таких мер.
Первая стадия –
выработка требований – включает:
•
определение состава средств информационной системы;
•
анализ уязвимых элементов ИС;
•
оценка угроз (выявление проблем, возникающих при наличия уязвимых мест);
•
анализ риска (прогноз возможных последствий, вызывающих эти проблемы).
Вторая стадия –
определение способов защиты – включает ответы на следующие вопросы:
Какие угрозы должны быть устранены и в какой мере?
Какие ресурсы системы должны быть защищаемы и в какой степени?
С помощью каких средств должна быть реализована защита?
Какова должна быть полная стоимость реализации защиты и затраты на эксплуатацию с учетом потенциальных угроз?
Третья стадия –
определение функций, процедур и средств безопасности, реализуемых в виде некоторых механиз-
мов защиты
.
6.2.2. ОСНОВНЫЕ ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В АС
Для защиты АС на основании руководящих документов Гостехкомиссии сии могут быть сформулированы следующие
положения.
1. Информационная безопасность АС основывается на положениях требованиях существующих законов, стандартов и
нормативно-методических документов.
2. Информационная безопасность АС обеспечивается комплексом программно-технических средств и поддерживаю-
щих их организационных мер.
3. Информационная безопасность АС должна обеспечиваться на всех технологических этапах обработки информации
и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.
4. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характе-
ристики АС (надежность, быстродействие, возможность изменения конфигурации АС).
5. Неотъемлемой частью работ по ИБ является оценка эффективности средств защиты, осуществляемая по методике,
учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и прак-
тическую реализацию средств защиты.
6. Защита АС должна предусматривать контроль эффективности средств защиты. Этот контроль может быть периоди-
ческим либо инициироваться по мере необходимости пользователем АС или контролирующим органом.
Рассмотренные подходы могут быть реализованы при обеспечении следующих основных принципов:
Принцип системности. Системный подход к защите информационных систем предполагает необходимость учета всех
взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов:
− при всех видах информационного проявления и деятельности;
−
во всех структурных элементах;
−
при всех режимах функционирования;
−
на всех этапах жизненного цикла;
−
с учетом взаимодействия объекта защиты с внешней средой.
Система защиты должна строиться не только с учетом всех известных каналов проникновения, но и с учетом возмож-
ности появления принципиально новых путей реализации угроз безопасности.
Принцип комплексности. В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер,
методов и средств защиты компьютерных систем (современные СВТ, ОС, инструментальные и прикладные программные
средства, обладающие теми или иными встроенными элементами защиты). Комплексное их использование предполагает
Страницы
- « первая
- ‹ предыдущая
- …
- 63
- 64
- 65
- 66
- 67
- …
- следующая ›
- последняя »
