Оценка безопасности информационных систем. Методы и средства построения информационной безопасноти, их структура

 

Создание систем информационной безопасности (СИБ) в ИС и ИТ основывается на следующих принципах:

Системный

Принцип непрерывного развития системы..

Разделение и минимизация полномочий

Полнота контроля и регистрации попыток несанкционированного доступа

Обеспечение надежности системы защиты

Обеспечение контроля за функционированием системы защиты

Обеспечение всевозможных средств борьбы с вредоносными программами.

Обеспечение экономической целесообразности использования системы защиты

Система информационной безопасности, как и любая ИС, должна иметь определенные виды собственного программного обеспечения, опираясь на которые она будет способна выполнить свою целевую функцию.

1. Правовое обеспечение

2. Организационное обеспечение.

3. Информационное обеспечение

4. Техническое (аппаратное) обеспечение.

5. Программное обеспечение.

6. Математическое обеспечение.

7. Лингвистическое обеспечение.

8. Нормативно-методическое обеспечение.

Обеспечение и контроль безопасности представляют собой комбинацию технических и административных мер.

Методы и средства обеспечения безопасности информации в ИС схематически представлены на рисунке 1.

 

Рисунок 1 - Методы и средства обеспечения безопасности информации

Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом — методы защиты информации регулированием использования всех ресурсов ИС и ИТ.

Механизмы шифрования — криптографическое закрытие информации.

Противодействие атакам вредоносных программ

Регламентация — создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение — метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение — метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Вся совокупность технических средств подразделяется на аппаратные и физические.

Аппаратные средства — устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.

Программные средства — это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. Как отмечалось, многие из них слиты с ПО самой ИС.

Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография — это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

Организационные средства осуществляют регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе

Законодательные средства защиты определяются законодательными актами страны

Морально-этические средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются.