На главную страницу
Информационные системы и банки данныхУправление и принятие решений в сложных системахПрикладные информационные технологииКомпьютер в учебном процессеСетевые технологииПленарные доклады Карта сервераПобедители семинараИнформацияОбщее впечатлениеВаши отзывы
Назад к списку докладов

СОЗДАНИЕ КОМПЛЕКСОВ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

Ляпунов И.В.
(Московский Государственный Институт Электроники и Математики, Россия)

Проблема информационной безопасности в последнее время выходит на новый, более открытый общедоступный уровень. Создание систем защиты информации перестает быть областью деятельности только узко специализированных государственных структур, сейчас появляются коммерческие фирмы, работающие в этом секторе компьютерного рынка и оказывающие различные услуги по информационной безопасности. Это обусловлено рядом причин, среди которых изменение политики России в области защиты информации, появление в нормативных актах РФ понятия конфиденциальной по отношению к негосударственным структурам и частным лицам. В настоящее время постепенно открываются различные положения и руководящие документы, регулирующие деятельности в информационной безопасности.

Определим некоторые основные понятия рассматриваемой предметной области. Информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, наносящих ущерб владельцам или пользователям информации и поддерживающие инфраструктуре. Защита информации (ЗИ) - это комплекс мероприятий, направленных на обеспечение информационной безопасности, т.е. поддержание целостности, доступности и конфиденциальности информации и ресурсов, используемых для хранения, обработки и передачи данных.

Таким образом, можно говорить о необходимости и, более того, обязательности комплексного подхода к проблеме защиты информации предприятия или фирмы. Система безопасности должна охватывать весь жизненный цикл информационной системы (ИС) фирмы или самого предприятия, т.е. развиваться, изменяться, приспосабливаться к новым условиям вместе с ИС, предприятием. Поддержание актуальности СЗИ и адекватности ее окружающим условиям требует постоянных усилий со стороны администраторов безопасности организации, требует внимания к новинкам в области информационной защиты и нападения.

Руководство каждой организации должно осознавать необходимость поддержания режима информационной безопасности и выделения на эти цели значительных ресурсов. Основная цель руководства организации это выработка и поддержание политики безопасности, которая задает общее направление работ в данной области. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Она содержит: цели, общие направления в достижении этих целей, область применения, позиция организации по определенным аспектам ИБ, роли и обязанности персонала. Политика безопасности должна определять понятие конфиденциальной информации и правила отнесения данных к определенному уровню конфиденциальности. Существует три типа регуляторов в области информационной защиты предприятия: управленческие, операционные и программно-технические. К управленческим регуляторам относятся:

• управление рисками, т.е. оценка размеров возможного ущерба, выработка мер по уменьшению риска - заключение риска в разумные рамки, проверка результатов достигнутого;

• координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;

• стратегическое планирование;

• контроль деятельности и области информационной безопасности.

Операционные регуляторы, ориентированны на людей, т.к. они формируют режим информационной безопасности, и они являются главной угрозой ИС, основным каналом утечки конфиденциальной информации. Основными направлениями воздействия являются:

• управление персоналом;

• физическая защита;

• поддержание работоспособности;

• реакция на нарушение режима информационной безопасности;

• планирование восстановительных мероприятий.

Последний и самый важный рубеж защиты организации - программно- технический, т.к. основную часть ущерба организациям наносят действия легальных пользователей, по отношению к которым операционные регуляторы не могут дать решающего действия- В этой связи необходимо рассматривать и разрабатывать следующие подсистемы защиты:

• идентификация и аутентификация;

• управление доступом;

• протоколирование и аудит;

• криптография;

• экранирование.

Таким образом, обеспечение информационной безопасности организации является комплексной проблемой, требующей постоянного внимания, людских и материальных затрат, а также полной поддержки со стороны руководства предприятия и понимания - со стороны персонала и пользователей информационной системы.

RLE Banner Network