Безопасность информационных технологий

Считается, что сложную систему  невозможно описать в принципе. Это, в частности, касается систем управления предприятием. Одним из основных аргументов является изменение условий функционирования системы, например директивное изменение  тех или иных потоков информации новым руководством. Еще один аргумент - объемы технического задания, которые для крупного проекта могут составлять сотни страниц, в то время как технический проект может содержать ошибки. Возникает вопрос: а может, лучше вообще не проводить обследования и не делать никакого технического проекта, а писать систему "с чистого листа"в надежде на то, что произойдет некое чудесное совпадение желания заказчика с тем, что написали программисты, а также на то, что все это будет стабильно работать?

   Для разработки системы защиты информации проектировщикам необходимо выполнить следующие виды работ:

* на предпроектной стадии определить особенности хранимой информации, выявить виды угроз и утечки информации и оформить ТЗ на разработку системы;

* на стадии проектирования выбрать  концепцию и принципы построения  системы защиты и разработать  функциональную структуру системы  защиты;

 

* выбрать механизмы - методы защиты, реализующие выбранные функции;

* разработать программное, информационное  и технологическое и организационное  обеспечение системы защиты;

* провести отладку разработанной  системы;

* разработать пакет технологической  документации;

* осуществить внедрение системы;

* проводить комплекс работ по  эксплуатации и администрированию  системы защиты.

   Создание базовой системы защиты информации в ИС должно основываться на главных принципах:

* Комплексный подход к построению  системы защиты, означающий оптимальное  сочетание программных, аппаратных  средств и организационных мер  защиты.

* Разделение и минимизация полномочий  по доступу к обрабатываемой  информации и процедурам обработки.

* Полнота контроля и регистрация  попыток несанкционированного доступа.

* Обеспечение надежности системы  защиты, т.е. невозможность снижения  уровня надежности при возникновении  в системе сбоев, отказов, преднамеренных  действий нарушителя или непреднамеренных  ошибок пользователей и обслуживающего  персонала.

* "Прозрачность" системы защиты  информации для общего, прикладного  программного обеспечения и пользователей  информационной системой.

   Технологический процесс функционирования системы защиты информации от несанкционированного доступа, как комплекса программно-технических средств и организационных (процедурных) решений, предусматривает выполнение следующих процедур:

* учет, хранение и выдачу пользователям  информационных носителей, паролей,  ключей;

* ведение служебной информации (генерация  паролей, ключей, сопровождение правил  разграничения доступа);

* оперативный контроль функционирования  систем защиты секретной информации;

* контроль соответствия общесистемной  программной среды эталону;

* контроль хода технологического  процесса обработки информации  путем регистрации анализа действий  пользователей.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Заключение

   Выбор способов защиты информации в информационной системе - сложная оптимизационная задача, при решении которой требуется учитывать вероятности различных угроз информации, стоимость реализации различных способов защиты и наличие различных заинтересованных сторон. В общем случае для нахождения оптимального варианта решения такой задачи необходимо применение теории игр, в частности теории биматричных игр с ненулевой суммой, позволяющими выбрать такую совокупность средств защиты, которая обеспечит максимизацию степени безопасности информации при данных затратах или минимизацию затрат при заданном уровне безопасности информации.

   После выбора методов и механизмов необходимо осуществить разработку программного обеспечения для системы защиты. Программные средства, реализующие выбранные механизмы защиты, должны быть подвергнуты комплексному тестированию. Следует отметить, что без соответствующей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией механизмов и процедур нельзя решить проблему обеспечения безопасности информации, хранимой в информационной системе.

   Задачи, сформулированные во введении, решены, цель работы достигнута.

 

 

 

 

 

 

 

 

 

Список  литературы

1. Автоматизация управления предприятием / Баронов В.В., Калянов Г.Н., Попов Ю.Н, Рыбников А.И., Титовский И. Н. - М.: ИНФРА-М, 2000.

2. Атре Ш. Структурный подход к организации баз данных. - М.: «Финансы и статистика», 2003.

3. Благодатских В.А., Енгибарян М.А., Ковалевская Е.В. Экономика, разработка и использование программного обеспечения ЭВМ. - М.: Финансы и статистика,1997.

4. Вендров А.М. CASE - технологии. Современные методы и средства проектирования информационных систем. - М.: Финансы и статистика, 1998.- 176 с.

5. Гайкович В., Першин А. Безопасность электронных банковских систем. - М.: "Единая Европа", 1994.

6. Гост 19.001-77. Единая система программной  документации. Общие положения.- М.: Издательство стандартов, 1994.

7. Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации. - М.: Воениздат, 1992.

8. Левин В.К. Защита информации  в информационно-вычислительных

системах и сетях. / Программирование, 2004.-№5- 5-16 с.

9. Титоренко Г.А. - Автоматизированные информационные технологии в экономике. Учебник.- М.: ЮНИТИ, 2001.

¹ НСД- несанкционированные действия

² Атре Ш. Структурный подход к организации баз данных. - М.: «Финансы и статистика», 2003.

³ Несанкционированный доступ к информации (НСД) — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

⁴ Идентификация — частично осознаваемый психический процесс уподобления себя другому человеку или группе людей. В ряде случаев может относиться к механизмам психологической защиты

⁵ Авторизация — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий. Часто можно услышать выражение, что какой-то человек «авторизован» для выполнения данной операции — это значит, что он имеет на неё право.

⁶ НСД- несанкционированные действия

⁸ Вендров А.М. CASE - технологии. Современные методы и средства проектирования информационных систем. - М.: Финансы и статистика, 1998.- 176 с.

⁹ Вендров А.М. CASE - технологии. Современные методы и средства проектирования информационных систем. - М.: Финансы и статистика, 1998.- 176 с.

¹⁰ Априори — знание, полученное до опыта и независимо от него (знание априори, априорное знание), т.е. знание, как бы заранее известное.

¹¹ Аудит или аудиторская проверка — процедура независимой оценки деятельности организации, системы, процесса, проекта или продукта. Чаще всего термин употребляется применительно к проверке бухгалтерской отчётности организаций с целью выражения мнения о её достоверности.

¹² Гостехкомиссия- государственная техническая комиссия

¹³ СВТ- средства вычислительной техники

¹⁴ АС- автоматизированная система

¹⁵ Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации. - М.: Воениздат, 1992.

¹⁶ Конфиденциальность — необходимость предотвращения утечки (разглашения) какой-либо информации.

¹⁷ Криптография — наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности  (целостности и подлинности авторства, а также невозможности отказа от авторства) информации.

¹⁸ Левин В.К. Защита информации в информационно-вычислительных

системах и сетях. / Программирование, 2004.-№5- 5-16 с.