Основные принципы построения систем защиты АС

Защита информации в АС должна основываться на следующих основных принципах:

·системности;

·комплексности;

·непрерывности защиты;

·разумной достаточности;

·гибкости управления и применения;

·открытости алгоритмов и механизмов защиты;

·простоты применения защитных мер и средств.

Принцип системности

Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности АС. При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Принцип комплексности

В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонированно. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одной из наиболее укрепленных линий обороны призваны быть средства защиты, реализованные на уровне операционных систем (ОС) в силу того, что ОС - это как раз та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж обороны.

Принцип непрерывности защиты

Защита информации - это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации. Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы. Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.

Разумная достаточность

Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

Гибкость системы защиты

Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

Открытость алгоритмов и механизмов защиты

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако, это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.

Принцип простоты применения средств защиты

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.). Источник: http://oitzi.ru/Materials.aspx?doc_id=30&id=614

Основные принципы построения систем безопасности

-принцип законности. Реализация этого принципа осуществляется за счет тщательного соблюдения и выполнения при разработке и построении систем безопасности Положений и требований действующего законодательства и нормативных документов. -принцип своевременности. Реализуется принятием упреждающих мер обеспечения безопасности.

-принцип совмещения комплексности и эффективности и экономической целесообразности. Реализуется за счет построения системы безопасности, обеспечивающей надежную защиту комплекса имеющихся на предприятии ресурсов от комплекса возможных угроз с минимально возможными, но не превышающими 20% стоимость защищаемых ресурсов затратами.

-принцип модульности. Реализуется за счет построения системы на базе гибких аппаратно-программных модулей. Модульность программы позволяет ей работать в двух режимах – дежурном и инсталляции, позволяет наращивать, изменять конфигурацию системы и вносить другие изменения без замены основного оборудования.

-принцип иерархичности. Реализуется за счет построения многоуровневой структуры, состоящей из оборудования Центра, оборудования среднего звена и объектового оборудования. Модульность и иерархичность позволяют разрабатывать системы безопасности для самого высокого организационно - структурного уровня;

-принцип преимущественно программной настройки. Реализуется за счет использования для перенастройки оборудования способ ввода новых управляющих программ – модулей;

-принцип совместимости технологических, программных, информационных, конструктивных, энергетических и эксплуатационных элементов в применяемых технических средствах. Технологическая совместимость обеспечивает технологическое единство и взаимозаменяемость компонентов. Это требование достигается унификацией технологии производства составных элементов системы. Информационная совместимость подсистем систем безопасности обеспечивает их оптимальное взаимодействие при выполнении заданных функций. Для ее достижения используются стандартные блоки связи с ЭВМ, выдерживается строгая регламентация входных и выходных параметров модулей на всех иерархических уровнях системы, входных и выходных сигналов для управляющих воздействий.

Цели и задачи систем безопасности

Целью построения системы безопасности является предотвращение или снижение ущерба из-за потерь вследствие совершения угроз защищаемым ресурсам, а также обеспечение условия для быстрого восстановления жизнедеятельности предприятия.

Задачи системы безопасности заключаются:

- в своевременном выявлении и устранении угроз;

- в создании механизма и условий оперативного реагирования на угрозы безопасности в различных ситуациях их проявления;

- в создании условий для максимально возможного восстановления ущерба, полученного в результате нарушения безопасности.== Проектирование и внедрение систем безопасности

Проектирование систем безопасности

1) разработка Концепции обеспечения информационной безопасно-сти. Определяются основные цели, задачи и требования, а также общая стратегия построения системы ИБ. Идентифицируются критичные ин-формационные ресурсы. Вырабатываются требования к системе ИБ и определяются базовые подходы к их реализации;

2) создание / развитие политики ИБ;

3) построение модели системы управления ИБ;

4) подготовка технического задания на создание системы информационной безопасности.

5) создание модели системы ИБ;

6) разработка техническо-рабочего проекта (ТРП) создания системы ИБ и архитектуры системы ИБ. ТРП по созданию системы ИБ включает следующие документы:

• пояснительную записку, содержащую описание основных технических решений по созданию системы ИБ и организационных мероприятий по подготовке системы ИБ к эксплуатации;

• обоснование выбранных компонентов системы ИБ и определение мест их размещения. Описание разработанных профилей защиты;

• спецификацию на комплекс технических средств системы ИБ;

• спецификацию на комплекс программных средств системы ИБ;

• определение настроек и режима функционирования компонентов системы ИБ.

7) тестирование спроектированной системы ИБ;

8) разработка организационно-распорядительных документов систе-мы управления ИБ (политик по обеспечению информационной безопасности, процедур, регламентов и др.).

9) разработка рабочего проекта (включая документацию на использу-емые средства защиты и порядок администрирования, план ввода системы ИБ в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы.

Внедрение систем безопасности

После проведения полного тестирования спроектированной системы ИБ, можно приступать к её внедрению. Работы по внедрению системы включают выполнение следующих задач:

• поставку программных и технических средств защиты информации;

• инсталляцию программных компонентов;

• настройку всех компонентов и подсистем;

• проведение приёмо-сдаточных испытаний;

• внедрение системы управления ИБ;

• обучение пользователей;

• ввод системы ИБ в промышленную эксплуатацию.

Для эффективной дальнейшей эксплуатации системы необходимо обеспечить её поддержку и сопровождение (собственными силами компании или силами привлекаемых специалистов).