1. Задачи функциональной безопасности
2. Международные и отечественные стандарты информационной безопасности
3. Составляющие функциональной безопасности
4. Этапы построения систем безопасности
Задача обеспечения безопасности информационных ресурсов осознана всеми. Информационным системам доверяют решение самых разнообразных и важных задач – автоматизированное управление технологическими процессами, электронные платежи и т.д. Растут масштабы и сложность корпоративных систем. Поэтому недостаточно ограничиться защитой отдельного участка. Требования информационной безопасности должны быть привязаны к цели обеспечения оптимального режима функционирования информационной системы в целом.
Особенностью функциональной безопасности является расстановка приоритетов каждого из этих свойств. Единой структуры информационной безопасности, оптимальной на все случаи, не существует. Каждая категория пользователей или ИТ-специалистов может иметь свой собственный набор требований, проблем и приоритетов, в зависимости от функций конкретной системы.
Под информационной безопасностью автоматизированной системы (АС) понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуре. В соответствии с Руководящими документами Гостехкомиссии информационная безопасность определяется наличием у системы следующих свойств:
F доступность — возможность для авторизованного пользователя информационной системы за приемлемое время получить информационную услугу, предусмотренную функциональностью;
F целостность — актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения;
F конфиденциальность — защита от несанкционированного ознакомления.
Многие системы ориентированы на предоставление определенных информационных услуг. Если по тем или иным причинам их получение пользователями становится невозможным, это наносит ущерб, как клиентам, так и владельцам информационных систем (поставщикам услуг). Для таких систем важнейшим элементом информационной безопасности является доступность предоставляемых услуг.
Например. В автоматизированных банковских системах, осуществляющих обслуживание клиентов, задача обеспечения доступности также важна, однако на первое место выходит задача обеспечения целостности передаваемой платежной информации.
Для работающих в реальном времени управляющих систем безусловный приоритет отдается доступности данных — защите от атак типа «отказ в обслуживании», резервированию важных компонентов и оперативному оповещению.
Для нормативно-справочных систем основной является задача обеспечения целостности, которая означает в первую очередь актуальность и непротиворечивость предоставляемой информации.
Мероприятия по защите информации охватывают целый ряд аспектов законодательного, организационного и программно-технического характера.
Для каждого из них формулируется ряд задач, выполнение которых необходимо для защиты информации. Так, в нормативно-законодательном аспекте необходимо решение следующих задач:
c определения круга нормативных документов федерального и отраслевого уровня, применение которых требуется при проектировании и реализации подсистемы информационной безопасности;
c определения на основе нормативных документов требований по категорированию информации;
c определения на основе нормативных документов набора требований к подсистеме информационной безопасности и ее компонентам.
В организационном аспекте необходимо решение следующих задач:
c определения соответствия категорированной информации ресурсам системы, в которых производится хранение, обработка и передача информации (должно быть организовано ведение реестра ресурсов, содержащих информацию, значимую по критериям конфиденциальности, целостности и доступности);
c определения набора служб, обеспечивающих доступ к информационным ресурсам системы (необходима выработка и согласование типовых профилей пользователей, ведение реестра таких профилей);
c формирования политики безопасности, описывающей условия и правила доступа различных пользователей к ресурсам системы, а также границы и способы контроля безопасного состояния системы, мониторинга деятельности пользователей.
В процедурном аспекте решаются следующие задачи:
c обеспечение решения задач информационной безопасности при управлении персоналом;
c организация физической защиты компонентов информационной системы;
c формирование, утверждение и реализация плана реагирования на нарушения режима безопасности;
c внесение дополнений, связанных со спецификой ликвидации последствий НСД доступа, в план восстановительных работ.
В программно-техническом аспекте необходимо решение следующих задач:
c обеспечения архитектурной безопасности решений, связанных с хранением, обработкой и передачей конфиденциальной информации;
c обеспечения проектной непротиворечивости и полноты механизмов безопасности;
c выработка и реализация проектных решений по механизмам безопасности.