Тема 4. Функциональная безопасность корпоративных систем

1. Задачи функциональной безопасности

2. Международные и отечественные стандарты информационной безопасности

3. Составляющие функциональной безопасности

4. Этапы построения систем безопасности

Задача обеспечения безопасности информационных ресурсов осознана всеми. Информационным системам доверяют решение самых разнообразных и важных задач – автоматизированное управление технологическими процессами, электронные платежи и т.д. Растут масштабы и сложность корпоративных систем. Поэтому недостаточно ограничиться защитой отдельного участка. Требования информационной безопасности должны быть привязаны к цели обеспечения оптимального режима функционирования информационной системы в целом.

Особенностью функциональной безопасности яв­ляется расстанов­ка приоритетов каждого из этих свойств. Единой структуры ин­формационной безопасности, оптимальной на все случаи, не су­ществует. Каждая категория поль­зователей или ИТ-специалистов может иметь свой собственный набор требова­ний, проблем и приоритетов, в зависимости от функций кон­кретной системы.

Под информационной безопасностью автоматизи­рованной системы (АС) понимают защищенность ин­формации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естест­венного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуре. В соответствии с Руководящими документами Гостехкомиссии информационная безопасность определяется наличием у системы следующих свойств:

F доступность — возможность для авторизованного пользователя информационной системы за прием­лемое время получить информационную услугу, предусмотренную функциональностью;

F целостность — актуальность и непротиворечи­вость информации, ее защищенность от разруше­ния и несанкционированного изменения;

F конфиденциальность — защита от несанкциони­рованного ознакомления.

Многие системы ориентированы на предоставле­ние определенных информационных услуг. Если по тем или иным причинам их получение пользовате­лями становится невозможным, это наносит ущерб, как клиентам, так и владельцам информационных систем (поставщикам услуг). Для таких систем важ­нейшим элементом информационной безопасности является доступность предоставляемых услуг.

Например. В автоматизированных банковских системах, осуществляющих обслуживание клиентов, задача обеспечения доступности также важна, однако на первое место выходит задача обеспечения целостно­сти передаваемой платежной информации.

Для работающих в реальном времени управляю­щих систем безусловный приоритет отдается дос­тупности данных — защите от атак типа «отказ в об­служивании», резервированию важных компонен­тов и оперативному оповещению.

Для нормативно-справочных систем основной является задача обеспечения целостности, которая означает в первую очередь актуальность и непроти­воречивость предоставляемой информации.

Мероприятия по защите информации охватыва­ют целый ряд аспектов законодательного, организа­ционного и программно-технического характера.

Для каждого из них формулируется ряд задач, вы­полнение которых необходимо для защиты информации. Так, в нормативно-законодательном аспекте необходимо решение следующих задач:

c определения круга нормативных документов федерального и отраслевого уровня, применение которых требуется при проектировании и реализации подсистемы информационной безопасности;

c определения на основе нормативных документов требований по категорированию информации;

c определения на основе нормативных документов набора требований к подсистеме информационной безопасности и ее компонентам.

В организационном аспекте необходимо реше­ние следующих задач:

c определения соответствия категорированной ин­формации ресурсам системы, в которых производится хранение, обработка и передача информации (должно быть организовано ведение реестра ресурсов, содержащих информацию, значимую по критериям конфиденциальности, целостности и доступности);

c определения набора служб, обеспечивающих доступ к информационным ресурсам системы (необхо­дима выработка и согласование типовых профилей пользователей, ведение реестра таких профилей);

c формирования политики безопасности, описывающей условия и правила доступа различных пользо­вателей к ресурсам системы, а также границы и спо­собы контроля безопасного состояния системы, мониторинга деятельности пользователей.

В процедурном аспекте решаются следующие за­дачи:

c обеспечение решения задач информационной безопасности при управлении персоналом;

c организация физической защиты компонентов информационной системы;

c формирование, утверждение и реализация плана реагирования на нарушения режима безопасности;

c внесение дополнений, связанных со спецификой ликвидации последствий НСД доступа, в план восстановительных работ.

В программно-техническом аспекте необходимо решение следующих задач:

c обеспечения архитектурной безопасности реше­ний, связанных с хранением, обработкой и передачей конфиденциальной информации;

c обеспечения проектной непротиворечивости и полноты механизмов безопасности;

c выработка и реализация проектных решений по механизмам безопасности.


Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  



double arrow
Сейчас читают про: