Визначення вимог до захищеності інформації

date image 2018-01-21
views image 398
Поделись с друзьями: 
26272829303132

Історично сформований підхід до класифікації державної інформації (даних) по рівнях вимог до її захищеності заснований на розгляді й забезпеченні тільки однієї властивості інформації - її конфіденційності (таємності). Вимоги ж до забезпечення цілісності й доступності інформації, як правило, лише побічно фігурують серед загальних вимог до систем обробки цих даних. Уважається, що раз до інформації має доступ тільки вузьке коло довірених осіб, то ймовірність її перекручування (несанкціонованого знищення) незначна. Низький рівень довіри до АС і перевага до паперової інформаційної технології ще більше збільшують обмеженість даного підходу.

Якщо такий підхід у якімсь ступені виправданий у чинність існуючої пріоритетності властивостей безпеки важливої державної інформації, то це зовсім не означає, що його механічне перенесення в іншу предметну область (з іншими суб’єктами і їхніми інтересами) буде мати успіх.

У багатьох областях діяльності (предметних областях) частка конфіденційної інформації порівняно мала. Для комерційної й персональної інформації, так само як і для державної інформації, що не підлягає засекречуванню, пріоритетність властивостей безпеки інформації може бути інший. Для відкритої інформації, збиток від розголошення якої незначний, найважливішими можуть бути такі якості, як доступність, цілісність або захищеність від неправомірного тиражування. Приміром, для платіжних (фінансових) документів найважливішим є властивість їхньої цілісності (вірогідності, неперекрученості). Потім, по ступені важливості, треба властивість доступності (втрата платіжного документа або затримка платежів може обходитися дуже дорого). Вимог до забезпечення конфіденційності окремих платіжних документів може не пред’являтися взагалі.

Спроби підійти до рішення питань захисту такої інформації з позицій традиційного забезпечення тільки конфіденційності, терплять провал. Основними причинами цього, на наш погляд, є вузькість існуючого підходу до захисту інформації, відсутність досвіду й відповідних пророблем у плані забезпечення цілісності й доступності інформації, що не є конфіденційною.

Розвиток системи класифікації інформації з рівнів вимог до її захищеності припускає введення ряду ступенів (градацій) вимог по забезпеченню кожного із властивостей безпеки інформації: доступності, цілісності, конфіденційності й захищеності від тиражування. Приклад градацій вимог до захищеності:

ü немає вимог;

ü низькі;

ü середні;

ü високі;

ü дуже високі.

Кількість дискретних градацій і вкладений у них зміст можуть різнитися. Головне, щоб вимоги до захищеності різних властивостей інформації вказувалися окремо й досить конкретно (виходячи із серйозності можливої шкоди суб’єктам інформаційних відносин, збитку від порушення кожного із властивостей безпеки інформації).

Надалі будь-який окремий функціонально закінчений документ (деяку сукупність знаків), що містить певні відомості, поза залежністю від виду носія, на якому він перебуває, будемо називати інформаційним пакетом.

До одного типу інформаційних пакетів будемо відносити пакети (типові документи), що мають подібність по деяких ознаках (за структурою, технології обробки, типу відомостей і т.і.).

Завдання полягає у визначенні реальних рівнів зацікавленості (висока, середня, низька, відсутній) суб’єктів у забезпеченні вимог до захищеності кожного із властивостей різних типів інформаційних пакетів, що циркулюють в АС.

Вимоги ж до системи захисту АС у цілому (методам і засобам захисту) повинні визначатися, виходячи з вимог до захищеності різних типів інформаційних пакетів, оброблюваних в АС, і з урахуванням особливостей конкретних технологій їхньої обробки й передачі (уразливості).

В одну категорію поєднуються типи інформаційних пакетів з рівними пріоритетами й рівнями вимог до захищеності (ступенем важливості забезпечення їхніх властивостей безпеки: доступності, цілісності й конфіденційності).

Пропонований порядок визначення вимог до захищеності циркулюючої в системі інформації представлений нижче:

1. Складається загальний перелік типів інформаційних пакетів, що циркулюють у системі (документів, таблиць). Для цього з урахуванням предметної області системи пакети інформації розділяються на типи по її тематиці, функціональному призначенню, схожості технології обробки й т.п. ознакам.

На наступних етапах первісна розбивка інформації (даних) на типи пакетів може уточнюватися з урахуванням вимог до їхньої захищеності.

2. Потім для кожного типу пакетів, виділеного в першому пункті, і кожної критичної властивості інформації (доступності, цілісності, конфіденційності) визначаються (наприклад, методом експертних оцінок):

- перелік і важливість (значимість по окремій шкалі) суб'єктів, інтереси яких зачіпаються при порушенні даної властивості інформації;

- рівень наносимого їм при цьому збитку (незначний, малий, середній, великий, дуже великий і т.п.)і відповідний рівень вимог до захищеності.

При визначенні рівня наносимого збитку необхідно враховувати:

- вартість можливих втрат при одержанні інформації конкурентом;

- вартість відновлення інформації при її втраті;

- витрати на відновлення нормального процесу функціонування АС і т.д.

Якщо виникають труднощі через великий розкид оцінок для різних частин інформації одного типу пакетів, то варто переглянути розподіл інформації на типи пакетів, повернувшись до попереднього пункту методики.

3. Для кожного типу інформаційних пакетів з урахуванням значимості суб'єктів і рівнів наносимого їм збитку встановлюється ступінь необхідної захищеності по кожному із властивостей інформації (при рівності значимості суб'єктів вибирається максимальне значення рівня).

Висновки

До визначення основних понять в області безпеки інформаційних технологій і загальних цілей захисту треба підходити з позиції захисту інтересів і законних прав суб'єктів інформаційних відносин. Необхідно завжди пам'ятати, що захищати треба саме суб'єктів інформаційних відносин, тому що в остаточному підсумку саме їм, а не самій інформації або системам її обробки може наноситися збиток. Іншими словами, захист інформації й систем її обробки - вторинне завдання. Головне завдання - це захист інтересів суб’єктів інформаційних відносин. Таке розміщення акцентів дозволяє правильно визначати вимоги до захищеності конкретної інформації й систем її обробки.

Відповідно до можливої зацікавленості різних суб’єктів інформаційних відносин існує чотири основних способи нанесення їм збитку за допомогою різного роду впливів на інформацію й системи її обробки:

- порушення конфіденційності (розкриття) інформації;

- порушення цілісності інформації (її повне або часткове знищення, перекручування, фальсифікація, дезінформація);

- порушення (часткової або повне) працездатності системи. Висновок з ладу або неправомірна зміна режимів роботи компонентів системи обробки інформації, їхня модифікація або підміна можуть приводити до одержання невірних результатів розрахунків, відмовам системи від потоку інформації (невизнанню однієї із взаємодіючих сторін факту передачі або прийому повідомлень) і/або відмовам в обслуговуванні кінцевих користувачів;

- несанкціоноване тиражування відкритої інформації (не є конфіденційної), наприклад, програм, баз даних, різного роду документації, літературних творів і т.д. у порушення прав власників інформації, авторських прав і т.і. Інформація, маючи властивості матеріальних об’єктів, має таку особливість, як невичерпність ресурсу, що істотно утрудняє контроль за її тиражуванням.

Захищати АС (з метою захисту інтересів суб’єктів інформаційних відносин) необхідно не тільки від несанкціонованого доступу (НСД) до збереженій і оброблюваній у них інформації, але й від неправомірного втручання в процес її функціонування, порушення працездатності системи, тобто від будь-яких несанкціонованих дій. Захищати необхідно все компоненти АС: устаткування, програми, дані, персонал.

Механічне перенесення підходів до забезпечення безпеки суб’єктів інформаційних відносин з однієї предметної області в іншу, як правило, успіху не має. Причина цього - істотні розходження інтересів суб’єктів у різних предметних областях, зокрема, розходження в пріоритетах властивостей захет информации, що, і вимог до характеристик систем обробки інформації.

Вимоги до рівня захищеності критичних властивостей інформаційних пакетів різних типів (документів, довідок, звітів і т.п.) у конкретній предметній області повинні встановлюватися її власниками або іншими суб’єктами інформаційних відносин на основі аналізу серйозності наслідків порушення кожного із властивостей інформації (типів інформаційних пакетів): доступності, цілісності й конфіденційності.

Перш ніж переходити до розгляду основних завдань і підходів до побудови систем захисту, покликаних забезпечити належний рівень безпеки суб’єктів інформаційних відносин, треба уточнити, від якого роду небажаних впливів необхідно захищати інформацію й автоматизовані системи її обробки й передачі

 

Питання для самоконтролю

1. Які причини загострення проблем забезпечення безпеки суб’єктів інформаційних відносин?

2. Які напрямки досліджень проблем захисту інформації?

3. Що таке інформація та інформаційні відносини?

4. Яка сукупність компонентів представляє автоматизовану систему обробки інформації?

5. Які вимоги суб’єктів інформаційних відносин щодо її безпеки?

6. Які властивості інформації і систем її обробки необхідно постійно підтримувать?

7. Які вимоги до захищеності інформації?

 

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

26272829303132

double arrow
Сейчас читают про:
article image
Типы финансовой устойчивости предприятия
article image
Конструктивные системы зданий и сооружений
article image
Конспект режимных моментов в средней группе в первую половину дня
article image
Уголовно-исполнительное право: Шпаргалка
article image
Формы, виды и типы культуры
article image
Требования безопасности в аварийных ситуациях. Действия работника при возникновении аварийных ситуаций, которые могут привести к несчастным случаям, пожару (взрыву)
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Работа всей вашей жизни – вот высший соблазн. © Пикассо ==> читать все изречения...
like icon 6281
like icon 5998
Понравился сайт? Поделись им с друзьями: