Обеспечение безопасности информации

Размещено на http://www.allbest.ru/

Реферат:

Обеспечение безопасности информации

Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей - оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности. Напомним, что ущерб наносят в основном действия легальных пользователей, по отношению к которым процедурные регуляторы малоэффективны. Главные враги - некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять. Компьютеры помогли автоматизировать многие области человеческой деятельности. Вполне естественным представляется желание возложить на них и обеспечение собственной безопасности. Даже физическую защиту все чаще поручают не охранникам, а интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и по организации, и по информационному пространству. Это вторая причина, объясняющая важность программно-технических мер. Следует, однако, учитывать, что быстрое развитие информационных технологий не только предоставляет обороняющимся новые возможности, но и объективно затрудняет обеспечение надежной защиты, если опираться исключительно на меры программно-технического уровня. Причин тому несколько:

- повышение быстродействия микросхем, развитие архитектур с высокой степенью параллелизма позволяет методом грубой силы преодолевать барьеры (прежде всего криптографические), ранее казавшиеся неприступными;

- развитие сетей и сетевых технологий, увеличение числа связей между информационными системами, рост пропускной способности каналов расширяют круг злоумышленников, имеющих техническую возможность организовывать атаки;

- появление новых информационных сервисов ведет и к образованию новых уязвимых мест как "внутри" сервисов, так и на их стыках;

- конкуренция среди производителей программного обеспечения заставляет сокращать сроки разработки, что приводит к снижению качества тестирования и выпуску продуктов с дефектами защиты;

- навязываемая потребителям парадигма постоянного наращивания мощности аппаратного и программного обеспечения не позволяет долго оставаться в рамках надежных, апробированных конфигураций и, кроме того, вступает в конфликт с бюджетными ограничениями, из-за чего снижается доля ассигнований на безопасность.

Что значит гарантированная безопасность? Это состояние безопасности, за которое кто-то готов поручиться, в том числе и деньгами, которые придется отдать, если это состояние будет нарушено и потребуется компенсация нанесенного ущерба. Для обеспечения гарантированной безопасности информации в автоматизированных компьютерных системах должны решаться задачи, представленные в виде схемы на рисунке.

В настоящее время при реализации проектов создания автоматизированных информационных систем (АИС) в основном решаются задачи обеспечения достоверности данных, защиты информации и безопасности создаваемых систем. Но кто может поручиться, что это делается достаточно хорошо, кто может выступить гарантом безопасности принятых и реализованных решений? На этот вопрос не составило бы труда ответить, если бы при этом решались задачи обеспечения доверия и гарантий безопасности информации в создаваемых компьютерных системах. Система обеспечения доверия к безопасности информации должна: 1) определять критерии для оценки безопасности существующих и создаваемых систем; 2) собирать доказательства соответствия создаваемых систем этим критериям; 3) формулировать обоснованные предложения по совершенствованию существующих методов и систем обеспечения защищенности, безопасности и достоверности информации в тех случаях, когда они не удовлетворяют имеющимся критериям. Система обеспечения доверия должна быть тесно связана с системой обеспечения гарантий. Последняя должна обеспечивать наличие источников и ресурсов компенсации потерь и затрат на восстановление безопасного состояния систем в случае нарушения их безопасности. В результате гарантии безопасности должны следовать не только из ответственности пользователей и собственников АИС и их финансовых возможностей, но и из обязаделять критерии для оценки безопасности существующих и создаваемых систем; 2) собирать доказательства соответствия создаваемых систем этим критериям; 3) формулировать обоснованные предложения по совершенствованию существующих методов и систем обеспечения защищенности, безопасности и достоверности информации в тех случаях, когда они не удовлетворяют имеющимся критериям. Система обеспечения доверия должна быть тесно связана с системой обеспечения гарантий. Последняя должна обеспечивать наличие источников и ресурсов компенсации потерь и затрат на восстановление безопасного состояния систем в случае нарушения их безопасности. В результате гарантии безопасности должны следовать не только из ответственности пользователей и собственников АИС и их финансовых возможностей, но и из обязательств разработчиков, поставщиков услуг и страховых фирм, готовых страховать имеющиеся риски. Преимущество использования такой схемы состоит не столько в экономии средств пользователей АИС, сколько в создании системы большей ответственности и обеспечении большей безопасности при создании и эксплуатации АИС.

Неразвитость инфраструктуры обеспечения доверия

Другая проблема заключается в том, что на сегодняшний день инфраструктура обеспечения доверия и гарантий безопасности крайне не развита. Какие основания для обеспечения доверия существуют в настоящее время? Исполнение требований Гостехкомиссии РФ и ФСБ РФ и получение об этом сертификационных, лицензионных и атсвидетельств. Но требования Гостехкомис-сии и ФСБ охватывают далеко не все проблемы обеспечения информационной безопасности (ИБ).

Мировой опыт говорит о необходимости создания фирм, предоставляющих услуги аудита по всему перечню проблем обеспечения ИБ. Именно заключения аудиторских фирм, как правило, используются страховыми фирмами для определения условий страхования информационных и компьютерных рисков (киберрисков).

Система мониторинга и контроля

Для крупных государственных и коммерческих организаций еще одним способом приобретения доверия может стать система мониторинга и контроля над состоянием безопасности информационно-коммуникационной инфраструктуры (кибер-безопасности). Ее данные могли бы стать основой для принятия решений по условиям страхования рисков.

Институтом системного анализа Российской академии наук (ИСА РАН) разработаны системы автоматизации управления кибербезо-пасностью "АванГард" и "РискМенеджер", которые способны обеспечить приобретение доверия к системам информационной безопасности органов государственной власти и коммерческих организаций национального и транснационального масштаба.

Необходимость доверия к кибербезопасности

Развитие инфраструктуры и систем приобретения доверия к обеспечению информационной безопасности, несомненно, будет способствовать становлению и развитию систем обеспечения гарантий кибербезопасности. В свою очередь, развитие системы страхования киберрисков должно стать мощным механизмом обеспечения надежности систем получения доверия, поскольку страховщики всегда предпочтут верить только тем источникам, которые не допускают никаких подтасовок и неточностей в своих оценках имеющегося уровня безопасности.

Для стабильного развития инфраструктур и систем приобретения доверия и обеспечения гарантий безопасности в стране необходимо, чтобы все проекты информатизации, осуществляемые за счет государственных инвестиций, обязательно предусматривали обеспечение доверия к кибербезопасности и получение гарантий безопасности создаваемых информационно-коммуникационных систем.

информация безопасность система компьютерный

Список литературы

1. Кононов А.А., Бурдин О.А. Пример автоматизации аудита и управления информационной безопасностью компании // Петренко С.А., Петренко А.А. Аудит безопасности Intranet. -- М, ДМК Пресс, 2002. -- С. 286-332.

2. Бурдин О.А., Кононов А.А. Комплексная экспертная система управления информационной безопасностью "АванГард" // Информационное общество, № 3, 2002. -- С. 38-44.

3. Черешкин Д.С., Кононов А.А. Концепция создания национальной инфраструктуры защиты информации // Научно-техническая информация, № 8, Сер. 1, 2003. -- С. 9-12.

4. Смолян Г.Л., Кононов А.А. Проблемы обеспечения гарантий безопасности информационного общества // Научно-техническая информация, № 8, Сер. 1, 2003. -- С. 13-18.

5. Кононов А.А. Принципиальные задачи управления безопасностью национальной информационно-телекоммуникационной инфраструктуры // Научно-техническая информация, № 8, Сер. 1, 2003. -- С. 19-22.

6. Бурдин О.А., Кононов А.А., Поликарпов А.К. Аксиоматика управления рисками и безопасностью автоматизированных информационных систем // Научно- техническая информация, № 8, Сер. 1, 2003. -- С. 23-26.

7. Кононов А.А., Поликарпов А.К. Автоматизация построения профилей защиты с использованием комплексной экспертной системы "АванГард" // Научно-техническая информация, № 8, Сер. 1, 2003. -- С. 27-32.

Размещено на Allbest.ru