Стратегия защиты информации

Реферат на тему: Стратегия защиты информации

 

 

 

 

 

 

 

 

 

Выполнила  студентка

 группы ЭП-121:

Которина Е.Е.

План

 

Тема: Стратегия защиты информации

Введение.......................................................................................................................1

1. Стратегия защиты информации.............................................................................6

2. Система защиты информации................................................................................9

Заключение.................................................................................................................14

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

Основные задачи и принципы защиты информации

Проблемы информационной безопасности постоянно усугубляется процессами проникновения практически во все сферы деятельности общества технических средств обработки и передачи данных и, прежде всего вычислительных систем. На сегодняшний день сформулировано три базовых принципа информационной безопасности, которая должна обеспечивать: целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных; конфиденциальность информации; доступность для всех авторизованных пользователей.

Теория защиты информации определяется как система основных идей, относящихся к защите информации в современных системах ее обработки, дающая целостное представление о сущности проблемы защиты, закономерностях ее развития и существенных связях с другими отраслями знания. В приведенном определении уже содержатся общие сведения о задачах теории защиты; в более же развернутом виде теория защиты должна:

1) предоставлять полные и адекватные  сведения о происхождении, сущности  и развитии проблем защиты;

2) полно и адекватно отображать  структуру и содержание взаимосвязей  с родственными и смежными  областями знаний;

3) аккумулировать опыт предшествующего  развития исследований, разработок  и практического решения задач  защиты информации;

4) ориентировать в направлении  наиболее эффективного решения  основных задач защиты и предоставлять  необходимые для этого научно-методологические  и инструментальные средства;

5) формировать научно обоснованные  перспективные направления развития  теории и практики защиты информации. (8, С. 12-14).

Сформулированным выше целевым назначением теории защиты предопределяется ее состав и общее содержание. Составными частями ее, очевидно, должны быть:

1) полные и систематизированные  сведения о происхождении, сущности  и содержании проблемы защиты;

2) систематизированные результаты  ретроспективного анализа развития  теоретических исследований и  разработок, а также опыта практического  решения задач защиты, полно и  адекватно отображающие наиболее  устойчивые тенденции в этом  развитии;

3) научно обоснованная постановка  задачи защиты информации в  современных системах ее обработки, полно и адекватно учитывающая  текущие и перспективные концепции  построения систем и технологий  обработки, потребности в защите  информации и объективные предпосылки  их удовлетворения;

4) общие стратегические установки  на организацию защиты информации, учитывающие все многообразие  потенциально возможных условий  защиты;

5) методы, необходимые для адекватного  и наиболее эффективного решения  всех задач защиты и содержащие  как общеметодологические подходы  к решению, так и конкретные  прикладные методы решения;

6) методологическая и инструментальная  база, содержащая необходимые методы  и инструментальные средства  решения любой совокупности задач  защиты в рамках любой выбранной  стратегической установки;

7) научно обоснованные предложения  по организации и обеспечению  работ по защите информации;

8) научно обоснованный прогноз  перспективных направлений развития  теории и практики защиты информации.

Приведенный перечень составных частей даже при таком общем представлении их содержания предметно свидетельствует о большом объеме и многоаспектности теории защиты, что, естественно, порождает значительные трудности ее формирования. Эти трудности усугубляются еще тем, что проблема защиты информации относится к числу сравнительно новых, причем по мере развития исследований, разработок и практической их реализации появляются новые аспекты, защита информации представляется все более комплексной и все более масштабной проблемой. Всю совокупность общеметодологических принципов удобно разделить на две группы: общетеоретические и теоретико-прикладные.

Так в самом общем виде могут быть представлены состав и содержание первой составляющей научно-методологического базиса теории защиты - общеметодологических принципов. Вторая составляющая этого базиса - инструментально-методологическая база. Методологический базис, как второй компонент теории защиты, составляют совокупности методов и моделей, необходимых и достаточных для исследований проблемы защиты и решения практических задач соответствующего назначения.

На формирование названных методов большое влияние оказывает тот факт, что процессы защиты информации подвержены сильному влиянию случайных факторов и особенно тех из них, которые связаны со злоумышленными действиями людей-нарушителей защищенности. Те же методы, стройная структура которых сформирована в классической теории систем, разрабатывались применительно к потребностям создания, организации и обеспечения функционирования технических, т.е. в основе своей формальных систем. Адекватность этих методов для удовлетворения указанных потребностей доказана практикой многих десятилетий. В силу сказанного в качестве актуальной возникла задача расширения комплекса методов классической теории систем за счет включения в него таких методов, которые позволяют адекватно моделировать процессы, существенно зависящие от воздействия трудно предсказуемых факторов.

Постановка задачи защиты информации, сформированная на основе анализа современных концепций информационного обеспечения деятельности в различных сферах и ретроспективного анализа развития подходов к защите, представляет собой как бы концентрированное выражение объективных потребностей в защите. Рассмотренные же принципы, методы и модели являются суммой научно-методологических предпосылок, на основе которых могут быть построены системы для удовлетворения этих потребностей. Далее с учетом этого могут быть сформированы и научно обоснованы проблемы, составляющие основное содержание теории защиты информации. В их числе:

1) принципиальные подходы к защите  информации в современных системах  ее обработки;

2) методы и средства, необходимые  для эффективного решения всего  комплекса задач защиты;

3) методы организации и обеспечения  функционирования создаваемых механизмов  защиты;

4) условия, соблюдение которых необходимо  или желательно для эффективного  решения задач защиты;

5) перспективы развития подходов, методов и средств зашиты.

К настоящему времени созданы основы теории зашиты, главное содержание которых сводится к следующему:

1) в целях четкого обозначения  принципиальных подходов к защите  введено понятие стратегии защиты;

2) в целях создания единого  инструментально-методического базиса, обеспечивающего решение на регулярной  основе проблем, разработана так  называемая унифицированная концепция  защиты информации;

3) в целях создания предпосылок  целенаправленного развития концепции  защиты исследованы перспективные (необходимые и возможные) способы, методы и средства решения  проблем защиты.

Обобщая определения, приводимые в различных источниках, можно сказать, что стратегия - это общая, рассчитанная на перспективу руководящая установка при организации и обеспечении соответствующего вида деятельности, направленная на то, чтобы наиболее важные цели этой деятельности достигались при наиболее рациональном расходовании имеющихся ресурсов.

Таким образом, стратегическая установка на защиту информации, очевидно, может быть сформулирована следующим образом: вся совокупность мероприятий по защите информации должна быть такой, чтобы во все время функционирования АСОД уровень защиты соответствовал требуемому, а выделяемые для этих целей ресурсы расходовались бы наиболее рациональным способом.

Организация защиты информации в самом общем виде может быть определена как поиск оптимального компромисса между потребностями в защите и необходимыми для этих целей ресурсами.

Потребности в защите обусловливаются, прежде всего, важностью и объемами защищаемой информации, а также условиями ее хранения, обработки и использования. Эти условия определяются уровнем (качеством) структурно-организационного построения АСОД, уровнем организации технологических схем обработки защищаемой информации, местом и условием расположения компонентов АСОД, а также некоторыми другими параметрами.

Размер ресурсов на защиту информации может быть ограничен определенным пределом, либо определяться условием обязательного достижения требуемого уровня защиты. В первом случае защита должна быть организована так, чтобы при выделенных ресурсах обеспечивался максимально возможный уровень защиты, а во втором так, чтобы требуемый уровень защиты обеспечивался при минимальном расходовании ресурсов.

2. Стратегия, концепция защиты информации

Защита от всех потенциально возможных угроз возможна только в случае знания всего их множества. Формирование этого множества представляет собою достаточно сложную научно-техническую и организационную проблему. Второй критерий выбора стратегий защиты определен как степень свободы действий при организации защиты. Однако совершенно очевидно, что при защите от известных угроз вряд ли будет целесообразным вмешательство в АСОД на концептуальном уровне, а защита от всех потенциально возможных угроз может быть достигнута лишь при создании изначально защищенной информационной среды, что не может быть достигнуто без вмешательства в архитектуру АСОД и технологию их функционирования.

Анализ сущности условий, способствующих эффективной реализации стратегий защиты, привел к следующему выводу: кардинальное повышение эффективности защиты информации не может быть достигнуто в рамках существующих концепций автоматизированной обработки информации. Необходимы принципиально иные концепции, построение которых требует существенного видоизменения постановки задачи развития и использования вычислительной техники, а также в целом взглядов на процесс совершенствования информационного обеспечения различных сфер деятельности.

Процессы, осуществляемые в каждой сфере деятельности, могут быть представлены в виде строго определенной совокупности функций. Например, в сфере организационного и организационно-технологического управления такую совокупность составляют функции планирования, оперативно-диспетчерского руководства быстротекущими процессами, календарно-планового руководства, обеспечения повседневной деятельности органов управления.

Содержание и последовательность осуществления каждой из функций могут быть представлены в виде четко сформулированной концепции. Например, названные выше функции управления структурированы до такой степени, что удалось построить достаточно унифицированную технологию управления.

Информационные процессы, осуществляемые в любой сфере деятельности, могут быть представлены некоторой совокупностью процедур (задач) трех классов: информационно-поисковых, логико-аналитических, поисково-оптимизационных. Для решения задач каждого из названных выше унифицированных классов может быть разработан полный арсенал методов и средств, причем полнота интерпретируется в том смысле, что любая задача в любых потенциально возможных условиях может быть решена рациональным образом.

Перечисленные результаты создают объективные предпосылки для построения унифицированной технологии автоматизированной обработки информации (УТАОИ).

Унифицированной концепцией защиты информации (УКЗИ) будем называть инструментально-методологическую базу, обеспечивающую практическую реализацию каждой стратегий защиты (оборонительной, наступательной, упреждающей), причем реализацию оптимальным образом, на регулярной основе и при минимальных затратах.

Структура унифицированной концепции защиты информации: 1 - концепции, формирующие среду защиты, 2 - структуризация среды защиты, 3 - система показателей защищенности информации, 4 - система дестабилизирующих факторов, воздействующих на информацию, 5 - методология оценки уязвимости информации, 6 - методология определения требований к защите информации, 7 - система концептуальных решений по защите информации а) функции защиты б) задачи защиты в) средства защиты г) система защиты, 8 - требования к концептуальным решениям, 9 - условия, способствующие повышению эффективности защиты в целом

1. Концепции, задающие ситуацию защиты. Ситуацию защиты, естественно, формируют концепции построения и использования АСОД и условия их функционирования. В настоящее время довольно четко обозначается тенденция построения таких АСОД, которые создавали бы объективные предпосылки для оптимального информационного обеспечения деятельности современных объектов (предприятий, учреждений, других организаций) на регулярной основе.

2. Методология описания ситуации защиты. В классической теории систем под описанием любой ситуации подразумевается строго формальное представление архитектуры и процессов функционирования соответствующей системы. К этому необходимо стремиться и при описании ситуаций защиты. Одна из наиболее характерных особенностей ситуаций, возникающих в процессе решения задач защиты, заключается в повышенном влиянии случайных факторов. Это обстоятельство существенно затрудняет формальное их описание.

3. Система показателей уязвимости (защищенности) информации. Под показателем уязвимости информации понимается мера потенциально возможного негативного воздействия на защищаемую информацию. Величина, дополняющая меру уязвимости до максимально возможного значения представляет собою меру защищенности информации. Поскольку современные АСОД и технологические схемы их функционирования могут быть чрезвычайно сложными, то не удается одним каким-либо показателем удовлетворить потребности решения всех задач защиты, необходимо некоторое (как оказалось, достаточно большое) их число. Однако при независимом их формировании и использовании неизбежна путаница и другие неудобства. Чтобы избежать этого, все показатели должны быть объединены в некоторую упорядоченную систему.