Принципы
обеспечения безопасности
систем с использованием
ЭВМ.
Информация
с точки зрения информационной безопасности
обладает следующими категориями:
- конфиденциальность
– гарантия того, что конкретная информация
доступна только тому кругу лиц, для кого
она предназначена; нарушение этой категории
называется хищением либо раскрытием
информации
- целостность
– гарантия того, что информация сейчас
существует в ее исходном виде, то есть
при ее хранении или передаче не было произведено
несанкционированных изменений; нарушение
этой категории называется фальсификацией
сообщения
- аутентичность
– гарантия того, что источником информации
является именно то лицо, которое заявлено
как ее автор; нарушение этой категории
также называется фальсификацией, но уже
автора сообщения
- апеллируемость
– довольно сложная категория, но часто
применяемая в электронной коммерции
– гарантия того, что при необходимости
можно будет доказать, что автором сообщения
является именно заявленный человек, и
не может являться никто другой; отличие
этой категории от предыдущей в том, что
при подмене автора, кто-то другой пытается
заявить, что он автор сообщения, а при
нарушении апеллируемости – сам автор
пытается "откреститься" от своих
слов, подписанных им однажды.
В
отношении информационных систем применяются
иные категории :
- надежность
– гарантия того, что система
ведет себя в нормальном и внештатном
режимах так, как запланировано
- точность
– гарантия точного и полного выполнения
всех команд
- контроль
доступа – гарантия того, что различные
группы лиц имеют различный доступ к информационным
объектам, и эти ограничения доступа постоянно
выполняются
- контролируемость
– гарантия того, что в любой момент может
быть произведена полноценная проверка
любого компонента программного комплекса
- контроль
идентификации – гарантия того, что клиент,
подключенный в данный момент к системе,
является именно тем, за кого себя выдает
- устойчивость
к умышленным сбоям – гарантия того, что
при умышленном внесении ошибок в пределах
заранее оговоренных норм система будет
вести себя так, как оговорено заранее.
При
работе с информацией 1-го класса конфиденциальности
рекомендуется выполнение следующих
требований :
- осведомление
сотрудников о закрытости данной информации,
- общее ознакомление
сотрудников с основными возможными методами
атак на информацию
- ограничение
физического доступа
- полный набор
документации по правилам выполнения
операций с данной информацией
При
работе с информацией 2-го класса конфиденциальности
к перечисленным выше требованиям
добавляются следующие :
- расчет рисков
атак на информацию
- поддержания
списка лиц, имеющих доступ к данной информации
- по возможности
выдача подобной информации по расписку
(в т.ч. электронную)
- автоматическая
система проверки цлостности системы
и ее средств безопасности
- надежные
схемы физической ранспортировки
- обязательное
шифрование при передаче по линиям связи
- схема бесперебойного
питания ЭВМ
При
работе с информацией 3-го класса конфиденциальности
ко всем перечисленным выше требованиям
добавляются следующие :
- детальный
план спасения либо надежного уничтожения
информации в аварийных ситуациях (пожар,
наводнение, взрыв)
- защита ЭВМ
либо носителей информации от повреждения
водой и высокой температурой
- криптографическая
проверка целостности информации
Основные
выводы о способах использования
рассмотренных выше средств, методов
и мероприятий защиты, сводится к
следующему:
- Наибольший
эффект достигается тогда, когда все используемые
средства, методы и мероприятия объединяются
в единый, целостный механизм защиты информации.
- Механизм
защиты должен проектироваться параллельно
с созданием систем обработки данных,
начиная с момента выработки общего замысла
построения системы.
- Функционирование
механизма защиты должно планироваться
и обеспечиваться наряду с планированием
и обеспечением основных процессов автоматизированной
обработки информации.
- Необходимо
осуществлять постоянный контроль функционирования
механизма защиты.