разработка концепции обеспечения безопасности функционирования объектов
На сегодняшний день типично интуитивное проявление интереса к обеспечению безопасности функционирования объектов, а не целенаправленная работа по анализу общего уровня безопасности. Только лишь крупные корпоративные заказчики могут проводить полномасштабные дорогостоящие проекты по защите объектов и содержать штат сотрудников, занимающихся развитием и поддержанием защитных систем. Поэтому очень важно понимание заказчиком своих потребностей по защите, проблем организации работ и своих финансовых возможностей.
При разработке концепции обеспечения безопасности функционирования объектов необходимо учитывать следующие требования:
1. Обеспечение безопасности функционирования объектов – непрерывный процесс, учитывающий:
- системный контроль защищенности;
- выявление узких мест системы защиты;
- обоснование и реализацию наиболее рациональных путей совершенствования и развития систем защиты.
2. Комплексное использование средств защиты.
3. Надежную подготовку пользователей по соблюдению правил защиты.
4. Отсутствие абсолютной надежности любой системы защиты.
Необходимо отметить, что нормативные документы в области обеспечения безопасности функционирования объектов, как правило, не соответствуют современному уровню развития современных информационных технологий и в основном определяют защиту информации от утечки по техническим каналам. С практической точки зрения стандарты и рекомендации являются только отправной точкой на сложном пути обеспечения безопасности функционирования объектов.
Следует обозначить основные этапы построения системы обеспечения безопасности функционирования объектов:
1. Формирование средств защиты.
2. Анализ средств защиты.
3. Оценки уязвимости.
4. Определение требований к защите.
5. Построение системы защиты.
6. Организация функционирования системы защиты.
Исходя из большого разнообразия условий, при которых может возникнуть необходимость защиты объектов, решение вопросов защиты заключается в разработке множества стратегий защиты, то есть такого минимального набора, который позволяет обеспечить требуемую защиту в любых условиях. При построении системы обеспечения безопасности функционирования объектов следует использовать следующие стратегии защиты:
1. Оборонительную – защита от уже известных угроз, осуществляемая автономно, то есть без оказания существенного влияния на информационно- управляющую систему.
2. Наступательную – защита от всего множества потенциальных угроз, при осуществлении которой в архитектуре информационно-управляющей системы и технологии ее функционирования должны учитываться условия, продиктованные потребностями защиты.
3. Упреждающую – создание информационной среды, в которой угрозы информации не имели бы условий для проявления.
Методологию использования стратегий защиты следует применять с учетом оценочных критериев:
1. Обеспечиваемый уровень защиты.
2. Условия, необходимые для реализации.
3. Ресурсоемкость.
4. Рекомендации по применению.
С учетом сопоставления и перспектив развития – упреждающая стратегия защиты имеет высокий уровень эффективности, использует защищенные информационные технологии.
Определяя целесообразность применения стратегии защиты, следует отметить эффективность ее использования совместно с соответствующей политикой организации безопасности. Основу политики безопасности составляет способ управления доступом, определяющий порядок доступа субъектов системы к объектам системы.
Перспективны и лучше всех изучены следующие политики безопасности:
1. Избирательная:
- все субъекты и объекты системы должны быть идентифицированы;
- права доступа субъекта к объекту системы определяются на основании некоторого правила.
2. Полномочная:
- все субъекты и объекты системы должны быть однозначно идентифицированы;
- каждому объекту системы присвоена метка критичности, определяющая ценность, содержащейся в нем информации;
- каждому субъекту системы присвоен уровень прозрачности, определяющий максимальное значение метки критичности объектов, к которым субъект имеет доступ.
Избирательная политика наиболее широко применяется в коммерческом секторе, так как ее реализация на практике отвечает требованиям коммерческих организаций по разграничению доступа и подотчетности, а также имеет приемлемую стоимость и небольшие накладные расходы.
Основное назначение полномочной политики безопасности – регулирование доступа объектов системы к объектам с различным уровням критичности и предотвращение утечки информации с верхних уровней иерархии в нижние (характеризуется высокой стоимостью реализации и большими накладными расходами).
В настоящее время существует определенная совокупность методов, средств и мероприятий по обеспечению безопасности функционирования объектов:
1. Аппаратные средства – наличие специальных технических решений, обеспечивающих защиту и контроль безопасности.
2. Программные средства – совокупность алгоритмов и программ, обеспечивающих разграничение доступа и ограничивающих несанкционированное использование информации.
3. Защитные преобразования – информация, передаваемая по каналам связи, представляется в некотором коде, исключающем возможность ее непосредственного использования.
4. Организационные мероприятия – совокупность действий по подбору и проверке персонала, участвующего в подготовке и эксплуатации программ и информации, строгое регламентирование процесса разработки и функционирования системы безопасности.
Лишь комплексное применение различных защитных мероприятий может обеспечить надежную защиту, так как каждый прием или метод имеет свои слабые или сильные стороны.
Для разработки защищенных систем существуют методы:
1. Нисходящий метод – сначала составляется общее описание системы; выделяются компоненты системы; поэтапно увеличивается степень детализации компонентов системы, до момента окончания разработки.
2. Восходящий метод – сначала формируется задача системы; затем разрабатывается некий набор элементарных функций; на базе элементарных функций разрабатываются более крупные компоненты системы, до момента объединения отдельных компонентов в единую систему.
3. Комбинированный метод – разработка системы в целом ведется нисходящим методом, а разработка отдельных компонентов системы – восходящим методом.
Наиболее перспективной в настоящее время является техническая защита информации (ТЗИ) – наличие методик определения угроз и утечки информации, знание средств добывания информации.
ТЗИ классифицируется по категориям:
1. Активная – создание помех, препятствующих съему информации.
2. Пассивная – обнаружение и локализация источников и каналов утечек информации.
3. Комбинированная – сочетание первых двух - является наиболее надежной.
Одним из основных средств обеспечения безопасности объектов являются системы сигнализации, которые должны зафиксировать приближение или начало действия самых разнообразных видов угроз. Критерием эффективности и совершенства аппаратуры охранно-пожарной сигнализации является сведение к минимуму числа ошибок и ложных срабатываний.
В условиях информатизации общества и интенсивного развития информационных технологий обеспечение безопасности функционирования объектов является задачей государственной важности и обеспечивает приоритеты государства в политической, экономической и научно-экономической областях.
Владимир Маликов
При разработке концепции обеспечения безопасности функционирования объектов необходимо учитывать следующие требования:
1. Обеспечение безопасности функционирования объектов – непрерывный процесс, учитывающий:
- системный контроль защищенности;
- выявление узких мест системы защиты;
- обоснование и реализацию наиболее рациональных путей совершенствования и развития систем защиты.
2. Комплексное использование средств защиты.
3. Надежную подготовку пользователей по соблюдению правил защиты.
4. Отсутствие абсолютной надежности любой системы защиты.
Необходимо отметить, что нормативные документы в области обеспечения безопасности функционирования объектов, как правило, не соответствуют современному уровню развития современных информационных технологий и в основном определяют защиту информации от утечки по техническим каналам. С практической точки зрения стандарты и рекомендации являются только отправной точкой на сложном пути обеспечения безопасности функционирования объектов.
Следует обозначить основные этапы построения системы обеспечения безопасности функционирования объектов:
1. Формирование средств защиты.
2. Анализ средств защиты.
3. Оценки уязвимости.
4. Определение требований к защите.
5. Построение системы защиты.
6. Организация функционирования системы защиты.
Исходя из большого разнообразия условий, при которых может возникнуть необходимость защиты объектов, решение вопросов защиты заключается в разработке множества стратегий защиты, то есть такого минимального набора, который позволяет обеспечить требуемую защиту в любых условиях. При построении системы обеспечения безопасности функционирования объектов следует использовать следующие стратегии защиты:
1. Оборонительную – защита от уже известных угроз, осуществляемая автономно, то есть без оказания существенного влияния на информационно- управляющую систему.
2. Наступательную – защита от всего множества потенциальных угроз, при осуществлении которой в архитектуре информационно-управляющей системы и технологии ее функционирования должны учитываться условия, продиктованные потребностями защиты.
3. Упреждающую – создание информационной среды, в которой угрозы информации не имели бы условий для проявления.
Методологию использования стратегий защиты следует применять с учетом оценочных критериев:
1. Обеспечиваемый уровень защиты.
2. Условия, необходимые для реализации.
3. Ресурсоемкость.
4. Рекомендации по применению.
С учетом сопоставления и перспектив развития – упреждающая стратегия защиты имеет высокий уровень эффективности, использует защищенные информационные технологии.
Определяя целесообразность применения стратегии защиты, следует отметить эффективность ее использования совместно с соответствующей политикой организации безопасности. Основу политики безопасности составляет способ управления доступом, определяющий порядок доступа субъектов системы к объектам системы.
Перспективны и лучше всех изучены следующие политики безопасности:
1. Избирательная:
- все субъекты и объекты системы должны быть идентифицированы;
- права доступа субъекта к объекту системы определяются на основании некоторого правила.
2. Полномочная:
- все субъекты и объекты системы должны быть однозначно идентифицированы;
- каждому объекту системы присвоена метка критичности, определяющая ценность, содержащейся в нем информации;
- каждому субъекту системы присвоен уровень прозрачности, определяющий максимальное значение метки критичности объектов, к которым субъект имеет доступ.
Избирательная политика наиболее широко применяется в коммерческом секторе, так как ее реализация на практике отвечает требованиям коммерческих организаций по разграничению доступа и подотчетности, а также имеет приемлемую стоимость и небольшие накладные расходы.
Основное назначение полномочной политики безопасности – регулирование доступа объектов системы к объектам с различным уровням критичности и предотвращение утечки информации с верхних уровней иерархии в нижние (характеризуется высокой стоимостью реализации и большими накладными расходами).
В настоящее время существует определенная совокупность методов, средств и мероприятий по обеспечению безопасности функционирования объектов:
1. Аппаратные средства – наличие специальных технических решений, обеспечивающих защиту и контроль безопасности.
2. Программные средства – совокупность алгоритмов и программ, обеспечивающих разграничение доступа и ограничивающих несанкционированное использование информации.
3. Защитные преобразования – информация, передаваемая по каналам связи, представляется в некотором коде, исключающем возможность ее непосредственного использования.
4. Организационные мероприятия – совокупность действий по подбору и проверке персонала, участвующего в подготовке и эксплуатации программ и информации, строгое регламентирование процесса разработки и функционирования системы безопасности.
Лишь комплексное применение различных защитных мероприятий может обеспечить надежную защиту, так как каждый прием или метод имеет свои слабые или сильные стороны.
Для разработки защищенных систем существуют методы:
1. Нисходящий метод – сначала составляется общее описание системы; выделяются компоненты системы; поэтапно увеличивается степень детализации компонентов системы, до момента окончания разработки.
2. Восходящий метод – сначала формируется задача системы; затем разрабатывается некий набор элементарных функций; на базе элементарных функций разрабатываются более крупные компоненты системы, до момента объединения отдельных компонентов в единую систему.
3. Комбинированный метод – разработка системы в целом ведется нисходящим методом, а разработка отдельных компонентов системы – восходящим методом.
Наиболее перспективной в настоящее время является техническая защита информации (ТЗИ) – наличие методик определения угроз и утечки информации, знание средств добывания информации.
ТЗИ классифицируется по категориям:
1. Активная – создание помех, препятствующих съему информации.
2. Пассивная – обнаружение и локализация источников и каналов утечек информации.
3. Комбинированная – сочетание первых двух - является наиболее надежной.
Одним из основных средств обеспечения безопасности объектов являются системы сигнализации, которые должны зафиксировать приближение или начало действия самых разнообразных видов угроз. Критерием эффективности и совершенства аппаратуры охранно-пожарной сигнализации является сведение к минимуму числа ошибок и ложных срабатываний.
В условиях информатизации общества и интенсивного развития информационных технологий обеспечение безопасности функционирования объектов является задачей государственной важности и обеспечивает приоритеты государства в политической, экономической и научно-экономической областях.
Владимир Маликов
Сетевые решения. Статья была опубликована в номере 02 за 2007 год в рубрике save ass…