Ефективние забезпечення захисту в інформаційних системах

Ефективне забезпечення захисту в інформаційних системах (ІС) можливо тільки на основі комплексного використання усіх відомих методів і підходів до рішення даної задачі.

Концепція такого комплексного захисту повинна задовольняти наступну сукупність вимог. По-перше, мають бути розроблені й доведені до рівня регулярного використання всі необхідні механізми гарантованого забезпечення необхідного рівня захищеності інформації. По-друге, повинні існувати механізми практичної реалізації необхідного рівня захищеності інформації. По-третє, необхідно мати в своєму розпорядженні засоби раціональної реалізації всіх необхідних заходів щодо захисту інформації на базі досягнутого рівня розвитку науки й техніки. І, нарешті, по-четверте, мають бути розроблені способи оптимальної організації й забезпечення проведення всіх заходів щодо захисту в процесі обробки інформації.

На основі аналізу розвитку концепції захисту інформації неважко зробити висновок про те, що має місце тенденція постійного зростання зусиль, які вкладаються у захист, вдосконалення підходів до захисту й самих механізмів захисту. Проте слід зазначити й той факт, що традиційна архітектура ІС і технологія автоматизованої обробки інформації не забезпечує усіх умов, необхідних для надійного захисту інформації.

Одним з основних підходів до проблеми захисту інформації є положення про те, що в сучасних і перспективних ІС ефективний захист інформації не може бути забезпечений простим включенням до складу системи деяких механізмів і пристроїв захисту – захистом інформації необхідно постійно управляти.

Управління захистом [1] інформації становить складну сукупність взаємозв’язаних процесів безперервного створення, вдосконалення й контролю над системою механізмів захисту, які використовуються в ІС. При цьому важливою є та обставина, що підсистема управління захистом інформації є сукупністю однорідних у функціональному відношенні заходів, регулярно здійснюваних в ІС з метою створення, підтримки й забезпечення умов, об’єктивно необхідних для забезпечення надійного захисту інформації необхідного рівня.

Враховуючи той факт, що управління захистом інформації є окремим випадком управління в системах організаційно-технологічного типу, процес проектування систем захисту інформації спрощується, оскільки для цього досить трансформувати загальні положення концепції управління в системах вказаного типу на проблеми управління захистом інформації.
Надійний захист інформації в ІС може бути ефективним лише в тому випадку, якщо він буде виконуватися для всіх елементів системи [2], що потребують захисту, з боку множини потенційно можливих загроз, при постійному контролі показників рівня захищеності системи.

Для визначення рівня захищеності повинен здійснюватися відповідний контроль, на основі якого визначиться показник рівня захищеності. Основними характеристиками контролю є: повнота контролю, кількість охоплюваних контролем елементів системи, час і періодичність проведення контролю, послідовність контрольних операцій, які проводяться, режим проведення контролю, ступінь автоматизації контрольних операцій, аналіз і оцінка ходу виконання контролю механізмів захисту з метою своєчасного й правильного ухвалення рішення.
Аналіз відомих методик оцінки захищеності систем [3, 4] інформаційних технологій дає можливість зробити висновок, що велика група методик оцінки базується на наявності певного набору засобів й механізмів захисту, методик виготовлення експлуатації й тестування та дозволяють віднести той або інший пристрій або систему інформаційних технологій до одного з дискретних рівнів захищеності відповідно до використовуваних в даній країні стандартів.

Огляд публікацій за даною тематикою показав, що оцінки відображають статичний стан об’єкта захисту виходячи з наявних механізмів захисту, не враховують дійсну завантаженість цих механізмів захисту щодо нейтралізації наслідку загроз, динаміку зміни множини загроз, можливість адаптації системи захисту інформації до зміни множини загроз, не дають вказівок на зміну складу механізмів захисту та структури багаторівневої системи інформаційної безпеки (СІБ).

Розвиток інформаційно-телекомунікаційних систем відбувається у напрямі створення інтелектуальних засобів з елементами самоорганізації, в яких присутні процеси зародження, адаптації та розвитку.
Таким чином, у доповіді розглядається структура системи підтримки прийняття рішення процесу управління захистом інформації в ІС, що базується на адаптивній моделі системи інформаційної безпеки. Це дозволяє реалізацію наступної послідовності заходів: оцінку фактичного стану інформаційної безпеки ІС, прогнозування стану інформаційної безпеки системи й ступеня впливу загроз і дестабілізуючих чинників, планування системи заходів захисту інформації відповідно до факторів загроз і поточного значення захищеності системи, визначення методів і механізмів забезпечення необхідного рівня захищеності та прийняття рішення щодо управління системою захисту інформації.

Література:
1. Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа. – СПб.: Из., 2004. – 384 с.
2. Вертузаев М.С. Захист інформації в компютерных системах від несанкціонованого доступу. Навч. посібник / М. С. Вертузаев, О. М. Юрченко. Вид-во: К. ЄУФІМБ, 2001. – 321 с.
3. Партыка Т. Л. Информационная безопасность. Учебное пособие / Т. Л. Партыка, И. И. Попов. – М.: ФОРУМ: ИНФРА-М, 2002. – 368 с.
4. Габарчук В. Кибернетический подход к проектированию систем защиты информации / В. Габарчук, З. Зинович, А. Свиц – К.: Киев-Луцк-Любляны, 2003. – 653 с.
5. Петров В.А., Компьютерная безопасность. Криптографические методы защиты. – М.: ДМК, 2000. – 448 с.
6. Нестерук Г. Ф. Адаптивная модель нейросетевых систем информационной безопасности / Г. Ф. Нестерук, Л. Г. Осовецкий, Ф. Г. Нестерук // Перспективные информационные технологии и интеллектуальные систем, №3 (15), 2003.– С. 14-16.
7. Герасимов Б. М. Системы поддержки принятия решений: проектирование, применение, оценка эффективности / Б. М. Герасимов, М. М. Дивизюк, И. Ю. Субач. – Севастополь: научно-исследовательский центр вооруженных сил Украины «Государственный океанариум», – 2004. – 320 с.

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы