- •Інформація та інформаційні технології
- •Глава 2 необхідність захисту інформації в сучасних умовах
- •Класифікація цілей захисту
- •Основні положення концепції захисту інформації
- •Визначення і аналіз поняття загрози інформації
- •Система показників уразливості інформації і вимоги до первинних даних
- •Питання для самоперевірки
- •Глава 3 поняття інформаційної безпеки
- •Поняття інформаційної безпеки
- •Основні складові інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Питання для самоперевірки
- •Глава 4 найпоширеніші загрози інформації
- •4.1.Основні визначення і критерії загроз
- •Найпоширеніші загрози доступності
- •Деякі приклади загроз доступності
- •Шкідливе програмне забезпечення
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Питання для самоперевірки
- •Глава 5. Формування повної множини загроз інформаційної безпеці
- •5.1. Структура і загальний зміст алгоритму формування відносно можливостей експертних методів
- •5.2. Причини порушення цілісності інформації
- •5.3. Канали несанкціонованого доступу інформації
- •5.4. Методи визначення значень показників уразливості інформації
- •Питання для самоперевірки
- •Глава 6. Концепції та моделі безпеки інформаційних технологій
- •6.1. Концепція керування безпекою інформаційних технологій
- •6.2. Елементи безпеки
- •Приклади загроз
- •6.3. Процес керування безпекою інформаційних технологій
- •6.4. Моделі
- •Глава 7. Фізичні і технічні засоби захисту інформації з обмеженим доступом
- •Глава 8. Вибір засобів безпеки
- •8.1. Вступ до вибору засобів безпеки та концепція базової безпеки
- •8.2. Базове оцінювання
- •8.3. Засоби безпеки
- •8.4. Базовий підхід: вибір засобів безпеки відповідно до типу системи
- •Як починати процес вибору специфічних засобів системи
- •8.5. Вибір засобів безпеки відповідно до проблем і загроз безпеці
- •8.6. Вибір засобів безпеки відповідно до детальних оцінок
- •8.7. Розроблення базової безпеки організації
- •Глава 9. Доопрацювання засобів захисту
- •Глава 10. Керування інформаційною безпекою
- •Приклади контрольних питань згідно стандарту bs 7799-2 для за дання правил безпеки
- •Післямова
- •Глосарій
- •Список літератури
Основні положення концепції захисту інформації
У поняття системного підходу до ЗІ включаються такі положення:
Дослідження і розробка з єдиних методологічних понять усієї сукупності питань, зв'язаних із ЗІ.
Розгляд у єдиному комплексі усіх видів захисту інформації; забезпечення фізичної цілісності, попередження несанкціонованої модифікації, попередження несанкціонованого одержання.
Системне врахування всіх факторів, що роблять вплив на захищеність інформації.
Комплексне використання всіх наявних засобів ЗІ.
Концептуальність підходу означає, що вирішення всіх питань ЗІ здійснюється в рамках єдиної концепції, що об'єднує найбільш раціональним способом всі системні рішення по захисту.
Центральним результатом, отриманим у рамках системно-концептуального підходу до проблеми захисту інформації, явився висновок, що ефективний ЗІ не може бути забезпечений простим застосуванням деяких механізмів роботи, ЗІ необхідно управляти.
Як слідує з цього висновку, управління ЗІ являє собою складну сукупність взаємозалежних процесів безперервного створення й удосконалення механізмів ЗІ. При цьому істотно важливою є та обставина, що зазначені питання повинні бути регулярними, тобто постійно керованими, причому управління повинне здійснюватися з метою досягнення необхідного рівня захисту при мінімальних затратах сил або з метою досягнення максимального рівня захисту при заданих затратах сил і засобів.
На підставі методології системно-концептуального підходу розглянемо узагальнену структуру уніфікованої концепції ЗІ.
Конструктивними елементами концепції є функції, завдання, засоби і системи захисту. Названі елементи визначаються таким чином:
Функція захисту – сукупність однорідних у функціональному відношенні заходів, регулярно здійснюваних з метою створення, підтримки і забезпечення умов, об'єктивно необхідних для надійної ЗІ.
Засоби захисту – пристрої, програми і заходи, спеціально призначені для вирішення завдань захисту інформації.
Завдання захисту – організовані можливості засобів, методів і заходів з метою реалізації функцій захисту.
Система ЗІ – організована сукупність усіх засобів, методів і заходів, що передбачаються з метою ЗІ.
Зі сказаного очевидно, що перераховані елементи концепції складають логічно струнку і повну послідовність рішень, реалізація яких і створює об'єктивні передумови до надійного ЗІ.
У суворій відповідності з основною передумовою про необхідність регулярного управління процесами ЗІ, всі елементи зазначеної послідовності розділені на дві частини: створення механізмів захисту й управління механізмами захисту.
Важливим результатом системно-концептуального підходу до розглянутої проблеми є висновок про неможливість надійного ЗІ без дотримання при побудові цілого ряду достатньо специфічних умов. Ці умови повинні дотримуватися в процесі створення і функціонування інформації, в силу чого в концепції вони виступають в якості зворотнього зв'язку від конструктивних елементів концепції захисту до концепцій побудови й організації функціонування інформації.
Дослідження в рамках системно-концептуального підходу до ЗІ показують, що концепція є уніфікованої в тому, що на її основі може бути реалізована раціональна система управління ЗІ практично будь-якою інформацією. Для цього необхідно:
Уніфікувати основні положення концепції ЗІ.
Вирішити організаційно-правові питання організації робіт зі створення систем захисту, організації і забезпечення їх функціонування.
Розробити робочий інструмент для створення організації і забезпечення систем ЗІ.