- •-Дресвянкин Валерий Васильевич
- •Вопросы и ответы на вопросы по дисциплине
- •Вопрос 2: Понятие системы, ее свойства. Ис, Экономическая и автоматизированная информационная система.
- •Вопрос3. Взаимосвязь организаций и информационных систем.
- •Формальная организация
- •Вопрос 4. Функции компьютерной информационной системы
- •Вопрос5 Тенденции развития ис
- •Вопрос6. Этапы развития информационных систем
- •Вопрос7 .Классификация информационных систем по признаку структурированности задач Понятие структурированности задач
- •Типы информационных систем, используемые для решения частично структурированных задач
- •Вопрос 8.Классификация информационных систем по функциональному признаку и уровням управления Что означает функциональный признак
- •Вопрос9. Типы информационных систем
- •Информационные системы для менеджеров среднего звена
- •Стратегические информационные системы
- •Вопрос10.Стратегические информационные системы
- •Вопрос11. Информационные системы в фирме
- •Вопрос12.Классификация по степени автоматизации информационных систем Классификация по степени автоматизации
- •Вопрос13. Классификация ис по характеру использования информации
- •Вопрос14. Классификация ис по сфере применения
- •Вопрос15.Понятие Корпоративной информационной системы. (кис).
- •Вопрос16. Методы управления в кис.
- •Вопрос 17.Понятие информационной системы управления, ее возможности.
- •Вопрос 18: Факторы, определяющие выбор стратегии организации автоматизированной информационной системы.
- •Вопрос 19: Принципы Создания ис
- •Вопрос 20. Стадии, методы и организация создания ис
- •Вопрос 21: Системы поддержки принятия решений
- •Вопрос22: Основные принципы построения информационных систем управления персоналом в корпоративных организациях
- •Вопрос 23. Внедрение информационных систем
- •Выбор вариантов внедрения информационной технологии в фирме
- •Вопрос 24. Критерии эффективности, используемые в ис. Критерий 1. "Насыщенность компьютерами".
- •Критерий 2. "Интеграция ис".
- •Критерий 3. "Сети общедоступных информационных банков".
- •Вопрос 25 Подход к оценке эффективности проектов внедрения информационных систем на предприятии
- •Вопрос 26 .Количественная оценка вариантов проектов внедрения ис
- •Вопрос27 Ранжирование вариантов проектов внедрения ис
- •Параметр процесса "время"
- •Параметр процесса "затраты"
- •Параметр процесса "качество"
- •Вопрос 28 Типы обеспечивающих подсистем ис
- •Информационное обеспечение
- •Техническое обеспечение
- •Математическое и программное обеспечение
- •Организационное обеспечение
- •Правовое обеспечение
- •Вопрос 29. Признаки интеллектуальных информационных систем
- •Вопрос 30. Классы интеллектуальных ис
- •Вопрос31. Экспертные системы. Компоненты и характеристики. Характеристика и назначение
- •Составные части экспертной системы
- •Вопрос32 Понятие-экспертно-обучающей системы.
- •Вопрос 33 Классификация компьютерных обучающих систем
- •Вопрос 37 Основные понятия безопасности ис
- •Вопрос 17: Виды умышленных угроз безопасности информации
- •Вопрос18. Вредоносные программы классифицируются следующим образом:
- •Вопрос38 Методы и средства зашиты информации в ис
- •Вопрос39. Принципы создание систем информационной безопасности (сиб) в ис .
- •Вопрос 40 : Признаки безопасности современных ис
Вопрос38 Методы и средства зашиты информации в ис
Оценка безопасности ИС
В условиях использования ИТ под безопасностью понимается состояние защищенности ИС от внутренних и внешних угроз.
Показатель защищенности ИС — характеристика средств системы, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню и глубине в зависимости от класса защищенности.
Для оценки реального состояния безопасности ИС могут применяться различные критерии. Анализ отечественного и зарубежного опыта показал общность подхода к определению состояния безопасности ИС в разных странах. Для предоставления пользователю возможности оценки вводится некоторая система показателей и задается иерархия классов безопасности. Каждому классу соответствует определенная совокупность обязательных функций. Степень реализации выбранных критериев показывает текущее состояние безопасности. Последующие действия сводятся к сравнению реальных угроз с реальным состоянием безопасности.
Если реальное состояние перекрывает угрозы в полной мере, система безопасности считается надежной и не требует дополнительных мер. Такую систему можно отнести к классу систем с полным перекрытием угроз и каналов утечки информации. В противном случае система безопасности нуждается в дополнительных мерах защиты.
Рассмотрим кратко подходы к оценке безопасности ИС в США и в России. Вопросами стандартизации и разработки нормативных требований на защиту информации, в США занимается Национальный центр компьютерной безопасности министерства обороны США (NCSC - - National Computer Security Center). Центр еще в 1983 г. издал критерии оценки безопасности компьютерных систем (TCSEC — Trusted Computer System Evaluation Criteria). Этот документ обычно называется Оранжевой книгой. В 1985 г. она была утверждена в качестве правительственного стандарта. Оранжевая книга содержит основные требования и специфирует классы для оценки уровня безопасности компьютерных систем. Используя эти критерии, NCSC тестирует эффективность механизмов контроля безопасности компьютерных систем. Критерии, перечисленные в Оранжевой книге, делают безопасность величиной, допускающей ее измерение, и позволяют оценить уровень безопасности той или иной системы. Воз-
можности анализа степени безопасности ИС привели к международному признанию федерального стандарта США. NCSC считает безопасной систему, которая посредством специальных механизмов защиты контролирует доступ информации таким образом, что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут получить доступ на чтение, запись, создание или удаление информации.
В Оранжевой книге приводятся следующие уровни безопасности систем:
высший класс, обозначается как А;
промежуточный класс — В;
низкий уровень безопасности — С;
класс систем, не прошедших испытания — Д.
Класс Д присваивается тем системам, которые не прошли испытания на более высокий уровень защищенности, а также системам, использующим для защиты лишь отдельные мероприятия или функции (подсистемы безопасности).
Класс С разбивается на два подкласса (по возрастающей требований к защите). Так как С1 должен обеспечивать избирательную защиту, средства безопасности систем класса С1 должны удовлетворять требованиям избирательного управления доступом, обеспечивая разделение пользователей и данных. Для каждого объекта и субъекта задается перечень допустимых типов доступа (чтение, запись, печать и т.д.) субъекта к объекту. В системах этого класса обязательны идентификация (присвоение каждому субъекту персонального идентификатора) и аутентификация (установление подлинности) субъекта доступа, а также поддержка со стороны оборудования.
Класс С2 должен обеспечивать управляемый доступ, а также ряд дополнительных требований. В частности, в системах этого класса обязательно ведение системного журнала, в котором должны отмечаться события, связанные с безопасностью системы. Сам журнал должен быть защищен от доступа любых пользователей, за исключением сотрудников безопасности.
В системах класса В, содержащего три подкласса, должен быть полностью контролируемый доступ. Должен выполняться ряд требований, главным из которых является наличие хорошо разработанной и документированной формальной модели политики безопасности, требующей действия избирательного и полномочного управления доступом ко всем объектам системы. Вводится требование управления информационными потоками в соответствии с политикой безопасности.
Политика безопасности - представляет собой набор законов, правил и практического опыта, на основе которых строятся управление, защита и распределение конфиденциальной информации.
Анализ классов безопасности показывает, что, чем он выше, тем более жесткие требования предъявляются к системе.
Разработаны также основные требования к проектной документации.
В части стандартизации аппаратных средств ИС и телекоммуникационных сетей в США разработаны правила стандарта TEMPEST (Transient Electromagnetic Pulse Emanations Standard). Этот стандарт предусматривает применение специальных мер защиты аппаратуры от паразитных излучений электромагнитной энергии, перехват которой может привести к овладению охраняемыми сведениями. Стандарт TEMPEST обеспечивает радиус контролируемой зоны перехвата порядка одного метра.
Это достигается специальными системотехническими, конструктивными и программно-аппаратными решениями.
Руководящие документы (в некоторой степени аналогичные разработанным NCSC) в области защиты информации разработаны Государственной технической комиссией при Президенте Российской Федерации. Требования этих документов обязательны для исполнения только в государственном секторе либо коммерческими организациями, которые обрабатывают информацию, содержащую государственную тайну. Для остальных коммерческих структур документы носят рекомендательный характер.
В одном из документов, носящем название «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», приведена классификация автоматизированных систем на классы по условиям их функционирования в целях разработки и применения обоснованных мер по достижению требуемого уровня безопасности. Устанавливаются девять классов защищенности, каждый из которых характеризуется определенной минимальной совокупностью требований по защите. Защитные мероприятия охватывают подсистемы:
управления доступом;
регистрации и учета (ведение журналов и статистики);
криптографическую (использования различных механизмов шифрования);
обеспечения целостности;
законодательных мер;
физических мер.
Достаточно важно использование документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности». В нем определены семь классов защищенности СВТ от несанкционированного доступа к информации. Самый низкий класс седьмой, самый высокий — первый. Каждый класс наследует требования защищенности от предыдущего.
Методики оценки безопасности ИС как в США, так и в России позволяют оценить реальную безопасность информационной системы с отнесением ее к определенному классу защищенности. Класс защищенности ИС - определенная совокупность требований по защите средств ИС от несанкционированного доступа к информации.