Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
основи Інформаційної безпеки 2.doc
Скачиваний:
26
Добавлен:
01.05.2019
Размер:
1.13 Mб
Скачать

П

Іс організації

ри погляді з нульовим рівнем деталізації ми побачимо лише те, що ворганізації є інформаційна система (див. Рис. 2.1).

Рис. 2.1. ІС при розгляді з рівнем деталізації 0.Подібна точка зору може здатися неспроможною, але це не так. Уже тут необхідно врахувати закони, які застосовуються до організацій, що упорядковують інформаційні системи. Можливо, яку-небудь інформацію не можна зберігати й обробляти на комп'ютерах, якщо ІС не була атестована на відповідність певним вимогам. На адміністративному рівні може бути задекларована мета, заради якої створювалася ІС. Загальні правила закупівель, впровадження нових компонентів,експлуатації й т.п. На процедурному рівні потрібно визначити вимога до фізичної безпеки ІС і шляхи їхнього виконання, правила протипожежної безпеки й т.п. На програмно-технічному рівні можуть бути визначені кращі апаратно-програмніплатформи й т.п.

За якими критеріями проводити декомпозицію ІС - у значній мірі справа смаку. Будемо вважати, що на першому рівні деталізації робляться прозорими сервіси й користувачі, точніше, поділ на клієнтську й серверну частину (Рис. 2.2).

ІС організації:

Сервіси (без конкретизації)

Користувачі (без конкретизації)

Рис. 2.2. ІС при розгляді з рівнем деталізації 1.

На цьому рівні варто сформулювати вимоги до сервісів (до самої їхньоїнаявності, до доступності, цілісності й конфіденційності надаваних інформаційних послуг), викласти способи виконання цих вимог, визначити загальні правила поведінки користувачів, необхідний рівень їхньої попередньої підготовки, методи контролю їхньої поведінки, порядок заохочення й покарання й т.п. Можуть бути сформульовані вимоги й переваги стосовно серверних і клієнтських платформ.

Н

Internet

Сервіси, які використовуються організацією(без конкретизації)

Користувачі сервісів організації(без конкретизації)

а другому рівні деталізації ми побачимо наступне (див. Рис. 2.3).

ІС організації

Сервіси, що надаються(без конкретизації)

Внутрішні сервіси(без конкретизації)

Користувачі зовнішніх сервісів(без конкретизації)

Користувачі внутрішніх сервісів(без конкретизації)

Рис. 2.3. ІС при розгляді з рівнем деталізації 2

На цьому рівні нас усе ще не цікавить внутрішня структура ІС організації, так само як і деталі Internet. Констатується тільки існування зв'язку між цими мережами, наявність у них користувачів, а також надаваних і внутрішніх сервісів. Що це за сервіси, поки неважливо.

Перебуваючи на рівні деталізації 2, ми повинні враховувати закони, які застосовуються до організацій, ІС які забезпечені зовнішніми підключеннями. Мова йде про допустимість такого підключення, про його захист, про відповідальність користувачів, що звертаються до зовнішніх сервісів, і про відповідальність організацій, що відкривають свої сервіси для зовнішньогодоступу. Конкретизація аналогічної спрямованості, з урахуванням наявності зовнішнього підключення, повинна бути виконана на адміністративному, процедурному й програмно-технічному рівнях.

Звернемо увагу на те, що контейнер (у змісті компонентного об'єктного середовища) "ІС організації" задає межі контрольованої зони, у межах яких організація проводить певну політику. Internet існує за іншими правилами, якіорганізація повинна приймати, як щось уже існуюче.

Збільшуючи рівень деталізації, можна розглянути два рознесенених виробничих майданчика й канали зв'язку між ними, розподіл сервісів і користувачів по цих майданчиках і засоби забезпечення безпеки внутрішніх комунікацій, специфіку окремих сервісів, різні категорії користувачів і т.п. Ми,однак, на цьому зупинимося.