- •Раздел 3. Построение и организация функционирования комплексных
- •Систем защиты информации в компьютерных системах.
- •Тема 5.
- •Построение комплексных систем защиты информации.
- •1. Концепция создания защищенных компьютерных систем.
- •2. Этапы создания комплексной системы защиты информации.
- •3. Выбор показателей эффективности и критериев оптимальности ксзи.
- •4. Подходы к оценке эффективности ксзи.
- •5. Создание организационной структуры ксзи.
- •Тема 6. Организация функционирования комплексных систем защиты информации.
- •1. Применение ксзи по назначению.
- •2. Техническая эксплуатация ксзи.
Учебный курс «Защита информации»
Раздел 3. Построение и организация функционирования комплексных
Систем защиты информации в компьютерных системах.
Тема 5.
Построение комплексных систем защиты информации.
Содержание:
1. Концепция создания защищенных компьютерных систем.
2. Этапы создания комплексной системы защиты информации.
3. Выбор показателей эффективности и критериев оптимальности КСЗИ.
4. Подходы к оценке эффективности КСЗИ.
5. Создание организационной структуры КСЗИ.
1. Концепция создания защищенных компьютерных систем.
При разработке и построении комплексной системы защиты информации в компьютерных системах необходимо придерживаться определенных методологических принципов проведения исследований, проектирования, производства, эксплуатации и развития таких систем.
Системы защиты информации относятся к классу сложных систем и для их построения могут использоваться основные принципы построения сложных систем с учетом специфики решаемых задач:
- параллельная разработка КС и СЗИ;
- системный подход к построению защищенных КС;
- многоуровневая структура СЗИ;
- иерархическая система управления СЗИ;
- блочная архитектура защищенных КС;
- возможность развития СЗИ;
- дружественный интерфейс защищенных КС с пользователями и обслуживающим персоналом.
Первый из принципов построения СЗИ требует одновременной параллельной разработки КС и механизмов защиты. Только в этом случае возможно эффективно обеспечить реализацию всех остальных принципов.
Принцип системности является одним из основных концептуальных и методологических принципов построения защищенных КС и предполагает:
- анализ всех возможных угроз безопасности информации;
- обеспечение защиты на всех жизненных циклах КС;
- защиту информации во всех звеньях КС;
- комплексное использование механизмов защиты.
Система защиты должна иметь несколько уровней, перекрывающих друг друга, т.е. такие системы целесообразно строить по принципу вложенных модулей («построения матрешек»). Для отдельного объекта КС можно выделить 6 уровней (рубежей) защиты:
- охрана по периметру территории объекта;
- охрана по периметру здания;
- охрана помещения;
- защита аппаратных средств;
- защита программных средств;
- защита информации.
Комплексные системы защиты информации всегда должны иметь централизованное управление. В распределенных КС управление защитой может осуществляться по иерархическому принципу. Централизация управления защитой информации объясняется необходимостью проведения единой политики в области безопасности информационных ресурсов в рамках предприятия, организации, корпорации, министерства. Для осуществления централизованного управления в СЗИ должны быть предусмотрены специальные средства дистанционного контроля, распределения ключей, разграничения доступа, изготовления атрибутов идентификации и другие.
Применение принципа блочной архитектуры позволяет получить целый ряд преимуществ:
- упрощается разработка, отладка, контроль и верификация устройств (программ, алгоритмов);
- допускается параллельность разработки блоков;
- используются унифицированные стандартные блоки;
- упрощается модернизация систем;
- удобство и простота эксплуатации.
При разработке сложной КС, например, вычислительной сети, необходимо предусматривать возможность ее развития в двух направлениях: увеличения числа пользователей и наращивания возможностей сети по мере совершенствования информационных технологий.
С этой целью при разработке КС предусматривается определенный запас ресурсов по сравнению с потребностями на момент разработки. Наибольший запас производительности необходимо предусмотреть для наиболее консервативной части сложных систем – каналов связи. Часть резерва ресурсов может быть востребована при развитии СЗИ. На практике резерв ресурсов, предусмотренный на этапе разработки, исчерпывается уже на момент полного ввода в эксплуатацию сложных систем, поэтому при разработке КС предусматривается возможность модернизации системы. В этом смысле сложные системы должны быть развивающимися или открытыми.
Комплексная система защиты информации должна быть дружественной по отношению к пользователям м обслуживающему персоналу. Она должна быть максимально автоматизирована и не должна требовать от пользователя выполнять значительный объем действий, связанных с СЗИ. Комплексная СЗИ не должна создавать ограничений в выполнении пользователем своих функциональных обязанностей. В СЗИ необходимо предусмотреть меры снятия защиты с отказавших устройств для восстановления их работоспособности.