Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

І

мети та завдань інформаційної системи, а також нормального функціонування комплексу технічних засобів.

До засобів математичного забезпечення [mathematical sup­port] належать:

• засоби моделювання процесів управління;

• типові завдання управління;

• методи математичного програмування, математичної статис­
тики, теорії масового обслуговування і т.ін.

До складу програмного забезпечення входять загальноси-стемні та спеціальні програмні продукти, а також технічна доку­ментація.

До загальносистемного програмного забезпечення [gene­ral-system software] належать комплекси програм, орієнтовані на користувачів і призначені для виконання типових завдань оброблення інформації. Вони служать для розширення функціо­нальних можливостей комп'ютерів, контролю й керування про­цесом оброблення даних.

Спеціальне (прикладне) програмне забезпечення [applica­tion (special) software] являє собою сукупність програм, розроб­лених при створенні конкретної інформаційної системи. До його складу входять пакети прикладних програм, що реалізують мо­делі різного ступеню адекватності, що відображають функціону­вання реального об'єкта.

Технічна документація [engineering data, paperwork] на розробку програмних засобів повинна містити опис завдань, за­вдання на алгоритмізацію, математичну модель завдання, конт­рольні приклади.

Організаційне забезпечення

Організаційне забезпечення [organization support] — сукуп­ність методів і засобів, які регламентують взаємодію персоналу з технічними засобами й між собою в процесі розробки та експлуа­тації інформаційної системи.

Організаційне забезпечення реалізує наступні функції:

Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки

• аналіз існуючої системи управління організацією, де буде ви­
користовуватися інформаційна система, і виявлення завдань,
що підлягають автоматизації;

• підготовку завдань до виконання на комп'ютері, включаючи
технічне завдання на проектування інформаційної системи й
техніко-економічне обґрунтування її ефективності;

• розробку управлінських рішень відносно складу та структу­
ри організації, методології виконання завдань, спрямованих
на підвищення ефективності системи управління.
Організаційне забезпечення створюється за результатами пе-

ред-проектного обстеження на першому етапі побудови баз даних.

Правове забезпечення

Правове забезпечення [legal support] — сукупність право­вих норм, що визначають створення, правовий статус і функціо­нування інформаційних систем, регламентують порядок одер­жання, перетворення та використання інформації.

Головною метою правового забезпечення є зміцнення закон­ності.

До складу правового забезпечення входять закони, укази, пос­танови державних органів влади, накази, інструкції й інші норма­тивні документи міністерств, відомств, організацій, місцевих ор­ганів влади. У правовому забезпеченні можна виділити загальну частину, що регулює функціонування будь-якої інформаційної системи, і локальну частину, що регулює функціонування конк­ретної системи.

Право забезпечення етапів розробки інформаційної системи включає нормативні акти, зв'язані з договірними відносинами розробника й замовника й правовим регулюванням відхилень від договору.

Правове забезпечення етапів функціонування інформаційної системи включає:

• статус інформаційної системи;

• права, обов'язки й відповідальність персоналу;

• правові положення окремих видів процесу керування;

• порядок створення й використання інформації і т.ін.

6.2.3. Класифікація інформаційних систем

Класифікація за ступенем автоматизації

Залежно від ступеня автоматизації інформаційних процесів у системі управління фірмою інформаційні системи визначаються як ручні, автоматичні й автоматизовані (рис. 6.9).

Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

Ручні інформаційні системи характеризуються відсутністю сучасних технічних засобів перероблення інформації й виконан­ня всіх операцій людиною. Наприклад, про діяльність менеджера у фірмі, де відсутні комп'ютери, можна говорити, що він працює з ручною інформаційною системою.

Автоматичні інформаційні системи [automatic system] вико­нують усі операції з перероблення інформації без участі людини.

Автоматизованіінформаційнісистеми [automated system] ne-редбачаютьучастьупроцесіоброблення інформації людини, ітех-нічних засобів, причому головна роль надається* комп'ютеру. У су­часному тлумаченні в термін «інформаційна система» вкладається обов'язково поняття системи, що піддається автоматизації.

Автоматизовані інформаційні системи, враховуючи їхнє широке застосування в організації процесів управління, мають різноманітні модифікації та можуть бути класифікованими, на­приклад, і за характером використання інформації і за сферою застосування.

Класифікація інформаційних систем за характером використання інформації

Інформаційно-пошукові системи [data retrieval system] здій­снюють введення, систематизацію, зберігання, видачу інформації за запитом користувача без складних перетворень даних. Напри­клад, інформаційно-пошукова система в бібліотеці, в залізнич­них і авіака-сах.

Інформаційно-обчислювальні системи [information calcu­lation system] здійснюють усі операції перероблення інформації за певним алгоритмом. Серед них можна також провести класи­фікацію за мірою впливу виробленої результативної інформації на процес прийняття рішень і виділити два класи: управляючі і Дорадчі.

Управляючі інформаційні системи виробляють інформацію, на основі якої людина приймає рішення. Для цих систем харак­терні тип завдань розрахункового характеру й оброблення вели-

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

ких обсягів даних. Прикладом можу бути система оперативного планування випуску продукції, система бухгалтерського обліку. Дорадчі інформаційні системи виробляють інформацію, яка приймається людиною до відома та не перетворюється не­гайно у серію конкретних дій. Ці системи мають більш високу ступінь інтелекту, так як для них характерне оброблення знань, а не даних.

Класифікація інформаційних систем за сферою застосування

Інформаційні системи організаційного управління при­значені для автоматизації функцій управлінського персоналу. Враховуючи найбільш широке застосування та різноманітність цього класу систем, часто будь-які інформаційні системи ро­зуміють саме у даному тлумаченні. До цього класу систем від­носяться інформаційні системи управління як промисловими підприємствами, так і непро-мисловими об'єктами: готелями, банками, торговими фірмами і т.ін.

Основними функціями подібних систем є: оперативний кон­троль і регулювання, оперативний облік і аналіз, перспективне й оперативне планування, бухгалтерський облік, керування збу­том і постачанням та інші економічні й організаційні завдання.

Інформаційні системи управління технологічними проце­сами служать для автоматизації функцій виробничого персоналу. Вони використовуються при організації потокових ліній.виготов-лення мікросхем, на складанні, для підтримки технологічного про­цесу в металургійній та машинобудівній промисловості.

Інформаційні системи автоматизованого проектування [computer-aided design (CAD)] (САПР) призначені для автомати­зації функцій інженерів-проектувальників, конструкторів, архітек­торів, дизайнерів при створенні нової техніки або технології. Ос­новними функціями таких систем є: інженерні розрахунки, ство­рення графічної документації (креслень, схем, планів), створення проектної документації, моделювання об'єктів, що проектуються.

Інтегровані (корпоративні) інформаційні системи вико­ристовуються для автоматизації всіх функцій фірми й охоплю­ють весь цикл робіт від проектування до збуту продукції. Ство-

рення таких систем дуже важке, оскільки потребує системного підходу з позицій головної мети, наприклад одержання прибут­ку, завоювання ринку збуту і т.ін.

6.2.4. Основні характеристики інформаційної системи як об'єкта захисту

Для інформаційних систем як об'єктів безпеки характер­
ні наступні такі характеристики як конфіденційність, доступ­
ність та цілісність інформації (даних) в інформаційній системі
(рис. 6.10) [2]. і

Конфіденційність [confidentiality, privacy] (від лат. confi-dentia — довір'я) — це властивість не підлягати розголосові; Довірчість, секретність, суто приватність.

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Конфіденційність інформації (даних) в інформаційній сис­темі — це властивість інформації, яка полягає в тому, що інфор­мація не може бути отримана неавторизованим користувачем і (або) процесом інформаційної системи. Інформація зберігає конфіденційність, якщо дотримуються встановлені правила оз­найомлення з нею.

Доступність [availability] у загальному сенсі представляється як можливість проникнення куди-небудь.

Для інформаційної системи — це властивість ресурсу систе­ми, яка полягає в тому, що користувач і (або) процес, який во­лодіє відповідними повноваженнями, може використовувати ресурс відповідно до правил, встановлених політикою безпеки, не очікуючи довше заданого (малого) проміжку часу, тобто коли він знаходиться у вигляді, необхідному користувачеві, і в той час, коли він йому необхідний.

Доступність даних [data confidentiality] в інформаційній сис­темі — це властивість даних, що полягає у можливості їхнього читання користувачем або програмою. Визначається рядом фак­торів: можливістю працювати за терміналом, володінням паро­лем, знанням мови запитів і т.ін.

Цілісність [integrity] — це внутрішня єдність, зв'язаність усіх частин чого-небудь, єдине ціле. В інформаційній системі — це стан даних або інформаційної системи системи, в якій дані та про­грами використовуються встановленим чином, що забезпечує:

• стійку роботу системи;

• автоматичне відновлення у випадку виявлення системою по­
тенційної помилки;

• автоматичне використання альтернативних компонентів за­
мість тих, що вийшли з ладу.

Для інформаційної системи можна розглядати такі поняття як цілісність даних, цілісність інформації, цілісність бази даних цілісність інформаційної системи і т.ін.

Цілісність даних [data integrity] в інформаційній системі — це стан, при якому дані, що зберігаються в системі, в точності відпові­дають даним у вихідних документах; властивість, що має відно­шення до набору даних і означає, що дані не можуть бути змінені

Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

або зруйновані без санкції на доступ. Цілісність даних вважається збереженою, якщо дані не спотворені і не зруйновані (стерті).

Семантична цілісність даних [semantic data integrity] — це стан даних, коли вони зберігають свій інформаційний зміст та однозначність інтерпретації в умовах випадкових впливів.

Цілісність інформації [information integrity] — це влас­тивість інформації, яка полягає в тому, що інформація не може бути модифікована неавторизованим користувачем і (або) про­цесом. Інформація зберігає цілісність, якщо дотримуються вста­новлені правила її модифікації (видалення).

Цілісність бази даних [database integrity] — це стан бази даних, коли всі значення даних правильні в тому сенсі, що ві­дображають стан реального світу (в межах заданих обмежень по точності та часовій узгодженості) і підпорядковуються прави­лам взаємної несперечливості. Підтримка цілісності бази даних включає перевірку цілісності і відновлення з будь-якого непра­вильного стану, яке може бути виявлено; це входить у функції адміністратора бази даних.

Цілісність системи [system integrity] — це властивість систе­ми, яка полягає в тому, що жоден її компонент не може бути усунений, модифікований або доданий з порушенням політики безпеки.

До захищених інформаційних систем належать інформа­ційні системи, які для певних умов експлуатації забезпечують безпеку (конфіденційність, цілісність) інформації, що функціо­нує в системі, та підтримує свою працездатність в умовах впливу на неї заданої множини загроз.

Для інформаційної системи властиві наступні види загроз: загрози порушення конфіденційності, загрози порушення ціліс­ності, загрози порушення працездатності (доступності).

Загрози порушення конфіденційності спрямовані на розго­лошення інформації з обмеженим доступом.

Загрози порушення працездатності (доступності) спря­мовані на створення ситуацій, коли в результаті умисних дій по­нижується працездатність обчислювальної системи або її ресур­си стають недоступними.

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

Загрози порушення цілісності полягають у спотворенні або зміні неавторизованим користувачем інформації, що зберігаєть­ся або передається. Цілісність інформації може бути порушена як зловмисником, так і в результаті об'єктивних впливів із сто­рони середовища експлуатації системи.

6.3. ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ ТА ПРОБЛЕМИ ЇХНЬОЇ БЕЗПЕКИ

6.3.1. Визначення інформаційної технології

Створення та функціонування інформаційних систем тіс­но пов'язані з розвитком інформаційної технології — головної складової частини інформаційної системи [34].

У найбільш загальному випадку під поняттям технологія
І І [technology] (від грец. texvn (техно...) — майстерність, мистец-

тво, уміння і...логія) розуміють сукупність взаємопов'язаних способів обробки матеріалів, виготовлення виробів та процесів, що супроводжують ці види робіт. Власне сам процес представ­ляє певну сукупність дій, що спрямовані на досягнення постав­леної мети. Він повинен визначатися вибраною людиною страте­гією і реалізовуватися за допомогою сукупності різних засобів і методів.

Відповідно до визначення поняття технологія інформаційна технологія — це процес, що використовує сукупність засобів і методів збирання, оброблення і передачі даних (первинної інфор­мації) для одержання інформації нової якості про стан об'єкта, процесу або явища (інформаційного продукту).

Мета інформаційної технології — виробництво інформації для аналізу її людиною й прийняття на його основі рішення на виконання будь-якої дії.

Інформаційна технологія стала найбільш важливою складо­вою процесу використання інформаційних ресурсів суспільства. Вона пройшла декілька еволюційних етапів, зміна яких визнача-

Поиск по сайту: