|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Особенности организации системы ЗИ в Германии. Значение опыта Германии для России и других странОсобенностью организации системы защиты информации в 19 веке является создание системы службы безопасности, которая в полной мере обеспечивает защиту сведений, представляющих интерес для промышленного шпионажа. На современном этапе интересными для изучения являются вопросы защиты данных. В федеративной республике Германии был принят в 1970 году первый в мире нормативный акт по данному вопросу, согласно которому с 1977 года граждане лично принимают решение о разглашении своих персональных данных. Защиту их прав осуществляет независимый Уполномоченный по защите личных данных граждан, избираемый в ландстагам. Согласно редакции 1991 года данные находятся под защитой лишь тогда, когда они применяются не только в частной сфере, но и выполняют какую-либо функцию в общественной или экономической жизни. Внешний контроль осуществляется Федеральным Уполномоченным по защите данных, избираемый бундестагом который никому не подчиняется и чьи функции заключаются в проверке личных жалоб граждан об использовании их личных данных федеральным государственным учреждением. На самом низшем уровне предприятий (от 5 работников) назначается Уполномоченный по защите данных. Большое внимание уделяется предотвращению лишнего сбора данных. В интересах информационной безопасности федеральное правительство в 1993 году создало федеральное ведомство по обеспечению безопасности в сфере информационной технике, который кроме защитных функций оказывает консультирование, выдавать сертификаты безопасности давать оценку средствам защиты. Интересы ЗИ, отраженные в конституции ВЫВОДЫ: 1. Предприниматели в нашей стране могут позаимствовать традиции и принципы комплексного подхода к противодействию промышленному шпионажу. 2. Создать разветвленную систему по защите данных, особенно личных, с созданием Уполномоченными на самых начальных уровнях. 3. Предоставить органам защиты информации большую свободу, которая позволит им ставить интересы граждан и организации выше государственных.
38 Руководящие документы Гостехкомиссии России. Гостехкомиссия России (ныне это Федеральная служба по техническому и экспортном}* контролю - ФСТЭК России) в период с 1992 по 1999 г. разработала пакет руководящих документов, посвященных вопросам защиты информации в автоматизированных системах. Наибольший интерес представляют следующие документы: - Защита от несанкционированного доступа к информации. Термины и определения [27]. - Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации [28]. Программно-технические средства зашиты не должны существенно ухудшать - надёжность; - быстродействие; - возможность изменения конфигурации АС.
6. Неотъемлемой частью работ по защите является опенка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты. 7. Защита АС должна предусматривать контроль эффективности средств защиты от НСД. который либо может быть периодическим, либо инициироваться по мере необходимости пользователем АС или контролирующими органами. Концепция также предлагает модель нарушителя безопасности автоматизированной системы. В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС. Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяют 4 уровня возможностей, на каждом уровне нарушитель является специалистом высшей квалификации, знает всё об автоматизированной системе и, в частности, о средствах её защиты. 1. Возможность ведения диалога в АС - запуск программ из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации. 2. Возможность создания и запуска собственных программ с новыми функциями по обработке информации. 3. Возможность управления функционированием АС, т.е. воздействие на базовое программное обеспечение системы и на состав и конфигурацию её оборудования. 4. Весь объём возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации. Нетрудно видеть, что уровни являются иерархическими - каждый последующий уровень включает возможности всех предыдущих. В концепции предлагается оценивать технические средства зашиты от НСД по следующим основным характеристикам: 1. Степень полноты и качество охвата правил разграничения доступа - чёткость и непротиворечивость правил доступа; - надёжность идентификации правил доступа. 2. Состав и качество обеспечивающих средств для системы разграничения - средства идентификации и опознания субъектов и порядок и порядок их использования; - полнота учёта действий субъектов; - спосооы поддержания привязки суоъекта к его процессу. 3. Гарантии правильности функционирования системы разграничения доступа и обеспечивающих её средств. При оценке используется соответствующая документация. Обеспечение защиты СВТ и АС осуществляется системой разграничения доступа (СРД) субъектов к объектам доступа и обеспечиваю/ними средствами для СРД Основными функциями СРД являются: - реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным: - реализация ПРД субъектов и их процессов к устройствам создания твердых копий; - изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов: - управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа: - реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам. Обеспечивающие средства для СРД выполняют следующие функции: - идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемом}* для субъекта: - регистрацию действий субъекта и его процесса: - предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочии субъектов: - реакцию на попытки НСД. например, сигнализацию, блокировку, восстановление после НСД; - тестирование: - очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными: - учет выходных печатных и графических форм и твердых копий в АС; - контроль целостности программной н информационной части как СРД. так н обеспечивающих ее средств. Сама система разграничения доступа может быть реализована следующим эбразом: - в виде распределённой системы или локально в ядре защиты: - в рамках операционной системы или прикладных программ; - в средствах реализации сетевого взаимодействия или на уровне приложений; - с использованием криптографии или методов непосредственного контроля доступа; - путём программной или аппаратной реализации. Организация работ по защите СВТ и АС от НСД к информации должна быть хастыо общей организации работ по обеспечению безопасности информации. При этом обеспечение защиты основывается на требованиях по защите к разрабатываемым СВТ и КС, формулируемых заказчиком и согласуемых с разработчиком. Такие требования задаются либо в виде желаемого уровня защищенности СВТ или АС, либо в виде перечня требований, соответствующего этому уровню. Проверка выполнения технических требовании по защите проводится аналогично с другими техническими требованиями в процессе испытаний (предварительных, государственных н др.). По результатам успешных испытаний оформляется сертификат, удостоверяющий соответствие СВТ или АС требованиям по защите и дающий право разработчику на использование и (или) распространение их как защищенных. Отмечается, что разработка мероприятий по защите должна проводиться одновременно с разработкой СВТ и АС и выполняться за счет финансовых и материально-технических средств (ресурсов), выделенных на разработку СВТ и АС.
39 Математические модели. Системы защиты информации, с одной стороны, являются составной частью информационной системы, с другой стороны сами по себе представляют сложную техническую систему. Решение задач анализа и синтеза СЗИ усложняется рядом их особенностей, основными из которых являются: o сложная опосредствованная взаимосвязь показателей качества СЗИ с показателями качества информационной системы; o необходимость учета большого числа показателей (требований) СЗИ при оценке и выборе их рационального варианта; o преимущественно качественный характер показателей (требований), учитываемых при анализе и синтезе СЗИ; o существенная взаимосвязь и взаимозависимость этих показателей (требований), имеющих противоречивый характер; o трудность получения исходных данных, необходимых для решения задач анализа и синтеза СЗИ, в особенности на ранних этапах их проектирования. Указанные особенности делают практически невозможным применение традиционных математических методов, в том числе методов математической статистики и теории вероятностей, а также классических методов оптимизации для решения прикладных задач анализа и синтеза СЗИ. Сложность процесса принятия решений, отсутствие математического аппарата приводят к тому, что при оценке и выборе альтернатив возможно, (а зачастую просто необходимо) использовать и обрабатывать качественную экспертную информацию. Перспективным направлением разработки методов принятия решений при экспертной исходной информации является лингвистический подход на базе теории нечетких множеств и лингвистической переменной. Теория нечетких множеств в очередной раз подтвердила одну, известную всем исследователям истину: применяемый формальный аппарат по своим потенциальным возможностям и точности должен быть адекватен смысловому содержанию и точности исходных данных. Математическая статистика и теория вероятностей используют экспериментальные данные, обладающие строго определенной точностью и достоверностью. Теория нечетких множеств имеет дело с “человеческими знаниями”, которые принято называть экспертной информацией. При написании данной главы поставлена скромная задача: на основе анализа и использования известной литературы по теории нечетких множеств показать, как можно применить этот современный математический аппарат для решения прикладных задач, связанных с оценкой и выбором вариантов построения систем защиты информации. Применение теории нечетких множеств для решения этих задач, как правило, иллюстрируется примерами. Основные понятия теории нечетких множеств Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.005 сек.) |