8.3. Безпека інформаційних систем
Захист iнформацiї в ІС пов'язаний iз збiльшенням об'ємiв даних, до яких одночасно звертається для розв'язку рiзних завдань велика кiлькiсть користувачiв. Це приводить до вразливостi iнформацiї, тобто можливості її несанкцiонованого використання, спотворення чи знищення внаслiдок доступу користувачiв, якi не мають спецiальних повноважень, до конфiденцiйних даних. Для зменшення ймовiрностi несанкцiонованого використання iнформацiї розробляють спецiальнi механiзми її захисту.
Iснуючi методи i механiзми захисту включають в себе процедурнi, програмнi i апаратнi способи органiзацiї захисту.
Процедурнi методи захисту забезпечують доступ до даних тiльки тим користувачам, якi мають вiдповiдний дозвiл. Реалiзацiя процедурних методiв захисту забезпечується встановленням паролiв, грифiв секретностi даних, створенням органiзацiйних i фiзичних обмежень (вахтери, охорона i т.д.), а пiдвищення їх ефективностi досягається шляхом вiдповiдного навчання i пiдвищення рiвня вiдповiдальностi персоналу. Вiдповiдальнiсть за порушення безпеки даних при цьому покладається на особи, в обов'язки яких входить:
• управлiння доступом до даних;
• облiк спроб несанкцiонованого доступу до захищених даних;
• реєстрацiя осiб, якi мають копiї даних обмеженого використання;
• аналiз функцiонування системи захисту i пiдвищення якостi її роботи;
• аналiз наслiдкiв, викликаних "зламом" системи захисту.Процедурнi методи захисту використовують в основному на етапах первинної обробки даних i видачi результатiв обробки користувачам.
Програмнi i апаратнi методи захисту використовують на етапi обробки даних на ЕОМ. Вони забезпечують:
• обслуговування "законних" користувачiв;
• доступ до об'єктiв захисту у вiдповiдностi з встановленими правамиі правилами;
• можливiсть змiни (модифiкацiї) правил взаємодiї мiж користувачамиі об'єктами захисту;
• можливiсть отримання iнформацiї про безпеку об'єктiв захисту.
У всiх випадках вводу методiв захисту повиннi бути розробленi органiзацiйнi заходи, якi передбачають функцiонування захисту, зокрема зберiгання i замiну паролiв ("захист захисту"). В постановках задач синтезу систем захисту в якостi обмежуючих факторiв i показникiв ефективностi захисту виступають вартiснi i часовi затрати на розробку i експлуатацiю методiв захисту, втрати вiд зламування системи захисту, ймовiрнiсть i середнiй час несанкцiонованого доступу до об'єктiв захисту.
Приступаючи до створення системи захисту, необхідно пам'ятати:
• вартість захисту не повинна перевищувати вартості інформації, щозахищається, або суми збитків, до яких може привести несанкціонованийдоступ до неї;
• вартість подолання зловмисником встановленого захисту повиннаперевищувати вартість інформації, що захищається, або суму збитків.
Рівень захисту залежить і від наявності кваліфікованого персоналу, який зможе надалі підтримувати в робочому стані встановлене програмно-апаратне забезпечення. Чим складніша система захисту, тим більше ресурсів (людей, часу, грошей) вона вимагає для свого обслуговування.
Сама собою система безпеки інформаційної системи не приносить прибутку, проте її відсутність може бути причиною великих збитків (наприклад, втрата конфіденційності внаслідок несанкціонованого доступу до інформації, втрата даних внаслідок спотворення або знищення файлів).
Визначаючи загрози, від яких буде створюватись захист, необхідно брати до уваги і затрати на його реалізацію. Серед них, наприклад, матеріальні затрати на придбання обладнання та програмного забезпечення, затрати на шифрування та дешифрування. Витрати на захист від кожної загрози мають бути адекватними можливим наслідкам цієї загрози з врахуванням ймовірності їх появи.
Вартість засобів захисту від певного виду загроз не повинна перевищувати втрат, до яких може спричинити ця загроза, в тому числі і втрат на відновлення інформаційної системи.
На нинішній час захист інформації — розвинута галузь науки і техніки, що пропонує на ринку широкий спектр різноманітних засобів для захисту даних. Проте жоден з них окремо взятий не в змозі гарантувати адекватну безпеку інформаційної системи. Надійний захист можливий лише за умови проведення комплексу взаємодоповнюючих компонентів, а саме:
• нормативно-правові засоби;
• адміністративні заходи;
• спеціальне обладнання та програмне забезпечення.
Можна виділити чотири етапи побудови політики безпеки інформаційних систем:
• реєстрація всіх ресурсів, які повинні бути захищені;
• аналіз та створення списків можливих загроз для кожного ресурсу;
• оцінка ймовірності появи кожної загрози;
• прийняття рішень, які дозволять економічно ефективно захиститиінформаційну систему.
Сукупність адміністративних заходів та вибір спеціального обладнання і програмного забезпечення повинні здійснюватись для конкретної інформаційної системи. Безпеку інформаційної системи не можна купити, її треба постійно підтримувати: контролювати, модернізувати та оновлювати.
25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 Наверх ↑