8.3. Безпека інформаційних систем

Захист iнформацiї в ІС пов'язаний iз збiльшенням об'ємiв даних, до яких одночасно звертається для розв'язку рiзних завдань велика кiлькiсть користувачiв. Це приводить до вразливостi iнформацiї, тобто можливості її несанкцiонованого використання, спотворення чи знищення внаслiдок до­ступу користувачiв, якi не мають спецiальних повноважень, до конфiденцiйних даних. Для зменшення ймовiрностi несанкцiонованого ви­користання iнформацiї розробляють спецiальнi механiзми її захисту.

Iснуючi методи i механiзми захисту включають в себе процедурнi, про­грамнi i апаратнi способи органiзацiї захисту.

Процедурнi методи захисту забезпечують доступ до даних тiльки тим ко­ристувачам, якi мають вiдповiдний дозвiл. Реалiзацiя процедурних методiв за­хисту забезпечується встановленням паролiв, грифiв секретностi даних, ство­ренням органiзацiйних i фiзичних обмежень (вахтери, охорона i т.д.), а пiдвищення їх ефективностi досягається шляхом вiдповiдного навчання i пiдвищення рiвня вiдповiдальностi персоналу. Вiдповiдальнiсть за порушення безпеки даних при цьому покладається на особи, в обов'язки яких входить:

        управлiння доступом до даних;

        облiк спроб несанкцiонованого доступу до захищених даних;

        реєстрацiя осiб, якi мають копiї даних обмеженого використання;

        аналiз функцiонування системи захисту i пiдвищення якостi її роботи;

•         аналiз наслiдкiв, викликаних "зламом" системи захисту.Процедурнi методи захисту використовують в основному на етапах пе­рвинної обробки даних i видачi результатiв обробки користувачам.

Програмнi i апаратнi методи захисту використовують на етапi обробки даних на ЕОМ. Вони забезпечують:

        обслуговування "законних" користувачiв;

        доступ до об'єктiв захисту у вiдповiдностi з встановленими правамиі правилами;

        можливiсть змiни (модифiкацiї) правил взаємодiї мiж користувачамиі об'єктами захисту;

        можливiсть отримання iнформацiї про безпеку об'єктiв захисту.

У всiх випадках вводу методiв захисту повиннi бути розробленi ор­ганiзацiйнi заходи, якi передбачають функцiонування захисту, зокрема зберiгання i замiну паролiв ("захист захисту"). В постановках задач синтезу систем захисту в якостi обмежуючих факторiв i показникiв ефективностi захисту виступають вартiснi i часовi затрати на розробку i експлуатацiю методiв захисту, втрати вiд зламування системи захисту, ймовiрнiсть i се­реднiй час несанкцiонованого доступу до об'єктiв захисту.

Приступаючи до створення системи захисту, необхідно пам'ятати:

               вартість захисту не повинна перевищувати вартості інформації, щозахищається, або суми збитків, до яких може привести несанкціонованийдоступ до неї;

               вартість подолання зловмисником встановленого захисту повиннаперевищувати вартість інформації, що захищається, або суму збитків.

Рівень захисту залежить і від наявності кваліфікованого персоналу, який зможе надалі підтримувати в робочому стані встановлене програмно-апаратне забезпечення. Чим складніша система захисту, тим більше ресур­сів (людей, часу, грошей) вона вимагає для свого обслуговування.

Сама собою система безпеки інформаційної системи не приносить при­бутку, проте її відсутність може бути причиною великих збитків (напри­клад, втрата конфіденційності внаслідок несанкціонованого доступу до ін­формації, втрата даних внаслідок спотворення або знищення файлів).

Визначаючи загрози, від яких буде створюватись захист, необхідно бра­ти до уваги і затрати на його реалізацію. Серед них, наприклад, матеріальні затрати на придбання обладнання та програмного забезпечення, затрати на шифрування та дешифрування. Витрати на захист від кожної загрози мають бути адекватними можливим наслідкам цієї загрози з врахуванням ймовір­ності їх появи.

Вартість засобів захисту від певного виду загроз не повинна перевищу­вати втрат, до яких може спричинити ця загроза, в тому числі і втрат на відновлення інформаційної системи.

На нинішній час захист інформації — розвинута галузь науки і техніки, що пропонує на ринку широкий спектр різноманітних засобів для захисту даних. Проте жоден з них окремо взятий не в змозі гарантувати адекватну безпеку інформаційної системи. Надійний захист можливий лише за умови проведення комплексу взаємодоповнюючих компонентів, а саме:

         нормативно-правові засоби;

         адміністративні заходи;

         спеціальне обладнання та програмне забезпечення.

Можна виділити чотири етапи побудови політики безпеки інформацій­них систем:

              реєстрація всіх ресурсів, які повинні бути захищені;

              аналіз та створення списків можливих загроз для кожного ресурсу;

              оцінка ймовірності появи кожної загрози;

              прийняття рішень, які дозволять економічно ефективно захиститиінформаційну систему.

Сукупність адміністративних заходів та вибір спеціального обладнання і програмного забезпечення повинні здійснюватись для конкретної інфор­маційної системи. Безпеку інформаційної системи не можна купити, її тре­ба постійно підтримувати: контролювати, модернізувати та оновлювати.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 
25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43  Наверх ↑