Подходы, принципы обеспечениябезопасности

Под обеспечением безопасности информационных систем понимают меры, предохраняющие информационную систему от случайного или преднамеренного вмешательства в режимы ее функционирования.

Существует два принципиальных подхода к обеспечению компьютерной безопасности.

Первый из них – фрагментарный, в его рамках происходит ориентация на противодействие строго определенным угрозам при определенных условиях (например, специализированные антивирусные средства, автономные средства шифрования и т.д.). У подхода есть как достоинства – предполагающие высокий уровень избирательности в части строго определенной проблемы, так и недостатки – предполагающие фрагментарность защиты – т.е. строго определенных элементов.

Процесс управления защитой информации включает в себя компоненты, представленные на рис. 1.

Второй подход – системный, его особенностью является то, что в его рамках к защите информации относятся более масштабно - создается защищенная среда обработки, хранения и передачи информации, объединяющей разнородные методы и средства противодействия угрозам: программно-технические, правовые, организационно-экономические. Посредством указанной защищенной среды можно гарантировать определенный уровень безопасности автоматизированной информационной системы.

Системный подход к защите информации базируется на следующих методологических принципах:

-конечной цели - абсолютного приоритета конечной (глобальной) цели;

-единства - совместного рассмотрения системы как целого' и как совокупности частей (элементов);

-связности - рассмотрения любой части системы совместно с ее связями с окружением;

-модульного построения - выделения модулей в системе и рассмотрения ее как совокупности модулей;

-иерархии - введения иерархии частей (элементов) и их ранжирования;

-функциональности - совместного рассмотрения структуры и функции с приоритетом функции над структурой;

-развития - учета изменяемости системы, ее способности к развитию, расширению, замене частей, накапливанию информации;

-децентрализации - сочетания в принимаемых решениях и управлении централизации и децентрализации;

-неопределенности - учета неопределенностей и случайностей в системе.

Современные исследователи выделяют следующие методологические,

организационные и реализационные принципы информационной (в том числе компьютерной) безопасности.

Принцип законности. Состоит в следовании действующему законодательству в области обеспечения информационной безопасности.

Принцип неопределенности.Возникает вследствие неясности поведения субъекта, т.е. кто, когда, где и каким образом может нарушить безопасность объекта защиты.

Принцип невозможности создания идеальной системы защиты. Следует из принципа неопределенности и ограниченности ресурсов указанных средств.

Принципы минимального риска и минимального ущерба.Вытекают из невозможности создания идеальной системы защиты. В соответствии с ним необходимо учитывать конкретные условия существования объекта защиты для любого момента времени.

Принцип безопасного времени.Предполагает учет абсолютного времени, т.е. в течение которого необходимо сохранение объектов защиты; и относительного времени, т.е. промежутка времени от момента выявления злоумышленных действий до достижения цели злоумышленником.

Принцип «защиты всех ото всех». Предполагает организацию защитных мероприятий против всех форм угроз объектам защиты, что является следствием принципа неопределенности.

Принципы персональной ответственности. Предполагает персональную ответственность каждого сотрудника предприятия, учреждения и организации за соблюдение режима безопасности в рамках своих полномочий, функциональных обязанностей и действующих инструкций.

Принцип ограничения полномочий.Предполагает ограничение полномочий субъекта на ознакомление с информацией, к которой не требуется доступа для нормального выполнения им своих функциональных обязанностей, а также введение запрета доступа к объектам и зонам, пребывание в которых не требуется по роду деятельности.

Принцип взаимодействия и сотрудничества. Во внутреннем проявлении предполагает культивирование доверительных отношений между сотрудниками, отвечающими за безопасность (в том числе информационную), и персоналом. Во внешнем проявлении - налаживание сотрудничества со всеми заинтересованными организациями и лицами (например, правоохранительными органами).

Принцип комплексности и индивидуальности.Подразумевает невозможность обеспечения безопасности объекта защиты каким-либо одним мероприятием, а лишь совокупностью комплексных, взаимосвязанных и дублирующих друг друга мероприятий, реализуемых с индивидуальной привязкой к конкретным условиям.

Еще по теме:

Достаточность собственного капитала Калининградского филиала ОАО «Банк ВТБ»
В соответствии с инструкцией Центрального банка России от 20.03.2007г. №110–И «О порядке регулирования деятельности банков» каждый банк обязан соответствовать нормам обязательных нормативов. Любой коммерческий банк, который ориентируется на определенный круг клиентов и объем предоставляемых им услу ...

Выбор организационно-финансовой структуры по привлечению кредитных ресурсов в систему земельно-ипотечного кредитования предпринимательства
В первой главе были рассмотрены две организационно-финансовые схемы, по которым развивается ипотека в мировой практике: одноуровневая (европейская) и двухуровневая (американская). При современном состоянии банковской системы, нормативно-правовой базы, экономики аграрного сектора и ряда других обсто ...

Проблемы ипотечного кредитования в РФ
После того, как рыночная экономика вступила в свои права на просторах Российской Федерации, русский язык стал «богаче» еще на одно понятие – ипотека. Хотя если быть точными, то услуга по получению кредита в банке с возможностью покупки жилья уже существовала в России до 1917 года, имела под собой т ...