Возможные пути реализации функции в управлении механизмами обеспечения защиты информации.

Защита информации — комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности (целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных).

Система называется безопасной, если она, используя соответствующие аппаратные и программные средства, управляет доступом к информации так, что только должным образом авторизованные лица или же действующие от их имени процессы получают право читать, писать, создавать и удалять информацию.

Очевидно, что абсолютно безопасных систем нет, и здесь речь идет о надежной системе в смысле «система, которой можно доверять» (как можно доверять человеку). Система считается надежной, если она с использованием достаточных аппаратных и программных средств обеспечивает одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа.

Основными критериями оценки надежности являются: политика безопасностиии гарантированность.

Политика безопасности, являясь активным компонентом защиты (включает в себя анализ возможных угроз и выбор соответствующих мер противодействия), отображает тот набор законов, правил и норм поведения, которым пользуется конкретная организация при обработке, защите и распространении информации. Выбор конкретных механизмов обеспечения безопасности системы производится в соответствии со сформулированной политикой безопасности.

Гарантированность, являясь пассивным элементом защиты, отображает меру доверия, которое может быть оказано архитектуре и реализации системы (другими словами, показывает, насколько корректно выбраны механизмы, обеспечивающие безопасность системы).

В надежной системе должны регистрироваться все происходящие события, касающиеся безопасности (должен использоваться механизм подотчетности протоколирования, дополняющийся анализом запомненной информации, то есть аудитом).

При оценке степени гарантированности, с которой систему можно считать надежной, центральное место занимает достоверная (надежная) вычислительная база. Достоверная вычислительная база (ДВБ) представляет собой полную совокупность защитных механизмов компьютерной системы, которая используется для претворения в жизнь соответствующей политики безопасности.

 

Функции непосредственной защиты информации.

1. Предупреждение возникновения условий, благоприятствующих порождению (возникновению) дестабилизирующих факторов. Главной целью данной функции является способствование такому построению архитектуры автоматизированной системы обработки данных (АСОД), технологических схем автоматизированной обработки информации и их обеспечению, чтобы свести к минимуму саму возможность появления дестабилизирующих факторов во всех потенциально возможных условиях функционирования АСОД. Иными словами — преследуется упреждающая цель.

2. Предупреждение непосредственного проявления дестабилизирующих факторов в конкретных условиях функционирования АСОД. Выделением данной функции также преследуется цель упреждения возникновения дестабилизирующих факторов, однако в отличие от предыдущей функции, осуществляемой с целью общего предупреждения, мероприятия функции 2 предполагается осуществлять для предупреждения проявления дестабилизирующих факторов в конкретных условиях жизнедеятельности АСОД.

3. Обнаружение проявившихся дестабилизирующих факторов. Предполагается осуществление таких мероприятий, в результате которых проявившиеся дестабилизирующие факторы (или реальная угроза их проявления) будут обнаружены еще до того, как они окажут воздействие на защищаемую информацию. Иными словами, это функция непрерывного слежения за дестабилизирующими факторами.

4. Предупреждение воздействия дестабилизирующих факторов на защищаемую информацию. Само название функции говорит о ее содержании: мероприятия, осуществляемые в рамках данной функции, преследуют цель не допустить нежелательного воздействия дестабилизирующих факторов на защищаемую информацию даже в том случае, если они реально проявились, т. е. данная функция является естественным продолжением предыдущей. Однако осуществление предыдущей функции может быть как успешным (проявление дестабилизирующих факторов будет обнаружено), так и неуспешным (проявление дестабилизирующих факторов не будет обнаружено). С целью же создания условий для надежной защиты информации в рамках данной функции, вообще говоря, должны быть предусмотрены мероприятия по предупреждению воздействия дестабилизирующих факторов на информацию в любых условиях. С учетом этого обстоятельства функцию предупреждения воздействия целесообразно разделить на две составные: предупреждение воздействия на информацию проявившихся и обнаруженных дестабилизирующих факторов и предупреждение воздействия на информацию проявившихся, но не обнаруженных дестабилизирующих; факторов.

5. Обнаружение воздействия дестабилизирующих факторов на, защищаемую информацию. Нетрудно видеть, что основное содержание мероприятий данной функции аналогично содержанию мероприятий функции 3 с той разницей, что если функция 3 есть функция слежения за дестабилизирующими факторами, то рассматриваемая функция есть функция слежения за компонентами защищаемой информации с целью своевременного обнаружения фактов воздействия на них дестабилизирующих факторов. При этом под своевременным понимается такое обнаружение, при котором сохраняются реальные возможности локализации воздействия на информацию, т. е. предупреждения распространения его в нежелательных размерах.

6. Локализация воздействия дестабилизирующих факторов на информацию. Являясь логическим продолжением предыдущей, данная функция предусмотрена с целью недопущения распространения воздействия на информацию за пределы максимально допустимых размеров. Но в рамках данной функции должны быть предусмотрены мероприятия как на случай успешного осуществления функции 5 (воздействие дестабилизирующих факторов на информацию обнаружено), так и на случай неуспешного ее осуществления (указанное воздействие не обнаружено). Тогда аналогично функции 4 рассматриваемую функцию также целесообразно разделить на две составные: локализацию обнаруженного воздействия дестабилизирующих факторов на информацию и локализацию необнаруженного воздействия.

7. Ликвидация последствий воздействия дестабилизирующих факторов на защищаемую информацию. Под ликвидацией последствий понимается проведение таких мероприятии относительно локализованного воздействия дестабилизирующих факторов на информацию, в результате которых дальнейшая обработка информации может осуществляться без учета имевшего место воздействия. Иными словами, удается восстановить то состояние защищаемой информации, которое имело место до воздействия дестабилизирующих факторов. Совершенно очевидно, что механизмы, с помощью которых могут быть .ликвидированы последствия воздействия, в общем случае будут различными для случаев локализации обнаруженного и необнаруженного воздействия. Тогда аналогично предыдущему эту функцию целесообразно представить в виде двух составных: ликвидация последствий обнаруженного и локализованного воздействия дестабилизирующих факторов на защищаемую информацию и ликвидация последствий локализованного, но не обнаруженного воздействия на информацию. Управление в современных условиях стало массовым занятием, в силу чего полностью полагаться лишь на искусство управленцев нельзя: технология массового управления непременно должна быть строго рег­ламентированной.

1.Управление на современном этапе является сложным процессом, что обусловлено, с одной стороны, постоянным усложнением управляе­мых процессов, а с другой – все расширяющейся кооперацией производ­ства. В этих условиях управление должно быть таким, чтобы весь ход производства был строго регламентирован и притом с значительным
упреждением во времени.

2.Управление стало высоко динамичным процессом в самом широком толковании этого понятия. Управление высоко динамичными про­цессами будет эффективным лишь в том случае, когда содержание процедур управления и правила их выполнения будут строго регламентирова­ны.

3.Управление в современных условиях является высокоответствен­ным процессом, причем как в силу неуклонного роста потерь от некаче­ственного управления, так и в силу того, что нередко приходится управ­лять объектами и процессами повышенной опасности.

4.В сферу управления интенсивно внедряются средства ЭВТ, управ­ление все больше становится автоматизированным, что предполагает структуризацию соответствующих процессов до уровня представления их в виде алгоритмов.

Детальное обоснование перечисленных аргументов приведено в.

Нетрудно видеть, что применительно к управлению защитой ин­формации в современных АСОД целиком и полностью справедливы все названные выше аргументы, чем и предопределяется настоятельная необ­ходимость в строгой определенности технологии управления.

Научно-методологическим базисом построения названной выше технологии служит так называемая конструктивная теория управления, удовлетворяющая следующей совокупности условий:

1) содержит полный и упорядоченный перечень функций управле­ния;

2) разработана стройная концепция осуществления каждой из функций управления;

3) для каждой процедуры управления разработаны методы ее вы­полнения для общего случая.

Ниже в самом общем виде излагаются основные положения кон­структивной теории управления.

Вообще говоря, стратегия хорошего управления может быть пред­ставлена следующим образом: осуществляется непрерывное прогнозиро­вание будущих состояний управляемых объектов или процессов и пара­метров окружающей среды, на этой основе и с учетом целей функциони-. рования и имеющихся ресурсов вырабатываются такие управляющие воз­действия, которые обеспечивают наиболее эффективное функционирова­ние соответствующих объектов или процессов. Наглядно такая стратегия показана на рисунке 16.1.

Перечень и содержание функций управления вытекают из того поч­ти очевидного утверждения, что основными макрозадачами непосред­ственного управления должны быть выработка рациональных планов функционирования управляемых объектов и процессов и осуществление руководства выполнением планов. Собственно для решения этих макро­задач и создаются системы управления. Будучи же созданными, эти си­стемы требуют обеспечения своей повседневной деятельности, причем с точки зрения управления имеется в виду прежде всего информационное обеспечение.

Таким образом вырисовываются три макрозадачи управления: раз­работка планов деятельности, руководство выполнением планов и обес­печение повседневной деятельности системы управления.

Но, как известно, есть различные режимы управления, причем основным фактором, определяющим режим управления, является ско­рость протекания управляемых процессов. По данному параметру приня­то различать управление быстротекущими процессами, управление обычными процессами и управление процессами, рассчитанными на пер­спективу.

Если объединить макрозадачи и режимы управления, то состав функций может быть представлен так, как показано на рис. 5.4. Выделен­ные и занумерованные на рисунке функции и составляют базовое их множество.

Концепции осуществления функций управления в самом общем ви­де могут быть представлены так.

Планирование есть процесс выработки плана (программы) деятель­ности на предстоящий период. Основные правила разработки планов:

1. Обобщенные цели: достижение заданного результата при мини­мальных затратах или достижение максимального результата при задан­ных затратах.

2. Виды: долгосрочное (перспективное), среднесрочное (рабочее),текущее (исполнительное).

3. Принципиальные подходы: удовлетворенчество (удовлетворяетпросто хороший план); оптимизаторство (требуется строго оптимальныйплан); адаптавизация (разрабатывается гибкий план, который легко мо­жет быть приспособлен к конкретным условиям).

4. Требования: ориентация на конечный результат; научно-техническая и экономическая обоснованность; сочетание различных видовпланирования; планирование с перекрытием временных интервалов; концентрация сил и средств на решении главных задач; четкая адресацияплановых заданий.

5. Способы: анализа, синтеза, итерационный.

5.Стадии: обоснование целей и критериев; анализ условий; анализресурсов; обоснование подлежащих решению задач; согласование целей,задач, условий и ресурсов; определение последовательности выполненияплановых заданий; обоснование перечня обеспечивающих мероприятий;обоснование мероприятий на случай непредвиденных обстоятельств.

Состав, содержание и последовательность решения основных задач оперативно-диспетчерского управления показаны на рис. 5.5.

 

Основное содержание функции календарно-планового руководства выполнением планов может быть представлено совокупностью следую­щих задач:

1) создание и поддержание условий, необходимых для эффективно­
го выполнения планов;

2)организация выполнения плановых заданий; >

3)контроль и анализ хода выполнения планов; '; }

4)корректировка (при необходимости) планов; | t

5)отработка регламентных документов. f

Основное содержание функции обеспечения (причем нас прежде всего интересует информационное обеспечение) повседневной деятель­ности органов управления заключается в создании наиболее благоприят­ных условий, необходимых для эффективного осуществления функций планирования, оперативно-диспетчерского управления и календарно-пла­нового руководства.

Более детально содержание и организация осуществления функций управления будут рассмотрены в гл. 7 (см. § 7.5) применительно к управ­лению защитой информации.

Если теперь свести воедино функции непосредственной защиты ин­формации и управления защитой, то общая их структура представится так, как показано на рисунке 16.3.

 








Дата добавления: 2016-03-15; просмотров: 1025;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.011 сек.