Возможные пути реализации функции в управлении механизмами обеспечения защиты информации.
Защита информации — комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности (целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных).
Система называется безопасной, если она, используя соответствующие аппаратные и программные средства, управляет доступом к информации так, что только должным образом авторизованные лица или же действующие от их имени процессы получают право читать, писать, создавать и удалять информацию.
Очевидно, что абсолютно безопасных систем нет, и здесь речь идет о надежной системе в смысле «система, которой можно доверять» (как можно доверять человеку). Система считается надежной, если она с использованием достаточных аппаратных и программных средств обеспечивает одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа.
Основными критериями оценки надежности являются: политика безопасностиии гарантированность.
Политика безопасности, являясь активным компонентом защиты (включает в себя анализ возможных угроз и выбор соответствующих мер противодействия), отображает тот набор законов, правил и норм поведения, которым пользуется конкретная организация при обработке, защите и распространении информации. Выбор конкретных механизмов обеспечения безопасности системы производится в соответствии со сформулированной политикой безопасности.
Гарантированность, являясь пассивным элементом защиты, отображает меру доверия, которое может быть оказано архитектуре и реализации системы (другими словами, показывает, насколько корректно выбраны механизмы, обеспечивающие безопасность системы).
В надежной системе должны регистрироваться все происходящие события, касающиеся безопасности (должен использоваться механизм подотчетности протоколирования, дополняющийся анализом запомненной информации, то есть аудитом).
При оценке степени гарантированности, с которой систему можно считать надежной, центральное место занимает достоверная (надежная) вычислительная база. Достоверная вычислительная база (ДВБ) представляет собой полную совокупность защитных механизмов компьютерной системы, которая используется для претворения в жизнь соответствующей политики безопасности.
Функции непосредственной защиты информации.
1. Предупреждение возникновения условий, благоприятствующих порождению (возникновению) дестабилизирующих факторов. Главной целью данной функции является способствование такому построению архитектуры автоматизированной системы обработки данных (АСОД), технологических схем автоматизированной обработки информации и их обеспечению, чтобы свести к минимуму саму возможность появления дестабилизирующих факторов во всех потенциально возможных условиях функционирования АСОД. Иными словами — преследуется упреждающая цель.
2. Предупреждение непосредственного проявления дестабилизирующих факторов в конкретных условиях функционирования АСОД. Выделением данной функции также преследуется цель упреждения возникновения дестабилизирующих факторов, однако в отличие от предыдущей функции, осуществляемой с целью общего предупреждения, мероприятия функции 2 предполагается осуществлять для предупреждения проявления дестабилизирующих факторов в конкретных условиях жизнедеятельности АСОД.
3. Обнаружение проявившихся дестабилизирующих факторов. Предполагается осуществление таких мероприятий, в результате которых проявившиеся дестабилизирующие факторы (или реальная угроза их проявления) будут обнаружены еще до того, как они окажут воздействие на защищаемую информацию. Иными словами, это функция непрерывного слежения за дестабилизирующими факторами.
4. Предупреждение воздействия дестабилизирующих факторов на защищаемую информацию. Само название функции говорит о ее содержании: мероприятия, осуществляемые в рамках данной функции, преследуют цель не допустить нежелательного воздействия дестабилизирующих факторов на защищаемую информацию даже в том случае, если они реально проявились, т. е. данная функция является естественным продолжением предыдущей. Однако осуществление предыдущей функции может быть как успешным (проявление дестабилизирующих факторов будет обнаружено), так и неуспешным (проявление дестабилизирующих факторов не будет обнаружено). С целью же создания условий для надежной защиты информации в рамках данной функции, вообще говоря, должны быть предусмотрены мероприятия по предупреждению воздействия дестабилизирующих факторов на информацию в любых условиях. С учетом этого обстоятельства функцию предупреждения воздействия целесообразно разделить на две составные: предупреждение воздействия на информацию проявившихся и обнаруженных дестабилизирующих факторов и предупреждение воздействия на информацию проявившихся, но не обнаруженных дестабилизирующих; факторов.
5. Обнаружение воздействия дестабилизирующих факторов на, защищаемую информацию. Нетрудно видеть, что основное содержание мероприятий данной функции аналогично содержанию мероприятий функции 3 с той разницей, что если функция 3 есть функция слежения за дестабилизирующими факторами, то рассматриваемая функция есть функция слежения за компонентами защищаемой информации с целью своевременного обнаружения фактов воздействия на них дестабилизирующих факторов. При этом под своевременным понимается такое обнаружение, при котором сохраняются реальные возможности локализации воздействия на информацию, т. е. предупреждения распространения его в нежелательных размерах.
6. Локализация воздействия дестабилизирующих факторов на информацию. Являясь логическим продолжением предыдущей, данная функция предусмотрена с целью недопущения распространения воздействия на информацию за пределы максимально допустимых размеров. Но в рамках данной функции должны быть предусмотрены мероприятия как на случай успешного осуществления функции 5 (воздействие дестабилизирующих факторов на информацию обнаружено), так и на случай неуспешного ее осуществления (указанное воздействие не обнаружено). Тогда аналогично функции 4 рассматриваемую функцию также целесообразно разделить на две составные: локализацию обнаруженного воздействия дестабилизирующих факторов на информацию и локализацию необнаруженного воздействия.
7. Ликвидация последствий воздействия дестабилизирующих факторов на защищаемую информацию. Под ликвидацией последствий понимается проведение таких мероприятии относительно локализованного воздействия дестабилизирующих факторов на информацию, в результате которых дальнейшая обработка информации может осуществляться без учета имевшего место воздействия. Иными словами, удается восстановить то состояние защищаемой информации, которое имело место до воздействия дестабилизирующих факторов. Совершенно очевидно, что механизмы, с помощью которых могут быть .ликвидированы последствия воздействия, в общем случае будут различными для случаев локализации обнаруженного и необнаруженного воздействия. Тогда аналогично предыдущему эту функцию целесообразно представить в виде двух составных: ликвидация последствий обнаруженного и локализованного воздействия дестабилизирующих факторов на защищаемую информацию и ликвидация последствий локализованного, но не обнаруженного воздействия на информацию. Управление в современных условиях стало массовым занятием, в силу чего полностью полагаться лишь на искусство управленцев нельзя: технология массового управления непременно должна быть строго регламентированной.
1.Управление на современном этапе является сложным процессом, что обусловлено, с одной стороны, постоянным усложнением управляемых процессов, а с другой – все расширяющейся кооперацией производства. В этих условиях управление должно быть таким, чтобы весь ход производства был строго регламентирован и притом с значительным
упреждением во времени.
2.Управление стало высоко динамичным процессом в самом широком толковании этого понятия. Управление высоко динамичными процессами будет эффективным лишь в том случае, когда содержание процедур управления и правила их выполнения будут строго регламентированы.
3.Управление в современных условиях является высокоответственным процессом, причем как в силу неуклонного роста потерь от некачественного управления, так и в силу того, что нередко приходится управлять объектами и процессами повышенной опасности.
4.В сферу управления интенсивно внедряются средства ЭВТ, управление все больше становится автоматизированным, что предполагает структуризацию соответствующих процессов до уровня представления их в виде алгоритмов.
Детальное обоснование перечисленных аргументов приведено в.
Нетрудно видеть, что применительно к управлению защитой информации в современных АСОД целиком и полностью справедливы все названные выше аргументы, чем и предопределяется настоятельная необходимость в строгой определенности технологии управления.
Научно-методологическим базисом построения названной выше технологии служит так называемая конструктивная теория управления, удовлетворяющая следующей совокупности условий:
1) содержит полный и упорядоченный перечень функций управления;
2) разработана стройная концепция осуществления каждой из функций управления;
3) для каждой процедуры управления разработаны методы ее выполнения для общего случая.
Ниже в самом общем виде излагаются основные положения конструктивной теории управления.
Вообще говоря, стратегия хорошего управления может быть представлена следующим образом: осуществляется непрерывное прогнозирование будущих состояний управляемых объектов или процессов и параметров окружающей среды, на этой основе и с учетом целей функциони-. рования и имеющихся ресурсов вырабатываются такие управляющие воздействия, которые обеспечивают наиболее эффективное функционирование соответствующих объектов или процессов. Наглядно такая стратегия показана на рисунке 16.1.
Перечень и содержание функций управления вытекают из того почти очевидного утверждения, что основными макрозадачами непосредственного управления должны быть выработка рациональных планов функционирования управляемых объектов и процессов и осуществление руководства выполнением планов. Собственно для решения этих макрозадач и создаются системы управления. Будучи же созданными, эти системы требуют обеспечения своей повседневной деятельности, причем с точки зрения управления имеется в виду прежде всего информационное обеспечение.
Таким образом вырисовываются три макрозадачи управления: разработка планов деятельности, руководство выполнением планов и обеспечение повседневной деятельности системы управления.
Но, как известно, есть различные режимы управления, причем основным фактором, определяющим режим управления, является скорость протекания управляемых процессов. По данному параметру принято различать управление быстротекущими процессами, управление обычными процессами и управление процессами, рассчитанными на перспективу.
Если объединить макрозадачи и режимы управления, то состав функций может быть представлен так, как показано на рис. 5.4. Выделенные и занумерованные на рисунке функции и составляют базовое их множество.
Концепции осуществления функций управления в самом общем виде могут быть представлены так.
Планирование есть процесс выработки плана (программы) деятельности на предстоящий период. Основные правила разработки планов:
1. Обобщенные цели: достижение заданного результата при минимальных затратах или достижение максимального результата при заданных затратах.
2. Виды: долгосрочное (перспективное), среднесрочное (рабочее),текущее (исполнительное).
3. Принципиальные подходы: удовлетворенчество (удовлетворяетпросто хороший план); оптимизаторство (требуется строго оптимальныйплан); адаптавизация (разрабатывается гибкий план, который легко может быть приспособлен к конкретным условиям).
4. Требования: ориентация на конечный результат; научно-техническая и экономическая обоснованность; сочетание различных видовпланирования; планирование с перекрытием временных интервалов; концентрация сил и средств на решении главных задач; четкая адресацияплановых заданий.
5. Способы: анализа, синтеза, итерационный.
5.Стадии: обоснование целей и критериев; анализ условий; анализресурсов; обоснование подлежащих решению задач; согласование целей,задач, условий и ресурсов; определение последовательности выполненияплановых заданий; обоснование перечня обеспечивающих мероприятий;обоснование мероприятий на случай непредвиденных обстоятельств.
Состав, содержание и последовательность решения основных задач оперативно-диспетчерского управления показаны на рис. 5.5.
Основное содержание функции календарно-планового руководства выполнением планов может быть представлено совокупностью следующих задач:
1) создание и поддержание условий, необходимых для эффективно
го выполнения планов;
2)организация выполнения плановых заданий; >
3)контроль и анализ хода выполнения планов; '; }
4)корректировка (при необходимости) планов; | t
5)отработка регламентных документов. f
Основное содержание функции обеспечения (причем нас прежде всего интересует информационное обеспечение) повседневной деятельности органов управления заключается в создании наиболее благоприятных условий, необходимых для эффективного осуществления функций планирования, оперативно-диспетчерского управления и календарно-планового руководства.
Более детально содержание и организация осуществления функций управления будут рассмотрены в гл. 7 (см. § 7.5) применительно к управлению защитой информации.
Если теперь свести воедино функции непосредственной защиты информации и управления защитой, то общая их структура представится так, как показано на рисунке 16.3.
Дата добавления: 2016-03-15; просмотров: 1025;