Слоеве на информационната сигурност: концепция, основни принципи, анализ на риска и намаляване на риска

Първо, нека да определим какво е информация и какво представлява понятието - нива на защита на информацията? Информацията се определя като отражение на реалния (материален) свят в системите или в даден субект под формата на сигнали и знаци. Той съществува под различни форми: като документ, снимка или текст. Но също и в други форми: звук, светлина, енергийни импулси и др. п. познания за околна среда, съобщения за "на света", възприемани от хората, също могат спокойно да бъдат класифицирани като информация.

Защита на информацията или информационна сигурност (ИС) може да се разглежда като съвкупност от мерки и технически средства за предотвратяване на фалшиво изкривяване, унищожаване и незаконно използване на информация, която би могла да навреди на потребителя. Най-важната цел на информационната сигурност е да осигури сигурност на системата като цяло, да я защити и да гарантира нейната точност. Ако тя се променя или унищожава, това унищожаване трябва да бъде сведено до минимум.

Основни принципи

Цялостната защита на информацията е както изискване на нашето време, така и важна тенденция в развитието на интелигентните системи. Тя трябва да се основава на цялостен подход. Това означава, че всички мерки за защита на данните трябва да бъдат предприети в рамките на един набор от взаимодействия.

Първата характеристика на защитата на системната информация (ЗСИ) срещу случайни или целенасочени заплахи е принципът на "разумна достатъчност". Тъй като 100% защита не е възможна никъде, трябва да се стремим към минимално необходимото ниво на защита срещу случайни външни заплахи. Принципът за цялостност на информацията се изразява в целостта на нейното съдържание и структура. Само потребителят може да създава или променя данни. Конфиденциалност означава ограничаване на достъпа на външни лица до актуална информация. Принципът на достъпност е възможността да получите необходимата ви информация за определено време. Принципът на достоверност изразява факта, че информацията наистина принадлежи на субекта, от когото е получена.

Мерки за защита на информацията. Политика за сигурност

За да се защитят интересите на субектите, които са информационно свързани, трябва да се определят и хармонизират следните нива на защита:

1. Законодателно ниво на защита на информацията, което включва разработване на закони и документи, които улесняват спазването на правилата за сигурност.

2. Административно ниво на ИС (това включва заповеди и ефективни управленски действия за защита на информационните системи).

3. Процедурното ниво на системна защита на информацията, т.е. е. Мерки за сигурност само за хора.

4. Софтуерният и хардуерният слой на информационната сигурност (ИС), който осигурява контрол върху информационните системи. Контролът се осъществява чрез хардуер и софтуер.

Основата на обектно-ориентирания системен подход към информационната сигурност е политиката за сигурност. Тя се основава на анализ на рисковете, присъщи на системата на организацията. Ако рисковете и стратегията са очертани, тогава изготвя се програма защита и методи на изпълнение в областта на ИС.

Формални характеристики на защитата

Особеностите на проблемното изследване в тази област се проявяват във факта, че нивата на защита на информацията могат да бъдат представени както като средства на ИС, така и като допълнителни нива на защита. В тази статия се разглежда първата. Гореспоменатите нива на мерките за информационна сигурност могат да бъдат разделени на нормативни и технически методи. Регулаторните средства включват морални и етични фактори и административни средства. Техническите методи се разделят на физически, хардуерни, софтуерни и криптографски.

Нива на сигурност

Слоевете на информационната сигурност обикновено се разделят на:

• Правна и регулаторна рамка (документи и разпоредби, които са задължителни в областта на ИС).
• Организационна подкрепа - сигурността на ИС се осигурява от службите за сигурност на организациите.
• Техническа поддръжка - използване на технически средства за защита на информацията.

Стратегическите нива на системата за защита на информацията са формулирани, както следва

1. Осигуряване на защита за индивида, обществото и държавата.

2. Програмиране и изпълнение на въпроси, свързани с публичната администрация.

3. Създаване на бариери и забрани за нежелан достъп до информационните системи.

Видове нива. Програмен метод

Нека обобщим, че софтуерното ниво на информационна сигурност представлява основна и важна граница в една съвременна политика за информационна сигурност. Само софтуерно-техническите мерки са в състояние да противодействат на незнанието на законните потребители за използването на информационните средства. Софтуерният аспект на информационната сигурност изрично включва мерки за сигурност като:

1. Разпознаване и удостоверяване на автентичността (автентификация) на всички образователно активни потребители.

2. Прилагане на защитна стена за защита на мрежовите информационни канали от външни заплахи.

3. Контрол на достъпа до информация на ниво потребител и защита срещу проникване в информационна мрежа.

4. Криптографска защита означава.

5. Регистриране и одит на действителната защита на информацията.

6. Защита от вируси с антивирусни пакети.

Тази класификация на нивото на защита на информацията е разделена на хардуерни и софтуерни методи; методи за защита (техники, които допринасят за функциите за защита на данните); стъпки за инсталиране и изпълнение, които се извършват с помощта на BIOS.

Извършва се от хардуерни устройства, които са схематично интегрирани в операционни системи Други спомагателни приложни програми с различно предназначение.

Изпълнение на основните нива

След като анализирахме основните нива на информационна сигурност, можем да подчертаем, че задачите на информационната сигурност се разделят на видове контрол, като например:

1. Защита на държавните тайни (класифицирана и друга документална информация) от всички форми на унищожаване и подмяна, достъп до нея, както е регламентирано в закона.
2. Законово разрешена защита на правата на човека (гражданина) върху декларирана информационна собственост. и неговото изхвърляне и управление поверителна информация.
3. Законова защита на правата на предприемача при извършване на търговски и други дейности.
4. Защита на технологичните и софтуерните информационни мерки срещу злонамерени действия, предвидени в закона.
5. Законова защита на основните конституционни права на тайната на кореспонденцията, приятелските преговори и личната тайна.

Аспекти на определянето на нивата

Като фактор за разбиране и резултат от прилагането на мерки за сигурност е прието да се определят нива на защита на информацията по отношение на

• Систематична, която включва отчитане на всички основни елементи, условия и рискове, влияещи върху рентабилността на системата.
• Сложност, която изисква координирано прилагане на различни мерки за затваряне на канала за външни заплахи и за отстраняване на слабостите в архитектурата на системата.
• Непрекъснатост, която предполага предприемане на функционални мерки на всички позиции в жизнения цикъл на защитената система.
• Откритост, която реализира ефективността на класовете алгоритми и механизмите за лична защита (но паролите и ключовете се въвеждат тайно). Изходният код за всички версии на софтуера може да бъде предоставен и в обикновен текст.
• Гъвкавост при работа и приложение, което е определено предимство за активния потребител.
• Лесно използване на криптографските знаци за сигурност по такъв начин, че легитимният потребител да не разполага със специализирани познания.

Заключение

Трябва да се разбере, че никакви формални решения не могат да бъдат напълно Сигурност в областта на информационните системи. Но като цяло рисковете от външни заплахи могат да бъдат значително намалени. Определянето на границите на сигурността е от съществено значение. Поддържането на системата в работно състояние е друга предпоставка за защита.

Надяваме се, че тази статия е била информативна за нашите читатели.