Выбор способа защиты в информационной базе это сложная оптимизационная задача, для решении которой нужно учитывать вероятность различия угроз информаций, наличие различных заинтересованных сторон и стоимости реализации различных способов защиты. В общем случае для достижения решения оптимального варианта такого рода задачи необходимо примененить теорию игр, в частности теория биматричных игр с не нулевой суммой, позволяющая выбрать совокупность средств защиты, обеспечивающая максимальную степень безопасности информации или обеспечивающая минимальные затраты при данном уровне безопасности информации.
После того как выбран метод и механизм, разрабатывается программное обеспечение для систем защиты. Программные средства, которые реализуют выбранные механизмы защиты должны протестированны. Поставщик или изготовитель создает тесты, показывает их и отдает для рассмотрения аттестационной комиссии. Комиссия проверяет полноту набора, выполняет свои тесты. Тестируются как механизмы безопасности так и пользовательский интерфейс предоставленный к ним.
Тесты должныᅟ доказать, чтоᅟ защитный механизм действует в соответствии с описанием, и чтоᅟ не существуетᅟ очевидныхᅟ способовᅟ обходаᅟ илиᅟ разрушенияᅟ защитыᅟ. А также тестыᅟ должныᅟ продемонстрировать защищенность регистрационной и аутентификационной информации, действенность средств управления доступом. Должна быть уверенность, что надежную базу нельзя привести в состояние, когда она перестанет обслуживать пользовательские запросы.
Составление документации — необходимое условие гарантированной надежности системы и, одновременно, — инструмент проведения выбранной тенденции безопасности. Согласно Оранжевой книге, в комплект документации надежной системы должны входить следующие компоненты:
— Руководство пользователя безопасности.
— Руководство администратора по безопасности.
— Текстовая документация.
— Описание архитектуры программ.
Руководство пользователя по средствам безопасности предназначено для специалистов предметной области. Оно должно содержать сведения о применяемых в системе механизмах безопасности и способах их использования.
Технологический процесс функционирования системы защиты информации от не санкционированного доступа, как комплекса программно-технических средств и организационных (процедурных) решений, предусматривает выполнение следующих процедур:
— учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;
— ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);
— оперативный контроль функционирования систем защиты секретной информации;
— контроль соответствия общесистемной программной среды эталону;
— контроль хода технологического процесса обработки информации путем регистрации анализа действий пользователей.
Следуетᅟ отметитьᅟ, чтоᅟ безᅟ соответствующейᅟ организационнойᅟ поддержкиᅟ программно-техническихᅟ средствᅟ защитыᅟ информацииᅟ от неᅟ санкционированногоᅟ доступаᅟ и точногоᅟ выполненияᅟ предусмотренных проектной документацией механизмов и процедур нельзя решить проблему обеспечения безопасности информации, хранимой в ИБ и в системе в целом.
Администрирование средств безопасности осуществляется в процессе эксплуатации разработанной системы и включает в себя распространение информации, необходимой для работы функций и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т. п.
Концептуальной основой администрирования является информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждая из оконченных систем должна располагать информацией, необходимой для проведения в жизнь выбранной концепции безопасности.
Деятельность администратора средств безопасности должна осуществляться по трем направлениям:
— администрирование системы в целом;
— администрирование функций безопасности;
— администрирование механизмов безопасности.
Среди действий, относящихся к системе в целом, отметим поддержание актуальности концепции безопасности, взаимодействие с другими административными службами, реагирование на происходящие события, аудит и безопасное восстановление.
Администрирование функций безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации функции безопасности, взаимодействие с другими администраторами для обеспечения согласованной работы.
Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов, например, таким типовым списком:
— Управление ключами (генерация и распределение);
— Управление шифрованием (установка и синхронизация криптографических параметров). К управлению шифрованием можно отнести и администрирование механизмов электронной подписи. Управление целостностью, если оно обеспечивается криптографическими средствами, также относится к данному направлению;
— Администрирование управления доступом (распределение информации, необходимой для управления — паролей, списков доступа и т. п.);
— Управление аутентификацией (распределение информации, необходимой для аутентификации — паролей, ключей и т. п.);
Заключение
Выборᅟ способовᅟ защитыᅟ информацииᅟ в информационнойᅟ системеᅟ - сложнаяᅟ оптимизационнаяᅟ задачаᅟ, приᅟ решенииᅟ которойᅟ требуетсяᅟ учитывать вероятности различных угроз информации, стоимость реализации различных способов защиты и наличие различных заинтересованных сторон. В общем случае для нахождения оптимального варианта решения такой задачи необходимо применение теории игр, в частности теории биматричных игр с ненулевой суммой, позволяющими выбрать такую совокупность средств защиты, которая обеспечит максимизацию степени безопасности информации при данных затратах или минимизацию затрат при заданном уровне безопасности информации.
После выбора методов и механизмов необходимо осуществить разработку программного обеспечения для системы защиты. Программные средства, реализующие выбранные механизмы защиты, должны быть подвергнуты комплексному тестированию. Следует отметить, что без соответствующей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией механизмов и процедур нельзя решить проблему обеспечения безопасности информации, хранимой в информационной системе.
Важно понимать, что большинство краж данных происходят не благодаря хитроумным способам, а из-за небрежности и невнимательности, поэтому понятие информационной безопасности включает в себя: информационную безопасность (лекции), аудит информационной безопасности, оценка информационной безопасности, информационная безопасность государства, экономическая информационная безопасность и любые традиционные и инновационные средства защиты информации.
1. Сокова Г. Н., и Сорокин А. А., Тельнов Ю. Ф. Проектированние экономических информационных систем М.: Финансы и статистика, 2009
2. Боэм Б., Браун Дж., Каспар Х. и др. Характеристика качества программного обеспечения. М.:Мир, 1995 г.
208 с
3. Н. А. Гайдамакин «Автоматизированные информационные системы, базы и банки данных», М.: «Гелиос», 2010.
4. Симанаускас Л. Ю. Бразайтис З.Л. Основы проектирования машинной обработки данных. М.: Финансы и статистика, 1998. — 207 с.
5. Автоматизация управления предприятием / Баронов В. В., Калянов Г. Н., Попов Ю. Н, Рыбников А. И., Титовский И. Н. — М.: ИНФРА-М, 2008.
6. Атре Ш. Структурный подход к организации баз данных. — М.: «Финансы и статистика», 2009.
7. Благодатских В. А., Енгибарян М. А., Ковалевская Е. В. Экономика, разработка и использование программного обеспечения ЭВМ. — М.: Финансы и статистика, 2001.
8. Вендров А. М. CASE — технологии. Современные методы и средства проектирования информационных систем. — М.: Финансы и статистика, 2001. 176 с.
9. Гайкович В., Першин А. Безопасность электронных банковских систем. — М.: «Единая Европа», 2004.
10. Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации. — М.: Воениздат, 2001.
11. Левин В. К. Защита информации в информационно-вычислительных системах и сетях. / Программирование, 2009.-№ 5- 5−16 с.
12. Титоренко Г. А. — Автоматизированные информационные технологии в экономике. Учебник.
М.: ЮНИТИ, 2008.
