Дина Погонышева - Безопасность информационных систем. Учебное пособие

2) развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов;

3) развивать производство в стране конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем;

4) обеспечить государственную поддержку фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.

Четвертая составляющая национальных интересов в информационной сфере включает защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

В этих целях требуется:

1) повысить безопасность информационных систем (включая сети связи), прежде всего первичных сетей связи и информационных систем органов государственной власти, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами;

2) интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля их эффективности;

3) обеспечить защиту сведений, составляющих государственную тайну;

4) расширять международное сотрудничество России в области безопасного использования информационных ресурсов, противодействия угрозе противоборства в информационной сфере.

Концепцией защиты информации называется инструментально-методологическая база, обеспечивающая практическую реализацию стратегий защиты (оборонительной, наступательной, упреждающей), при ее оптимизации и минимальности затрат. На рисунке 7 приведена структура концепции защиты информации.

Рис. 7.Структура концепции защиты информации: 1 – концепции, задающие ситуацию защиты; 2 – методология описания ситуации защиты; 3 – система показателей уязвимости (защищенности) информации; 4 – система дестабилизирующих факторов, влияющих на уязвимость (защищенность) информации; 5 – методология оценки уязвимости (защищенности) информации; 6 – методология определения требований к защите информации; 7 – система концептуальных решений по защите информации: а) функции защиты, б) задачи защиты, в) средства защиты, г) система защиты; 8 – требования к концептуальным решениям; 9 – условия, способствующие повышению эффективности защиты

1. Концепции, задающие ситуацию защиты. Ситуацию защиты формируют концепции построения и использования автоматизированных систем обработки данных (АСОД) и условия их функционирования. АСОД предназначены для оптимального управления информационным обеспечением деятельности современных объектов (предприятий, учреждений и т. п.) на регулярной основе.

Решениями данной концепции являются формирование на каждом специальном объекте информационного кадастра, построение унифицированной технологии автоматизированной обработки информации и разработка методологии организации информационного обеспечения деятельности объектов.

Унифицированная технология автоматизированной обработки информации представлена в табл. 8.

2. Методология описания ситуации защиты. Описание ситуации защиты необходимо проводить в строго формальном представлении архитектуры и процессов функционирования рассматриваемой системы. Одной из наиболее характерных особенностей ситуаций является повышенное влияние случайных факторов, что затрудняет формальное описание системы.

3. Система показателей уязвимости (защищенности) информации. Под показателем уязвимости информации понимается мера потенциально возможного негативного воздействия на защищаемую информацию. Величина, дополняющая меру уязвимости до максимально возможного значения представляет собою меру защищенности информации.

4. Система дестабилизирующих факторов, влияющих на уязвимость (защищенность) информации. Под дестабилизирующим фактором понимается событие или явление, которое может произойти в АСОД или системе защиты, и содержащее в себе потенциальную возможность такого негативного воздействия на информацию, результатом которого может быть повышение значений каких-либо показателей уязвимости защищаемой информации и соответственно – снижение показателей ее защищенности. Для реализации оборонительной стратегии защиты достаточно иметь сведения об уже известных и наиболее опасных угрозах. Для наступательной стратегии необходимы сведения обо всех когда-либо проявлявшихся угрозах. Для реализации упреждающей стратегии необходимы сведения обо всех потенциально возможных угрозах как в существующих, так и в перспективных системах защиты информации.