документ .... raquo ;, підписаний за рішенням голови Гостехкомиссии Росії 30 березня 1992 встановлює класифікацію автоматизованих систем, які підлягають захисту від несанкціонованого доступу до інформації, і вимоги щодо захисту інформації в ПК різних класів.
На основі системного та предметного аналізу змісту і раціональних шляхів здійснення функцій захисту сформовано 10 класів завдань першого виду (розв'язуваних з метою створення механізмів захисту) і 4 класу задач другого виду (розв'язуваних з метою керування механізмами захисту).
Введення надмірності елементів системи. Під надмірністю розуміється включення до складу елементів системи додаткових компонентів понад мінімум, який необхідний для виконання ними усього безлічі своїх функцій. Надлишкові елементи функціонують одночасно з основними що дозволяє створювати системи, стійкі щодо зовнішніх і внутрішніх дестабілізуючих впливі. Розрізняють надмірність організаційну (т. Е. Введення додаткової чисельності людей), апаратурну (введення додаткових технічних пристроїв), програмно-алгоритмічну (введення додаткових алгоритмів і програм), інформаційну (створення додаткових інформаційних масивів), тимчасову (виділення додаткового часу для проведення обробки інформації ) і т. п.
Резервування елементів системи. Резервування як різновид завдань захисту інформації, в деякому розумінні протилежно введенню надмірності: замість введення в активну роботу додаткових елементів, навпаки - частина елементів виводиться з роботи і тримається в резерві на випадок непередбачених ситуацій.
резервуватися можуть практично всі елементи автоматизованої системи обробки даних (АСОД), причому розрізняють два основних види резервування, які отримали назви гарячого і холодного.
Гарячим називається таке резервування, коли виводяться в резерв елементи знаходяться в робочому стані і здатні включатися в роботу відразу, тобто без проведення додаткових операцій включення та підготовки до роботи; холодним - коли елементи знаходяться в такому стані, що для переведення в робочий стан потрібні додаткові операції (процедури).
Регулювання доступу до елементів системи. Регулювання доступу, за визначенням, полягає в тому, що доступ на територію (у приміщення, до технічних засобів, до програм, до масивів (баз) даних і т, п.) Буде наданий лише за умови пред'явлення деякої заздалегідь обумовленої ідентифікуючої інформації.
Регулювання використання елементів системи. Регулювання використання, теж за визначенням, полягає в тому, що здійснення запитуваних процедур (операцій) проводиться лише за умови пред'явлення деяких заздалегідь обумовлених повноважень.
Маскування інформації. Полягає в тому, що захищаються дані перетворюються або маскуються іншим способом таким чином, що перетворені дані в явному вигляді можуть бути доступними лише при пред'явленні деякої спеціальної інформації, званої ключем перетворення.
Основними етапами класифікації ПК є:
- розробка та аналіз вихідних даних;
- порівняння виявлених ознак АС з класифікуються;
- привласнення ПК відповідного класу захисту інформації від НСД.
Необхідними вихідними даними для проведення класифікації конкретного ПК є:
перелік захищаються інформаційних ресурсів ПК і їх рівень конфіденційності
перелік осіб, які мають доступ до ПК, із зазначенням їх рівня повноважень;
матриця доступу або повноважень суб'єктів доступу по відношенню до захищається інформаційних ресурсів ОС.
До числу визначальних ознак, за якими проводиться групування ПК в різні класи, відносяться:
- наявність в ПК інформації різного рівня конфіденційності;
- рівень повноважень суб'єктів доступу ПК на доступ до конфіденційної інформації;
- режим обробки даних в ПК - колективний або індивідуальний.
Висновок
Забезпечення інформаційної безпеки є комплексним завданням. Проблеми, пов'язані з підвищенням безпеки інформаційної сфери, є складними, багатоплановими і взаємопов'язаними. Вони вимагають постійного, неослабної уваги з боку держави та суспільства.
Розвиток інформаційних технологій спонукає до постійному додатку спільних зусиль щодо вдосконалення методів і засобів, що дозволяють достовірно оцінювати загрози безпеці інформаційної сфери та адекватно реагувати на них.
Для вирішення проблеми забезпечення інформаційної безпеки необхідно застосування законодавчих, організаційних і програмно-технічних заходів. Нехтування хоча б одним з аспектів цієї пробле...
