Автоматизированная система управления, АСУ — комплекс аппаратных и программных средств для управления различными процессами в рамках технического процесса производства на предприятии.
Автоматизированная = значит, с привлечением людей, не автоматическая.
Существуют разные разновидности АСУ:
- АСУТП — техническим процессом
- АСУП — предприятием
- АСУО — отраслью
- функциональные АСУ, к примеру, дорожного движения, материально-технического снабжения…
- и другие.
Продукция информационных технологий растут в объёме и сложности, поэтому обеспечение безопасности необходимая, но сложная и усложняющаяся задача. Для обеспечения безопасности её необходимо измерять, что также является сложной задачей, в частности, из-за того, что требуемая для этого задача анализа программного обеспечения не решена. Количество возможных уязвимостей растёт, нужен постоянный анализ.
До недавнего времени основным видом анализа было тестирование, но оно ищет существующие ошибки, а не доказывает, что ошибок нет, поэтому одного тестирования недостаточно.
Сертификация — вид оценки соответствия.
Оценка соответствия — доказательство того, что заданные требования к системе/процессу/лицу/… выполнено.
Оценка соответствия требованиям безопасности может быть прямым или косвенным, формальным или неформальным. Выдачу удостоверения о соответствии требованиям называют подтверждением соответствия.
Согласно стандартам, базовыми видами деятельности по оценке соответствия являются:
- испытание
- контроль
- сертификация
- аккредитация органов по оценке соответствия.
С точки зрения оценки соответствия различают три возможные стороны:
- сторона, представляющая объект оценки (разработчик, поставщик…)
- заинтересованная сторона (заказчик, владелец…)
- независимая от первых двух (третья) сторона (испытательная лаборатория…)
Иногда третья сторона не нужна, иногда достаточно только одной первой. В последнем случае оценка называется декларацией.
Система оценки соответствия - совокупность участников, прав, процедур и менеджмента для оценки соответствия.
В информационной безопасности в Российской Федерации существуют несколько таких систем:
- министерство обороны
- ФСБ
- СРГ
- ВСТЭК — используется чаще всего
Существует и другие, добровольные системы спецификации.
Основные процедуры оценки соответствия по требованиям информационной безопасности.
- сертификация (будет более подробно описана позже) — подтверждение соответствия третьей стороной. Относится к продукции, процессу, системе или персоналу.
- испытания по требованиям информационной безопасности
- аккредитация объектов информатизации
- тестирование программных средств (задействованных в основном процессе или же в защите информации)
- аудит информационной безопасности, информационных систем, автоматических систем.
- анализ риска применительно к информационной безопасности.
Возможны и другие процедуры:
- предварительные испытания
- входной контроль
- экспертиза
- специальная экспертиза
- проверка
- калибровка
…
Оценка соответствия проводится как при запуске, так и во время работы, вплоть до снятия.
Требования к системе защиты:
- адаптивность — способность к целенаправленным приспособлениям при изменении структуры АС, её отдельных технических средств, технических схем, условий функционирования.
- комплексность — это решение в рамках единой концепции двух и более разноплановых задач (целевая комплексность) или же использование для решения одной задачи разноплановых инструментальных средств (инструментальная комплексность). Одновременно целевая и инструментальная комплексность называется всеобщей комплексностью, и именно она чаще всего требуется в информационной безопасности.
- функциональность — удовлетворение всех требований информационной безопасности.
- удовлетворение эргономическим требованиям — минимизация помех, доставляемых системой обеспечения безопасности пользователю при работе с системой, удобство использования системы персоналом
- удовлетворение экономическим требованиям — минимизация затрат, максимальное использование серийных средств.
- удовлетворение техническим требованиям — соответствие компонентов системы и используемых средств защиты, архитектуры системы техническим ограничениям для данной системы
- удовлетворение организационным требованиям — простота в эксплуатации, структурирование компонентов.
Управление деятельностью СЗИ — это частный случай управления в системах управления.
Управление деятельностью СЗИ имеет четыре функции:
- планирование — разработка рациональных программ деятельности.
- оперативно-диспетчерское управление — регулирование быстрых действий в реальном времени.
- командно-плановое руководство — периодический контроль и принятие управленческих решений.
- обеспечение повседневной деятельности — предоставление ресурсов.
Тенденции, усложняющие обеспечение информационной безопасности:
- насыщение организаций средствами информационной безопасности.
- сращение традиционных средств обработки информации с постом процента безбумажных технологий.
- непосредственный доступ к ресурсам вычислительных систем массы пользователей — не-программистов.
- сопряжение средств вычислительной техники в локальные и территориальные распределённые сети.
- превращение информационных массивов в интеллектуальную собственность — товар.
Современная постановка задачи защиты информации, три вида защиты:
- организационная защита.
- защита, основанная на использовании технических средств защиты информации.
- защита информации в автоматизированных схемах.
Часто их объединяют.
В данный момент требования информационной безопасности учитываются начиная с этапа проектирования, но часто, как и ранее, информационная безопасность обеспечивается отдельно, дополнительно. Это происходит из-за несознательности разработчиков или же при работе с уже имеющимися эффективными системами, полная замена которых нерентабельна, а обеспечение безопасности необходимо.
Инженерия — применение физических, технических наук и математики, при помощи которых свойства материала/источника энергии становится полезным для людей.
Программная инженерия — приложение инженерии к программному обеспечению.
Системная инженерия — избирательное приложение научно-технических усилий к выполнению ряда операций:
- преобразования функциональных потребностей в описания системной конфигурации.
- обеспечения совместимости всех используемых интерфейсов.
- объединения возможностей всех инженерных дисциплин и специальностей в единое системное-техническое достижение.