- •6. Системы искусственного интеллекта
- •6.1. Основные понятия искусственного интеллекта
- •6.3. Интеллектуальный анализ данных. Управление знаниями
- •6.4. Экспертные системы
- •6.5. Системы поддержки принятия решений
- •7. Обеспечение безопасности информационных систем
- •7.1. Основы информационной безопасности
- •7.2. Критерии оценки информационной безопасности
- •7.3. Классы безопасности информационных систем
- •7.4. Угрозы информационной безопасности
- •7.6. Правовые аспекты информационной безопасности
- •7.7. Обеспечение безопасности в компьютерных сетях
- •8. Проектирование корпоративной информационной системы
- •8.1. Жизненный цикл корпоративной информационной системы
- •8.2. Основы проектирования ис
- •8.3. Реинжиниринг бизнес-процессов
- •8.4. Стандартизация и сертификация информационных технологий
- •9. Решения в области информационных систем
- •9.1. Комплексные решения кис
- •9.2. Критерии выбора кис
7. Обеспечение безопасности информационных систем
7.1. Основы информационной безопасности
Интенсивное развитие компьютерных средств и информационных технологий повышают требования к обеспечению информационной безопасности.
Под информационной безопасностью (ИБ) будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуре.
Средства и методы поддержки ИБ должны обеспечивать:
• доступность — информация, ресурсы, сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда возникает необходимость;
• целостность — сохранение структуры информации и/или ее содержания в процессе передачи и хранения. Целостность можно подразделить на статическую — неизменность информационных объектов, и динамическую — корректное выполнение транзакций. Средства контроля динамической целостности применяются в частности при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений;
• конфиденциальность — обеспечение доступа к информации только ограниченному кругу субъектов информационной системы (пользователям, процессам, программам).
Доступность информации (ресурсов ИС) предполагает, что субъекты, имеющие права доступа, могут беспрепятственно их реализовывать.
Под доступом к информации понимается возможность получения информации и ее использование (ознакомление, обработка, копирование, модификация или уничтожение). Различают санкционированный и несанкционированный доступ к информации.
Санкционированный доступ к информации - это доступ, не нарушающий установленные правила разграничения доступа. Несанкционированный доступ характеризуется нарушением установленных правил разграничения доступа и является наиболее распространенным видом компьютерных нарушений.
Права доступа — совокупность правил, регламентирующих порядок и условия доступа субъекта к информации, ее носителям и другим ресурсам ИС, установленных правовыми документами или собственником, владельцем информации.
Разграничение доступа — с одной стороны, правила, ограничивающие действия субъектов ИС над ее ресурсами, с другой — деятельность по реализации этих правил.
Атака на информационную систему — это действие, предпринимаемое злоумышленником с целью поиска и использования той или иной уязвимости системы. Таким образом, атака — это реализация угрозы безопасности. Под угрозой информационной безопасности понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств. Комплекс мер, направленных на обеспечение ИБ, должен гарантировать защиту информации и минимизировать риски ее искажения.
Важнейшей составляющей процесса обеспечения ИБ является проведение квалифицированного аудита безопасности ИС, что позволяет своевременно выявить существующие недостатки и объективно оценить соответствие обеспечения информационной безопасности требуемому уровню решаемых задач организации. Оценка качества безопасности ИС выполняется специализированными аудиторскими организациями.
Защита информации — деятельность, направленная на сохранение государственной, служебной, коммерческой или личной тайны, на сохранение носителей информации любого содержания.
Политика безопасности — это совокупность норм и правил, определяющих принятые в организации меры по обеспечению безопасности информации, связанной с деятельностью организации. Цель ее формулирования для ИС — изложение взглядов руководства организации на сущность угроз информационной безопасности. Политика безопасности должна быть оформлена документально на нескольких уровнях управления: на уровне высшего руководства — подготавливается и утверждается документ, в котором определены цели политики безопасности, структура и перечень решаемых задач и ответственные за реализацию политики; администраторами безопасности ИС детализируется документ с учетом принципов деятельности организации, важности целей и наличия ресурсов.
Политика безопасности обычно состоит из двух частей: общих принципов и конкретных правил работы с ИС для различных категорий пользователей.
В руководство по компьютерной безопасности, разработанное Национальным институтом стандартов и технологий США {National Institute of Standards and Technology — NTST), рекомендовано включать в описание политики безопасности следующие разделы:
1. Предмет политики — определяются цели и указываются причины разработки политики, область ее применения, задачи, термины и определения.
2. Описание позиции организации — описываются ресурсы ИС, перечень допущенных к ресурсам лиц и процессов, порядок получения доступа к ресурсам.
3. Применимость — порядок доступа к данным ИС, ограничения или технологические цепочки, применяемые при реализации политики безопасности.
4. Роли и обязанности — определяются ответственные должностные лица и их обязанности в отношении разработки и внедрения элементов политики.
5. Соблюдение политики — описываются права и обязанности пользователей ИС, недопустимые действия при осуществлении доступа к информационным ресурсам и наказания за нарушения режимных требований, технология фиксации фактов нарушения политики безопасности и применения административных мер воздействия к нарушителям.