Забезпечення безпеки інформаційних систем

Існує два підходи до проблеми забезпечення безпеки ІС: фрагментарний та комплексний.

Фрагментарний підхід направлений на протидію чітко визначеним загрозам у заданих умовах. Фрагментарні міри захисту інформації забезпечують захист конкретних об’єктів ІС тільки від конкретної загрози.

Комплексний підхід орієнтований на створення захищеного середовища обробки інформації в ІС, яке об’єднує в єдиний комплекс різноманітні заходи протидії загрозам.

Комплексний підхід до проблеми забезпечення безпеки базується на розробленій для конкретної ІС політиці безпеки. Політика безпеки являє собою набір норм, правил та практичних рекомендацій, на яких базується управління, захист та розподіл інформації в ІС. Політика безпеки регламентує ефективну роботу засобів захисту ІС. Розрізняють два основних види політики безпеки: вибіркову та повноважну.

Вибіркове управління доступом характеризується заданою адміністратором множиною дозволених відношень доступу (зазвичай у вигляді записів типу <об’єкт, суб’єкт, тип доступу>). Зазвичай для описання властивостей вибіркового управління доступом застосовують математичну модель на основі матриці доступу.

Повноважне управління доступом характеризується сукупністю правил надання доступу, визначених на множині атрибутів безпеки суб’єктів та об’єктів, наприклад, залежно від мітки конфіденційності інформації та рівня допуску користувача.

Під системою захисту ІС розуміють сукупність правових та морально-етичних норм, адміністративно-організаційних заходів, фізичних та програмно-технічних засобів, направлених на протидію загрозам ІС з метою зведення до мінімуму можливості нанесення збитків.

Результатом етапу планування є розгорнутий план захисту ІС, який містить перелік захищуваних компонентів ІС та можливих впливів на них, мету захисту інформації, правила обробки інформації, що забезпечують її захист від різноманітних впливів, а також опис запланованої системи захисту інформації.

Суть етапу реалізації системи захисту полягає у встановленні та настроюванні засобів захисту, необхідних для реалізації запланованих правил обробки інформації.

Заключний етап супроводу полягає у контролі роботи системи, реєстрації подій, що відбуваються в ній, та їх аналізі з метою виявлення порушень безпеки, корекції системи захисту.