А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
168<br />
Идентификация!<br />
Разделение<br />
полномочий<br />
Правила<br />
безопасности<br />
Регистрация,<br />
и учет Шифрование<br />
работы<br />
Применение<br />
цифровой<br />
подписи<br />
Обеспечение^<br />
антивирусы<br />
защиты<br />
Рис. 3.5. Основные правила обеспечения политики безопасности информации<br />
<strong>А</strong>втоматизированный комплекс можно считать защищенным, если все операции<br />
выполняются в соответствии со строго определенными правилами (рис. 3.5), которые<br />
обеспечивают непосредственную защиту объектов, ресурсов и операций. Основу<br />
для формирования требований к защите составляет список угроз. Когда такие<br />
требования известны, могут быть определены соответствующие правила обеспечения<br />
защиты. Эти правила, в свою очередь, определяют необходимые функции и средства<br />
защиты. Чем строже требования к защите и больше соответствующих правил,<br />
тем эффективнее ее механизмы и тем более защищенным оказывается автоматизированный<br />
комплекс.<br />
Из вышеизложенного следует, что защита информации в компьютерной сети эффективнее<br />
в том случае, когда проектирование и реализация системы защиты происходит<br />
в три этапа:<br />
Q анализ риска;<br />
О реализация политики безопасности;<br />
Q поддержка политики безопасности.<br />
На первом этапе анализируются уязвимые элементы компьютерной сети, определяются<br />
и оцениваются угрозы и подбираются оптимальные средства защиты. <strong>А</strong>нализ<br />
риска заканчивается принятием политики безопасности. Политикой безопасности<br />
(Security Policy) называется комплекс взаимосвязанных мер, направленных на обеспечение<br />
высокого уровня безопасности. <strong>В</strong> теории защиты информации считается, что<br />
эти меры должны быть направлены на достижение следующего:<br />
Q конфиденциальность (засекреченная информация должна быть доступна только<br />
тому, кому она предназначена);<br />
Q целостность (информация, на основе которой принимаются решения, должна<br />
быть достоверной и полной, а также защищена от возможных непреднамеренных<br />
и злоумышленных искажений);<br />
Q готовность (информация и соответствующие автоматизированные службы должны<br />
быть доступны и в случае необходимости готовы к обслуживанию).<br />
Уязвимость означает невыполнение хотя бы одного из этих свойств.<br />
Для компьютерных сетей можно выделить следующие вероятные угрозы, которые<br />
необходимо учитывать при определении политики безопасности:<br />
Q несанкционированный доступ посторонних лиц, не принадлежащих к числу служащих,<br />
и ознакомление с хранимой конфиденциальной информацией;