V Международная студенческая научная конференция Студенческий научный форум - 2013

В настоящее время, в связи с распространением локальных, глобальных компьютерных сетей, значительное внимание уделяется проблеме защиты от несанкционированного доступа, который, в свою очередь, способен привести к последствиям и тем самым нанести ущерб правообладателю или потребителю.

Любая информационная система имеет свои особенности в архитектуре, способах обработки данных, степени критичности информации и во многом другом. К тому же, для каждой сферы свои критерии оптимальности. Поэтому разработка оптимальной системы защиты информации для определённого типа информационных систем является на сегодняшний день актуальной проблемой. Также проблема защищенности информационных систем сегодня актуальна как для крупных международных корпораций, так и для отдельных пользователей. Если единичные пользователи домашних компьютеров теряют от недостаточной защиты своих электронных ресурсов в большинстве случаев относительно немного, то в масштабах крупных компаний убытки могут быть весьма значительными.

Защищенные системы – системы, на которые возлагаются функции поддержания конфиденциальности, целостности доверенной информации, а также ее доступности при авторизованном доступе [3].

При построении системы защиты возникает вопрос: насколько защищена (или не защищена) система на текущий момент и насколько требуется повысить уровень защиты, чтобы риск возникновения проблемы, связанной с информационной безопасностью, и затраты на ее устранение были в пределах допустимых значений. После проведения мероприятий по усилению защищенности ИС, необходимо представить отчет, в котором указано, насколько изменился уровень защиты всей системы. Поэтому критерии оценки защищенности ИС волнуют очень многих. Официально признаваемой оценкой защищенности ИС являются классы защищенности, описанные в стандартах защищенности. На основе учета качественного состава механизмов и средств защиты, отечественный стандарт ГОСТ/ИСО МЭК 15408 – 2002 «Общие критерии оценки безопасности информационных технологий» и его прототип – международный стандарт «Common Criteria for Information Technology Security Evaluation» обобщают подход к оценке защищенности [1]. Для того чтобы отнести систему к определенному уровню защищенности, она должна соответствовать ряду требований. В стандартах требования подразделяются на две части: функциональные и гарантийные. Первая часть (функциональные) используется при построении систем защиты, вторая (гарантийные) – для проверки на соответствие определенному уровню гарантий. Чтобы установить степень защищенности системы, необходимо:

1. определить "периметр" или "поверхность" соприкосновения ИС компании с потенциальными источниками угроз. Для правильности определения периметра, необходимо включить в него части, которые соприкасаются с внешним миром и не забыть про внутренние угрозы, исходящие от каждого пользователя (потенциального инсайдера или просто неосторожного пользователя);

2. для каждой точки периметра оценить риск нарушения системы безопасности. Такая оценка выполняется путем экспертного анализа сложности преодоления системы безопасности в этой точке вместе с возможными последствиями (оценивается связь данной точки с остальными частями ИС). Риск можно представить в процентах;

3. далее вычислить среднее значение риска для всего периметра ИС. Защищенностью ИС считают величину, обратную среднему значению риска для ИС [4].

Советовать конкретные решения по оценке защищенности ИС сложно – выбор метода зависит от специфики оцениваемой ИС. Существуют как ресурсоемкие, сложные методики, предоставляющие определенный уровень гарантий, так и дешевые, простые, однако не очень надежные. Поэтому, необходимо искать компромисс между надежностью и стоимостью решения, пытаясь найти достойное решение для конкретной компании.

Литература

1. Ярочкин, В.И. Информационная безопасность [Текст]: учебник для вузов / В.И. Ярочкин. - М.: Фонд «Мир» и Издательство «Академический проспект», 2006.

2. Зегжда, П. Теория и практика. Обеспечение информационной безопасности [Текст]:П.Зегжда. – М.: 1996.

3. Самодуров, А.В. Средства защиты информации и бизнеса [Текст]: А.В. Самодуров. – М.: 2006.

4. Хофман, Л. Современные методы защиты информации [Текст]:Л.Лофман. – М.: 1995.

Код для цитирования: Скопировать