Проектирование системы защиты хранения данных в ИБ

Введение 2
Глава 1. Понятие информационной базы и способы ее организации 4
Глава 2. Основные понятия и методы защиты данных 7
Глава 3. Проектирование системы защиты данных 15
Заключение 21
Список использованной литературы 22

Выбор способа защиты в информационной базе это сложная оптимизационная задача, для решении которой нужно учитывать вероятность различия угроз информаций, наличие различных заинтересованных сторон и стоимости реализации различных способов защиты. В общем случае для достижения решения оптимального варианта такого рода задачи необходимо примененить теорию игр, в частности теория биматричных игр с не нулевой суммой, позволяющая выбрать совокупность средств защиты, обеспечивающая максимальную степень безопасности информации или обеспечивающая минимальные затраты при данном уровне безопасности информации.
После того как выбран метод и механизм, разрабатывается программное обеспечение для систем защиты. Программные средства, которые реализуют выбранные механизмы защиты должны протестированны. Поставщик или изготовитель создает тесты, показывает их и отдает для рассмотрения аттестационной комиссии. Комиссия проверяет полноту набора, выполняет свои тесты. Тестируются как механизмы безопасности так и пользовательский интерфейс предоставленный к ним.
Тесты должныᅟ доказать, чтоᅟ защитный механизм действует в соответствии с описанием, и чтоᅟ не существуетᅟ очевидныхᅟ способовᅟ обходаᅟ илиᅟ разрушенияᅟ защитыᅟ. А также тестыᅟ должныᅟ продемонстрировать защищенность регистрационной и аутентификационной информации, действенность средств управления доступом. Должна быть уверенность, что надежную базу нельзя привести в состояние, когда она перестанет обслуживать пользовательские запросы.
Составление документации – необходимое условие гарантированной надежности системы и, одновременно, – инструмент проведения выбранной тенденции безопасности. Согласно Оранжевой книге, в комплект документации надежной системы должны входить следующие компоненты:
- Руководство пользователя безопасности.
- Руководство администратора по безопасности.
- Текстовая документация.
- Описание архитектуры программ.
Руководство пользователя по средствам безопасности предназначено для специалистов предметной области. Оно должно содержать сведения о применяемых в системе механизмах безопасности и способах их использования.
Технологический процесс функционирования системы защиты информации от не санкционированного доступа, как комплекса программно-технических средств и организационных (процедурных) решений, предусматривает выполнение следующих процедур:
- учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;
- ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);
- оперативный контроль функционирования систем защиты секретной информации;
- контроль соответствия общесистемной программной среды эталону;
- контроль хода технологического процесса обработки информации путем регистрации анализа действий пользователей.
Следуетᅟ отметитьᅟ, чтоᅟ безᅟ соответствующейᅟ организационнойᅟ поддержкиᅟ программно-техническихᅟ средствᅟ защитыᅟ информацииᅟ от неᅟ санкционированногоᅟ доступаᅟ и точногоᅟ выполненияᅟ предусмотренных проектной документацией механизмов и процедур нельзя решить проблему обеспечения безопасности информации, хранимой в ИБ и в системе в целом.
Администрирование средств безопасности осуществляется в процессе эксплуатации разработанной системы и включает в себя распространение информации, необходимой для работы функций и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.
Концептуальной основой администрирования является информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждая из оконченных систем должна располагать информацией, необходимой для проведения в жизнь выбранной концепции безопасности.
Деятельность администратора средств безопасности должна осуществляться по трем направлениям:
- администрирование системы в целом;
- администрирование функций безопасности;
- администрирование механизмов безопасности.
Среди действий, относящихся к системе в целом, отметим поддержание актуальности концепции безопасности, взаимодействие с другими административными службами, реагирование на происходящие события, аудит и безопасное восстановление.
Администрирование функций безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации функции безопасности, взаимодействие с другими администраторами для обеспечения согласованной работы.
Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов, например, таким типовым списком:
- Управление ключами (генерация и распределение);
- Управление шифрованием (установка и синхронизация криптографических параметров). К управлению шифрованием можно отнести и администрирование механизмов электронной подписи. Управление целостностью, если оно обеспечивается криптографическими средствами, также относится к данному направлению;
- Администрирование управления доступом (распределение информации, необходимой для управления – паролей, списков доступа и т.п.);
- Управление аутентификацией (распределение информации, необходимой для аутентификации – паролей, ключей и т.п.);
Заключение
Выборᅟ способовᅟ защитыᅟ информацииᅟ в информационнойᅟ системеᅟ – сложнаяᅟ оптимизационнаяᅟ задачаᅟ, приᅟ решенииᅟ которойᅟ требуетсяᅟ учитывать вероятности различных угроз информации, стоимость реализации различных способов защиты и наличие различных заинтересованных сторон. В общем случае для нахождения оптимального варианта решения такой задачи необходимо применение теории игр, в частности теории биматричных игр с ненулевой суммой, позволяющими выбрать такую совокупность средств защиты, которая обеспечит максимизацию степени безопасности информации при данных затратах или минимизацию затрат при заданном уровне безопасности информации.
После выбора методов и механизмов необходимо осуществить разработку программного обеспечения для системы защиты. Программные средства, реализующие выбранные механизмы защиты, должны быть подвергнуты комплексному тестированию. Следует отметить, что без соответствующей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией механизмов и процедур нельзя решить проблему обеспечения безопасности информации, хранимой в информационной системе.
Важно понимать, что большинство краж данных происходят не благодаря хитроумным способам, а из-за небрежности и невнимательности, поэтому понятие информационной безопасности включает в себя: информационную безопасность (лекции), аудит информационной безопасности, оценка информационной безопасности, информационная безопасность государства, экономическая информационная безопасность и любые традиционные и инновационные средства защиты информации.
Список использованной литературы
1. Сокова Г.Н., и Сорокин А.А., Тельнов Ю.Ф. Проектированние экономических информационных систем М.: Финансы и статистика, 2009
2. Боэм Б., Браун Дж., Каспар Х. и др. Характеристика качества
программного обеспечения. М.:Мир,1995г.208 с
3. Н.А. Гайдамакин «Автоматизированные информационные системы, базы и банки данных», М.: «Гелиос», 2010.
4. Симанаускас Л.Ю. Бразайтис З.Л. Основы проектирования
машинной обработки данных. М.: Финансы и статистика, 1998. - 207 с.
5. Автоматизация управления предприятием / Баронов В.В., Калянов Г.Н., Попов Ю.Н, Рыбников А.И., Титовский И. Н. – М.: ИНФРА-М, 2008.
6. Атре Ш. Структурный подход к организации баз данных. - М.: «Финансы и статистика», 2009.
7. Благодатских В.А., Енгибарян М.А., Ковалевская Е.В. Экономика, разработка и использование программного обеспечения ЭВМ. - М.: Финансы и статистика,2001.
8. Вендров А.М. CASE – технологии. Современные методы и средства проектирования информационных систем. – М.: Финансы и статистика, 2001.- 176 с.
9. Гайкович В., Першин А. Безопасность электронных банковских систем. – М.: "Единая Европа", 2004.
10. Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации. - М.: Воениздат, 2001.
11. Левин В.К. Защита информации в информационно-вычислительных системах и сетях. / Программирование, 2009.-№5- 5-16 с.
12. Титоренко Г.А. - Автоматизированные информационные технологии в экономике. Учебник.- М.: ЮНИТИ, 2008.
5