Опубликован: 01.04.2003 | Уровень: для всех | Доступ: свободно
Лекция 15:

Заключение

Аннотация: В последней лекции подводится итог курса.
Ключевые слова: интерес, ранжирование, детализация, информационная безопасность, важность, кража, конфиденциальность, информационные системы, сложность, ПО, информационный сервис, аутсорсинг, программирование, рост, ущерб, нарушение, комплексный подход, физическая защита, знание, законодательный уровень, деятельность, отношение, оценка безопасности, оранжевая книга, базис, международный стандарт, ISO 15408, доступность, административный уровень ИБ, работ, очередь, подлог, поддерживающая инфраструктура, затраты, уровень детализации, карта ИС, цикла, инициация, безопасность, процедурный уровень ИБ, поддержание работоспособности, планирование восстановительных работ, разделение обязанностей, минимизация привилегий, описание должности, конфигурационное управление, минимум, администратор безопасности, список рассылки, реакция, процесс планирования, контроль, архитектурная безопасность, эшелонированная оборона, программно-технический уровень, сервис безопасности, сеть, протоколирование, аудит, целостность, ПЗУ, компакт-диск, злоумышленник, локальные сети, инкапсуляция, объект, внешнее представление, анализ защищенности, безопасное восстановление, туннелирование, безопасная система

Что такое информационная безопасность. Основные составляющие информационной безопасности. Важность и сложность проблемы информационной безопасности

Цель мероприятий в области информационной безопасности - защитить интересы субъектов информационных отношений. Интересы эти многообразны, но все они концентрируются вокруг трех основных аспектов:

  • доступность ;
  • целостность ;
  • конфиденциальность.

Первый шаг при построении системы ИБ организации - ранжирование и детализация этих аспектов.

Важность проблематики ИБ объясняется двумя основными причинами:

  • ценностью накопленных информационных ресурсов;
  • критической зависимостью от информационных технологий.

Разрушение важной информации, кража конфиденциальных данных, перерыв в работе вследствие отказа - все это выливается в крупные материальные потери, наносит ущерб репутации организации. Проблемы с системами управления или медицинскими системами угрожают здоровью и жизни людей.

Современные информационные системы сложны и, значит, опасны уже сами по себе, даже без учета активности злоумышленников. Постоянно обнаруживаются новые уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи между компонентами.

Меняются принципы построения корпоративных ИС. Используются многочисленные внешние информационные сервисы; предоставляются вовне собственные; получило широкое распространение явление, обозначаемое "исконно русским" словом "аутсорсинг", когда часть функций корпоративной ИС передается внешним организациям. Развивается программирование с активными агентами.

Подтверждением сложности проблематики ИБ является параллельный (и довольно быстрый) рост затрат на защитные мероприятия и количества нарушений   ИБ в сочетании с ростом среднего ущерба от каждого нарушения. (Последнее обстоятельство - еще один довод в пользу важности   ИБ.)

Успех в области информационной безопасности может принести только комплексный подход, сочетающий меры четырех уровней:

  • законодательного ;
  • административного ;
  • процедурного ;
  • программно-технического.

Проблема ИБ - не только (и не столько) техническая; без законодательной базы, без постоянного внимания руководства организации и выделения необходимых ресурсов, без мер управления персоналом и физической защиты решить ее невозможно. Комплексность также усложняет проблематику ИБ ; требуется взаимодействие специалистов из разных областей.

В качестве основного инструмента борьбы со сложностью предлагается объектно-ориентированный подход. Инкапсуляция, наследование, полиморфизм, выделение граней объектов, варьирование уровня детализации - все это универсальные понятия, знание которых необходимо всем специалистам по информационной безопасности.

Радомир Белоусов
Радомир Белоусов
Протоколирование само по себе не может обеспечить неотказуемость, потому что:
Евгений Виноградов
Евгений Виноградов
Экстернат
Анатолий Федоров
Анатолий Федоров
Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989