Побудова захищених AC
У розділі розглянуто основні принципи та методи побудови СЗІ, деякі аспекти захисту на різних стадіях створення АС та аналізу захищеності СЗІ.
Нагадаємо найбільш загальні якісні риси проблеми захисту інформації, які були наведені вище. Отже, вона характеризується:
невизначеністю, яка, в свою чергу, зумовлена наявністю «людського фактора», оскільки невідомо, хто, коли, де і яким чином може порушити безпеку об'єкта захисту;
неможливістю створення ідеальної системи захисту (СЗ), тобто може йтися тільки про той або інший ступінь забезпечення безпеки об'єктів захисту;
використанням при організації захисту вимог мінімальності ризику та мінімальності можливих витрат;
необхідністю організації захисту від усіх і всього.
Аналіз цих рис, а також широкого спектру можливих загроз інформації дає можливість сформулювати найбільш загальні принципи створення захищених АС, тобто принципи, якими доцільно керуватися при розробці і втіленні в життя СЗІ для певного класу АС. їх зручно подавати у вигляді двох груп: організаційні принципи та принципи реалізації СЗІ.
7.1. Організаційні принципи побудови СЗІ
Серед організаційних принципів відзначимо такі:
Принцип законності, тобто додержання всіх законодавчих та нормативних актів, які мають відношення до забезпечення інформаційної безпеки. Важко переоцінити важливість цього принципу, хоча додержуватися його дуже непросто, особливо зважаючи на недосконалість та відставання від життя нашого відповідного законодавства.
Принцип персональної відповідальності, відповідно до якого кожен співробітник підприємства, фірми або їхній партнер несе персональну відповідальність за збереження режиму безпеки в рамках своїх повноважень. СЗІ має будуватися таким чином, щоб при будь-яких порушеннях було чітко відоме або хоча б мінімізоване коло осіб, що мають відношення до порушень. Це не тільки полегшує процес розслідування порушень, а також є ефективним засобом
сумлінного виконання службових обов'язків і утримання потенційних ЗЛ від несанкціонованих дій.
Принцип обмеження повноважень, який має відношення як до персоналу, так і до засобів захисту та обробки інформації; відповідно до нього, по-перше, ніхто не повинен знайомитись із конфіденційною інформацією, якщо це не потрібно для виконання його службових обов'язків; по-друге, повинна бути реалізована заборона на фізичний доступ до вразливих об'єктів для осіб, яким це не потрібно за родом їхньої діяльності; по-третє, для виконання функціональних обов'язків персоналу слід надавати мінімум будь-яких засобів.
Принцип взаємодії та співпраці усіх служб АС, спрямований на створення в АС сприятливої внутрішньої та зовнішньої атмосфери безпеки. Внутрішня атмосфера безпеки досягається довірчими відносинами між співробітниками СБ та персоналом, допоміжними заходами та стимулюванням, у тому числі і матеріальним. Діюча служба безпеки не повинна перетворюватися в засіб тотального стеження за персоналом з боку керівництва. В довірчій атмосфері набагато складніше подолати СЗІ. Створення зовнішньої атмосфери полягає в необхідності налагоджування співробітництва із зацікавленими особами та організаціями. Тобто йдеться про робочі контакти з місцевими органами влади, міліції, пожежної служби й іншими контролюючими організаціями, а також із службами безпеки сусідніх організацій - так створюються елементи колективної безпеки, що набагато підвищує її ефективність.
7.2. Принципи реалізації СЗІ
Реалізація СЗІ базується на принципах:
системності та комплексності;
централізованого управління СЗ;
неможливості обминути захисні засоби;
рівноміцності і рівнопотужності рубежів захисту;
ешелонованості оборони;
неможливості переходу до безпечного стану;
мінімальних привілеїв;
розподілу обов'язків;
простоти, гнучкості та керованості;
захисту засобів СЗ;
неперервності захисту;
розумної достатності;
відкритості алгоритмів та засобів захисту;
економічної ефективності СЗ.
Коротко пояснимо зміст наведених принципів.
Системність та комплексність в...