Міністерство освіти і науки України
Національний університет „Львівська політехніка”
ІКТА
кафедра ЗІ
�
ЗВІТ
З предмету: ”ОРГАНІЗАЦІЙНО-ТЕХНІЧНІ ЗАСОБИ СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ ”
Обґрунтування вибору політики безпеки
�Львів – 2007
Фундаментальним поняттям захисту інформації є політика безпеки (ПБ). Важливість цього поняття важко переоцінити - існують ситуації, коли правильно сформульована політика є чи не єдиним механізмом захисту від НСД.
З ПБ пов'язується поняття оптимальності рішень з організації та підтримки системи захисту. Іноді вдається досягти загально прийнятного розуміння оптимальності прийнятого рішення і навіть довести його існування. Однак, коли розв'язок багатоальтернативний, то загально прийнятного розуміння оптимальності немає, а в тих випадках, коли розглядається питання про оптимальний у якомусь сенсі розв'язок, то його існування, частіше за все, вдається довести лише в окремих задачах .
Під поняттям ПБ інформації розуміється організована сукупність документованих керівних рішень, спрямованих на захист інформації й асоційованих з нею ресурсів системи. ПБ викладає систему поглядів, основних принципів, практичних рекомендацій і вимог, що закладаються в основу реалізованого в системі комплексу заходів із захисту інформації.
Формування ПБ є дуже складним аналітичним процесом, який важко формалізувати. Існують різні типи конкретних політик, причому деякі з них передбачають достатньо високий рівень формалізації. Більше того, існують точні доказові методи оцінки ПБ.
Дотримання ПБ має забезпечити виконання того компромісу між альтернативами, який вибрали власники цінної інформації для її захисту. Вочевидь, будучи результатом компромісу, ПБ ніколи не задовольнить усі сторони, що беруть участь у взаємодії з інформацією, що захищається. У той же час вибір ПБ - це кінцеве вирішення проблеми: що - добре і що - погано при роботі з цінною інформацією. Після прийняття такого рішення можна будувати захист, тобто систему підтримки виконання правил ПБ. Таким чином, побудована система захисту інформації добра, якщо вона надійно підтримує виконання правил ПБ.
ПБ інформації в АС є частиною загальної політики безпеки організації і може успадковувати, зокрема, положення державної політики у галузі захисту інформації. Для кожної АС ПБ інформації може бути індивідуальною і залежить від технології обробки інформації, що реалізується, особливостей ОС, фізичного середовища і багатьох інших чинників. Тим більше одна й та сама АС може реалізовувати декілька різноманітних технологій обробки інформації. Тоді і ПБ інформації в такій АС буде складеною, і її частини, що відповідають різним технологіям, можуть істотно відрізнятись.
ПБ інформації, що реалізуються різними КС, будуть відрізнятися не тільки тим, що реалізовані в них функції захисту можуть забезпечувати захист від різних типів загроз, а й у зв'язку з тим, що ресурси КС можуть істотно відрізнятись. Так, якщо операційна система оперує файлами, то СУБД має справу із записами, розподіленими в різних файлах.
Основна функція узагальненої ПБ є визначення програми ЗІ, призначення відповідальних за її виконання осіб, формулювання цілей і об'єктів захисту, а також вироблення схеми для забезпечення додержання розроблених правил і вказівок. Компонентами узагальненої ПБ вважаються призначення, сфера поширення, визначення цілей ЗІ, розподіл відповідальності за виконання і методи забезпечення додержання правил.
Проблемно-орієнтована ПБ необхідна для виділення певних проблемних сфер і визначення позицій організації щодо них.
Якщо узагальнена ПБ описує глобальні аспекти ЗІ і її схему, то окремі ПБ розробляються для деяких видів діяльності й у деяких випадках для конкретних систем (наприклад, для захисту електронної кореспонденції). Таким чином, окремі ПБ стандартизують роботу і зменшують потенційний ризик, який виникає при некоректному використанні інформаційних ресурсів. Проблемно-орієнтована ПБ частково визначає керівні принципи при створенні функціональних інструкцій для співробітників ор...
