Пошук по сайту


Етапи створення комплексної системи санкціонованого доступу - Законодавча, наукова та нормативно-методологічна база

Законодавча, наукова та нормативно-методологічна база

Сторінка4/5
1   2   3   4   5

Етапи створення комплексної системи санкціонованого доступу


Згідно міжнародної практики, при побудові КССД в першу чергу необхідно визначити що є інтелектуальною власністю. З точки зору біології людини, інтелектуальною власністю є інформаційні ресурси, знання, які допомагають йому ефективно розробляти та виготовляти нову продукцію, вигідно продавати товар, або яким-небудь іншим способом збільшувати свій прибуток.

Спосіб керування виробництвом, технологічний процес, список клієнтів, аналіз конкурентоздатності, – це лише деякі приклади з цього. Отже, якщо розробник КССД не володіє відомостями, що складають інтелектуальну власність, – це вже перший крок до фінансових, матеріальних та моральних втрат, тому саме з цього необхідно починати створення КССД.

Незалежно від форми організації напрямки її діяльності, специфіки її АС, подальшими етапами для розробника повинні бути:

  1. Визначення границь керування ІБ об’єкта

  2. Аналіз уразливостей, тобто визначення можливих каналів витоку інформації, шляхів та способів несанкціонованого доступу, ймовірність реалізації загрози, модель можливих дій зловмисника, оцінка можливих втрат та наслідків

  3. Вибір оптимальних заходів, які забезпечують ІБ.

  4. Визначення політики ІБ

  5. Перевірка реалізованої системи захисту, а саме оцінка ефективності варіантів побудови та тестування системи

  6. Складання плану захисту

  7. Реалізації складеного плану захисту, тобто керування системою захисту

Отже основним і найбільш відповідальним завданням, яке ставиться перед спеціалістом, що буде реалізовувати комплексний захист є найбільш повний аналіз можливих загроз, аналіз слабких місць підприємства з точки зору несанкціонованого доступу та їх ефективне усунення. Кожен етап створення КС захисту можна подати у вигляді наступної таблиці

Мета, задачі, принципи побудови та основні вимоги до КССЗ

Основні етапи побудови КС безпеки

Результати дій на етапах побудови КС безпеки

Визначеня інформації, яка є інтелектуальною власністю інформації

Список відомостей, що становлять комерційну таємницю та список організацій чи осіб, яких ці відомості можуть цікавити

Визначення границь керування ІБ

Деталізована модель об’єкта, яка відображала б усі можливі точки атаки

Аналіз уразливостей

Можливі варіанти протиправних послідовностей, ранжирування джерел загроз та уразливостей, прийняття стратегії керування ризиками

Вибір оптимальних заходів забезпечення безпеки визначення політики безпеки

Правові, морально-етичні, організаційні та інженерно-технічні заходи захисту

Перевірка ефективності реалізованої системи

Формування системи ІБ на основі результатів оцінювання ефективності та тестування

Складання плану захисту

Пакет документів по побудові системи ІБ та реалізації політики безпеки

Реалізація плану захисту

Монтаж та налагодження комплексної системи захисту та керування нею

При побудові реальних КССД максимального ефекту можна досягнути поєднавши усі доступні методи та засоби захисту в єдину систему з оптимальною взаємодією між ними. Також повинен здійснюватися постійний контроль та аналіз реалізованої системи захисту на відповідність поставленим вимогам, а також в разі потреби і її модифікація чи доповнення. Отже перед початком побудови КССД визначаються всі можливі точки. Тобто спочатку треба виконати інвентаризацію, збір даних об’єкта в цілому про інформаційні потоки, які існують на підприємстві, добре знати структуру АС. Для цього на даному етапі необхідно зібрати наступні відомості:

  1. Перелік відомостей, які складають інформаційну та службову таємницю

  2. Організаційно-штатна структура підприємства чи організації

  3. Характеристика та план об’єкта, розміщення засобів обчислювальної техніки та інфраструктури, яка їх підтримує

Розробникам КССД необхідно мати план підприємства, з розташуванням адміністративних будівель, виробничих та допоміжних приміщень, площадок, складів, стендів. Також на плані додатково необхідно вказати структуру та склад АС; приміщення, в яких розташовані технічні засоби обробки критичної інформації з детальним вказанням їх розташування. Максимальне знання елементів системи дозволяє виділити критичні ресурси та визначити степінь локалізації майбутньої системи санкціонованого доступу. Така інвентаризація ресурсів АС повинна проводитись з подальшим урахуванням їх уразливостей. Чим вища якість робіт на даному етапі, тим більша буде ефективність на наступних етапах. В результаті виконавчої роботи повинен бути складений документ, в якому зафіксовані границі системи, зафіксовані ресурси, що підлягають захисту, подана система критеріїв. В ідеалі для таких умов повинна містити інформаційно-логічна модель захисту, яка б ілюструвала технологію обробки критичної інформації з виділенням критичних точок вразливостей та поданням детальної характеристики кожної такої точки. Така модель буде базовою для успішної реалізації КССД

Практика

2010-09-29

Задача 1.





Задача 3.

Спочатку ентропія = 10, а апостеріорна невизначеність = 6. Після одержання деякого повідомлення.



, 









Задача 4.

Спочатку ентропія = 22 біти, апостеріорна = 10, в результаті отримання деякого повідомлення об’єм даних, якого = 20 біт, апостеріорна невизначеність зменшилась в 2 рази. Чому дорівнює коефіцієнт інформативності отриманого повідомлення.

















Задача 5.







Як змінилась кількість інформації?







Задача 6.

Спочатку ентропія системи = 17 біт. В результаті отримання повідомлення об’єм даних, який = 20 біт, первинне неповне знання замінилось повним. Чому дорівнює коефіцієнт інформативності в такому повідомленні?







2010-10-05

Лекція

Кожне підприємство прагне захистити від різноманітних загроз, які можуть призвести до значної шкоди або повного припинення діяльності підприємства шляхом створення відповідної комплексної системи безпеки. Безпека підприємства – це створення таких умов діяльності, які надійно захищають від можливого впливу від загроз різноманітного характеру. Спеціаліст, який має намір виконувати побудову КССД повинен пам’ятати, що всі ланки повинні бути ефективно захищені.

Якщо в системі хоча б 1 з ланок буде мати дирочки, то інші ланки не зможуть ефективно протидіяти загрозам, навіть якщо ця протидія для цих ланок буде організована належним чином. Задача побудови КССД на кожному підприємстві вирішується по різному, оскільки в діяльності кожного підприємства існує своя специфіка, а відповідно є різні об’єкти захисту. Перш за все шляхи створення такої системи залежать від того, яким саме видом діяльності займається підприємства, а також від стану, в якому знаходяться об’єкти, що підлягатимуть захисту: обговорення намірів, розроблення проектів, будівництво чи експлуатація. Як свідчить практика, основою побудови КССД найкраще закладати при проектуванні, будівництві чи капітальному ремонті об’єктів підприємства. На цих етапах є найкращі можливості для повноцінного врахування поставлених задач захисту. Сучасних вимог безпечної діяльності підприємства, ефективного захисту працівників, комерційної таємниці, та матеріальної цінності. Також на даному етапі роботи можуть бути більш дешевими та ефективними. На підприємствах, що експлуатуються, здійснювати побудову КССД набагато складніше, оскільки це може заважати повноцінній виробничій діяльності, в такому випадку побудова системи захисту повинна виконуватися поступово, починаючи з найбільш важливих ділянок, та з врахуванням того, що така діяльність не заважала функціонувати підприємству. Процес аналізу джерела загроз включає в себе перш за все визначення того, що необхідно захищати, від кого чи чого захищати та як саме такий захист здійснювати. Виконуючи такий аналіз необхідно розглянути всі можливі джерела загроз та провести їх ранжирування. Перш за все всі заходи захисту, котрі виконуються на підприємстві спрямовуються на те, щоб не допустити втрати інформаційних ресурсів. Можливе зацікавлення з боку конкурентів чи зловмисників. Всі шкідливі дії можуть бути здійснені лише при наявності так званих уразливостей, якщо є можливими такі дії, то отже є велика ймовірність їх здійснення зловмисником, а також є можливість джерела їх витоку, тобто виникає такий ланцюжок:



Фактор (уразливість) – властиві об’єкту інформатизації причини, які призводять до порушення безпеки інформації на конкретному об’єкті та зумовлені вадами процесу функціонування об’єкту інформатизації, властивостями архітектури, інформаціно-телекомунікаційної системи, протоколами обміну, інтерфейсами, що застосовуються, програмним забезпеченням, апаратними засобами та умовами експлуатації

Загроза – небезпека (потенційна, або така, що існує реально), вчиненням будь-якого діяння або бездіяльності, спрямованого проти об’єкта захисту, яке наносить збиток власнику або користувачу АС, що проявляється як небезпека спотворення або втрати інформації

Наслідки – це можливі наслідки реалізації загрози(можливі дії при взаємодії джерела загрози через наявні фактори), що приводить до можливих загроз або збитків.

Маючи формальний набір джерел конфіденційної інформації та способів реалізації несанкціонованого доступу можна побудувати формальну модель взаємозв’язку джерел та способів на якісному рівні з певним степенем умовності. Таку модель прийнято вважати узагальненою моделлю до джерел конфіденційної інформації. Сама степінь небезпеки оцінюється не кількістю можливих джерел, а нанесеним збитком.

До основних видів загроз підприємства можна віднести наступні:

  1. Розкриття конфіденційної інформації, прослуховування каналів локальної мережі і т.д.

  2. Викрадення матеріальних ресурсів та носіїв інформації

  3. Компроментація інформації – це внесення несанкціонованих змін у бази даних, що приводить до відмови користувача до інформації або витрачання додаткових зусиль для виявлення таких змін

  4. Несанкціоноване використання ресурсів обчислювальної мережі

  5. Несанкціонований облік інформації

  6. Відмова у обслуговуванні, яка проявляється в затримці з наданням ресурсів в мережі абоненту
1   2   3   4   5

Схожі:

Нормативно-законодавча база організації інклюзивного (інтегрованого)...
Указ Президента України №1228/2007 «Про додаткові невідкладні заходи щодо створення сприятливих умов для життєдіяльності осіб з обмеженими...

6. Оподаткування підприємницької діяльності
Суб'єкти й об'єкти податкових правовідносин, законодавча база й принципи побудови системи оподаткування

План: Поняття про науку Наукова комунікація. Наукова школа
Здобувачі наукового ступеня, які працюють над дисертаціями поза докторантурою або аспірантурою

Законодавча нормативна база освітньої діяльності
Саме в дитячі роки людина потребує найбільшої уваги та захисту. Від ставлення до дітей, розуміння їхніх проблем, інтересів та потреб,...

Законодавча база стосовно розвитку науки
Української культури. Розкрити її значення. З’ясувати, як сприяють закордонні вчені розвиткові незалежної думки України, які негативні...

Закон України
Чинна нормативно-правова база щодо організації та проведення атестації педагогічних працівників у навчальному закладі

Нормативно-правова база для створення програми. Конституція України ( №254 К/96- вр)
Закон України №2628-111 від 11. 07. 2001 р. «Про дошкільну освіту»зі змінами від 01. 01. 2009 р

Керівництво читанням школярів; педагогічна освіта батьків; осучаснення...
Пріоритетом розвитку освіти є впровадження сучасних інформаційних технологій, які забезпечують доступ до інформації на різноманітних...

Законодавча діяльність
Управління-сукупність прийомів та методів, цілеспрямованого впливу на об’єкт з метою досягнення певного результату

«Закони та підзаконні нормативно-правові акти» Зміст Вступ
Поняття нормативно-правового акта та його співвідношення з іншими різновидами правових актів



База даних захищена авторським правом © 2017
звернутися до адміністрації

pravo.lekciya.com.ua
Головна сторінка