 |
Классификация систем и информационных систем
|
|
|
|
Классификация – система распределения объектов (предметов, явлений, процессов, понятий) по классам в соответствии с определённым признаком. Под объектом понимается любой предмет, процесс, явление материального или нематериального свойства. Задача классификации – создать некие удобные образы, позволяющие, например, при выборе систем ограничиться определённым классом или типом.
Информационные системы могут значительно различаться по типам объектов, характером и объёмом решаемых задач, и рядом других признаков.
Общепринятой классификации ИС до сих пор не существует, поэтому их можно классифицировать по разным признакам, что вызвало существование нескольких различных классификаций ИС.
Согласно общепринятой классификации ИС подразделяются:
– по масштабам применения – настольные и офисные;
– по признаку структурированности задач – структурированные (формализуемые), неструктурированные (неформализуемые), частично структурированные. Частично структурированные делятся на: ИС репортинга и ИС разработки альтернативных решений (модельные, экспертные);
– по функциональному признаку – экономические (производственные, маркетинговые (анализа рынка, рекламные, снабженческие и т.п.), финансовые (бухгалтерские, статистические и т.п.), кадровые); правовые (используемые в деятельности органов внутренних дел, прокуратуры, суда и др.);
– по характеру обработки информации – системы обработки данных, системы управления, система поддержки принятия решений;
– по оперативности обработки данных – пакетной обработки и оперативного (операционного) уровня;
– по степени автоматизации – ручные, автоматические, автоматизированные;
|
|
|
– по характеру использования информации – на информационно-поисковые, информационно-справочные, информационно-решающие, управляющие, советующие и т.п.;
– по характеру использования вычислительных ресурсов – на локальные и распределённые;
– по уровню функционирования – на государственные и территориальные (региональные);
– по концепции построения – файловые, автоматизированные банки данных, банки знаний, хранилища данных;
– по режиму работы – на пакетные, диалоговые и смешанные.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ЗАЩИТА ИНФОРМАЦИИ
Основные понятия и определения информационной безопасности и защиты информации
Информационная безопасность — это состояние защищенности информационной среды.
Защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, т.е. процесс, направленный на достижение этого состояния.
Информационная безопасность организации — состояние защищенности информационной среды организации, обеспечивающее ее формирование, использование и развитие.
Информационная безопасность — защита конфиденциальности, целостности и доступности информации.
a) конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
b) целостность: неизменность информации в процессе ее передачи или хранения.
c) доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.
Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.
|
|
|
Безопасность информации при применении информационных технологий (IT security) — состояние защищенности информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.
Безопасность автоматизированной информационной системы — состояние защищенности автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность ее ресурсов.
Информационная безопасность — защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений.
Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т.д., а также обслуживающий персонал.
Рассматриваются следующие аспекты информационной безопасности:
1) конфиденциальность (confidentiality) — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;
2) целостность (integrity) — избежание несанкционированной модификации информации;
3) доступность (availability) — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа;
4) неотказуемость или апеллируемость (non-repudiation) — невозможность отказа от авторства;
5) подотчетность (accountability) — обеспечение идентификации субъекта доступа и регистрации его действий;
6) достоверность (reliability) — свойство соответствия предусмотренному поведению или результату;
7) аутентичность или подлинность (authenticity) — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
Разработано большое число формализованных математических моделей, описывающих процесс защиты информации.
Для формализованного описания используются следующие термины:
Ресурс (Asset). В широком смысле это все, что представляет ценность с точки зрения организации и является объектом защиты. В узком смысле ресурс — часть информационной системы. Обычно рассматриваться следующие классы ресурсов:
|
|
|
· оборудование (физические ресурсы);
· информационные ресурсы (базы данных, файлы, все виды документации);
· программное обеспечение (системное, прикладное, утилиты, другие вспомогательные программы);
· сервис и поддерживающая инфраструктура (обслуживание СВТ, энергоснабжение, обеспечение климатических параметров и т.п.).
Угроза (Threat) — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности.
Уязвимость (Vulnerability) — слабость в системе защиты, которая делает возможной реализацию угрозы.
Анализ рисков — процесс определения угроз, уязвимостей, возможного ущерба, а также контрмер.
Полный анализ рисков (Full)— анализ рисков для информационных систем, предъявляющих повышенные требования в области ИБ (более высокие, чем базовый уровень защищенности). Это предполагает следующее:
· определение ценности ресурсов;
· оценку угроз и уязвимостей;
· выбор адекватных контрмер, оценку их эффективности.
Риск нарушения ИБ (Security Risk ) — возможность реализации угрозы.
Оценка рисков (Risk Assessment) — идентификация рисков, выбор параметров для их описания и получение оценок по этим параметрам.
Управление рисками (Risk Management) — процесс определения контрмер в соответствии с оценкой рисков.
Система управления ИБ (Information Security Management System) — комплекс мер, направленных на обеспечение режима ИБ на всех стадиях жизненного цикла ИС.
Класс рисков — множество угроз ИБ, выделенных по определенному признаку (например, относящихся к определенной подсистеме или типу ресурса).
Различают угрозы безопасности и уязвимости:
· угрозы безопасности — потенциальные источники нежелательных событий, которые могут нанести ущерб ресурсам, и оценка их параметров
· уязвимости — слабые места в защите, которые способствуют реализации угроз.
Существуют различные классификации угроз информационной безопасности, ниже приводится одна из возможных:
· форс-мажорные обстоятельства;
|
|
|
· недостатки организационных мер;
· ошибки человека;
· технические неисправности;
· преднамеренные действия.
Перечислим возможные виды угроз, такие как:
• использование чужого идентификатора сотрудниками организации (маскарад);
• использование чужого идентификатора поставщиком услуг (маскарад);
• использование чужого идентификатора посторонними (маскарад);
• несанкционированный к приложению;
• внедрение вредоносного программного обеспечения;
• несанкционированное использование системных ресурсов;
• использование телекоммуникаций для несанкционированного доступа сотрудниками организации;
• использование телекоммуникаций для несанкционированного доступа поставщиком услуг;
• использование телекоммуникаций для несанкционированного доступа посторонними;
• ошибки при маршрутизации;
• неисправность сервера;
• неисправность сетевого сервера;
• неисправность запоминающих устройств;
• неисправность печатающих устройств;
• неисправность сетевых распределяющих компонент;
• неисправность сетевых шлюзов;
• неисправность средств сетевого управления или управляющих серверов;
• неисправность сетевых интерфейсов;
• неисправность сетевых сервисов;
• неисправность электропитания;
• неисправность кондиционеров;
• сбои системного и сетевого ПО;
• сбои прикладного ПО;
• ошибки пользователей;
• пожар;
• затопление;
• природные катаклизмы;
• нехватка персонала;
• кражи со стороны сотрудников;
• кражи со стороны посторонних;
• преднамеренные несанкционированные действия сотрудников;
• преднамеренные несанкционированные действия посторонних;
• терроризм.
Меры информационной безопасности можно разделить на три группы в соответствии с тем, направлены ли они на предупреждение, обнаружение или ликвидацию последствий нападений.
Проблемы обеспечения информационной безопасности являются комплексными и включают необходимость сочетания законодательных, организационных и программно-технических мер.
На законодательном уровне должна быть создана нормативно-правовая база, адекватная существующей практике применения информационно-коммуникационных технологий.
На управленческом (организационном) уровне важно, чтобы руководство каждой организации осознало необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов. Главное, что должен сделать управленческий уровень, это выработать политику безопасности.
Ключевые механизмы безопасности программно-технического уровня:
• идентификация и аутентификация;
|
|
|
• управление доступом;
• протоколирование и аудит;
• криптография;
• экранирование.
Политика безопасности - совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
Важным аспектом защиты информации в компании является защита персональных данных.
Персональные данные (или личные данные) — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
|
|
|
