 |
Критерии оценки инф-ой безопасности.
|
|
|
|
Первый критерий оценки безопасности компьютерных систем был разработан в США в 1988 г. Национальным центром - «Критерий оценки безопасности компьютерных систем» или стандарты TCSEC (Trusted Computer System Evalution Criteria) для министерства обороны США. В нем выделены общие требования к обеспечению безопасности обрабатываемой информации и определен перечень показателей защищенности. Было выделено шесть основных требований.
-класс D - подсистема безопасности. Она присваивается тем системам, которые не прошли испытаний на более высокий уровень защищенности, а также системам, которые для своей защиты используют лишь отдельные функции безопасности;
-класс С1 - избирательная защита. Средства защиты данного класса отвечают требованиям избирательного управления доступом. При этом обеспечивается разделение пользователей и данных. Каждый субъект идентифицируется и аутентифицируется в этом классе и ему задается перечень допустимых типов доступа;
-класс С2 - управляемый доступ. Требования данного класса такие же, что и в классе С1. При этом добавляются требования уникальной идентификации субъектов доступа, защиты и регистрации событий;
-класс В1 - меточная защита. Метки конфиденциальности присваиваются всем субъектам и объектам системы, которые содержат конфиденциальную информацию. Доступ к объектам внутри системы разрешается только тем субъектам, чья метка отвечает определенному критерию относительно метки объекта;
-класс В2 - структурированная защита. Требования данного класса включают в себя требования класса В1 и наличие требований хорошо определенной и документированной формальной модели политики безопасности и управления информационными потоками (контроль скрытых каналов) и предъявление дополнительного требования к защите механизмов аутентификации;
|
|
|
-класс ВЗ - область безопасности. В оборудовании систем данного класса реализована концепция монитора ссылок. Все взаимодействия субъектов с объектами должны контролироваться этим монитором. Действия должны выполняться в рамках областей безопасности, которые имеют иерархическую структуру и защищены друг от друга с помощью специальных механизмов/Механизм регистрации событий безопасности оповещает администратора и пользователя о нарушении безопасности;
-класс А1 - верифицированная разработка.
Для проверки спецификаций применяются методы формальной верификации - анализа спецификаций систем на предмет неполноты или противоречивости.
7.Под масштабируемостью КС подразум-ся возм-ть наращивания их мощности путем подключения новых технич и програм ср-в без дополнит доработки последних. Этот момент важен при исп-ии совр компьютерных и сетевых технологий. Масштабируемость достигается на различ ур-нях: а)Технич; б)Системном; в)Сетевом; г)СУБД; д)Прикладном. Для ОС масштабируемость означ, что ОС не привязана к однопроцессорной архитектуре процессора. В сл усложнения стоящих перед польз-лем задач и расширения предъявляемых к комп сети требований, ОС д обеспеч-ть возм-ть добавления более мощных и производительных серверов и раб станций в корпоратив сети. М рассм-ть масштабируемость технических средств, программных средств, масштабируемость системы в целом. В основе масштабируемости лежат такие технологии как: а) Международные стандарты; б) Сетевые и телекоммуникационные технологии; в) Операционные системы; г) Технология клиент/сервер и ряд других средств.
Стандартизация инф.технологий. Важную роль при создании корпоративных информационных систем играют стандарты ISO/'OSI (International Organization/Open System Interconnect), то есть стандарты открытых вычислительных систем (модульность, открытость и т.д.). Архитектура взаимодействия открытых систем определяет терминологию и основные концепции управления. Эти концепции включают средства и службы управления взаимодействием и ресурсами открытых систем.
|
|
|
При создании информационных систем компания следует принятым международным стандартам:
1. ISO/OSI 12207 - определяет структуру жизненного цикла программного обеспечения. Жизненный цикл программного обеспечения - непрерывный процесс, который начинается с момента принятия решения о необходимости создания программного обеспечения и заканчивается в момент его полного изъятия из эксплуатации. Требования стандарта являются общими для любых моделей жизненного цикла программного обеспечения, методологией и технологией разработки.
2. ISO 9000 - семейство стандартов, представляет собой руководство но созданию эффективной системы обеспечения качества производимых продуктов и услуг
3. ISO 7811 - устанавливает требования для символов, наносимых на идентификационные карты методом рельефного печатания.
1. ISO 781 J/1 - описывает параметры идентификационных карт.
2. ISO 7811/2 - устанавливает характеристики магнитной полосы на идентификационной карте, метод кодирования информации и наборы кодируемых символов.
3. ISO 4909 - устанавливает требования к выпускаемым и принимаемым банковским карточкам, обеспечивающим возможность обмена данными, записанными на магнитную полосу.
4. ISO 7816/1 - определяет физические характеристики карточек на интегральных схемах с контактами.
5. ISO 7816/2 - оговаривает размеры, расположение и назначение каждого из контактов плат интегральных схем.
6. ISO 7816/3 - определяет энергетические параметры и структуру сигналов, а также обмен информацией между карточкой на интегральной схеме и интерфейсом, например, терминалом. В ней также рассматриваются скорости передачи сигналов, уровни напряжений, величины токов, соглашения по четности, процедуры работы, механизмы передачи и связь с карточкой, содержащей интегральную схему.
8.Методология корпоративных систем. Под корпоративной информационной системой понимается информационная система масштаба предприятия. Гл задачей явл информационная поддержка производственных, административных и управленческих процессов, формирующих продукцию или услуга предприятия. Осн назначение корпоративных систем - оперативное предоставление непротиворечивой, достоверной и структурированной информации для принятия управленческих решений.
|
|
|
КИС создаются с учетом
-должны осуществлять согласованное управление данными в пределах предприятия (организации)
- координировать работу отдельных подразделений
- автоматизировать операции по обмену информацией как в пределах отдельных групп пользователей, так и между несколькими организациями, отстоящими друг от друга на десятки и сотни километров.
Основой для построения таких систем служат локальные вычислительные сети.
КИС имеют следующие характерные черты:
1. охват большого числа задач управления предприятием;
2. детальная разработка обобщенной модели документооборота предприятия с учетом внутренних связей документов и реализация функций системы производной междокументных связей;
3. наличие встроенных инструментальных средств, позволяющих пользователю самостоятельно развивать возможности системы и адаптировать ее под себя;
4. развитая технология объединения и консолидация данных удаленных подразделений.
Так же КИС характеризуются в первую очередь наличием корпоративной БД. Под корпоративной БД понимают БД, объединяющую в том или ином виде все необходимые данные и знания об автоматизируемой организации. Создавая КИС разработчики пришли к понятию интегрированных БД, в которых реализация принципов однократного ввода и многократного использования информации нашла наиболее концентрированное выражение.
Средства реализации КИС:
1. Готовый продукт - применяется фирмами-разработчиками, которые специализируются на создании ИС объектов управления определенного типа (промышленное предприятие, торговое предприятие, банк и т.п.). Предметом специализации могут быть и отдельные функции управления (бухгалтерский учет, логистика, управление персоналом, управление делопроизводством и т.п.).
|
|
|
2. Собственная разработка.
3. Системная интеграция (объединение нескольких готовых продуктов и собственных разработок).
9.Методология построения КИС. Любая организация - это совокупность взаимодействующих элементов (подразделений), каждый из которых может иметь свою структуру. Элементы связаны между собой функционально, т.е. они выполняют отдельные виды работ в рамках единого бизнес-процесса, а также информационно, обмениваясь документами, факсами, письменными и устными распоряжениями и т.д. Кроме того, эти элементы взаимодействуют с внешними системами, причем их взаимодействие может быть как информационным, гак и функциональным.
Общие принципы построения КИС:
1. информационная модель - представляющая собой отражение реальной информационной базы банка и описывающая все существующие информационные потоки, совокупность правил и алгоритмов функционирования информационной системы:
2. техническое обеспечение (суперкомпьютеры, имеющие перспективные архитектуры и технологии организации вычислительного процесса);
3. средства коммуникации (сетевые компьютерные технологии, технологии Internet/Intranet, технологии клиент - сервер);
4. системное и сетевое программное обеспечение, обеспечивающее работу коммуникационных средств:
5. прикладное программное обеспечение, необходимое для выполнения прикладных задач в каждом подразделении банка;
6. средства обеспечения безопасности (разграничение доступа к ресурсам, обеспечение надежности функционирования корпоративной системы в целом).
|
|
|
