Секція - Сучасні інформаційні технології

Підсекція -  Інформаційна безпека

Баглай А.В., Новіцький А.О., Захарова М.В.

Черкаський державний технологічний університет

Вибір засобів захисту інформації в інформаційній системі

Різноманіття варіантів побудови інформаційних систем породжує необхідність створення різних систем захисту, що враховують індивідуальні особливості кожної з них. Від оптимальності вибору засобів захисту інформації залежить побудова будь-якої системи захисту інформації (СЗІ), тому необхідно сформувати чітке уявлення про те, як побудувати систему захисту інформації для конкретної інформаційної системи, з урахуванням властивих їй особливостей і умов функціонування.

Широка доступність і великі швидкості засобів електронної комунікації ще більше полегшують несанкціоновані дії проти інформаційної системи (ІС) Вірусні епідемії, складність програмного забезпечення, людський фактор - це одні з безлічі причин виникнення необхідності в застосуванні засобів захисту інформації.

На початковому етапі вибору засобів захисту інформації - необхідно обгрунтувати важливості захисту інформації та визначення основних переліків загроз. Суть цього процесу складається в аналізі можливих ризиків, загроз, атак і в аудиті існуючої ІС. Цей процес може бути виконаний із використанням перевірки прийнятності ризику. Перевірка прийнятності ризику розглядається як діяльність, що порівнює поточну міру ризику із критеріями прийнятності, і приводить до визначення того чи прийнятний поточний рівень ризику. У той час як ефективність захисту і фінансові міркування є важливими факторами, при ухваленні рішення можуть бути прийняті до відома інші фактори, такі, як політика організації, законодавство й устави, безпека й вимоги надійності, вимоги продуктивності й технічні вимоги. Взаємозв'язок між перевіркою прийнятності ризику й вибором засобів захисту може бути ітеративним. Спочатку, організація повинна впорядкувати рівні ризиків, які були визначені в ході оцінки ризику. Поряд із цим, організація повинна ухвалити рішення щодо кількості залишкового ризику, після того як будуть встановлені обрані міри й засоби захисту. Коли властивості запропонованих мір і засобів захисту відомі, можна повторно провести перевірку прийнятності ризику й визначити, чи досягнутий залишковий ризик або змінити рішення щодо прийнятності ризику, щоб відобразити інформацію про властивості запропонованих засобів захисту. Успішний аудит системи надає можливість детального аналізу оцінки фінансових втрат, які будуть початком для формуванню бюджету на впровадження засобів захисту інформації [1]. 

Далі необхідно здійснити вибір мір та існуючих засобів захисту. Ціль цього процесу полягає в тому, щоб визначити відповідні міри й засоби захисту. Відбір засобів захисту є також суб'єктивним процесом. При розгляді міри вартості механізму важливо, щоб вартість засобу захисту була пов'язана з мірою ризику при визначенні рентабельності засобів захисту. Для обчислення відносини ризик / вартість використовують міру ризику й фінансову міру, пов'язану з кожним відношенням загроза / засіб і розраховують відношення ризику до вартості. Відношення, що менше одиниці буде вказувати, що вартість засобу захисту більша, ніж ризик, пов'язаний з загрозою. Припустимо, що величина ризику - функція міри втрати й міри ймовірності. Один або два аргументи можуть бути настільки критичні щодо цінності, що дорогий засіб захисту буде виправданий [2].

         Наступним етапом буде впровадження й тестування засобів захисту, що повинно бути виконане структурованим способом. Ціль цього процесу полягає в тому щоб гарантувати, що засоби захисту реалізовані правильно, сумісні з іншими засобами захисту, які забезпечують очікуваний захист та функціональними можливостями ІС. Цей процес починається розробкою плану впровадження засобів захисту. План повинен ураховувати фактори, такі як доступний обсяг фінансування, рівень підготовки користувачів  та  графік випробувань для кожного засобу захисту, який відображає кожний засіб захисту взаємодіє або вплив на інші засоби захисту або функціональні можливості ІС. Очікувані результати взаємодії або припущення про відсутність конфлікту повинні бути деталізовані. Важливо, щоб засіб захисту не тільки виконував свої функції й забезпечував очікуваний захист, але і  не збільшував ризик функціонування ІС через конфлікт із деякими іншими засобами захисту.

Кожний засіб повинен спочатку бути перевіреним незалежно від інших засобів, щоб гарантувати, що він забезпечує очікуваний захист. Однак, це може виявитися недоречним, якщо засіб призначений для спільної роботи з іншими засобами. Після незалежного випробування засобу він повинен бути перевіреним разом з іншими засобами СЗІ, щоб гарантувати, що він не порушує функціонування існуючих засобів. План впровадження повинен врахувати всі проблеми або спеціальні умови, що виникли в результаті проведення випробування.

Таким чином, приходимо до висновку, що побудова системи захисту інформації це складний і трудомісткий процес, що вимагає застосування широкого спектру знань з інформаційної безпеки. Однією найважливіших складових цього процесу є вибір засобів захисту інформації, що включає в себе визначення основних переліків загроз, вибір мір по забезпеченню безпеки інформації та існуючих засобів захисту, впровадження й тестування засобів захисту інформації.

ЛІТЕРАТУРА

  1. Герасименко В.А., Малюк А.А. Основы защиты информации. - М.:МГИФИ, 1997. - 538 с.
  2. Домарев В.В. Безпека інформаційних технологій. - К.: ТОВ «ТИД «ДС», 2001. – 688 с.
  3. Дэвид Стенг, Сильвия Му. Секреты безопасности систем “Диалектика”. – Киев, 2004.
  4. Чижухин Г.Н. Основи захисту інформації в обчислювальних системах і мережах ЕОМ. - Пенза, 2001. – 164 с.