Стратегии защиты информации доклад

Обновлено: 04.07.2024

Под стратегией подразумевается общая, рассчитанная на перспективу руководящая установка при организации и обеспечении соответствующего вида деятельности, направленная на то, чтобы наиболее важные цели этой деятельности достигались при наиболее рациональном расходовании имеющихся ресурсов.

Для системного решения всей совокупности вопросов защиты во всем множестве потенциально возможных условий необходимы несколько различных стратегий защиты, каждая из которых соответствовала бы некоторой подоб­ласти общей области условий.

Организация защиты информации в самом общем виде может быть определена как поиск оптимального компромисса между по­требностями в защите и необходимыми для этих целей ресурсами.

Потребности в защите обусловливаются:

• важно­стью и объемами защищаемой информации;

• условиями ее хранения, обработки и использования.

Эти условия определяются:

• уровнем (качеством) структурно-организационного построения защищаемой системы или объекта;

• уровнем организации технологи­ческих схем обработки информации;

• местом и условиями располо­жения компонентов системы и некоторыми другими параметрами.

Размер ресурсов на защиту информации может быть ограничен определенным пределом, либо определяться условием обязатель­ного достижения требуемого уровня защиты.

• В первом случае за­щита должна быть организована так, чтобы при выделенных ре­сурсах обеспечивался максимально возможный уровень защиты.

• Во втором так, чтобы требуемый уровень защиты обеспечивался при минимальном расходовании ресурсов.

Сформулированные задачи являются оптимизационными задачами в их прямой и обратной постановке. Однако процесс защи­ты с точки зрения классической теории систем выглядит не совсем определенным: например, уровень защищенности информации может быть повышен не только использованием специальных средств защиты, но более четким построением защищаемой сис­темы, упорядочением технологических схем обработки информа­ции.

В целях создания условий для ориентации в таких неоп­ределенных ситуациях и введено понятие стратегии защиты, где под стратегией понимается общий взгляд на сложившуюся си­туацию и общий подход к принятию наиболее рационального ре­шения в этой ситуации.При этом количество различных стратегий должно быть небольшим (в противном случае будет трудно ориен­тироваться в самих стратегиях), но в то же время оно должно достаточно полно и адекватно отображать всю гамму потенциально возможных ситуаций.

Критериями, которые обуславливают число и содержание стратегий являются:

  1. требуемый уровень защиты;
  2. сте­пень свободы действий при организации защиты.

Значения первого критерия невозможно отобразить количественно, то он может быть выражен в виде следующих значений множества тех угроз, от­носительно которых должна быть обеспечена защита:

• защита от уже известных (ранее проявлявшихся) угроз;

• защита от наиболее опасных потенциально возможных угроз;

• защита от всех потенциально возможных угроз.

Защита от известных угроз предполагает органи­зацию регулярного сбора и обработки данных о проявлениях угроз и их последствиях, и иметь арсенал проверенных средств эффектив­ной нейтрализации каждой из угроз.

Защита от всех потенциально возможных угроз возможна толь­ко в случае знания всего их множества. Формирование этого мно­жества представляет собою достаточно сложную научно-техническую и организационную проблему.

Второй критерий в общей интерпретации сводится к тому, что организаторы и исполнители процессов защиты имеют относительно полную свободу распоряжаться методами и средствами защиты и некото­рую степень свободы вмешательства в архитектурное построение защищаемой системы или объекта, а также в организацию и обес­печение технологии их функционирования. Исходя из последнего аспекта, выделяют три различных степени свободы сле­дующего содержания:

  1. никакое вмешательство в систему не допускается;
  2. к архитектурному построению системы и технологии ее функ­ционирования допускается предъявлять требования неконцепту­ального характера;
  3. требования любого уровня, обусловливаемые потребностями защиты информации, принимаются в качестве обязательных усло­вий при построении системы, организации и обеспечении ее функ­ционирования.

Таким образом, декартово произведение трех значений каждого из двух критериев дает в общем случае де­вять различных стратегических подходов к защите информации. Однако, следует учитывать то обстоятельство, что при защите от известных угроз вмешательство в систему на кон­цептуальном уровне нецелесообразно, а защита от всех потенциально возможных угроз может быть достигнута лишь при создании изначально защищенной информационной среды, что не может быть достигнуто без вмешательства в архитектуру системы и технологию ее функ­ционирования.

Исходя из анализа всех девяти стратегических подходов, могут быть выделены три основных стратегии защиты:

  1. Оборонительная;
  2. Наступательная;
  3. Упреждающая.

Анализируя сущности условий, способствующих эффективной реа­лизации различных стратегий защиты определяет следующие выводы:

  1. Кардинальное повыше­ние эффективности защиты информации (равно как и эффективно­сти обеспечения качества информации и информационной безо­пасности) не может быть достигнуто в рамках существующих кон­цепций автоматизированной обработки информации. Необходимы принципиально иные концепции, построение которых требует су­щественного видоизменения постановки задачи развития и ис­пользования вычислительной техники, а также в целом взглядов на процесс совершенствования информационного обеспечения раз­личных сфер деятельности.
  2. В рамках современной информатики, рассматриваемой как фундаментальное научное направление, основными целями которого являются изучение информационных проблем современного общества и разработке способов, методов и средств наиболее ра­ционального их удовлетворения, получены такие результаты, кото­рые создают объективные предпосылки построения названных концепций.

Способ реализации стратегии
Отдельные механизмы защиты Системы защиты Защищённые информационные технологии
Учитываемые угрозы Все потенциально возможные УПРЕЖДАЮЩАЯ
Наиболее опасные потенциально возможные НАСТУПАТЕЛЬНАЯ
Все известные ОБОРОНИТЕЛЬНАЯ
Отсутствует Частичное Полное
Влияние на среду защиты

Рис, 25, Стратегии защиты информации

В результате можно сформулировать следующие выводы:

1. Процессы, осуществляемые в каждой сфере деятельности, могут быть представлены в виде строго определенной совокупно­сти функций.

2. Содержание и последовательность осуществления каждой из функций могут быть представлены в виде четко сформулирован­ной концепции.

3. Информационные процессы, имеющие место в любой сфере деятельности, могут быть представлены некоторой совокупностью процедур (задач) трех классов:

  1. информационно-поисковых;
  2. логико-аналитических;
  3. поисково-оптимизационных.

Смысл в такой классификации состоит в том, что обработка ин­формации осуществляется преимущественно на следующих уровнях:

• при решении информационно-поисковых задач – на синтаксическом;

• логико-аналитических – на семантическом;

• поисково-оптимизацион­ных – на прагматическом.

4. Для решения задач каждого из названных выше унифициро­ванных классов может быть разработан полный арсенал методов и средств, причем полнота интерпретируется здесь в том смысле, что любая задача в любых потенциально возможных условиях мо­жет быть решена рациональным образом.

5. Информационный поток, циркулирующий в любой системе или на любом объекте в процессе их функционирования, может быть представлен как частный случай некоторой унифицированной схемы.

Тест Тулуз-Пьерон (корректурная проба): получение информации о более общих характеристиках работоспособности, таких как.

Основные направления социальной политики: В Конституции Российской Федерации (ст. 7) характеризуется как.

Цель:
- рассмотреть стратегии защиты информации.
Задачи:
- рассмотреть цели и причины стандартизации ОРО;
- рассмотреть реализацию ОРО;
- рассмотреть основные стандарты;
- рассмотреть специфические стандарты;
- рассмотреть эталонную модель открытой распределенной обработки.

Содержание

Введение……………………………………………….……………..………..3
1 Стратегия информационной безопасности и её цели…….……..4
2 Разработка и внедрение эффективных политик информационной безопасности ……………………….………………..….………. …………. 8
2.1 Факторы, определяющие эффективность политики безопасности …8
2.2 . Оценка риска. …. ………………………………………9
2.3 . Рекомендации по разработке и внедрению эффективных политик………..10
2.4. Создание благоприятной среды
2.5. Жизненный цикл политики безопасности
3 Стандарты……………………………….…………………………………12
3.1 Базовая модель…………………………………………………………. 12
3.2 Специфические стандарты ..……………………………………………13
4 Фундаментальные принципы модели ОРО………………..……………..15
5 Эталонная модель открытой распределенной обработки…..…………..16
Заключение…………………………………………………………………..19
Список использованной литературы……………………………………….20

Прикрепленные файлы: 1 файл

Реферат.docx

Министерство образования и науки Российской Федерации

Кафедра: «Информационные системы

Выполнила: студентка группы СИБ-21

доцент Гриднев В.А.

1 Стратегия информационной безопасности и её цели…….……..4

2 Разработка и внедрение эффективных политик информационной безопасности ……………………….………………..….………. ………… . 8

2.1 Факторы, определяющие эффективность политики безопасности …8

2.3 . Рекомендации по разработке и внедрению эффективных политик………..10

2.4. Создание благоприятной среды

2.5. Жизненный цикл политики безопасности

3.2 Специфические стандарты ..……………………………………………13

4 Фундаментальные принципы модели ОРО………………..……………..15

5 Эталонная модель открытой распределенной обработки…..……… …..16

Список использованной литературы……………………………………….20

Актуальность темы: информации стал важнейшим ресурсом государства, а обеспечение его безопасности — важнейшей и обязательной составляющей национальной безопасности.важна распределенные системы важны вследствие растущей потребности взаимодействия систем обработки информации. Эта необходимость возникает в связи с такими организационными тенденциями, как, например, уменьшение размеров организаций, что требует информационного обмена как между группами внутри организации, так и между взаимодействующими организациями.

- рассмотреть стратегии защиты информации.

- рассмотреть цели и причины стандартизации ОРО;

- рассмотреть реализацию ОРО;

- рассмотреть основные стандарты;

- рассмотреть специфические стандарты;

- рассмотреть эталонную модель открытой распределенной обработки.

Предметом рассмотрения в данной работе является защита информации. Объектом рассмотрения являются стратегии защиты информации.

1 Цели и причины

Целью стандартизации ОРО является разработка стандартов, позволяющих реализовать преимущества услуг распределенной обработки информации в среде неоднородных ресурсов ИТ и нескольких организационных областях. Эти стандарты направлены на ограничение спецификаций систем и обеспечение для них инфраструктуры, которая снимает трудности, унаследованные от проектирования и программирования распределенных систем.

Распределенные системы важны вследствие растущей потребности взаимодействия систем обработки информации. Эта необходимость возникает в связи с такими организационными тенденциями, как, например, уменьшение размеров организаций, что требует информационного обмена как между группами внутри организации, так и между взаимодействующими организациями. Достижения технологии делают такой обмен возможным, отвечая на новые требования развитием сетей информационных услуг и персональных рабочих станций и допуская конструкции приложений, распределенных по большой конфигурации взаимосвязанных систем.

Для того чтобы управлять распределенной системой и эксплуатировать ее (например, использовать ее потенциал для оптимизации доступности, производительности, надежности и стоимости), организации должны иметь дело с рядом ключевых характеристик распределения системы, таких как:

- удаленность (компоненты распределенной системы могут быть широко распределены в пространстве; взаимодействие может быть локальным или удаленным);

- конкуренция ( любой компонент распределенной системы может работать параллельно с любыми другими компонентами);

- отсутствие глобального состояния ( глобальное состояние распределенной системы не может быть точно определено);

- частичные отказы ( любой компонент распределенной системы может отказать независимо от любых других компонентов);

- асинхронность ( коммуникационная деятельность и обработка не управляются едиными глобальными часами, нельзя считать, что взаимосвязанные изменения в распределенной системе происходят как единый акт);

- неоднородность ( нет гарантий того, что компоненты распределенной системы построены по единой технологии, а набор различных технологий определенно будет меняться со временем, неоднородность проявляется в разных местах: в технических средствах, операционных системах, коммуникационных сетях и протоколах, языках программирования, приложениях и т.п);

- автономность ( распределенная система может быть поделена между несколькими автономными уполномоченными по административному управлению и контролю, без единого центра контроля, степень автономности определяет, насколько ресурсы обработки и соответствующие устройства (принтеры, запоминающие устройства, графические дисплеи, аудиоустройства и т.п.) находятся под контролем отдельных организационных единиц);

- эволюция ( в течение своего жизненного цикла распределенная система столкнется со многими изменениями, которые мотивируются техническим прогрессом, обеспечивающим лучшую производительность за лучшую цену, стратегическими решениями о новых целях, новыми типами приложений);

- мобильность ( источники информации, узлы обработки и пользователи могут перемещаться физически, программы и данные также могут перемещаться по узлам, например для борьбы с физическими перемещениями или для оптимизации производительности).

- является открытой, обеспечивающей как переносимость (выполнение компонентов системы в разных узлах обработки без модификации), так и взаимодействие (осмысленное взаимодействие между компонентами, возможно, размещенными в разных системах);

- является интегрированной, включающей в себя различные системы и ресурсы в целом, без дорогостоящих доработок ( в их число могут входить системы с различными архитектурами и различные ресурсы с разными возможностями. Интеграция помогает иметь дело с неоднородностью);

- является гибкой, способной как эволюционировать, так и приспосабливать существующие и продолжающиеся операции унаследованных систем ( открытая распределенная система должна быть в состоянии столкнуться с изменениями во времени, например она должна допускать динамическую переконфигурацию для приспособления к изменившимся обстоятельствам, гибкость способствует мобильности);

- является модульной, допускающей автономность частей системы при сохранении их взаимосвязанности ( модульность является основой для гибкости);

- может быть включена в федерацию, что позволяет для достижения единой цели скомбинировать систему с другими системами из разных технических или административных областей;

- является управляемой, допускающей мониторинг, контроль и административное управление ресурсами системы для обеспечения конфигурации;

- является безопасной, гарантируя, что средства системы и данные защищены от неавторизованного доступа, требованиям безопасности сложнее удовлетворить из-за удаленности взаимодействий и мобильности частей системы и ее пользователей;

- обеспечивает прозрачность, маскируя от приложений детали и различия в методах, которые используются для разрешения проблем, связанных с распределенностью системы, это - центральное требование, возникающее из необходимости обеспечить конструкцию распределенных приложений ( аспекты распределения, которые должны быть замаскированы (в целом или частично), включают в себя: неоднородность поддерживающего программного и технического обеспечения, размещение и мобильность компонентов).

Вывод: в данном пункте были рассмотрены цели и причины стандартизации открытой распределенной обработке, рассмотрели основные характеристики распределенных систем.

Осознание необходимости разработки стратегических подходов к защите формировалось по мере осознания важности, многоаспектности и трудности защиты и невозможности эффективного ее осуществления простым использованием некоторого набора средств защиты.

Под стратегией вообще понимается общая направленность в организации соответствующей деятельности, разрабатываемая с учетом объективных потребностей в данном виде деятельности, потенциально возможных условий ее осуществления и возможностей организации.

Известный канадский специалист в области стратегического управления Г. Минцберг предложил определение стратегии в рамках системы "5-Р". По его мнению, она включает:

1) план (Plan) - заранее намеченные в деталях и контролируемые действия на определенный срок, преследующие конкретные цели;

2) прием, или тактический ход (Ploy), представляющий собой кратковременную стратегию, имеющую ограниченные цели, могущую меняться, маневр с целью обыграть противника;

3) модель поведения (Patten of behaviour) - часто спонтанного, неосознанного, не имеющего конкретных целей;

4) позицию по отношению к другим (Position in respect to others);

5) перспективу (Perspective).

Задача стратегии состоит в создании конкурентного преимущества, устранении негативного эффекта нестабильности окружающей среды, обеспечении доходности, уравновешении внешних требований и внутренних возможностей. Через ее призму рассматриваются все деловые ситуации, с которыми организация сталкивается в повседневной жизни.

Способность компании проводить самостоятельную стратегию во всех областях делает ее более гибкой, устойчивой, позволяет адаптироваться к требованиям времени и обстоятельствам.

Стратегия формируется под воздействием внутренней и внешней среды, постоянно развивается, ибо всегда возникает что-то новое, на что нужно реагировать.

Факторы, которые могут иметь для фирмы решающее значение в будущем, называются стратегическими. По мнению одного из ведущих западных специалистов Б. Карлофа, они, влияя на стратегию любой организации, придают и специфические свойства. К таким факторам относятся:

1) миссия, отражающая философию фирмы, ее предназначение. При пересмотре миссии, происходящем в результате изменения общественных приоритетов;

2) конкурентные преимущества, которыми организация обладает в своей сфере деятельности по сравнению с соперниками или к которым стремится (считается, что они оказывают на стратегию наибольшее влияние). Конкурентные преимущества любого типа обеспечивают более высокую эффективность использования ресурсов предприятия;

3) характер выпускаемой продукции, особенности ее сбыта, послепродажного обслуживания, рынки и их границы;

4) организационные факторы, среди которых выделяется внутренняя структура компании и ее ожидаемые изменения, система управления, степень интеграции и дифференциации внутренних процессов;

5) располагаемые ресурсы (материальные, финансовые, информационные, кадровые и пр.). Чем они больше, тем масштабнее могут быть инвестиции в будущие проекты. Сегодня для разработки и реализации стратегии огромное значение имеют, прежде всего, структурные, информационные и интеллектуальные ресурсы. Сравнивая значения параметров наличных и требующихся ресурсов, можно определить степень их соответствия стратегии;

6) потенциал развития организации, совершенствования деятельности, расширения масштабов, роста деловой активности, инноваций;

7) культура, философия, этические воззрения и компетентность управленцев, уровень их притязаний и предприимчивости, способность к лидерству, внутренний климат в коллективе.

На стратегический выбор влияют: риск, на который готова идти фирма; опыт реализации действующих стратегий, позиции владельцев, наличие времени.

Рассмотрим особенности стратегических решений. По степени регламентированности они относятся к контурным (предоставляют широкую свободу исполнителям в тактическом отношении), а по степени обязательности следования главным установкам - директивным.

По функциональному назначению такие решения чаще всего бывают организационными или предписывающими способ осуществления в определенных ситуациях тех или иных действий. С точки зрения предопределенности, это решения запрограммированные. Они принимаются в новых, неординарных обстоятельствах, когда требуемые шаги трудно заранее точно расписать. С точки зрения важности, стратегические решения кардинальны: касаются основных проблем и направлений деятельности фирмы, определяют основные пути развития ее в целом, отдельных подразделений или видов деятельности на длительную перспективу (не менее 5–10 лет). Они вытекают прежде всего из внешних, а не из внутренних условий, должны учитывать тенденции развития ситуации и интересы множества субъектов. Практическая необратимость стратегических решений обусловливает необходимость их тщательной и всесторонней подготовки. Стратегическим решениям присуща комплексность. Стратегия обычно представляет собой не одно, а совокупность взаимосвязанных решений, объединенных общей целью, согласованных между собой по срокам выполнения и ресурсам. Такие решения определяют приоритеты и направления развития фирмы, ее потенциала, рынков, способы реакции на непредвиденные события. Практика сформировала следующие требования к стратегическим решениям:

1. Реальность, предполагающая ее соответствие ситуации, целям, техническому и экономическому потенциалу предприятия, опыту и навыкам работников и менеджеров, культуре, существующей системе управления;

2. Логичность, понятность, приемлемость для большинства членов организации, внутренняя целостность, непротиворечивость отдельных элементов, поддержка ими друг друга, порождающая синергетический эффект;

3. Своевременность (реализация решения должна успеть приостановить отрицательное развитие ситуации или не позволить упустить выгоду);

4. Совместимость со средой, обеспечивающая возможность взаимодействия с ней (стратегия находится под влиянием изменений в окружении предприятия и сама может формировать эти изменения);

5. Направленность на формирование конкурентных преимуществ;

6. Сохранение свободы тактического маневра;

7. Устранение причин, а не следствий существующей проблемы;

8. Четкое распределение по уровням организации работы по подготовке и принятию решений, а также ответственности за них конкретных лиц;

9. Учет скрытых и явных, желательных и нежелательных последствий, которые могут возникнуть при реализации стратегии или отказе от нее для фирмы, ее партнеров; от существующего законодательства, этической стороны дела, допустимого уровня риска и пр.

Разработка научно обоснованной системы стратегий организации как ключевого условия ее конкурентоспособности и долгосрочного успеха является одной из основных функций ее менеджеров, прежде всего высшего уровня. От них требуется:

- выделять, отслеживать и оценивать ключевые проблемы;

- адекватно и оперативно реагировать на изменения внутри и в окружении организации;

- выбирать оптимальные варианты действий с учетом интересов основных субъектов, причастных к ее деятельности;

- создавать благоприятный морально-психологический климат, поощрять предпринимательскую и творческую активность низовых руководителей и персонала.

Исходный момент формирования стратегии - постановка глобальных качественных целей и параметров деятельности, которые организация должна достичь в будущем. В результате увязки целей и ресурсов формируются альтернативные варианты развития, оценка которых позволяет выбрать лучшую стратегию. Единых рецептов выработки стратегий не существует. В одном случае целесообразно стратегическое планирование (программирование) в другом - ситуационный подход.

Исходя из большого разнообразия условий, при которых может возникнуть необходимость защиты информации, общая целевая установка на решение стратегических вопросов заключалась в разработке множества стратегий защиты, и выбор такого минимального их набора, который позволял бы рационально обеспечивать требуемую защиту в любых условиях.

В соответствии с наиболее реальными вариантами сочетаний значений рассмотренных факторов выделено три стратегии защиты:

- оборонительная - защита от уже известных угроз осуществляемая автономно, т. е. без оказания существенного влияния на информационно-управляющую систему;

- наступательная - защита от всего множества потенциально возможных угроз, при осуществлении которой в архитектуре информационно-управляющей системы и технологии ее функционирования должны учитываться условия, продиктованные потребностями защиты;

- упреждающая - создание информационной среды в которой угрозы информации не имели бы условий для проявления.

Стратегия — это руководящая установка рассчитанная на перспективу при реализации определенного вида деятельности. Сама суть организации защиты информации должна быть определенна на поиск самого оптимального компромисса между нуждами в защите и нужными ресурсами для этой защиты.

Потребности в защите определяются объемами и важностью защищаемой информации, а также условиями при использовании, хранении и ее обработки. Размер ресурсов на защиту информации по сути ограничен конкретным пределом или определяется условием конкретного достижения уровня защиты. При первом варианте защита должна организовываться так, что бы при выделенных ресурсах была реализована максимальная защита. В втором варианте нужный уровень защиты реализуется при минимальном уровне расходов ресурсов. Постановка задача — главный критерий при реализации защиты информации. Есть две проблемы мешающих корректно поставить задачу на защиту информации.

Первая — Алгоритмы защиты находятся в рамках большого числа случайных и тяжело предсказуемых параметров (поведение злоумышленника, природные катаклизмы и тд).

Вторая — Среди всех направлений защиты, большую часть занимает именно организационная защита, которая связанная с действиями человека.

Стратегию защиты определяют двумя критериями: нужный уровень защиты и свобода действия при работы защиты. Первый критерий отлично выражается в множестве угроз, которые влияют на защищаемую информационную систему:

  • от самых опасных и известных угроз
  • от потенциальных угроз

Второй критерий определяет степень свободы доступу и изменениям процессов защиты. Выделяют следующие градации свободы относительно стратегии защиты:

  • Нулевое вмешательство в информационную систему
  • Разрешается приостановка процесса работы информационной системы для установки/изменения механизмов защиты
  • На первый план выносят реализацию механизмов защиты, а на второй уже работоспособность системы
  • План — намеченных в деталях с контролируемыми действиями на определенные период с преследующими целями
  • Тактический ход — является собой кратковременную стратегию, имеющий ограниченные цели и работают с целью обмануть противника
  • Модель поведения — спонтанная неосознанная не имеющих конкретных целей
  • позиция по отношению к другим
  • перспектива

Способность предприятия реализовывать личную стратегию делает ее более гибкой и устойчивой, что разрешает предприятию быстро адаптироваться к новым тенденциям.

Специалист Б. Карлоф описывает факторы, которые влияют на стратегию любого предприятия:

  • Миссия — отражает философия предприятия
  • Конкурентные преимущества — те направления, где предприятие преуспело или хочет преуспеть
  • Характер продукта, рынки и границы
  • организационные факторы — где есть структура, внутренние процессы и тд
  • располагаемые ресурсы
  • Рост предприятия, инновации, потенциал и тд

На стратегический выбор влияет риск, на который готово идти предприятие, опыт и время. Особенности стратегических решений по степени регламентированости относят к контурным (большая свобода исполнителям), а по степени обязательности следования основным установкам — директивным.

По функциональному назначению множество решений бывают организационные или спонтанные относительно конкретных действий или ситуаций. Стратегия являет собой набор взаимосвязанных решений, соединенных одной целью, согласованных между собой по времени и ресурсам. Такие решения определяют направления и приоритеты в направления развития. Практика показала следующие требования с стратегическим решениям:

Читайте также: