На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 5 сентябрь-октябрь 2005 г.
Тема номера: БЕЗОПАСНОСТЬ ERP-СИСТЕМ


ВОПРОСЫ ФОРМАЛИЗАЦИИ ТРЕБОВАНИЙ И СРАВНЕНИЯ СРЕДСТВ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

А. Ю. Щеглов, д. т. н., проф.
ЗАО «НПП «Информационные технологии в бизнесе»


Предыдущая статьяСледующая статья

На сегодняшний день системы защиты конфиденциальной информации, представленные на рынке, сильно различаются как по набору механизмов защиты, так и по подходам к реализации отдельных механизмов, причем базовых, требования к которым формализованы в нормативных документах (речь здесь не идет о дополнительных возможностях и механизмах защиты). Это вводит в заблуждение потребителя, не имеющего профессиональной подготовки в данной области знаний, так как формально для него подобные системы равноценны, поскольку выполняют требования одних и тех же документов. Подчас этим пользуются и разработчики, умалчивая о недостатках поставляемых ими средств защиты. Естественно, что подобное возможно лишь при недостаточно полной формализации требований. В данной работе мы попытаемся выявить причины возможной неоднозначной трактовки формализованных требований и соответствующим образом их уточнить (конкретизировать, но не изменить). Как следствие, целью данной работы можно считать разработку методологического инструментария для потребителя, позволяющего корректно осуществить сравнительную оценку эффективности средств и механизмов защиты информации.

Методологическая основа формализации требований к средствам защиты конфиденциальной информации

Прежде чем приступить к исследованию, определимся с тем, что же является признаком защищенности вычислительной системы, как следствие, что должно быть положено в основу формализации требований к средствам защиты. Для этого определим основные термины, которые часто используются на практике и будут использованы нами далее в материале: «уязвимость», «угроза» и «атака». Под уязвимостью системы защиты нами понимается такое ее свойство (архитектурный либо иной недостаток), которое может быть использовано злоумышленником для осуществления несанкционированного доступа (НСД) к информации. Другими словами, уязвимость – это «канал» НСД к защищаемой информации. При этом любая уязвимость системы защиты несет в себе угрозу осуществления злоумышленником НСД к информации, посредством реализации атаки (либо атак, которые в общем случае могут принципиально различаться) на уязвимость в системе защиты.

Таким образом, именно уязвимость системы защиты – это признак системы, а наличие (отсутствие) уязвимостей является характеристикой защищенности системы.

Вывод. Уязвимость системы защиты – это признак системы (признак эффективности системы защиты), а наличие (отсутствие) уязвимостей является характеристикой защищенности системы. Следовательно, именно достижение отсутствия уязвимостей защиты должно быть положено в основу формализации требований к средствам защиты информации.

Очевидно, что в общем случае причиной уязвимости (существования «канала» НСД) может являться либо некорректность реализации механизма защиты, либо недостаточность набора механизмов для условий использования защищаемого объекта информатизации.

Замечание. Вообще говоря, свойства корректности реализации и полноты (достаточности для условий использования) являются основополагающими свойствами любой технической системы (основными критериями при ее проектировании), в том числе и свойствами системы защиты информации.

Выводы. Поскольку причиной уязвимости защиты может являться либо некорректность реализации механизма защиты, либо недостаточность набора механизмов защиты для условий использования защищаемого объекта информатизации, методологической основой формализации требований к средствам защиты информации следует считать определение требований к корректности реализации механизмов защиты и требований к достаточности (полноте набора) механизмов защиты для условий использования защищаемого объекта информатизации.

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100