Научная статья на тему 'Стратегия развития защиты информационной системы предприятия'

Стратегия развития защиты информационной системы предприятия Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
217
135
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ СИСТЕМА ПРЕДПРИЯТИЯ / КОМПЛЕКСНАЯ СИСТЕМА ЗАШИТЫ / ОБЪЕКТ ЗАЩИТЫ / КОНЦЕПТУАЛЬНАЯ АРХИТЕКТУРА ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРЕДПРИЯТИЯ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Борзенкова С. Ю., Чечуга О. В.

Рассмотрены объекты защиты предприятия и показана возможная последовательность стадий и этапов создания и развития системы защиты. Условно представлены циклы и этапы разработки концептуальной архитектуры ИС предприятия. Предложена стратегия развития информационной системы предприятия.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

DEVELOPMENT STRATEGY FOR THE PROTECTION OF PLANTSINFORMATION SYSTEM

The objects of protection and the company shows a possible sequence of stages and phases of creation and development of defenses are considered. The cycles and stages of development of the conceptual architecture of the IP business are conventionally represented. A strategy for enterprise information system is proposed.

Текст научной работы на тему «Стратегия развития защиты информационной системы предприятия»

Список литературы

1. Домарев В.В. Безопасность информационных технологий. Системный подход. М.: Изд-во: «ТИД «ДС», 2004. 992 с.

2. Черней Г.А., Охрименко С.А., Ляху Ф.С. Безопасность автоматизированных информационных систем. Кишинев, 1996.

3. Международный стандарт ISO/IEC 17799. Информационные технологии. Свод практических правил для управления защитой информации. ISO/IEC, 2000.

O.V. Chechuga

INFORMA TION SECURITY THREA TS ENTERPRISE SYSTEMS

A logical chain of threats and their implications is presented. An analysis of possible threats to the enterprise information system is made. The internal and external threats to information systems that will allow security services to develop effective methods to counter the threats of information security is discussed.

Key words: risk, sources of threat, vulnerability, unauthorized access to information, business information system.

Получено 14.12.11

УДК 004.832.28

С.Ю. Борзенкова, канд. техн. наук, доц., (4872)33-25-08, [email protected] (Россия, Тула, ТулГУ), О.В. Чечуга, канд. техн. наук, доц., (4872) 35-24-93, [email protected] (Россия, Тула, ТулГУ)

СТРАТЕГИЯ РАЗВИТИЯ ЗАЩИТЫ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРЕДПРИЯТИЯ

Рассмотрены объекты защиты предприятия и показана возможная последовательность стадий и этапов создания и развития системы защиты. Условно представлены циклы и этапы разработки концептуальной архитектуры ИС предприятия. Предложена стратегия развития информационной системы предприятия.

Ключевые слова: информационная система предприятия, комплексная система зашиты, объект защиты, концептуальная архитектура информационной системы предприятия.

Информация играет все возрастающую роль в обеспечении безопасности всех сфер жизнедеятельности общества, поэтому защита информации является одним из важных направлений деятельности не только государства, но и большинства предприятий и учреждений.

Информация может быть представлена в различной форме и на различных физических носителях. Основные формы информации, представляющие интерес с точки зрения защиты: документальная; акустическая (речевая); телекоммуникационная и т.п.

Документальная информация содержится в графическом или буквенно-цифровом виде на бумаге, а также в электронном виде на магнитных и других носителях. Особенность документальной информации в том, что она в сжатом виде содержит сведения, подлежащие защите.

Речевая информация возникает в ходе ведения в помещениях разговоров, а также при работе систем звукоусиления и звуковоспроизведения.

Носителем речевой информации являются акустические колебания (механические колебания частиц упругой среды, распространяющиеся от источника колебаний в окружающее пространство в виде волн различной длины). Речевой сигнал является сложным акустическим сигналом в диапазоне частот от 200...300 Гц до 4...6 кГц.

Телекоммуникационная информация циркулирует в технических средствах обработки и хранения информации, а также в каналах связи при ее передаче. Носителем информации при ее обработке техническими средствами и передаче по проводным каналам связи является электрический ток, а при передаче по радио и оптическому каналам - электромагнитные волны.

Основные объекты защиты информации:

информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию;

средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации ограниченного доступа (звукозапись, звукоусиление, звукосопровождение, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), их информативные физические поля, т.е. системы и средства, непосредственно обрабатывающие информацию, отнесенную к коммерческой тайне, а также конфиденциальную информацию. Эти средства и системы часто называют техническими средствами приема, обработки, хранения и передачи информации (ТСПИ);

технические средства и системы, не относящиеся к средствам и системам информатизации (ТСПИ), но размещенные в помещениях, в которых обрабатывается секретная и конфиденциальная информация. Такие технические средства и системы называются вспомогательными техническими средствами и системами (ВТСС). К ним относятся: технические средства открытой телефонной, громкоговорящей связи, системы пожарной и охранной сигнализации, радиотрансляции, часофикации, электробытовые приборы и т.д, а также сами помещения, предназначенные для обработки информации ограниченного распространения.

Анализ процессов создания и развития информационной системы (ИС) многих предприятий показывает, что большинство из существующих проблем автоматизации, в том числе проблем безопасности, порождены практикой создания и хаотичного развития ИС в ходе решения постоянно возникающих текущих проблем предприятия, в том числе вызванных самой автоматизацией.

На рис. 1 показана возможная последовательность стадий и этапов создания и развития ИС.

ИС должна создаваться и развиваться, модернизироваться с учетом основных групп требований, в том числе функциональных требований и требований обеспечения безопасности. Функциональные требования включают перечень автоматизируемых задач/процессов деятельности и требования к показателям качества автоматизации (время решения задач, допустимое время реакции на запросы, число пользователей и т.д.). Требования по обеспечению безопасности, исходя из потенциальных угроз ресурсам системы и деятельности предприятия, должны обеспечивать достижение в ИС показателей безопасности ИТ с приемлемой для предприятия величиной риска.

проекта

Рис. 1. Стадии создания и развития ИС предприятия

Итак, прежде всего, решая текущие вопросы или проблемы автоматизации, важно видеть стратегическое, концептуальное развитие ИС предприятия, которое бы соответствовало стратегическим задачам развития самого предприятия. Стратегия развития ИС предприятия может быть представлена в виде концепции, в которой должны быть не только сформулированы цели и задачи развития ИС, но и определена предполагаемая архитектура ИС. Эта архитектура должна обеспечивать достижение в планируемой перспективе высокой эффективности автоматизации и безопасности основных процессов деятельности предприятия.

Существуют следующие представления защищенности информационных систем предприятия:

защищенность - это совокупность средств и технологических приемов, обеспечивающих защиту компонентов информационных систем;

защищенность - это минимизация риска, которому могут быть подвергнуты компоненты и ресурсы информационных систем;

защищенность - это комплекс процедурных, логических и физических мер, направленных на предотвращение угроз информации и компонентам информационных систем.

Защищенной информационной системой будем называть систему, в которой реализованы механизмы выполнения правил, удовлетворяющих установленному на основе анализа угроз перечню требований по защите информации и компонентов этой ИС.

Основные правила, которыми рекомендуют руководствоваться специалисты при организации работ по защите информации, сводятся к следующему.

1. Обеспечение безопасности информации есть непрерывный процесс, состоящей в систематическом контроле защищенности, выявлении узких мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты.

2. Безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты.

3. Никакая система защиты не обеспечит безопасность информации без надлежащей подготовки пользователей и соблюдения ими всех правил защиты.

4. Никакую систему нельзя считать абсолютно надежной.

При этом механизмы выполнения указанных правил чаще всего реализуются в виде системы защиты информации.

Выбор защитных и контрольных мероприятий на этой ранней стадии требует гораздо меньших затрат, чем выполнение подобной работы с эксплуатируемой компьютерной системой.

На рис. 2 условно представлены циклы и этапы разработки концептуальной архитектуры ИС предприятия.

Рис. 2. Стадии создания и модернизации ИС предприятия

Выделены три цикла: 1 - разработка функциональной архитектуры, которая должна быть ориентирована на обеспечение комплексной автоматизации основных функциональных задач/процессов деятельности предприятия; 2 - обеспечение на архитектурном уровне показателя доступности ресурсов за счет методов и средств обеспечения живучести и отказоустойчивости; 3 - обеспечение на архитектурном уровне целостности и конфиденциальности ресурсов и активов ИС с учетом применения как специальных средств безопасности, так и встроенных функций безопасности, предоставляемых оборудованием ИС (операционными системами, СУБД, прикладным и сервисным ПО).

Каждый цикл включает следующие этапы: анализ и формирование требований; разработку предложений по выполнению требований; реализацию предложений в виде проектных решений соответствующего уровня; оценку соответствия решений требованиям. При необходимости делается корректировка предлагаемых решений и их реализации.

Такой подход, с одной стороны, обеспечивает достижение необходимого компромисса между функциональными требованиями и требованиями безопасности, а с другой стороны, позволяет учесть многие составляющие безопасности уже на архитектурном уровне.

Список литературы

1. СТБ 34.101 .(1-2)-2001 )ИСО/МЭК 15408-(1-3)-99) Информационные технологии. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Ч. 1, 2 и 3.

2. Козюминский В. Д. Обеспечение гарантий безопасности в информационных системах//Управление защитой информации. Т.6. №4. 2000.

С. 413-418.

3. Щербаков А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. Сер. Высшая школа. М.: Изд-во «Книжный мир», 2009. 352 с.

S.U. Borzenkova, O.V. Chechuga

DEVELOPMENT STRATEGY FOR THE PROTECTION OF PLANTSINFORMA TION SYSTEM

The objects of protection and the company shows a possible sequence of stages and phases of creation and development of defenses are considered. The cycles and stages of development of the conceptual architecture of the IP business are conventionally represented. A strategy for enterprise information system is proposed.

Key words: information system company, an integrated system protection, an object ofprotection, the conceptual architecture of enterprise information system.

Получено 14.12.11

УДК 621.396.2

B. А. Селищев, канд. техн. наук, доц.,

(4872) 35-24-93, [email protected] (Россия, Тула, ТулГУ),

Н.Е. Проскуряков, д-р техн. наук, проф.,

(4872) 35-24-93, [email protected] (Россия, Тула, ТулГУ),

C.Ю. Борзенкова, канд. техн. наук, доц.,

(4872) 35-24-93, [email protected] (Россия, Тула, ТулГУ)

ВЫБОР ОБОРУДОВАНИЯ ДЛЯ ЗАПИСИ И АРХИВИРОВАНИЯ ДЛЯ ОХРАННЫХ СИСТЕМ ВИДЕОНАБЛЮДЕНИЯ

Рассматриваются основные виды, принципы работы, функциональность оборудования для записи и архивирования, применяемого в системах телевизионного наблюдения. Даются рекомендации для его выбора.

Ключевые слова: видеомагнитофон, видеоизображение, видеорегистратор, формат сжатия, качество записи.

Оборудование для записи и архивирования включает в себя видеомагнитофоны, видеопринтеры, накопители на жестких дисках компьютера и др. оборудование.

i Надоели баннеры? Вы всегда можете отключить рекламу.