Файл: Конспект по книге Управление Информационной Безопастностью.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.11.2023
Просмотров: 358
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Конспект по книге «Управление Информационной Безопастностью»
Воловик Д.О. ИБЗ-20
1. БАЗОВАЯ ТЕРМИНОЛОГИЯ
В данном разделе рассматриваются основные определения терминов, относящихся к управлению ИБ.
Прежде всего необходимо определить базовые понятиями, относящиеся к терминам «информационная безопасность» и «управление».
Управление ИБ конкретного объекта обеспечивают система ИБ и СУИБ, которые реализуют системный подход. Поэтому с базовыми понятиями непосредственно связаны понятия «система» и «системный подход».
Процессный характер управления требует определения таких терминов, как «процесс», «процессный подход», «циклическая модель улучшения процесса».
1.1. Понятие «информационная безопасность»
Эволюция терминов
В процессе эволюции в данной области знаний в англоязычных публикациях в разное время появлялись следующие понятия:
· в 1970-е гг. «безопасность данных» (англ. data security) и «компьютерная безопасность» (англ. computer security);
· в 1980-е гг. «безопасность информации» или «информационная безопасность» (англ. information security), «безопасность ИТ» (англ. IT security), «безопасность систем» (англ. systems security) и «защита информации» (англ. information protection);
· в 1990-е гг. «сетевая безопасность» (англ. network security).
Поскольку в настоящее время цифровая обработка информации является частью почти всех сфер жизни, проведение различия между обработкой информация с использованием ИТ или коммуникационных технологий или на бумаге уже не современно. Поэтому считается, что термин «информационная безопасность» (а не «безопасность ИТ») более всеобъемлющ и более уместен.
Однако словосочетание «безопасность ИТ» по-прежнему используется, но преимущественно в печатных изданиях, потому что оно короче.
В России в основном используются три термина:
IS
· «безопасность информации»;
· «защита информации»;
· «информационная безопасность».
Термины из нормативных документов
Связанные с понятием «ИБ» термины
Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений [9].
Защищенность достигается обеспечением совокупности свойств.
Свойства (основные) [10]:
Доступность (англ. availability) — свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта.
Целостность (англ. integrity) — свойство сохранения правильности и полноты активов.
Конфиденциальность (англ. confidentiality) — свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.
Свойства (дополнительные) [11]:
Аутентичность или подлинность (англ. authenticity) — свойство, гарантирующее, что логический объект идентичен заявленному. Аутентичность применяется к таким логическим объектам, как пользователи, процессы, системы, информация.
Учетность или подотчетность (англ. accountability) — свойство, обеспечивающее однозначное прослеживание действий или решений любого логического объекта.
Неотказуемость (англ. non-repudiation) — свойство, заключающееся в способности удостоверять имевшее место событие или действие так, чтобы эти событие или действие не могли быть позже отвергнуты.
Надежность или достоверность (англ. reliability) — свойство соответствовать преднамеренному поведению и результатам [8].
Принятые в ЭОК определения
В ЭОК приняты следующие определения терминов.
Информационная безопасность (ИБ) — состояние защищённости информации, которое достигается обеспечением совокупности для нее свойств доступности, целостности, конфиденциальности, аутентичности, подотчетности, неотказуемости и надежности.
Информационная безопасность организации (ИБ организации) — состояние защищенности интересов (целей) организации в условиях угроз ИБ (угроз доступности, целостности, конфиденциальности, аутентичности, подотчетности, неотказуемости и надежности) в информационной сфере.
Обеспечение ИБ (ОИБ) — процесс поддержания состояния защищенности активов организации.
ИБ должна стать неотъемлемой частью производственной и деловой культуры организации.
Для достижения целей ИБ перечисленные выше свойства информации поддерживаются комплексом мероприятий по управлению ИБ, осуществляемых на основе соответствующих нормативных актов и организационных структур, за счет реализации установленных мер, методов, процедур и программно-аппаратных средств защиты информации (СЗИ) [5], которыми необходимо постоянно управлять.
Таким образом, ИБ представляет, главным образом, проблему управления (хотя в условиях сильной зависимости от использования ИТ и техническая сторона не должна оставаться без внимания).
ИБ и проблема комплексности
Все этапы вместе с элементами представленного процесса составляют основу комплексной СОИБ организации, поскольку ОИБ требует комплексного подхода, включающего организационную (подготовленный персонал и нормативные документы), техническую (СЗИ) и другие составляющие.
1.2. Понятие «система»
Формальное определение термина «система» (от греч. σύστημα – «составленный») – совокупность взаимосвязанных и взаимодействующих элементов [12], [13].
Детальное определение термина «система» – состоящее из двух элементов или более множество, которое удовлетворяет следующим трем условиям [14]:
1) поведение каждого элемента воздействует на поведение целого;
2) поведение элементов и их воздействия на целое взаимозависимы. Данное условие означает, что поведение каждого элемента и его воздействие на целое зависит от того, как ведет себя по крайней мере еще один другой элемент. Ни один элемент не имеет самостоятельного воздействия на систему в целом;
3) какие бы подгруппы элементов ни образовались, каждый элемент воздействует на поведение целого, и ни один из них не воздействует на них самостоятельно. Иными словами, элементы системы соединены таким образом, что образование ими независимых подгрупп невозможно.
Определение термина «система», принятое в ЭОК: множество (совокупность) элементов (объектов), взаимодействующих между собой для достижения общей цели и обладающее системным свойством/свойствами.
Примечание: этого свойства не имеет ни один из элементов множества и ни одно из подмножеств элементов при любом способе членения.
Свойства системы
Свойствами системы являются [15]:
целостность – первичность целого по отношению к элементам;
неаддитивность – принципиальная несводимость свойств системы к сумме свойств составляющих ее элементов;
синергетичность – однонаправленность (или целенаправленность) действий совокупности элементов системы усиливает эффективность функционирования системы;
эмерджентность – наличие новых свойств и качеств у множества элементов системы, которых не было до их объединения в систему; элемент системы обладает свойствами, которые он теряет в случае отделения от системы;
мультипликативность – эффекты функционирования элементов в системе обладают свойством умножения, а не сложения;
взаимодействие и взаимозависимость системы и внешней среды;
структурность – возможны декомпозиция системы на части и установление связей между ними;
иерархичность – каждая часть системы может рассматриваться как система (подсистема) более широкой глобальной системы;
непрерывность функционирования;
целенаправленность – система всегда рассматривается относительно некоторой/некоторых цели/целей;
адаптивность – система стремится к состоянию устойчивого равновесия, которое предполагает адаптацию параметров системы к изменяющимся параметрам внешней среды;
альтернативность путей функционирования и развития – в зависимости от конкретных параметров, возникающих при функционировании системы, могут существовать несколько альтернативных путей достижения конкретной цели;
наследственность – передача преобладающих (наиболее сильных) признаков на определённых этапах развития (эволюции) системы от ее старого версии к новой;
приоритет интересов системы более глобального уровня перед интересами ее частей или подсистем.
Любая система имеет внутреннее и внешнее описание.
К внутреннему описанию системы относятся ее внутреннее состояние и внутренний механизм преобразования входных данных в выходные. Это описание дает информацию о поведении системы, о соответствии или несоответствии внутренней структуры системы заданным целям, подсистемам (элементам) и ее ресурсам.
Внешнее описание включает внешние проявления системы и содержит информацию о взаимоотношениях с другими системами, с целями и ресурсами других систем [15].
Системный подход
Системный подход – методологическое направление исследования объекта как системы с разных сторон, комплексно, в совокупности отношений и связей между его элементами [12].
Системный подход ориентирован на раскрытие целостности объекта, на выявление многообразных типов связей и отношений, имеющих место как внутри исследуемого объекта, так и в его взаимоотношениях с внешней средой, и сведение их в единую теоретическую картину. Его основная задача состоит в разработке методов исследования и конструирования сложных развивающихся объектов – систем разных типов и классов, опираясь на изучение объективных закономерностей развития систем.
Установлением структурных связей между элементами исследуемой системы, опирается на комплекс общенаучных, экспериментальных, естественнонаучных, статистических, математических методов, занимается системный анализ. Он представляет собой совокупность методов и средств исследования и построения сложных объектов за счет обоснования решений при создании и управлении техническими, экономическими и социальными системами. Системный анализ используется как один из важнейших методов в системном подходе, как эффективное средство решения сложных, обычно
недостаточно четко сформулированных проблем, к которым относятся и проблемы управления различными объектами. Системный анализ позволяет уточнить проблемы и структурировать их в серию решаемых с помощью различных методов задач, найти критерии их решения, детализировать цели.
Цели системного подхода
Основными целями при системном подходе являются следующие:
1.3. Понятие «управление»
Исходные определения
Управление – древний вид человеческой деятельности, появившийся с возникновением совместной активности людей и регулирующий их отношения в этом процессе.
Управление представляет собой осознанную целенаправленную деятельность человека, с помощью которой он упорядочивает и подчиняет своим интересам элементы внешней среды – общества, живой и неживой природы, техники [16].
Определим термин «управление» с позиции системного подхода как осуществление совокупности непрерывных взаимосвязанных воздействий на объект (управляемую систему), выбранных из множества возможных воздействий на основании информации о поведении объекта и состоянии внешней среды для достижения заданной цели.
Управление есть функция системы, направленная либо на сохранение ее основного качества (т.е. совокупности свойств, утеря которых приводит к разрушению системы), либо на выполнение некоторой программы, обеспечивающей устойчивость функционирования и достижение определенной цели.
Управление предполагает измерение выходных параметров системы, сравнение результатов измерения с некоторыми заданными эталонами и последующее воздействие на вход системы (регулирование, корректировка входа) с целью установления необходимого режима работы.
Система управления
Системой управления называют систему, в которой реализуются функции управления. Она объединяет управляющую систему и систему связи.
Главные вопросы, стоящие перед системой управления, – чем (объект управления) и как (технологии и инструменты) управлять.
Характерные отличительные черты всех современных систем управления:
· принятие решений на основе установленных фактов – объективной информации, полученной в результате измерения параметров управляемых процессов, а не на основе предшествующего опыта, интуиции или руководящих указаний;