Определение защищенной информационной системы
В отличие от корпоративных сетей, подключенных к Интернет, где обычные средства безопасности в большой степени решают проблемы защиты внутренних сегментов сети от злоумышленников, распределенные корпоративные информационные системы, системы электронной коммерции и предоставления услуг пользователям Интернет предъявляют повышенные требования в плане обеспечения информационной безопасности.
Концепция «Защищенные информационные системы» включает в себя ряд законодательных инициатив, научных, технических и технологических решений, готовность государственных организаций и компаний использовать их для того, чтобы люди, используя устройства на базе компьютеров и ПО, чувствовали себя так же комфортно и безопасно.
Надежная информационная система определяется как система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную, достоверную обработку информации разной степени секретности различными пользователями или группами пользователей без нарушения прав доступа, целостности и конфиденциальности данных и информации, и поддерживающая свою работоспособность в условиях воздействия на нее совокупности внешних и внутренних угроз.
В общем случае можно говорить о степени доверия, или надежности систем, оцениваемых по двум основным критериям.
1. Наличие и полнота политики безопасности — набор внешних и корпоративных стандартов, правил и норм поведения, отвечающих законодательным актам страны и регламентирующих сбор, обработку, распространение и защиту информации.
В частности, стандарты и правила определяют, в каких случаях и каким образом пользователь имеет право оперировать с конкретными наборами данных. В политике сформулированы права и ответственности пользователей и персонала отделов информационной безопасности (ИБ), позволяющие выбирать механизмы защиты безопасности системы.
2. Гарантированностъ безопасности — мера доверия, которая может быть оказана архитектуре, инфраструктуре, программно-аппаратной реализации системы и методам управления ее конфигурацией и целостностью. Гарантированность может проистекать как из тестирования и верификации, так и из проверки (системной или эксплуатационной) общего замысла и исполнения системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность является пассивным, но очень важным компонентом защиты, реализованным качеством разработки, внедрения, эксплуатации и сопровождения информационной системы и заложенных принципов безопасности.
Основное назначение надежной вычислительной базы — выполнять функции монитора обращений и действий, т.е. контролировать допустимость выполнения пользователями определенных операций над объектами. Монитор проверяет каждое обращение к программам или данным на предмет их согласованности со списком допустимых действий. Таким образом, важным средством обеспечения безопасности является механизм подотчетности или протоколирования. Надежная система должна фиксировать все события, касающиеся безопасности, а ведение протоколов дополняется аудитом — анализом регистрационной информации.