В. Андрианов - Обеспечение информационной безопасности бизнеса
- Название:Обеспечение информационной безопасности бизнеса
- Автор:
- Жанр:
- Издательство:ООО «Центр исследований платежных систем и расчетов», «Альпина»
- Год:2011
- ISBN:978-5-9614-1364-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Ваша оценка:
В. Андрианов - Обеспечение информационной безопасности бизнеса краткое содержание
Данную книгу можно назвать практической энциклопедией. В ней дан максимальный охват проблематики обеспечения информационной безопасности, начиная с современных подходов, обзора нормативного обеспечения в мире и в России и заканчивая рассмотрением конкретных направлений обеспечения информационной безопасности (обеспечение ИБ периметра, противодействие атакам, мониторинг ИБ, виртуальные частные сети и многие другие), конкретных аппаратно-программных решений в данной области. Книга будет полезна бизнес-руководителям компаний и тем, в чью компетенцию входит решение технических вопросов обеспечения информационной безопасности.
Все права защищены. Никакая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами, включая размещение в сети Интернет и в корпоративных сетях, а также запись в память ЭВМ для частного или публичного использования, без письменного разрешения владельца авторских прав. По вопросу организации доступа к электронной библиотеке издательства обращайтесь по адресу lib@alpinabook.ru.
Обеспечение информационной безопасности бизнеса - читать онлайн бесплатно ознакомительный отрывок
Шрифт:
Интервал:
Закладка:
Широкое применение во время Второй мировой войны авиацией и флотом фашистской Германии шифровального оборудования — роторных шифровальных машин «Энигма», с одной стороны, и необходимость повышения эффективности боевых действий союзников на суше и операций по борьбе с фашистскими подводными лодками, представлявшими крайне серьезную угрозу, — с другой, породили новые направления в радиоразведке и технической защите информации.
Это была борьба за повышение качественных показателей систем дешифрования, пеленгации и радиоразведки, в том числе и путем использования слабостей (уязвимостей) технического оборудования, как, например, попыток пеленгации германских лодок по излучениям гетеродинов их приемников, а с другой — борьба с побочными излучениями радиоприемников, позднее ЭВМ, паразитными высокочастотными генерациями усилителей, и наводками в цепи питания шифровальных машин. Первые опыты по исследованию побочных электромагнитных излучений электронного оборудования ставились еще в фашистской Германии во время войны. Таким образом, техническая защита информации как классическая техническая отрасль деятельности в составе перечисленных направлений сформировалась около 70 лет назад. Возраст солидный. При этом следует отметить, что в этой парадигме доминирует инженерный, «радиотехнический», строго детерминированный подход. В этой системе взглядов таких понятий, как «риск», «право субъекта на выбор приемлемых защитных мер под возникающую ответственность», «проактивные меры защиты», просто не существовало и не могло существовать.
Следующий толчок в развитии проблемы дало широкое внедрение в практическую жизнь средств вычислительной техники в 1960-1970-е гг. В это время сервисы информатизации, которые ранее были уделом узкого круга специалистов, стали доступны широким слоям обычных людей, в основном работникам фирм и организаций. От основного, военного направления в криптографии возникла боковая ветвь — гражданская криптография, направленная кроме основных традиционных целей на обеспечение целостности несекретной информации.
И наконец, в 1980-е гг. все существенно изменилось в связи с появлением персональных ЭВМ и чуть позже — возникновением сети Интернет.
В середине 1970-х гг. в связи с созданием крупных баз данных и переводом все больших объемов информационных ресурсов в цифровую форму в проблеме защиты информации наметился сдвиг от инженерного подхода к вопросам информатики в область управления доступом к вычислительным и информационным ресурсам, что нашло отражение в итоге в создании в США знаменитой «оранжевой книги», использованной впоследствии для разработки отечественных требований по защите информации в автоматизированных системах Гостехкомиссии СССР (позднее ГТК России, сейчас ФСТЭК).
Но потенциал этой идеи в силу ее статичности был достаточно быстро исчерпан, в середин 1990-х гг. «оранжевая книга» как отжившая идея была публично сожжена, а международными экспертами в области безопасности в примерно в одно время было сформировано два направления развития — создание технических стандартов по обеспечению безопасности продуктов информационных технологий под общим названием «Общие критерии» и создание семейства стандартов качества, а в последнее время — управления, под обобщенным названием «Стандарты аудита безопасности».
Стало очевидно, что «Общие критерии» не получили широкого распространения в силу ряда причин (ограниченность сферы применения, сложность и ограниченность используемых механизмов оценок), поэтому началась их активная доработка в направлении второй группы стандартов, а сама группа стандартов аудита обогатилась концепцией «риск-ориентированного подхода», что означало фундаментальные изменения в концептуальных взглядах на проблему безопасности в целом и сдвиг проблемы защиты информации, а если точнее — информационной безопасности в сферу управления сложными техническими системами и коллективами, как эксплуатационного персонала, так и пользователей.
В последнее время в теории и практике управления возникло еще одно направление — создание стандартов управления организациями, имеющее своей целью оптимизацию внутренней структуры организации для получения максимального результата от их деятельности (реинжинринг). Появились «Стандарты управления деятельностью организаций», которые рассматривают общие вопросы управления сложно организованными коллективами людей.
Но если говорить о безопасности как научной дисциплине, то, пожалуй, впервые за все время она подверглась анализу и глубоким разносторонним исследованиям, что, по-видимому, и послужило толчком для последних разработок на базе риск-ориентированных подходов.
Целесообразно напомнить основные выводы этих исследований.
Объект защиты, т. е. то, к чему прикладываются сервисы безопасности с целью придать этому объекту важное дополнительное, изначально отсутствующее свойство — защищенность (надежность, устойчивость), представляет собой в абсолютном числе случаев сложную систему. При этом в практической жизни мы, как правило, имеем дело со сложными системами, составленными в свою очередь не из простых элементов, а сложных систем. Таким образом, мы имеем дело со «сложными системами сложных систем».
Применительно к вопросам безопасности следует учитывать следующие свойства сложных систем:
— наиболее вероятный отклик сложной системы на единичное воздействие — хаотический;
— сложная система обладает новыми иными свойствами, нежели совокупность свойств элементов, составляющих эту систему;
— отклик сложной системы на воздействие является нелинейным и изменяется в зависимости от силы этого воздействия. Новые свойства системы при слабых воздействиях могут не проявляться, поэтому нельзя с уверенностью сказать, что свойства конкретной сложной системы полностью изучены и ее поведение под воздействием мощного воздействия предсказуемо.
Безопасность как самостоятельный объект исследования также имеет некоторые фундаментальные свойства:
— безопасность никогда не бывает абсолютной — всегда есть некий риск ее нарушения, таким образом, усилия по обеспечению безопасности реально сводятся к задаче понижения уровня риска до приемлемого уровня, не более;
— измерить уровень безопасности невозможно, можно лишь косвенно его оценить, измерив соответствующие показатели, характеризующие состояние безопасности системы; в связи с этим можно говорить только о вероятности наступления того или иного события и степени его последствий, т. е. использовать для оценок уровня безопасности рисковый подход;
Шрифт:
Интервал:
Закладка:
