ЭВОЛЮЦИЯ ПОДХОДОВ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ЭВОЛЮЦИЯ ПОДХОДОВ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
143.31K
Категории: ИнформатикаИнформатика ПравоПраво

Эволюция подходов к обеспечению информационной безопасности

1. ЭВОЛЮЦИЯ ПОДХОДОВ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

2. ЭВОЛЮЦИЯ ПОДХОДОВ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Работы по защите информации в АС ведутся
с начала использования вычислительной
техники для обработки информации.
Этим занимались, прежде всего, органы
государственного и военного ведомств.
Поэтому долгое время все работы в этой
области были закрытыми.
Отсутствовала общая методология
обеспечения безопасности информации.

3.

Википедия:
Метод (от греч. μέθοδος — «способ») —
систематизированная совокупность шагов,
действий, которые необходимо предпринять, чтобы
решить определенную задачу или достичь
определенной цели.
Цель - чётко описанное желательное состояние,
которого необходимо достигнуть.
academic.ru
МЕТОД (от греч. methodos - путь исследования)
способ достижения какой-либо цели, решения
конкретной задачи; совокупность приемов или
операций практического или теоретического
освоения (познания) действительности.

4.

Википедия:
Методология (от греч. μεθοδολογία — учение о
способах; от др.-греч. μέθοδος из μέθ- + οδος,
букв. «путь вслед за чем-либо» и др.-греч.
λόγος — мысль, причина) учение о системе
понятий и их отношений, — система базисных
принципов, методов, методик, способов и средств
их реализации в организации и построении
научно-практической деятельности людей.

5.

Методология — учение об организации
деятельности.
Методология — это алгоритм поиска цели, набор
приёмов, методов, средств, способов, принципов
достижения цели.
1. Теоретической цели — модели идеального
знания (в заданных описанием условиях,
например, скорость света в вакууме);
2. Практической цели — программа (алгоритм)
приёмов и способов того, как достичь желаемой
практической цели и не погрешить против истины,
или того, что мы считаем истинным знанием.

6.

В зарубежных странах уже в 60 – 70-е
годы прошлого века публикации в
открытой прессе по вопросам защиты
информации приняли массовый характер.
В России первые публикации в открытой
прессе начали появляться с 1976 г.
Особая активность интересов к защите
информации проявилась с конца 80-х гг.
Начали издаваться журналы по этому
профилю («Безопасность информационных
технологий» с 1994, «Конфидент», «БДИ:
безопасность, достоверность,
информация» и т.д.)

7.

В одной из первых открытых публикаций
была сделана попытка периодизации
развития подходов к защите информации
(1989 г).

8.

Весь интервал развития подходов к
защите информации был разделен на 3
периода:
→ попытки обеспечения надежной защиты
информации чисто формальными механизмами,
содержащими, в основном, технические и
программные средства, сосредоточение программных
средств в рамках ОС и СУБД;
→ развитие формальных механизмов защиты,
выделение управляющего компонента – ядра
безопасности, развитие неформальных средств
защиты, формирование основ системного подхода к
защите;
→ развитие механизмов 2-го этапа, формирование
взглядов на защиту как на непрерывный процесс,
развитие стандартов на защиту информации,
усиление тенденции аппаратной реализации
функции защиты, формирование вывода о
взаимосвязи защиты информации, архитектуры
систем обработки данных и технологии их
функционирования.

9.

В 1989 г вводится понятие этапа
развития по критерию используемых
средств защиты и способов их
применения.
Несколько позже был принят
методологический подход к защите
информации.
При этом выделены следующие периоды
развития подходов к ЗИ:
эмпирический;
концептуально - эмпирический;
теоретико – концептуальный.

10.

Обобщенные характеристики периодов развития подходов
к защите информации
Характерис –
тики
периода
Сущность
периода
Обобщенное название и содержание периода
Эмпирический
1. Непрерывное
слежение за
появлением новых
угроз информации;
1. Формирование общей
концепции защиты на
основе опыта;
2. Разработка
средств защиты от
новых угроз;
2. Разработка и
научное обоснование
методов оценки
уязвимости информации
и синтеза оптимальных
механизмов защиты;
3. Выбор средств
защиты на основе
опыта.
Способы
организации
средств
защиты
Концептуально эмпирический
Функционально –
ориентированные
механизмы защиты
3. Появление
унифицированных и
стандартных решений
по защите.
Единые системы
защиты
Теоретикоконцептуальный
1. Разработка основ ЗИ;
2. Обоснование постановки
задачи многоаспектной
комплексной защиты;
3. Введение понятия
стратегии защиты;
4. Унификация концепции
защиты;
5. Разработка методологий
анализа и синтеза системы
защиты и управления ими в
процессе функционирования
6. Широкое развитие
унифицированных и
стандартных решений.
Системы комплексной
защиты. Ориентация на
защищенные ИТ

11.

Эмпирический подход к защите информации
заключается в том, что
на основе анализа ранее проявлявшихся
угроз информации и накапливаемого опыта
защиты
разрабатываются и внедряются необходимые
механизмы защиты.

12.

Под защитой при этом понимается
предупреждение несанкционированного
получения информации лицами и процессами
(программами), не имеющими на это
полномочий,
хотя традиционно применялись меры для
обеспечения целостности информации, т.е.
предупреждения несанкционированного ее
уничтожения и искажения.

13.

Концептуально – эмпирический подход
заключается в том, что
на основе опыта защиты информации,
полученного на этапе эмпирического
подхода,
удалось подойти к унификации,
используемого для решения задач защиты,
методико – инструментального базиса.

14.

Системная реализация всей совокупности
положений унифицированной комплексной
защиты информации сдерживается рядом
серьезных причин:
значительным
своеобразием систем и
процессов защиты информации, связанным с
повышенным влиянием случайных факторов;
недостаточно
четкой проработкой
инструментальных средств решения задач
анализа и синтеза систем и процессов
защиты информации;
отсутствием
значительной части исходных
данных, необходимых для обеспечения
решения вышеназванных задач.

15.

Значительное развитие в рассматриваемом
периоде получили средства защиты
информации.
При этом, как увеличивался арсенал
различных средств, так и расширялись их
функциональные возможности.
Наиболее удачные разработки получили
сертификаты качества и были приняты в
качестве стандартов. Наибольшее
развитие получили технические,
программно-аппаратные и
криптографические средства защиты
информации.

16.

Отличительной особенностью теоретикоконцептуального подхода к защите
информации является то, что
на основе достижений концептуальноэмпирического подхода разрабатываются
основы целостной теории защиты.
Т.о. подводится научно-методологическая
база под теорию защиты информации.
При этом теория защиты, как и любая
другая теория, определяется как
совокупность основных идей в данной
области знания.

17.

Объективной основой формирования теории
защиты явилась унифицированная
концепция защиты информации, которая
была сформулирована в предшествующий
период и вобрала в себя весь
накопленный к этому времени опыт
защиты.

18.

На основе этого опыта были
сформулированы следующие принципиальные
выводы:
проблемы
обеспечения безопасности
информации будут носить перманентный
характер, вследствие чего необходима
развитая, регулярно функционирующая
система, обеспечивающая эффективное
решение всей совокупности существующих
задач;
обеспечение
безопасности должно носить
комплексный характер;

19.

комплексность
защиты информации может
быть достигнута лишь при
взаимосогласованном участии в решении
соответствующих задач как
профессиональных специалистов по
защите информации, так и всех
руководителей и специалистов, которые
организуют и осуществляют процессы
сбора, передачи, хранения, обработки и
использования информации;

20.

надежная
защита информации может быть
обеспечена только в том случае, если
проблемы защиты будут решаться в
тесной взаимосвязи с проблемами
информатизации;
эффективное
решение проблемы защиты
информации в современной их постановке
возможно только при наличии развитого
и адекватного научно-методологического
базиса.
English     Русский Правила