Информационная безопасность



Нормативная база - часть 2


При создании и развитии сложных, распределенных, тиражируемых информационных систем требуется, как известно, гибкое формирование и применение гармонизированных совокупностей базовых стандартов и нормативных документов разного уровня, выделение в них требований и рекомендаций, необходимых для реализации заданных функций информационных систем. Такие совокупности базовых стандартов должны адаптироваться и конкретизироваться применительно к определенным классам проектов, функций, процессов и компонентов информационных систем. В связи с этой потребностью выделилось и сформировалось понятие «профилей», как основного инструмента функциональной стандартизации [4]. Понятно, что число возможных профилей защиты во много раз превышает исходное количество документов, на которых они могут базироваться, поэтому провести априорную оценку эффективности всех возможных профилей невозможно. С другой стороны, профиль защиты должен создаваться или выбираться исходя из требований к показателям информационной безопасности, установленных заказчиком заранее. Принятые подходы, включая те из них, которые указаны в существующих стандартах, не позволяют сделать такой выбор, чрезвычайно важный для практики. Оценку же эффективности профилей защиты можно осуществить только с использованием комплексных показателей, которые имеют вероятностный или стоимостной характер. При этом следует обратить внимание, что, в отличие от официальных нормативных документов, в аналитических материалах, опубликованных сотрудниками Гостехкомиссии, прямо указывается на необходимость использования в качестве основного критерия эффективности СЗИ соответствующей вероятности [3].

Таким образом, существующие стандарты и документы на их основе не дают ответов на ряд ключевых вопросов.

  • Как создать информационную систему, чтобы она была безопасной на требуемом измеримом, объективно проверяемом уровне?
  • Как практически сформировать режим безопасности и поддерживать его в условиях постоянно меняющегося внешнего окружения и структуры самой системы?
  • Каков реальный уровень безопасности и насколько эффективна система защиты информации?




    Содержание  Назад  Вперед