ЭВОЛЮЦИЯ ПОДХОДОВ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ЭВОЛЮЦИЯ ПОДХОДОВ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
143.31K
Categories: informaticsinformatics lawlaw
Similar presentations:
Организационное и правовое обеспечение информационной безопасности
Организационное и правовое обеспечение информационной безопасности
Информационная безопасность и информационное противоборство в системе обеспечения национальной безопасности
Информационная безопасность и информационное противоборство в системе обеспечения национальной безопасности
Организационное обеспечение информационной безопасности
Организационное обеспечение информационной безопасности
Информационная безопасность
Информационная безопасность
Информационная безопасность и уровни ее обеспечения
Информационная безопасность и уровни ее обеспечения
Информационная безопасность предприятия
Информационная безопасность предприятия
Организационное и правовое обеспечение информационной безопасности
Организационное и правовое обеспечение информационной безопасности
Обеспечение безопасности информационных данных
Обеспечение безопасности информационных данных
Система обеспечения информационной безопасности предприятия
Система обеспечения информационной безопасности предприятия
Система обеспечения информационной безопасности РФ
Система обеспечения информационной безопасности РФ

Эволюция подходов к обеспечению информационной безопасности

1. ЭВОЛЮЦИЯ ПОДХОДОВ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

2. ЭВОЛЮЦИЯ ПОДХОДОВ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Работы по защите информации в АС ведутся
с начала использования вычислительной
техники для обработки информации.
Этим занимались, прежде всего, органы
государственного и военного ведомств.
Поэтому долгое время все работы в этой
области были закрытыми.
Отсутствовала общая методология
обеспечения безопасности информации.

3.

Википедия:
Метод (от греч. μέθοδος — «способ») —
систематизированная совокупность шагов,
действий, которые необходимо предпринять, чтобы
решить определенную задачу или достичь
определенной цели.
Цель - чётко описанное желательное состояние,
которого необходимо достигнуть.
academic.ru
МЕТОД (от греч. methodos - путь исследования)
способ достижения какой-либо цели, решения
конкретной задачи; совокупность приемов или
операций практического или теоретического
освоения (познания) действительности.

4.

Википедия:
Методология (от греч. μεθοδολογία — учение о
способах; от др.-греч. μέθοδος из μέθ- + οδος,
букв. «путь вслед за чем-либо» и др.-греч.
λόγος — мысль, причина) учение о системе
понятий и их отношений, — система базисных
принципов, методов, методик, способов и средств
их реализации в организации и построении
научно-практической деятельности людей.

5.

Методология — учение об организации
деятельности.
Методология — это алгоритм поиска цели, набор
приёмов, методов, средств, способов, принципов
достижения цели.
1. Теоретической цели — модели идеального
знания (в заданных описанием условиях,
например, скорость света в вакууме);
2. Практической цели — программа (алгоритм)
приёмов и способов того, как достичь желаемой
практической цели и не погрешить против истины,
или того, что мы считаем истинным знанием.

6.

В зарубежных странах уже в 60 – 70-е
годы прошлого века публикации в
открытой прессе по вопросам защиты
информации приняли массовый характер.
В России первые публикации в открытой
прессе начали появляться с 1976 г.
Особая активность интересов к защите
информации проявилась с конца 80-х гг.
Начали издаваться журналы по этому
профилю («Безопасность информационных
технологий» с 1994, «Конфидент», «БДИ:
безопасность, достоверность,
информация» и т.д.)

7.

В одной из первых открытых публикаций
была сделана попытка периодизации
развития подходов к защите информации
(1989 г).

8.

Весь интервал развития подходов к
защите информации был разделен на 3
периода:
→ попытки обеспечения надежной защиты
информации чисто формальными механизмами,
содержащими, в основном, технические и
программные средства, сосредоточение программных
средств в рамках ОС и СУБД;
→ развитие формальных механизмов защиты,
выделение управляющего компонента – ядра
безопасности, развитие неформальных средств
защиты, формирование основ системного подхода к
защите;
→ развитие механизмов 2-го этапа, формирование
взглядов на защиту как на непрерывный процесс,
развитие стандартов на защиту информации,
усиление тенденции аппаратной реализации
функции защиты, формирование вывода о
взаимосвязи защиты информации, архитектуры
систем обработки данных и технологии их
функционирования.

9.

В 1989 г вводится понятие этапа
развития по критерию используемых
средств защиты и способов их
применения.
Несколько позже был принят
методологический подход к защите
информации.
При этом выделены следующие периоды
развития подходов к ЗИ:
эмпирический;
концептуально - эмпирический;
теоретико – концептуальный.

10.

Обобщенные характеристики периодов развития подходов
к защите информации
Характерис –
тики
периода
Сущность
периода
Обобщенное название и содержание периода
Эмпирический
1. Непрерывное
слежение за
появлением новых
угроз информации;
1. Формирование общей
концепции защиты на
основе опыта;
2. Разработка
средств защиты от
новых угроз;
2. Разработка и
научное обоснование
методов оценки
уязвимости информации
и синтеза оптимальных
механизмов защиты;
3. Выбор средств
защиты на основе
опыта.
Способы
организации
средств
защиты
Концептуально эмпирический
Функционально –
ориентированные
механизмы защиты
3. Появление
унифицированных и
стандартных решений
по защите.
Единые системы
защиты
Теоретикоконцептуальный
1. Разработка основ ЗИ;
2. Обоснование постановки
задачи многоаспектной
комплексной защиты;
3. Введение понятия
стратегии защиты;
4. Унификация концепции
защиты;
5. Разработка методологий
анализа и синтеза системы
защиты и управления ими в
процессе функционирования
6. Широкое развитие
унифицированных и
стандартных решений.
Системы комплексной
защиты. Ориентация на
защищенные ИТ

11.

Эмпирический подход к защите информации
заключается в том, что
на основе анализа ранее проявлявшихся
угроз информации и накапливаемого опыта
защиты
разрабатываются и внедряются необходимые
механизмы защиты.

12.

Под защитой при этом понимается
предупреждение несанкционированного
получения информации лицами и процессами
(программами), не имеющими на это
полномочий,
хотя традиционно применялись меры для
обеспечения целостности информации, т.е.
предупреждения несанкционированного ее
уничтожения и искажения.

13.

Концептуально – эмпирический подход
заключается в том, что
на основе опыта защиты информации,
полученного на этапе эмпирического
подхода,
удалось подойти к унификации,
используемого для решения задач защиты,
методико – инструментального базиса.

14.

Системная реализация всей совокупности
положений унифицированной комплексной
защиты информации сдерживается рядом
серьезных причин:
значительным
своеобразием систем и
процессов защиты информации, связанным с
повышенным влиянием случайных факторов;
недостаточно
четкой проработкой
инструментальных средств решения задач
анализа и синтеза систем и процессов
защиты информации;
отсутствием
значительной части исходных
данных, необходимых для обеспечения
решения вышеназванных задач.

15.

Значительное развитие в рассматриваемом
периоде получили средства защиты
информации.
При этом, как увеличивался арсенал
различных средств, так и расширялись их
функциональные возможности.
Наиболее удачные разработки получили
сертификаты качества и были приняты в
качестве стандартов. Наибольшее
развитие получили технические,
программно-аппаратные и
криптографические средства защиты
информации.

16.

Отличительной особенностью теоретикоконцептуального подхода к защите
информации является то, что
на основе достижений концептуальноэмпирического подхода разрабатываются
основы целостной теории защиты.
Т.о. подводится научно-методологическая
база под теорию защиты информации.
При этом теория защиты, как и любая
другая теория, определяется как
совокупность основных идей в данной
области знания.

17.

Объективной основой формирования теории
защиты явилась унифицированная
концепция защиты информации, которая
была сформулирована в предшествующий
период и вобрала в себя весь
накопленный к этому времени опыт
защиты.

18.

На основе этого опыта были
сформулированы следующие принципиальные
выводы:
проблемы
обеспечения безопасности
информации будут носить перманентный
характер, вследствие чего необходима
развитая, регулярно функционирующая
система, обеспечивающая эффективное
решение всей совокупности существующих
задач;
обеспечение
безопасности должно носить
комплексный характер;

19.

комплексность
защиты информации может
быть достигнута лишь при
взаимосогласованном участии в решении
соответствующих задач как
профессиональных специалистов по
защите информации, так и всех
руководителей и специалистов, которые
организуют и осуществляют процессы
сбора, передачи, хранения, обработки и
использования информации;

20.

надежная
защита информации может быть
обеспечена только в том случае, если
проблемы защиты будут решаться в
тесной взаимосвязи с проблемами
информатизации;
эффективное
решение проблемы защиты
информации в современной их постановке
возможно только при наличии развитого
и адекватного научно-методологического
базиса.
English     Русский Rules