MorePC - Главная страница


О сайте

Регистрация

Обратная связь

Реклама на сайте

Публикации на сайте

Карикатуры
  Категории СВТ     Тесты и методики испытаний     Новости СВТ     Проблемы информатизации     Форум     Опросы     Словарь     Поиск  

     Средства защиты информации : Теория  

Предлагаем Вашему вниманию статьи по информационной безопасности.

01.12.2004. О каталогизации средств защиты информации.

версия для печати

Необходимость создания единого каталога средств информатизации и связи, доступного всем пользователям сети Internet и способного облегчить процесс поиска и выбора оптимального решения, назрела давно и с каждым годом становится все острее. В полной мере это относится и к средствам защиты информации (СЗИ). Объясняется такая потребность просто. В связи с лавинообразным выходом на рынок новых моделей СЗИ их возросшее количество создало новое качество процесса выбора, когда оценка параметров предлагаемых СЗИ путем просмотра всех сайтов производителей становится крайне трудоемкой и ресурсоемкой задачей. Кроме того, создание единого каталога послужило бы отличной базой для четкой структуризации справочных и аналитических материалов по направлениям. Еще одна важная грань такого ресурса - возможность его эффективного использования в процессе мониторинга качества СЗИ, что позволит не только более точно и обоснованно производить выбор нужных моделей потребителем, но и анализировать направления и динамику изменения качества СЗИ специалистами.

Правда, со стороны некоторых интеграторов систем безопасности иногда высказывается сомнение в полезности единого каталога СЗИ. Оно обосновывается тем, что облегчение выбора СЗИ поощрит пользователя к «самодельщине», т.е. к самостоятельному дилетантскому конструированию систем безопасности. Такое возражение представляется надуманным. Искусственные ограничения в свободе получения открытой технической информации вряд ли могут принести пользу. Это то же самое, что протестовать против захода солнца. Кроме того, большинство специалистов сходятся во мнении, что только самое широкое применение СЗИ, охватывающее не только крупные корпоративные, но и самые мелкие информационные системы и отдельные компьютеры частных пользователей (что называется «всем миром») может принести успех в деле противостояния ширящимся вирусным эпидемиям, спаму, незаконным вторжениям. Как и в деле борьбы с биологическими эпидемиями на первый план выступает всеобщая вакцинация и личная гигиена. Между тем, далеко не все мелкие и средние компании могут позволить себе воспользоваться услугами интеграторов, привыкших и умеющих работать в основном, только в рамках крупных проектов. Поэтому ограничение широких слоев пользователей средств информатизации в самостоятельном выборе СЗИ является не только неправомерным, но и стратегически неверным. Еще один важный момент, на который хотелось бы обратить внимание, состоит в том, что даже специалисты в области защиты информации в отсутствии единого информационного центра не всегда успевают отследить появление новых технических решений, что ведет к казусам, когда «неграмотный» с их точки зрения заказчик оказывается более осведомленным, чем «грамотные» специалисты. Существующие проблемы в данной области позволяют сформулировать основные требования к каталогу СЗИ.

Основные требования к каталогу СЗИ.

  • Полнота - система должна включать сведения по всем моделям, присутствующим на российском рынке, и не менее 90% всех моделей мирового рынка.
  • Оперативность пополнения - сведения по новым моделям должны становиться доступными не более, чем через 2 недели после их сертификации или появления на рынке в случае несертифицируемых изделий.
  • Доступность - система должна быть открытой как для корпоративных пользователей, так и для частных потребителей.
  • Простота поиска - должна быть достигнута за счет высокой степени структурированности информации, наличия глоссариев и справочной информации нормативного и общетеоретического характера.
  • Возможность сравнения - должна обеспечиваться как на основе сравнения технических характеристик, заявленных производителем, так и на основе результатов тестовых испытаний независимых испытательных лабораторий.
  • Обратная связь - должна быть реализована в виде механизма, позволяющего пользователю системы в интерактивном режиме общаться с ней по принципу «вопрос-ответ».
  • Масштабируемость - система должна предусматривать возможность ее расширения за счет введения новых разделов по новым категориям СЗИ, а также возможность включения ее, как составной части, в глобальную информационно-справочную систему по средствам информатизации и связи.

Классификация СЗИ.

Основой любой информационно-справочной системы, любого каталога является классификатор. Известно множество попыток классифицировать средства защиты информации компьютерных систем. Однако до сих пор так и не создано общепринятого, точного и всеобъемлющего классификатора. Это легко объяснить, если принять во внимание главный постулат построения систем информационной безопасности, который заключается в том, что задача защиты информации даже на отдельно взятом, автономно работающем компьютере является комплексной и решается путем применения целого комплекса средств и мероприятий. Поэтому большинство технических решений по защите информации, предлагаемых на рынке, уже изначально, самим разработчиком строится как некий комплекс. В этих условиях границы между категориями СЗИ становятся размытыми, а отнесение средств защиты к той или иной категории - весьма условным.

Тем не менее, разделение СЗИ на категории необходимо для облегчения поиска нужного решения. Поэтому разработка классификатора СЗИ является первостепенной задачей построения каталога и к ее решению должны быть привлечены силы целого ряда коллективов разработчиков СЗИ различных направлений.

Необходимо отметить, что как ни хотелось бы иметь жесткий, определенный на годы вперед классификатор, такое вряд ли возможно на практике. В современных условиях классификатор СЗИ видимо будет иметь достаточно «живую» структуру, изменяющуюся во времени в силу высокой динамики развития технологий, изменения вида угроз безопасности и потребностей рынка.

Каталог и мониторинг качества.

Понятие «качество» для данного рода продуктов приобретает новое толкование. Технологическое качество изготовления не теряет своей значимости, но особую важность приобретает способность модели или модельного ряда СЗИ к модернизации для удовлетворения постоянно изменяющихся требований по безопасности и совместимости с постоянно прогрессирующими характеристиками средств информатизации и связи. Кроме того, приобретают большую значимость такие потребительские свойства, как удобство инсталляции и администрирования, стоимость владения и пр.

Объективное сравнение СЗИ по наиболее значимым характеристикам качества представляется действенным инструментом исследования в данной области, позволяющим снизить уровень субъективизма и непрофессионализма в процессе выбора оптимальных решений потребителем или разработчиком систем безопасности.

Очевидно, что это потребует разработки соответствующих методик тестирования СЗИ и оценки их качества. Актуальность этой проблемы подтверждает то, что она в последнее время находит все больший отклик на страницах специализированных изданий, таких, например, как журнал «Information Security», его российский последователь «Информационная безопасность» издательства «Гротек», начавший издаваться в 2004 году. Находит место для этой темы и старейший компьютерный журнал «Мир ПК», традиционно уделяющий много внимания проблемам тестирования и оценки качества продуктов ИТ. К этому необходимо добавить множество Интернет - ресурсов по информационной безопасности, которые проводят собственные сравнительные исследования качества/эффективности тех или иных групп СЗИ. Однако, разрозненность усилий, отсутствие единой методологической базы, пока дают меньший эффект, чем можно было бы ожидать при наличии единого координирующего центра. И дело даже не столько в координирующей, сколько в информационной функции такого гипотетического центра, которым мог бы стать единый хорошо структурированный каталог СЗИ. Вполне очевидно, также, что работы по созданию такого каталога с функциями информационно - справочной системы должны проводиться под эгидой Мининформсвязи РФ и Гостехкомиссии РФ. Тем более, что задел в этом направлении уже есть и создан он именно в структуре Мининформсвязи. В начале 2003 года для информационной поддержки системы госзакупок был открыт каталог средств информатизации (www.morepc.ru), составной частью которого стал и раздел «Средства защиты информации». Несмотря на отсутствие финансирования, каталог приобрел популярность, благодаря полноте ряда разделов и четкой структуризации, облегчающей поиск справочной информации. Там же недавно был открыт и раздел «Тесты и методики испытаний», призванный реализовать идеи системного мониторинга качества продуктов ИТ. Задача сегодняшнего дня - используя созданный задел, резко активизировать работы по его расширению с целью предоставить пользователям и специалистам быстрый и удобный доступ к справочной и аналитической информации по всем моделям продукции ИТ, в том числе, и по средствам защиты информации.

Вадим Дмитриев (ВНИИПВТИ)

Статью "01.12.2004. О каталогизации средств защиты информации." Вы можете обсудить на форуме.



вверх
  Copyright by MorePC - обзоры, характеристики, рейтинги мониторов, принтеров, ноутбуков, сканеров и др. info@morepc.ru  
разработка, поддержка сайта -Global Arts