Основные концептуальные положения системы защиты информации.
Анализ
состояния дел в сфере защиты информации показывает, что уже сложилась вполне
сформировавшаяся концепция и структура защиты, основу которой составляют:
• весьма
развитый арсенал технических средств защиты информации, производимых на промышленной
основе;
• значительное
число фирм, специализирующихся на решении вопросов защиты информации;
• достаточно
четко очерченная система взглядов на эту проблему;
• наличие
значительного практического опыта и другое.
И, тем не
менее, как свидетельствует отечественная и зарубежная печать, злоумышленные
действия над информацией не только не уменьшаются, но и имеют достаточно
устойчивую тенденцию к росту.
Опыт
показывает, что для борьбы с этой тенденцией необходима стройная и
целенаправленная организация процесса защиты информационных ресурсов.
Причем в этом
должны активно участвовать профессиональные специалисты, администрация,
сотрудники и пользователи, что и определяет повышенную значимость
организационной стороны вопроса.
Опыт также
показывает, что:
• обеспечение
безопасности информации не может быть одноразовым актом. Это непрерывный
процесс, заключающийся в обосновании и реализации наиболее рациональных
методов, способов и путей совершенствования и развития системы защиты,
непрерывном контроле ее состояния, выявлении ее узких и слабых мест и
противоправных действий;
• безопасность
информации может быть обеспечена лишь при комплексном использовании всего
арсенала имеющихся средств защиты во всех структурных элементах
производственной системы и на всех этапах технологического цикла обработки
информации. Наибольший эффект достигается тогда, когда все используемые
средства, методы и меры объединяются в
единый целостный механизм – систему защиты информации (СЗИ). При этом
функционирование системы должно контролироваться, обновляться и дополняться в
зависимости от изменения внешних и внутренних условий;
• никакая СЗИ
не может обеспечить требуемого уровня безопасности информации без надлежащей
подготовки пользователей и соблюдения ими всех установленных правил,
направленных на ее защиту.
С учетом
накопленного опыта можно определить систему защиты информации как организованную совокупность специальных
органов, средств, методов и мероприятий, обеспечивающих защиту информации от
внутренних и внешних угроз.
С позиций
системного подхода к защите информации предъявляются определенные требования.
Защита информации должна быть:
• непрерывной.
Это требование проистекает из того, что злоумышленники только и ищут
возможность, как бы обойти защиту интересующей их информации;
• плановой. Планирование
осуществляется путем разработки каждой службой детальных планов защиты
информации в сфере ее компетенции с учетом общей цели предприятия
(организации);
• целенаправленной.
Защищается то, что должно защищаться в интересах конкретной цели, а не все
подряд;
• конкретной.
Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых
может причинить организации определенный ущерб;
• активной.
Защищать информацию необходимо с достаточной степенью настойчивости;
• надежной.
Методы и формы защиты должны надежно перекрывать возможные пути неправомерного
доступа к охраняемым секретам, независимо от формы их представления, языка
выражения и вида физического носителя, на котором они закреплены;
• универсальной.
Считается, что в зависимости от вида канала утечки или способа
несанкционированного доступа его необходимо перекрывать, где бы он ни
проявился, разумными и достаточными средствами, независимо от характера, формы
и вида информации;
• комплексной.
Для защиты информации во всем многообразии структурных элементов должны
применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь
отдельные формы или технические средства. Комплексный характер защиты
проистекает из того, что защита – это специфическое явление, представляющее
собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов,
каждый из которых в свою очередь имеет множество различных
взаимообусловливающих друг друга сторон, свойств, тенденций.
Зарубежный и
отечественный опыт показывает, что для обеспечения выполнения столь
многогранных требований безопасности система защиты информации должна
удовлетворять определенным условиям:
• охватывать
весь технологический комплекс информационной деятельности;
• быть
разнообразной по используемым средствам, многоуровневой с иерархической
последовательностью доступа;
• быть
открытой для изменения и дополнения мер обеспечения безопасности информации;
• быть
нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на
неосведомленность злоумышленников относительно ее возможностей;
• быть простой
для технического обслуживания и удобной для эксплуатации пользователями;
• быть
надежной. Любые поломки технических средств являются причиной появления
неконтролируемых каналов утечки информации;
• быть
комплексной, обладать целостностью, означающей, что ни одна ее часть не может
быть изъята без ущерба для всей системы.
К системе
безопасности информации предъявляются также определенные требования:
• четкость
определения полномочий и прав пользователей на доступ к определенным видам
информации;
•
предоставление пользователю минимальных полномочий, необходимых ему для
выполнения порученной работы;
• сведение к
минимуму числа общих для нескольких пользователей средств защиты;
• учет случаев
и попыток несанкционированного доступа к конфиденциальной информации;
• обеспечение
оценки степени конфиденциальной информации;
• обеспечение
контроля целостности средств защиты и немедленное реагирование на их выход из
строя.
Система защиты
информации, как любая система, должна иметь определенные виды собственного
обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С
учетом этого СЗИ может иметь:
• правовое
обеспечение. Сюда входят нормативные документы, положения, инструкции,
руководства, требования которых являются обязательными в рамках сферы их
действия;
• организационное
обеспечение. Имеется в виду, что реализация защиты информации
осуществляется определенными структурными единицами, такими как: служба защиты
документов; служба режима, допуска, охраны; служба защиты информации
техническими средствами; информационно-аналитическая деятельность и другими;
• аппаратное
обеспечение. Предполагается широкое использование технических средств
как для защиты информации, так и для обеспечения деятельности собственно СЗИ;
• информационное
обеспечение. Оно включает в себя сведения, данные, показатели,
параметры, лежащие в основе решения задач, обеспечивающих функционирование
системы. Сюда могут входить как показатели доступа, учета, хранения, так и
системы информационного обеспечения расчетных задач различного характера,
связанных с деятельностью службы обеспечения безопасности;
• программное
обеспечение. К нему относятся различные информационные, учетные,
статистические и расчетные программы, обеспечивающие оценку наличия и опасности
различных каналов утечки и путей несанкционированного проникновения к
источникам конфиденциальной информации;
• математическое
обеспечение. Предполагает использование математических методов для
различных расчетов, связанных с оценкой опасности технических средств
злоумышленников, зон и норм необходимой защиты;
• лингвистическое
обеспечение. Совокупность специальных языковых средств общения
специалистов и пользователей в сфере защиты информации;
• нормативно-методическое
обеспечение. Сюда входят нормы и регламенты деятельности органов,
служб, средств, реализующих функции защиты информации, различного рода
методики, обеспечивающие деятельность пользователей при выполнении своей работы
в условиях жестких требований защиты информации.
Как и любая
система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые
согласовываются по месту и времени в зависимости от условий.
Удовлетворить
современные требования по обеспечению безопасности предприятия и защиты его
конфиденциальной информации может только система безопасности.