Информационная безопасность

Известно, что каждое явление, процесс, объект имеют внутреннее содержание и внешнее выражение. Только сочетание этих составляющих дает полное представление о предмете исследования и возможных направлениях использования его результатов.

Сложность освещения проблемы обеспечения информационной безопасности связана с отсутствием до настоящего времени общепринятого толкования терминов, используемых для описания данной предметной области. В связи с этим для определения понятия информационной безопасности необходимо рассмотреть базовое ключевое понятие «безопасность».

Безопасность как общенаучная категория может быть определена как некоторое состояние рассматриваемой системы, при котором последняя, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних угроз, а с другой, ее функционирование не создает угроз для элементов самой системы и внешней среды. При таком определении мерой безопасности системы являются:

— с точки зрения способности противостоять дестабилизирующему воздействию внешних и внутренних угроз — степень (уровень) сохранения системой своей структуры, технологии и эффективности функционирования при воздействии дестабилизирующих факторов;

— с точки зрения отсутствия угроз для элементов системы и внешней среды — степень (уровень) возможности (или отсутствия возможности) появления таких дестабилизирующих факторов, которые могут представлять угрозу элементам самой системы или внешней среде.

Интерпретация данных формулировок приводит к следующему определению информационной безопасности.

Информационная безопасность — такое состояние рассматриваемой системы, при котором она, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз, а с другой — ее функционирование не создает информационных угроз для элементов самой системы и внешней среды.

Именно такое понятие информационной безопасности положено в основу Доктрины информационной безопасности и законодательства в сфере обеспечения информационной безопасности Российской Федерации (дословно — «Информационная безопасность — это состояние защищенности жизненно важных интересов личности, общества и государства в информационной сфере от внутренних и внешних угроз»).

Ориентиром в направлении поиска путей решения проблем информационной безопасности может служить информация.

Информация как непременный компонент любой организованной системы, с одной стороны, легко уязвима (т.е. весьма доступна для дестабилизирующего воздействия большого числа разноплановых угроз), а с другой — сама может быть источником большого числа разноплановых угроз как для элементов самой системы, так и для внешней среды. Отсюда, обеспечение информационной безопасности в общей постановке проблемы может быть достигнуто лишь при взаимоувязанном решении трех составляющих проблем:

— защиты находящейся в системе информации от дестабилизирующего воздействия внешних и внутренних угроз информации;

— защиты элементов системы от дестабилизирующего воздействия внешних и внутренних информационных угроз;

— защиты внешней среды от информационных угроз со стороны рассматриваемой системы.

В соответствии с изложенным общая схема обеспечения информационной безопасности может быть представлена так, как показано на рис. 1.

 

Структура обеспечения информационной безопасности

на36

Рис. 1

Таким образом, развитие теории информационной безопасности обусловливается основными направлениями развития защиты информации как первой составляющей общей проблемы информационной безопасности, с одной стороны. С другой, — изучением и разработкой второй составляющей информационной безопасности защиты от информации.

Вкратце акцентируем внимание на сложность решения второй составляющей проблемы информационной безопасности.

Необходимо отметить, что проблема защиты от информации существенно сложнее проблемы защиты информации в силу многообразности информационных угроз, воздействие которых не всегда очевидно. Предотвращение и нейтрализация таковых требуют как технических решений, так и организационно-правовых и политических на внутригосударственном, межгосударственном и международном уровнях.

В свою очередь, отличительная особенность проблемы защиты людей от информации состоит в том, что ее решение будет носить преимущественно гуманитарный характер, в то время как решения по защите от информации технических средств и систем, так же как и по защите информации, носят технический характер и поддаются строгой структуризации.

 

Организационные мероприятия по обеспечению функционирования комплексной системы защиты информации

 

Организационные меры являются той основой, которая объединяет различные меры защиты информации в единую систему. Они включают:

— разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

— мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой автоматизированной системе (АС) или внешней среде (по необходимости);

— периодически проводимые (через определенное время) мероприятия;

— постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

К разовым мероприятиям относят:

— мероприятия по созданию нормативно-методологической базы (разработку концепции и других руководящих документов) защиты АС;

— мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);

— мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверку и сертификацию используемых технических и программных средств, документирование и т.п.);

— проведение спецпроверок применяемых в АС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;

— выявление наиболее вероятных угроз для данной АС, выявление уязвимых мест процессов обработки информации и каналов доступа к ней, оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты;

— организацию охраны и надежного пропускного режима;

— определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет).

К периодически проводимым мероприятиям относят:

— распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

— анализ системных журналов (журналов регистрации), принятие мер по обнаруженным нарушениям правил работы;

— пересмотр правил разграничения доступа пользователей к ресурсам АС организации;

— осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты и разработку необходимых мер по совершенствованию (пересмотру состава и построения) системы защиты.

К мероприятиям, проводимым по необходимости, относят:

— мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;

— мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (санкционирование, рассмотрение и утверждение изменений, проверку их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);

— проверку поступающего оборудования, предназначенного для обработки закрытой информации, на наличие специально внедренных закладных устройств, инструментальный контроль технических средств на наличие побочных электромагнитных излучений и наводок;

— оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи;

— мероприятия по подбору и расстановке кадров (проверку принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т.д.);

Постоянно проводимые мероприятия включают:

— мероприятия по обеспечению достаточного уровня физической защиты всех компонентов АС (противопожарную охрану, охрану помещений, пропускной режим, обеспечение сохранности и физической целостности СВТ, носителей информации и т.п.).

— мероприятия по непрерывной поддержке функционирования и управлению (администрированию) используемыми средствами защиты;

— организацию явного и скрытого контроля за работой пользователей и персонала системы;

— контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй, функционирования, обслуживания и ремонта АС;

— постоянно (силами службы безопасности) и периодически (с привлечением сторонних специалистов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защиты.

На основе утвержденной системы организационно-распорядительных документов подразделения выполняют следующие основные действия:

— определяет критерии, по которым различные автоматизированные рабочие места (АРМ) относятся к той или иной категории по требуемой степени защищенности, и оформляет их в виде положения об определении требований по защите (категорировании) ресурсов;

— определяет типовые конфигурации и настройки программно-аппаратных средств защиты информации для АРМ различных категорий (требуемых степеней защищенности);

— по заявкам руководителей подразделений (используя формуляры АРМ и формуляры задач) проводит анализ возможности решения (а также совмещения) указанных задач на конкретных АРМ (с точки зрения обеспечения безопасности) и принимает решение об отнесении АРМ к той или иной группе по степени защищенности;

— совместно с отделом технического обслуживания Управления автоматизации проводит работы по установке на АРМ программно-аппаратных средств защиты информации;

— согласовывает и утверждает предписания на эксплуатацию АРМ (формуляры АРМ), подготовленные в подразделениях организации;

— обеспечивает проведение необходимых дополнительных специальных мероприятий по обеспечению безопасности информации;

— определяет организацию, методики и средства контроля эффективности противодействия попыткам несанкционированного доступа к информации (НСД) и незаконного вмешательства в процесс функционирования АС.

При построении любой комплексной системы защиты информации (КСЗИ) необходимо определить принципы, в соответствии с которыми она будет построена. КСЗИ — сложная система, функционирующая, как правило, в условиях неопределенности, требующая значительных материальных затрат. Поэтому определение основных принципов КСЗИ позволит определить основные подходы к ее построению.

Принцип законности заключается в соответствии принимаемых мер законодательству РФ о защите информации, а в случае отсутствия соответствующих законов — другим государственным нормативным документам по защите.

В соответствии с принципом полноты защищаемой информации защите подлежит не только информация, составляющая государственную, коммерческую или служебную тайну, но и та часть несекретной информации, утрата которой может нанести ущерб ее собственнику либо владельцу. Реализация этого принципа позволяет обеспечить и охрану интеллектуальной собственности.

Принцип обоснованности защиты информации заключается в установлении путем экспертной оценки целесообразности засекречивания и защиты той или другой информации, вероятных экономических и других последствий такой защиты исходя из баланса жизненно важных интересов государства, общества и граждан. Это, в свою очередь, позволяет расходовать средства на защиту только той информации, утрата или утечка которой может нанести действительный ущерб ее владельцу.

Принцип создания специализированных подразделений по защите информации заключается в том, что такие подразделения являются непременным условием организации комплексной защиты, поскольку только специализированные службы способны должным образом разрабатывать и внедрять защитные мероприятия и осуществлять контроль за их выполнением.

Принцип участия в защите информации всех соприкасающихся с нею лиц исходит из того, что защита информации является служебной обязанностью каждого лица, имеющего по роду выполняемой работы отношение к защищаемой информации, и такое участие дает возможность повысить качество защиты.

Принцип персональной ответственности за защиту информации требует, чтобы каждое лицо персонально отвечало за сохранность и неразглашение вверенной ему защищаемой информации, а за утрату или распространение такой информации оно несет уголовную, административную или иную ответственность.

Принцип наличия и использования всех необходимых правил и средств для защиты заключается в том, что КСЗИ требует, с одной стороны, участия в ней руководства предприятия и специальной службы защиты информации и всех исполнителей, работающих с защищаемой информацией, с другой стороны, использования различных организационных форм и методов защиты, с третьей стороны, наличия необходимых материально-технических ресурсов, включая технические средства защиты.

Принцип превентивности принимаемых мер по защите информации предполагает априорное опережающее заблаговременное принятие мер по защите до начала разработки или получения информации. Из этого принципа вытекает, в частности, необходимость разработки защищенных информационных технологий.

Среди рассмотренных принципов едва ли можно выделить более или менее важные. А при построении КСЗИ важно использовать их в совокупности.

 

В.Я.Ищейнов

«Делопроизводство», 2015, N 2

Добавить комментарий

Ваш e-mail не будет опубликован.

*

code