Понятие комплексной системы защиты информации

Глава 1. Разработка проекта комплексной системы защиты информации

Основные понятия

    Информация - сведения независимо от формы их представления, которые подлежат защите.

    Защита информации (далее ЗИ) - совокупность мероприятий, направленных на обеспечение безопасности её свойств:

- конфиденциальности (необходимость предотвращения разглашения, утечки какой-либо информации);

- целостности (данные не были изменены при выполнении какой-либо операции над ними);

- доступности (состояние информации, при котором субъекты, имеющие права доступа, могут реализовывать их беспрепятственно).

    Комплексная система защиты информации (КСЗИ) - совокупность методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность ЗИ предприятия.

    Объект - пассивная сторона отношений (то, над чем совершается действие).

    Субъект - активная сторона отношений (тот, кто совершает действия над объектом).

    Угроза - это потенциальные и реальные действия, явления, процесс или событие, которые способны нанести вред, ущерб предприятию или остановить его деятельность полностью.

    Уязвимость - слабое место в системе, которое делает возможным реализацию угроз.

    Автоматизированная система (далее АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

    Средства вычислительной техники (далее СВТ) - совокупность технических и математических средств, методов и приемов, используемых для механизации и автоматизации процессов вычислений и обработки информации.

    Уязвимость - слабое место в системе, которое делает возможным реализацию угроз.

    Атака- это совокупность преднамеренных действий злоумышленников, направленных на нарушение одного из трёх свойств информации.

    Комплекс средств защиты - совокупность программных и технических средств, для обеспечения защиты СВТ и АС от НСД.

    Политика безопасности (далее ПБ) - совокупность документированных руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации

    Нетривиальная задача - задача, требующая необыкновенного, оригинального, специфического решения.

Подходы к проектированию систем защиты информации

       ГОСТ РФ 51275-99 определяет объект информатизации как «совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров».

           Слово «совокупность» в данном определении указывает на то, что объект информатизации это единая информационная система, охватывающая в целом предприятие, учреждение, организацию.

    В реальной жизни все эти отдельные «объекты информатизации» расположены в пределах одного предприятия и представляют собой единый комплекс компонентов, связанных общими целями, задачами, структурными отношениями, технологией информационного обмена и т. д.

    Современное предприятие - большое количество разнородных компонентов, объединенных в сложную систему для выполнения поставленных целей, которые в процессе функционирования предприятия могут модифицироваться. Многообразие и сложность влияния внутренних и внешних факторов, которые часто не поддаются строгой количественной оценке, приводят к тому, что эта сложная система может обретать новые качества, не свойственные составляющим ее компонентам.

    Современное предприятие представляет собой сложную систему, в рамках которой осуществляется защита информации.

    Рассмотрим основные особенности современного предприятия:

- сложная организационная структура;

- многоаспектность функционирования;

- высокая техническая оснащенность;

- необходимость расширения доступа к информации;

- всевозрастающий удельный вес безбумажной технологии обработки информации;

- накопление на технических носителях огромных объемов информации;

- долговременное хранение больших объемов информации на машинных носителях;

- непосредственный и одновременный доступ к ресурсам (в т. ч. и к информации) автоматизированных систем большого числа пользователей различных категорий и различных учреждений.

    Таким образом, создание индустрии переработки информации, с одной стороны, создает объективные предпосылки для повышения уровня производительности труда и жизнедеятельности человека, с другой стороны, порождает целый ряд сложных и крупномасштабных проблем. Одной из них является обеспечение сохранности и установленного статуса информации, циркулирующей и обрабатываемой на предприятии.

Понятие комплексной системы защиты информации

    Главное направление поиска новых путей защиты информации заключается не просто в создании соответствующих механизмов, а представляет собой реализацию регулярного процесса, осуществляемого на всех этапах жизненного цикла систем обработки информации при комплексном использовании всех имеющихся средств защиты. При этом все средства, методы и мероприятия, используемые для ЗИ, наиболее рациональным образом объединяются в единый целостный механизм — причем не только от злоумышленников, но и от некомпетентных или недостаточно подготовленных пользователей и персонала, а также нештатных ситуаций технического характера.

    Основной проблемой реализации систем защиты является:

- с одной стороны, обеспечение надежной защиты, находящейся в системе информации: исключение случайного и преднамеренного получения информации посторонними лицами, разграничение доступа к устройствам и ресурсам системы всех пользователей, администрации и обслуживающего персонала;

- с другой стороны, системы защиты не должны создавать заметных неудобств пользователям в ходе их работы с ресурсами системы.

    Проблема обеспечения желаемого уровня защиты информации весьма сложная, требующая для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специальных средств и методов, а создания целостной системы организационно-технологических мероприятий и применения комплекса специальных средств и методов по ЗИ.

    На основе теоретических исследований и практических работ в области ЗИ сформулирован системно-концептуальный подход к защите информации.

    Под системностью как основной частью системно-концептуального похода понимается:

- системность целевая, т. е. защищенность информации рассматривается как основная часть общего понятия качества информации;

- системность пространственная, предлагающая взаимоувязанное решение всех вопросов защиты на всех компонентах предприятия;

- системность временная, означающая непрерывность работ по ЗИ, осуществляемых в соответствии планам;

- системность организационная, означающая единство организации всех работ по ЗИ и управления ими.

    Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также целенаправленной организации всех работ по ЗИ.

    Комплексный подход к построению любой системы включает в себя:

- изучение объекта внедряемой системы;

- оценку угроз безопасности объекта;

- анализ средств, которыми будем оперировать при построении системы;

- оценку экономической целесообразности;

- изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности;

- соотношение всех внутренних и внешних факторов;

- возможность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца.

    Комплексный подход не рекомендует приступать к созданию системы до тех пор, пока не определены следующие ее компоненты:

1. Входные элементы. Это те элементы, для обработки которых создается система. В качестве входных элементов выступают виды угроз безопасности, возможные на объекте;

2. Ресурсы. Это средства, которые обеспечивают создание и функционирование системы (например, материальные затраты, энергопотребление, допустимые размеры и т. д.). Обычно рекомендуется четко определять виды и допустимое потребление каждого вида ресурса, как в процессе создания системы, так и в ходе ее эксплуатации;

3. Окружающая среда. Следует помнить, что любая реальная система всегда взаимодействует с другими системами, каждый объект связан с другими объектами. Очень важно установить границы области других систем, не подчиняющихся руководителю данного предприятия и не входящих в сферу его ответственности.

    Характерным примером важности решения этой задачи является распределение функций по защите информации, передаваемой сигналами в кабельной линии, проходящей по территориям различных объектов. Как бы ни устанавливались границы системы, нельзя игнорировать ее взаимодействие с окружающей средой, ибо в этом случае принятые решения могут оказаться бессмысленными. Это справедливо как для границ защищаемого объекта, так и для границ системы защиты;

4. Назначение и функции. Для каждой системы должна быть сформулирована цель, к которой она стремится. Эта цель может быть описана как назначение системы, как ее функция. Чем точнее и конкретнее указано назначение или перечислены функции системы, тем быстрее и правильнее можно выбрать лучший вариант ее построения. Следует иметь в виду, что, как правило, глобальная цель достигается через достижение множества менее общих локальных целей (подцелей). Построение такого «дерева целей» значительно облегчает, ускоряет и удешевляет процесс создания системы.

    Таким образом, учитывая многообразие потенциальных угроз информации на предприятии, сложность его структуры, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания СЗИ на основе комплексного подхода.

    Процесс создания комплексной системы защиты информации может быть представлен в виде непрерывного цикла, так как это показано на рис. 1.

Рис. 1. Непрерывный цикл создания СЗИ