Принципы построения комплексной системы защиты информации

    При построении любой системы необходимо определить принципы, в соответствии с которыми она будет построена. КСЗИ — сложная система, функционирующая, как правило, в условиях неопределенности, требующая значительных материальных затрат. Поэтому определение основных принципов КСЗИ позволит определить основные подходы к ее построению.

    Принцип законности заключается в соответствии принимаемых мер законодательству РФ о защите информации, а в случае отсутствия соответствующих законов - другим государственным нормативным документам по защите.

    В соответствии с принципом полноты защищаемой информации защите подлежит не только информация, составляющая государственную, коммерческую или служебную тайну, но и та часть несекретной информации, утрата которой может нанести ущерб ее собственнику либо владельцу. Реализация этого принципа позволяет обеспечить и охрану интеллектуальной собственности.

    Принцип обоснованности защиты информации заключается в установлении путем экспертной оценки целесообразности засекречивания и защиты той или другой информации, вероятных экономических и других последствий такой защиты исходя из баланса жизненно важных интересов государства, общества и граждан. Это, в свою очередь, позволяет расходовать средства на защиту только той информации, утрата или утечка которой может нанести действительный ущерб ее владельцу.

    Принцип создания специализированных подразделений по защите информации заключается в том, что такие подразделения являются непременным условием организации комплексной защиты, поскольку только специализированные службы способны должным образом разрабатывать и внедрять защитные мероприятия и осуществлять контроль за их выполнением.

    Принцип участия в защите информации всех соприкасающихся с нею лиц исходит из того, что защита информации является служебной обязанностью каждого лица, имеющего по роду выполняемой работы отношение к защищаемой информации, и такое участие дает возможность повысить качество защиты.

    Принцип персональной ответственности за защиту информации требует, чтобы каждое лицо персонально отвечало за сохранность и неразглашение вверенной ему защищаемой информации, а за утрату или распространение такой информации оно несет уголовную, административную или иную ответственность.

    Принцип наличия и использования всех необходимых правил и средств для защиты заключается в том, что КСЗИ требует, с одной стороны, участия в ней руководства предприятия и специальной службы защиты информации и всех исполнителей, работающих с защищаемой информацией, с другой стороны, использования различных организационных форм и методов защиты, с третьей стороны, наличие необходимых материально-технических ресурсов, включая технические средства защиты.

    Принцип превентивности принимаемых мер по защите информации предполагает априорное опережающее заблаговременное принятие мер по защите до начала разработки или получения информации. Из этого принципа вытекает, в частности, необходимость разработки защищенных информационных технологий.

    Среди рассмотренных принципов едва ли можно выделить более, или менее важные. А при построении КСЗИ важно использовать их в совокупности.

Факторы, влияющие на создание проекта КСЗИ

    Факторы, которые могут иметь для предприятия решающее значение в будущем, называются стратегическими, поэтому опираясь на них, будет разрабатываться проект КСЗИ.

    К таким факторам относятся:

    1. Миссия, отражающая философию предприятия, её предназначение.

    2. Конкурентные преимущества, которыми предприятие обладает в своей сфере деятельности по сравнению с соперниками или к которым стремится. Конкурентные преимущества любого типа обеспечивают более высокую эффективность использования ресурсов предприятия.

    3. Характер выпускаемой продукции, особенности ее сбыта, послепродажного обслуживания, рынки и их границы.

    4. Организационные факторы, среди которых выделяется внутренняя структура предприятия и её ожидаемые изменения, система управления.

    5. Располагаемые ресурсы (материальные, финансовые, информационные, кадровые и пр.).

    6. Потенциал развития организации, совершенствования деятельности, расширения масштабов, роста деловой активности, инноваций.

       7. Политика безопасности, на основе которой строится управление, защита и распределение информации в системе;

    8. Принципы построения КСЗИ.

Политика безопасности

    Политика безопасности должна охватывать все особенности процесса обработки информации, определяя поведение системы в различных ситуациях.     Она реализуется при помощи организационных мер и программно-технических средств, определяющих архитектуру системы защиты, а также при помощи средств управления механизмами защиты. Для конкретного предприятия ПБ должна быть индивидуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств, расположения предприятия и т. д.

    Организационно ПБ описывает порядок представления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. СЗИ окажется эффективной, если она будет надежно поддерживать выполнение правил ПБ, и наоборот.

Разработка политики безопасности организации, как формальной, так и неформальной, — безусловно, нетривиальная задача. Эксперт должен не только владеть соответствующими стандартами и хорошо разбираться в комплексных подходах к обеспечению защиты информации организации, но и, например, проявлять детективные способности при выявлении особенностей построения информационной системы и существующих мер по организации защиты информации.

    В общем случае можно выделить следующие процессы, связанные с разработкой и реализацией политики безопасности:

    1. Комплекс мероприятий, связанных с проведением анализа рисков.

    2. Мероприятия по оценке соответствия мер по обеспечению защиты информации системы некоторому эталонному образцу: стандарту, профилю защиты и т. п.

    3. Действия, связанные с разработкой разного рода документов, в частности отчетов, диаграмм, профилей защиты, заданной по безопасности.

    4. Действия, связанные со сбором, хранением и обработкой статистики по событиям безопасности для организации;

    Основу политики безопасности составляет способ управления доступом, определяющий порядок доступа субъектов системы к объектам системы.