Основные задачи системы информационной безопасности

Содержание

1. Основные задачи системы информационной безопасности
2. Принципы построения информационной безопасности объекта
3. Требования к информационной безопасности объекта
4. Последовательность действий при разработке системы обеспечения информационной безопасности объекта

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Концентрация больших  объемов обобщенной и систематизированной  информации на предприятиях привели  к увеличению вероятности утечки секретных и конфиденциальных сведений, а значит и к необходимости  принятия мер по обеспечению безопасности информации.

Анализ состояния дел  в области информационной безопасности показывает, что к настоящему времени  в ведущих странах мира сложилась  достаточно четко очерченная система  концептуальных взглядов на проблемы обеспечения информационной безопасности.

И, тем не менее, как свидетельствует  реальность, злоумышленные действия над информацией не только не уменьшаются, но имеют достаточно устойчивую тенденцию к росту.

Понимая это, большинство  руководителей предприятий и  организаций принимают меры по «охране  и обороне» важной для них информации. Однако практика показывает, что эти  действия не всегда носят системный  характер, направлены на ликвидацию только отдельных угроз, оставляя бреши  в обороне.

1. Основные задачи системы информационной безопасности

 

• своевременное выявление и устранение угроз безопасности и ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба его интересам;
• создание механизма и условий оперативного реагирования на угрозы безопасности и проявлению негативных тенденций в функционировании предприятия;
• эффективное пресечение посягательств на ресурсы и угроз персоналу на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
• создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение целей организации.

Приведенная совокупность определений  достаточна для формирования общего, пока еще абстрактного взгляда на построение системы информационной безопасности. Для уменьшения степени  абстракции и формирования более  детального замысла необходимо знание основных принципов организации  системы информационной безопасности.

2. Принципы построения системы информационной безопасности объекта

Анализ состояния дел  в области информационной безопасности показывает, что в ведущих странах  сложилась достаточно четко очерченная система концептуальных взглядов на проблемы информационной безопасности.

И, тем не менее, как свидетельствует  реальность, злоумышленные действия над информацией не только не уменьшаются, а имеют достаточно устойчивую тенденцию к росту.

Это свидетельствует о  том, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация обеспечения безопасности информационной системы.

Современный опыт решения  проблем информационной безопасности показывает, что для достижения наибольшего  эффекта при организации защиты информации необходимо руководствоваться  рядом принципов.

Первым и наиболее важным является принцип непрерывности  совершенствования и развития системы информационной безопасности. Суть этого принципа заключается в постоянном контроле функционирования системы, выявлении ее слабых мест, потенциально возможных каналов утечки информации и НСД, обновлении и дополнении механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации. Таким образом, обеспечение информационной безопасности не может быть одноразовым актом.

Вторым является принцип  комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации.

Комплексный характер защиты информации проистекает, прежде всего, из характера действий злоумышленников, стремящихся любой совокупностью  средств добыть важную для конкурентной борьбы информацию. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения.

Кроме того, наибольший эффект достигается в том случае, когда  все используемые средства, методы и мероприятия объединяются в  единый, целостный механизм — систему информационной безопасности. Только в этом случае появляются системные свойства не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования.

Можно определить систему  информационной безопасности как организованную совокупность органов, средств, методов  и мероприятий, обеспечивающих защиту информации от разглашения, утечки и  несанкционированного доступа к  ней.

Важнейшими условиями  обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализмпредставителей службы информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.

Без соблюдения этих условий  никакая система информационной безопасности не может обеспечить требуемого уровня защиты.

3. Требования к системе информационной безопасности объекта

С позиций системного подхода  для реализации приведенных принципов  процесс, да и сама система защиты информации должны отвечать некоторой  совокупности требований.

Защита информации должна быть:

• централизованной; необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;
• плановой; планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;
• конкретной и целенаправленной; защите подлежат абсолютно конкретные информационной ресурсы, могущие представлять интерес для конкурентов;
• активной; защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментариев, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;
• надежной и универсальной, охватывать весь технологический комплекс информационной деятельности объекта; методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;
• нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;
• открытой для изменения и дополнения мер обеспечения безопасности информации;
• экономически эффективной; затраты на систему защиты не должны превышать размеры возможного ущерба.

Наряду с основными  требованиями существует ряд устоявшихся  рекомендаций, которые будут не бесполезны создателям систем информационной безопасности:

• средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей;
• каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;
• возможность отключения защиты в особых случаях, например, когда механизмы защиты реально мешают выполнению работ;
• независимость системы защиты от субъектов защиты;
• разработчики должны предполагать, что пользователи имеют наихудшие намерения (враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;
• отсутствие на предприятии излишней информации о существовании механизмов защиты.

Все перечисленные позиции  должны лечь в основу формирования системы защиты информации.

При обеспечении информационной безопасности существует два аспекта:

• формальный – определение критериев, которым должны соответствовать защищаемые информационные технологии;
• практический – определение конкретного комплекса мер безопасности применительно к рассматриваемой информационной технологии.

Критерии, которым должны соответствовать защищаемые информационные технологии, являются объектом стандартизации более пятнадцати лет. В настоящее  время разработан проект международного стандарта «Общие критерии оценки безопасности информационных технологий».

Первой удачной попыткой стандартизации практических аспектов безопасности стал британский стандарт BS 7799 “Практические правила управления информационной безопасностью”, изданный в 1995 году, в котором обобщен опыт обеспечения режима информационной безопасности в информационных системах разного профиля. Впоследствии было опубликовано несколько аналогичных  документов: стандарты различных  организаций и ведомств, например, германский стандарт BSI. Содержание этих документов в основном относится  к этапу анализа рисков, на котором  определяются угрозы безопасности и  уязвимости информационных ресурсов, уточняются требования к режиму ИБ.

Несмотря на существенную разницу в методологии обеспечения  базового и повышенного уровней  безопасности, можно говорить о единой концепции ИБ.

Теперь, владея основными  концептуальными положениями, необходимо освоить механизм выработки детальных  предложений по формированию политики и построению системы информационной безопасности.

4. Последовательность действий при разработке системы обеспечения информационной безопасности объекта

Прежде, чем приступать к  разработке системы информационной безопасности, необходимо определить, что же для организации (физического  лица) является интеллектуальной собственностью.

С точки зрения делового человека, интеллектуальной собственностью являются информационные ресурсы, знания, которые помогают ему эффективно разрабатывать и изготавливать новую продукцию, выгодно продавать товар или каким-то другим образом увеличивать свою прибыль. Способ управления производством, технологический процесс, список клиентов профиль научных исследований, анализ конкурентоспособности – лишь некоторые примеры тому.

Незнание того, что составляет интеллектуальную собственность — уже шаг к потерям финансовым, моральным и материальным. Именно с этого надо начинать создание системы защиты информации.

Дальнейшими этапами, вне  зависимости от размеров организации  и специфики ее информационной системы, в том или ином виде должны быть:

• определение границ управления информационной безопасностью объекта;
• анализ уязвимости;
• выбор контрмер, обеспечивающих информационную безопасность; определение политики информационной безопасности;
• проверка системы защиты;
• составление плана защиты;
• реализация плана защиты (управление системой защиты).

Любые действия по созданию системы информационной безопасности должны заканчиваться определенными  результатами в виде документа или  технического решения.

Как показывает разработка реальных систем, ни один из способов (мер, средств и мероприятий) обеспечения безопасности информации не является надежным, а максимальный эффект достигается при объединении всех их в целостную систему защиты информации. Только оптимальное сочетание организационных, технических и программных   мероприятий, а также постоянное внимание и контроль над поддержанием системы защиты в актуальном состоянии позволит с наибольшей эффективностью обеспечить решение постоянной задачи.