Проблемы комплексной защиты информационных ресурсов и пути их решения

ПРОБЛЕМЫ КОМПЛЕКСНОЙ  ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ И ПУТИ ИХ РЕШЕНИЯ.

Главное направление поиска новых путей защиты информации заключается  не просто в создании соответствующих  механизмов, а представляет собой  реализацию регулярного процесса, осуществляемого  на всех этапах жизненного цикла систем обработки информации при комплексном  использовании всех имеющихся средств  защиты. При этом все средства, методы и мероприятия, используемые для  защиты информации, наиболее рациональным образом объединяются в единый целостный механизм – причем не только от злоумышленников, но и от некомпетентных или недостаточно подготовленных пользователей и персонала, а также нештатных ситуаций технического характера.

Основными проблемами комплексной защиты информационных ресурсов является:

- с одной стороны, обеспечение надежной защиты, находящейся в системе информации: исключение случайного и преднамеренного получения информации посторонними лицами, разграничение доступа к устройствам и ресурсам системы всех пользователей, администрации и обслуживающего персонала;

- с другой стороны, системы защиты не должны создавать заметных неудобств пользователям в ходе их работы с ресурсами системы.

Проблема обеспечения  желаемого уровня защиты информации весьма сложная, требующая для своего решения не просто осуществления  некоторой совокупности научных, научно-технических  и организационных мероприятий  и применения специальных средств  и методов, а создания целостной  системы организационно-технологических  мероприятий и применения комплекса  специальных средств и методов  по защите информации.

На основе теоретических  исследований и практических работ  в области защиты информации сформулирован системно-концептуальный подход к защите информации.

Под системностью как основной частью системно-концептуального похода понимается:

- системность целевая, т.е. защищенность информации рассматривается как основная часть общего понятия качества информации;

- системность пространственная, предлагающая взаимоувязанное решение всех вопросов защиты на всех компонентах предприятия;

- системность временная, означающая непрерывность работ по ЗИ, осуществляемых в соответствии планам;

- системность организационная, означающая единство организации всех работ по ЗИ и управления ими.

Концептуальность подхода  предполагает разработку единой концепции  как полной совокупности научно обоснованных взглядов, положений и решений, необходимых  и достаточных для оптимальной  организации и обеспечения надежности защиты информации, а также целенаправленной организации всех работ по защите информации.

Комплексный (системный) подход к построению любой системы включает в себя: прежде всего, изучение объекта  внедряемой системы; оценку угроз безопасности объекта; анализ средств, которыми будем  оперировать при построении системы; оценку экономической целесообразности; изучение самой системы, ее свойств, принципов работы и возможность  увеличения ее эффективности; соотношение  всех внутренних и внешних факторов; возможность дополнительных изменений  в процессе построения системы и  полную организацию всего процесса от начала до конца.

Комплексный (системный) подход не рекомендует приступать к созданию системы до тех пор, пока не определены следующие ее компоненты:

1. Входные элементы. Это те элементы, для обработки которых создается система. В качестве входных элементов выступают виды угроз безопасности, возможные на данном объекте;

2. Ресурсы. Это средства, которые обеспечивают создание и функционирование системы (например, материальные затраты, энергопотребление, допустимые размеры и т. д.). Обычно рекомендуется четко определять виды и допустимое потребление каждого вида ресурса как в процессе создания системы, так и в ходе ее эксплуатации;

3. Окружающая среда. Следует помнить, что любая реальная система всегда взаимодействует с другими системами, каждый объект связан с другими объектами. Очень важно установить границы области других систем, не подчиняющихся руководителю данного предприятия и не входящих в сферу его ответственности.

4. Назначение и функции. Для каждой системы должна быть сформулирована цель, к которой она (система) стремится. Эта цель может быть описана как назначение системы, как ее функция. Чем точнее и конкретнее указано назначение или перечислены функции системы, тем быстрее и правильнее можно выбрать лучший вариант ее построения. Так, например, цель, сформулированная в самом общем виде как обеспечение безопасности объекта, заставит рассматривать варианты создания глобальной системы защиты. Если уточнить ее, определив, например, как обеспечение безопасности информации, передаваемой по каналам связи внутри здания, то круг возможных решений существенно сузится. Следует иметь в виду, что, как правило, глобальная цель достигается через достижение множества менее общих локальных целей (подцелей). Построение такого «дерева целей» значительно облегчает, ускоряет и удешевляет процесс создания системы;

5. Критерий эффективности. Необходимо всегда рассматривать несколько путей, ведущих к цели, в частности нескольких вариантов построения системы, обеспечивающей заданные цели функционирования. Для того чтобы оценить, какой из путей лучше, необходимо иметь инструмент сравнения – критерий эффективности. Он должен: характеризовать качество реализации заданных функций; учитывать затраты ресурсов, необходимых для выполнения функционального назначения системы; иметь ясный и однозначный физический смысл; быть связанным с основными характеристиками системы и допускать количественную оценку на всех этапах создания системы.

Таким образом, учитывая многообразие потенциальных угроз информации на предприятии, сложность его структуры, а также участие человека в  технологическом процессе обработки  информации, цели защиты информации могут  быть достигнуты только путем создания системы защиты информации на основе комплексного подхода.

Главная цель создания системы  защиты информации – ее надежность. Система защиты информации – это организованная совокупность объектов и субъектов защиты информации, используемых методов и средств защиты, а также осуществляемых защитных мероприятий.

Поскольку система может  быть определена как совокупность взаимосвязанных  элементов, то назначение системы защиты информации состоит в том, чтобы объединить все составляющие защиты в единое целое, в котором каждый компонент, выполняя свою функцию, одновременно обеспечивает выполнение функций другими компонентами и связан с ними логически и технологически. А в чем же состоит значимость комплексных решений в СЗИ?

Во-первых, необходимость  комплексных решений состоит  в объединении в одно целое  локальных систем защиты информации, при этом они должны функционировать в единой «связке». В качестве локальных систем защиты информации могут быть рассмотрены, например, виды защиты информации (правовая, организационная, инженерно-техническая).

Во-вторых, необходимость  комплексных решений обусловлена  назначением самой системы. Система  должна объединить логически и технологически все составляющие защиты. Но из ее сферы  выпадают вопросы полноты этих составляющих, она не учитывает всех факторов, которые оказывают или могут  оказывать влияние на качество защиты. Например, система включает в себя какие-то объекты защиты, а все  они включены или нет – это уже вне пределов системы.

Поэтому качество, надежность защиты зависят не только от видов  составляющих системы, но и от их полноты, которая обеспечивается при учете  всех факторов и обстоятельств, влияющих на защиту. Именно полнота всех составляющих системы защиты, базирующаяся на анализе  таких факторов и обстоятельств, является вторым назначением комплексности.

При этом должны учитываться  все параметры уязвимости информации, потенциально возможные угрозы ее безопасности, охватываться все необходимые объекты  защиты, использоваться все возможные  виды, методы и средства защиты и  необходимые для защиты кадровые ресурсы, осуществляться все вытекающие из целей и задач защиты мероприятия.

В-третьих, только при комплексном  подходе система может обеспечивать безопасность всей совокупности информации, подлежащей защите, и при любых  обстоятельствах. Это означает, что  должны защищаться все носители информации, во всех компонентах ее сбора, хранения, передачи и использования, во все время и при всех режимах функционирования систем обработки информации.

В то же время комплексность  не исключает, а, наоборот, предполагает дифференцированный подход к защите информации, в зависимости от состава  ее носителей, видов тайны, к которым  отнесена информация, степени ее конфиденциальности, средств хранения и обработки, форм и условии проявления уязвимости, каналов и методов несанкционированного доступа к информации.

Таким образом, значимость комплексного подхода к защите информации состоит:

- в интеграции локальных систем защиты;

- в обеспечении полноты всех составляющих системы защиты;

- в обеспечении всеохватности защиты информации.

Исходя из этого, можно  сформулировать следующее определение:

«Комплексная система  защиты информации – система, полно и всесторонне охватывающая все предметы, процессы и факторы, которые обеспечивают безопасность всей защищаемой информации».