К настоящему времени в ведущих странах мира сложилась достаточно четко очерченная система концептуальных взглядов на проблемы обеспечения информационной безопасности. Тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Понимая это, большинство руководителей предприятий и организаций принимают меры по защите важной для них информации.
Для решения задач защиты информации на предприятии создается комплексная система защиты информации (КСЗИ). Имеются работы, в которых термин КСЗИ понимается в «узком» смысле, т.е. как система защиты информации от несанкционированного доступа в автоматизированных системах (АС). В настоящей книге принято «широкое» понимание КСЗИ как системы обеспечения безопасности предприятия в целом. Вместе с гем защита информации в АС является важнейшей составной ча-uiiio КСЗИ, поскольку подавляющая часть информационных ресурсов присутствует в электронном виде. Поэтому в некоторых главах книги речь идет именно об обеспечении безопасности информации в автоматизированных системах КСЗИ предприятия есть совокупность методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации предприятия [42].
|
|
Главной целью КСЗИ является обеспечение непрерывности бизнеса; устойчивого функционирования коммерческого предприятия и предотвращения угроз его безопасности.
КСЗИ направлена:
• на защиту законных интересов организации от противоправных посягательств;
• охрану жизни и здоровья персонала;
• недопущение: 1) хищения финансовых и материально-технических средств; 2) уничтожения имущества и ценностей; разглашения, утечки и несанкционированного доступа к служебной информации; 4) нарушения работы технических средств обеспечения производственной деятельности, включая информационные технологии.
Исходя из целей КСЗИ, можно определить стоящие перед ней залачи. К ним относятся:
• прогнозирование, своевременное выявление и устранение угроз безопасности персоналу и ресурсам коммерческого предприятия, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
• отнесение информации к категории ограниченного доступа (служебной и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования), а других ресурсов — к различным уровням уязвимости (опасности), подлежащих сохранению;
|
|
• создание механизма и условий оперативного реагирования на /грозы безопасности проявления негативных тенденций в функционировании предприятия;
• эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
• создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности предприятия.
Обеспечение безопасности предприятия должно основываться на следующих основных принципах: системности; комплексности; своевременности; непрерывности защиты; разумной достаточности; гибкости; специализации; взаимодействия и координации — должно осуществляться планирование; совершенствования; централизации и управления (процесс управления всегда централизован); активности; экономической эффективности; простоты применяемых защитных мер и средств.
Раскроем некоторые принципы построения КСЗИ подробнее.
Принцип системности требует применения системного подхода в качестве методологической базы при анализе и синтезе комплексной системы защиты информации. Основная цель системного подхода — формализация вербальных описаний и составление алгоритма деятельности. Суть его заключается в том, что при оценке эффективности мероприятий безопасности не ограничиваются рассмотрением только самой системы, но и учитывают влияния на нее внешних факторов. Применение системного подхода при разработке технологий управления безопасностью позволяет реализовать синергетический эффект, являющийся результатом упорядочения организационных структур управления, взаимодействия, кооперации и интеграции с другими подсистемами анализируемой системы, устранения ненужных процедур, а в итоге — результатом достижения равновесного состояния функционирования системы.
Системный подход к построению КСЗИ предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности предприятия.
При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места предприятия, а также характер, возможные объекты и направления атак на КСЗИ со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
Принцип комплексности предполагает, что система защиты предприятия должна включать совокупность объектов защиты, сил и средств, принимаемых мер, проводимых мероприятий и действий по обеспечению безопасности персонала, материальных и финансовых средств от возможных угроз всеми доступными законными средствами, методами и мероприятиями. Принцип комплексности позволяет оценить в целом главные вопросы защиты: что защищается, кто защищает и как защищается? В распоряжении специалистов по безопасности имеется широкий спектр мер, методов и средств защиты. Комплексность системы защиты информации достигается охватом всех возможных угроз и согласованием между собой разнородных методов и средств, обеспечивающих защиту всех элементов предприятия.
Защита должна строиться эшелонированно. Внешняя защита обеспечивается физическими средствами, организационными мерами и правовыми мерами. Прикладной уровень защиты, учитывающий особенности предметной области, образует внутренний рубеж обороны. Так, одной из наиболее укрепленных линий обороны должны быть средства защиты в автоматизированных системах.
|
|
Принцип своевременности означает, что меры защиты не должны «запаздывать». Например, бесполезно выводить охранную сигнализацию на пульт дежурного, который сможет прибыть в случае тревоги на объект охраны лишь спустя полчаса.
Принцип непрерывности: в настоящее время общепринятым является процессный подход к обеспечению безопасности информации. Защита информации — это не совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла систем предприятия, начиная с самых ранних стадий проектирования, а не только на этапе их эксплуатации.
Во многих зарубежных стандартах зафиксирована циклическая схема процесса обеспечения безопасности информации PDCA (Plan-Do-Check-Act). Кроме того, принцип непрерывности подчеркивает недопустимость перерывов в работе средств защиты, устанавливая повышенные требования к их надежности.
Принцип разумной достаточности учитывает тот факт, что создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту, поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Часто приходится создавать систему защиты в условиях большой неопределенности, поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровня защищенности средства защиты должны обладать определенной гибкостью. Особенно важно это свойство в тех случаях, когда средства зашиты необходимо устанавливать на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
|
|
Принцип простоты применения состоит в том, что механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не следует требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).
Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм представителей службы безопасности, подготовка пользователей средств вычислительной техники и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.