2015-04-17
762
Существующая в Украине нормативная база еще не достигла необходимого развития в данной области. Так, например, из огромного списка стандартов и нормативных документов Украины можно выделить лишь некоторые, которые могут быть использованы при проектировании защищенных АС [2-5].
Поэтому, при проведении данного рода работ, специалисты используют также международные (ISO) и межгосударственные (ГОСТы, утвержденные до 1992 года, включительно) стандарты [6].
Согласно одному из таких стандартов [7] АС представляет собой систему, состоящую из персонала и комплекса средств автоматизации его деятельности, реализующую информационную технологию выполнения установленных функций.
В зависимости от вида деятельности выделяют следующие виды АС: автоматизированные системы управления (АСУ), системы автоматизированного проектирования (САПР), автоматизированные системы научных исследований (АСНИ) и др.
В зависимости от вида управляемого объекта (процесса) АСУ делят на АСУ технологическими процессами (АСУТП), АСУ предприятиями (АСУП) и т.д.
|
|
|
В нашем случае АС представляет собой среду обработки информации, и также информационных ресурсов в информационно-телекоммуникационной системе. Поэтому в дальнейшем будем использовать понятие автоматизированная информационная система.
Закон Украины «Об информации» [1] трактует понятие «информация» в следующем виде: «под информацией понимается документируемые или публично объявленные сведения о событиях и явлениях, которые происходят в обществе, государстве и окружающей среде».
В свою очередь, защита информации в АС - деятельность, которая направлена на обеспечение безопасности обрабатываемой в АС информации и АС в целом, и позволяет предотвратить или осложнить возможность реализации угроз, а также снизить величину потенциальных убытков в результате реализации угроз.
Таким образом, АИС представляет собой сложную систему, которую целесообразно разделять на отдельные блоки (модули) для облегчения ее дальнейшего проектирования. В результате этого, каждый модуль будет независим от остальных, а в комплексе они будут составлять цельную систему защиты.
Выделение отдельных модулей АИС позволяет службе защиты информации:
- своевременно и адекватно реагировать на определенные виды угроз информации, которые свойственны определенному модулю;
- в короткие сроки внедрять систему защиты информации в модулях, которые только что появились;
- упростить процедуру контроля системы защиты информации в целом (под системой защиты информационной инфраструктуры предприятия в целом следует понимать совокупность модулей систем защиты информации).
|
|
|
Постепенно наращивая количество модулей, а также усложняя структуру защиты, АИС приобретает некую комплексность, которая подразумевает использование не одного типа защитных функций во всех модулях, а их произведение.
Таким образом, построение КСЗИ становится неотъемлемым фактором в разработке эффективной системы защиты от несанкционированного доступа.
Согласно [8] КСЗИ – совокупность организационных и инженерных мероприятий, программно-аппаратных средств, которые обеспечивают защиту информации в АС.
Отсюда видно, что, например, простым экранированием помещения при проектировании КСЗИ не обойтись, так как данный метод предполагает лишь защиту информации от утечки по радиоканалу.
В общем случае понятие «комплексность» представляет собой решение в рамках единой концепции двух или более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или то и другое (всеобщая комплексность).
Целевая комплексностьозначает, что система информационной безопасности должна строиться следующим образом:
- защита информации, информационных ресурсов и систем личности, общества и государства от внешних и внутренних угроз;
- защита личности, общества и государства от негативного информационного воздействия.
Инструментальная комплексностьподразумевает интеграцию всех видов и направлений ИБ для достижения поставленных целей.
Современная система защиты информации должна включать структурную,функциональную и временную комплексность.
Структурная комплексностьпредполагает обеспечение требуемого уровня защиты во всех элементах системы обработки информации.
Функциональная комплексность означает, что методы защиты должны быть направлены на все выполняемые функции системы обработки информации.
Временная комплексностьпредполагает непрерывность осуществления мероприятий по защите информации, как в процессе непосредственной ее обработки, так и на всех этапах жизненного цикла объекта обработки информации.
