Организация защиты информационных ресурсов
Авторы: Охрименко С.А., Черней Г.А.
Большинство создаваемых и функционирующих информационных систем базируются на использовании интегрированного (системного) подхода к использованию информационных, математических, программных, вычислительных и других их ресурсов. Именно это обстоятельство порождает необходимость обеспечения безопасности и исключения несанкционированного доступа и использования данных. При этом требуется решение трех взаимосвязанных проблем. Первая связана с определением (установлением) объекта защиты (что защищать), вторая – нарушителя защиты (от кого защищать) и третья – средств, методов и способов предотвращения возможных угроз (как защищать). Приведенные проблемы отличаются глубиной проработки теоретических и практических вопросов.
Первая проблема объединяет анализ целей и разработку общей концепции системы информационной безопасности, анализ потенциальных угроз и каналов утечки информации. Обоснование потенциальных действий злоумышленников, тактики и стратегии доступа нарушителей к информационным ресурсам, моделирование возможных воздействий, а также размера ущерба от неправомерных воздействий – все это характеризует вторую проблему. И, наконец, третья проблема носит прикладной характер, поскольку характеризует комплекс разработок, основной целью которых является исключение несанкционированного доступа, захвата и распространения информации.
Информационные ресурсы (ИР) представляют собой знания, представленные в проектной форме и воспринимаемые как часть знаний, которая не только отчуждена от своих создателей, но и материализована в виде документов, баз данных и знаний, алгоритмов и программ, а также произведений науки, литературы и искусства.
ИР объединяют следующие компоненты: информационную базу, материально-техническую базу информационной системы, кадровую, организационно-методическую составляющие, средства коммуникации, средства обработки информации, финансовую и правовую составляющие [1, 3]. Рассмотрим подробнее приведенную совокупность [2].
Информационная база определяется объемом и структурой фондов первичных документов, объемом вторичной (агрегированной) информации, справочно-поискового аппарата, объемом информации, содержащейся в базах данных.
Материально-техническая база характеризует состав и архитектуру комплекса технических средств и программного обеспечения информационной системы.
Кадровая составляющая определяет численность персонала по сбору, анализу, обработке, хранению и передаче информации.
Организационно-методическая составляющая отражает уровень развития сети информационных служб, наличие методических и нормативных документов, которые регламентируют деятельность информационной системы.
Средства коммуникации характеризуют используемые средства связи, количество библиотек, количество изданий на различных носителях, а также число научных форумов. Средства обработки информации – средства аналитико-синтетической переработки информации. Финансовые средства – затраты на различные виды информационной деятельности, услуги, редакционно-издательскую деятельность.
Правовая составляющая определяет и регламентирует отношения, возникающие при сборе, передаче, обработке, накоплении, хранении, актуализации, купли и продаже информации, возникающие в процессе создания, внедрения и эксплуатации информационных систем, других систем обработки и передачи информации.
Организация защиты ИР должна строится на следующих принципах [2]. Первый принцип определяет, что защита должна быть комплексной и предусматривать обеспечение физической целостности информации, предупреждение несанкционированной ее модификации и предотвращение несанкционированного получения. Второй принцип характеризует эффективность комплексной защиты только при условии системно-концептуального подхода к решению вопросов защиты. Это предусматривает:
- исследование и разработку совокупности вопросов защиты ИР с единых методологических позиций;
- рассмотрение в едином комплексе всех видов защиты, в том числе таких, как обеспечение физической целостности, предупреждения несанкционированной модификации, несанкционированного получения;
- системный учет факторов, оказывающих влияние на защищенность информации; комплексное использование средств и методов защиты.
Следующий, третий принцип определяет, что только на основе системно-концептуального подхода может формироваться унифицированная концепция защиты ИР. Причем унификация распространяется как на различные виды защиты (организационные, технические, программные и др.), так и на информационные системы, их архитектуру, технологии обработки информации и условия функционирования.
Четвертый принцип характеризует непрерывность проведения работ по защите ИР и реализацию комплекса мероприятий, основными из которых являются:
- создание механизмов защиты, что предусматривает установление необходимой степени защиты информации в соответствии с Законами о государственной и коммерческой тайне, персональных данных и др.;
- определение причин и каналов утечки информации; выделение финансовых средств; разработка мер контроля и ответственности за соблюдением правил защиты; обеспечение физической целостности посредством таких мер, как предупреждение, обнаружение и исправление ошибок при подготовке и вводе информации;
- восстановление информации при передаче в случае искажения;
- обеспечение целостности и корректности функционирования аппаратно-программного комплекса; обеспечение сохранности архивных массивов; предупреждение и устранение последствий действий злоумышленников.
Выработка стратегических решений для организации защиты ИР базируется на общих моделях систем и процессов, использование которых создает предпосылки для объективной оценки состояния информационной системы. Набор общих моделей должен отражать представление о реальных потребностях информационных систем и процессов. К их числу следует отнести следующие: общая модель процесса защиты ИР, отображающая взаимодействие угроз (дестабилизирующих факторов) и средств противостояния; обобщенная модель системы информационной безопасности, которая является продолжением и развитием общей модели с отображением процессов защиты; модель оценки угроз и потенциальных потерь (анализ рисков), основной целью которой является соответствие реальным процессам защиты; модель анализа систем разграничения доступа к ИР.
Приведенные выше модели не исчерпывают всего многообразия, поскольку носят методологический характер, и это, относится, прежде всего, к модели анализа рисков. Это связано с изменением состава и структуры дестабилизирующих факторов, результатом действия которых является мультипликативный эффект. Именно данная модель находится в центре внимания специалистов по защите ИР.
Немаловажным аспектом эффективной организации защиты ИР является создание стандартов и руководящих методических материалов. Стандарты должны быть сгруппированы в следующей последовательности: обязательные и рекомендуемые. К первой группе относят концептуальные (концепция защиты, система показателей защищенности информации, функции и задачи защиты). Вторая группа объединяет типовые (системы защиты, механизмы защиты, средства защиты, защищенные технологии сбора, обработки и хранения информации).
Структура руководящих методических материалов должна охватывать следующие группы: методология защиты, уязвимость информации и ее оценка, требования к защите информации, функции и задачи защиты информации, средства защиты (с выделением технических, программных, организационных, криптографических, механизмов защиты, систем защиты и др.). Отдельную группу должны составлять материалы по методологии проектирования систем защиты ИР, организации работ по защите, организационно-правовому обеспечению, а также системе условий, обеспечивающих повышение эффективности защиты.
Проблема защиты ИР требует обоснования и разработки соответствующей программы и выделения основных направлений развития. Данная проблема носит государственный характер и, по нашему мнению, должна включать проведение следующих работ: научно-исследовательские проблемы; разработку и анализ проектов по управлению защитой ИР; методическое обеспечение мероприятий; подготовку кадров по защите информации.
Литература
1. Ананьева Т.А. Информационное обеспечение органов управления в свете концепции информационного менеджмента. //Зарубежная радиоэлектроника. – 1995, N 4, с. 45–53.
2. Герасименко В.А Защита информации в автоматизированных системах обработки данных. В 2-х кн. – М.: Энергоатомиздат, 1994.
3. Черней Г.А., Охрименко С.А., Ляху Ф.С. Безопасность автоматизированных информационных систем. – Кишинев: Ruxanda, 1996.