Наталия Гришина - Организация комплексной системы защиты информации
Жалоба
Напишите нам, и мы в срочном порядке примем меры.
Наталия Гришина - Организация комплексной системы защиты информации краткое содержание
Организация комплексной системы защиты информации читать онлайн бесплатно
Н. В. Гришина
ОРГАНИЗАЦИЯ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
ВВЕДЕНИЕ
На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым элементом системы и вместе с тем самым трудно формализуемым и потенциально слабым ее звеном.
Создание системы защиты информации (СЗИ) не является главной задачей предприятия, как, например, производство продукции и получение прибыли. Поэтому создаваемая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть экономически оправданным. Тем не менее она должна обеспечивать защиту важных информационных ресурсов предприятия от всех реальных угроз.
В книге предложен комплексный подход к организации защиты информации (ЗИ) на предприятии. При этом объектом исследования является не только информационная система, но и предприятие в целом.
Рассматриваются концептуальные основы защиты информации, раскрывающие сущность, цели, структуру и стратегию защиты.
Анализируются источники, способы и результаты дестабилизирующего воздействия на информацию, а также каналы и методы несанкционированного доступа к информации. Определяются методологические подходы к организации и технологическому обеспечению защиты информации на предприятии. Представлена архитектура, этапы построения, принципы управления комплексной системой защиты информации (КСЗИ). Особое внимание уделено проблеме «человеческого фактора».
Предложенный подход к защите информации обеспечит целостное видение проблемы, повышение качества, следовательно, и надежности защиты информации.
Следует подчеркнуть, что автор умышленно уходит от понятия «информационная безопасность», используя термин «защита информации».
Информационную безопасность принято рассматривать как обеспечение состояния защищенности:
1) личности, общества, государства от воздействия недоброкачественной информации;
2) информации и информационных ресурсов от неправомерного и несанкционированного воздействия посторонних лиц;
3) информационных прав и свобод гражданина и человека.
Поскольку в книге не рассматриваются вопросы защиты от воздействия недобросовестной информации, автор посчитал необходимым использовать более «узкий» термин.
1. СУЩНОСТЬ И ЗАДАЧИ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
1.1. Подходы к проектированию систем защиты информацииБытует мнение, что проблемы защиты информации относятся исключительно к информации, обрабатываемой компьютером. Это, по-видимому, связано с тем, что компьютер, и в частности персональный компьютер, является «ядром», центром хранения информации. Объект информатизации, по отношению к которому направлены действия по защите информации, представляется более широким понятием по сравнению с персональным компьютером. Что же представляет собой объект информатизации и каково его место на предприятии?
ГОСТ РФ 51275-99 определяет объект информатизации как «совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров»[1].
Слово «совокупность» в данном определении указывает на то, что объект информатизации это единая информационная система, охватывающая в целом предприятие, учреждение, организацию.
В реальной жизни все эти отдельные «объекты информатизации» расположены в пределах одного предприятия и представляют собой единый комплекс компонентов, связанных общими целями, задачами, структурными отношениями, технологией информационного обмена и т. д.
Современное предприятие — большое количество разнородных компонентов, объединенных в сложную систему для выполнения поставленных целей, которые в процессе функционирования предприятия могут модифицироваться. Многообразие и сложность влияния внутренних и внешних факторов, которые часто не поддаются строгой количественной оценке, приводят к тому, что эта сложная система может обретать новые качества, не свойственные составляющим ее компонентам.
Характерной особенностью подобных систем является прежде всего наличие человека в каждой из составляющих ее подсистем и отдаленность (разделенность) человека от объекта его деятельности. Это происходит в связи с тем, что множество компонентов, составляющих объект информатизации, интегрально может быть представлено совокупностью трех групп систем: 1) люди (биосоциальные системы); 2) техника (технические системы и помещения, в которых они расположены); 3) программное обеспечение, которое является интеллектуальным посредником между человеком и техникой (интеллектуальные системы). Совокупность этих трех групп образует социотехническую систему. Такое представление о социотехнических системах является достаточно широким и может быть распространено на многие объекты. Круг наших интересов ограничивается исследованием безопасности систем, предназначенных для обработки поступающей на их вход информации и выдачи результата, т. е. социотехнических систем информационного типа.
Если обратиться к истории этой проблемы, то можно условно выделить три периода развития средств защиты информации (ЗИ):
— первый относится к тому времени, когда обработка информации осуществлялась по традиционным (ручным, бумажным) технологиям;
— второй — когда для обработки информации на регулярной основе применялись средства электронной вычислительной техники первых поколений;
— третий — когда использование средств электронно-вычислительной техники приняло массовый и повсеместный характер (появление персональных компьютеров).
В 60–70 гг. проблема защиты информации решалась достаточно эффективно применением в основном организационных мер. К ним относились: режимные мероприятия, охрана, сигнализация и простейшие программные средства защиты информации. Эффективность использования этих средств достигалась за счет концентрации информации в определенных местах (спец. хранилища, вычислительные центры), что способствовало обеспечению защиты относительно малыми средствами.
«Рассосредоточение» информации по местам хранения и обработки обострило ситуацию с ее защитой. Появились дешевые персональные компьютеры. Это дало возможность построения сетей ЭВМ (локальных, глобальных, национальных и транснациональных), которые могут использовать различные каналы связи. Эти факторы способствуют созданию высокоэффективных систем разведки и получения информации. Они нашли отражение и в современных предприятиях.
Современное предприятие представляет собой сложную систему, в рамках которой осуществляется защита информации.
Рассмотрим основные особенности современного предприятия:
— сложная организационная структура;
— многоаспектность функционирования;
— высокая техническая оснащенность;
— широкие связи по кооперации;
— необходимость расширения доступа к информации;
— всевозрастающий удельный вес безбумажной технологии обработки информации;
• возрастающий удельный вес автоматизированных процедур в общем объеме процессов обработки данных;
• важность и ответственность решений, принимаемых в автоматизированном режиме, на основе автоматизированной обработки информации;
• высокая концентрация в автоматизированных системах информационных ресурсов;
• большая территориальная распределенность компонентов автоматизированных систем;
• накопление на технических носителях огромных объемов информации;
• интеграция в единых базах данных информации различного назначения и различной принадлежности;
• долговременное хранение больших объемов информации на машинных носителях;
• непосредственный и одновременный доступ к ресурсам (в т. ч. и к информации) автоматизированных систем большого числа пользователей различных категорий и различных учреждений;
• интенсивная циркуляция информации между компонентами автоматизированных систем, в том числе и удаленных друг от друга.