Информации. Организация и обеспечение работ по защите

Организация и обеспечение работ по защите

Подведем итоги всему изложенному в предыдущих разделах лекции.

Первый вывод, несомненно, состоит в том, что защита информации в современных АСОД должна быть комплексной и предусматривать обеспечение физической и логи­ческой целостности информации, предупреждение несанкционированной ее модификации, предотвращение несанкционированных получения и размножения.

Основной аргумент в пользу комплексной защиты заключается в том, что перечисленные виды защиты являются в значительной степени взаимозависимыми, поэтому независимая защита информации по каж­дому виду будет значительно уступать комплексной как по эффектив­ности защиты, так и по затратам сил и средств на защиту.

Второй принципиальной важности вывод сводится к тому, что комплексная защита информации может быть эффективной лишь при условии системно-концептуального подхода к изучению и решению всех вопросов, связанных с защитой.

При этом под системно-концептуальным подходом понимается си­стемное рассмотрение всех вопросов и концептуальное их решение.

В понятие системности рассмотрения включается следующее:

– исследование и разработка всей совокупности вопросов защиты информации с единых методологических позиций;

– рассмотрение в едином комплексе всех ви­дов защиты информации;

– системный учет всех факторов, оказывающих влияние на защи­щенность информации;

– комплексное использование всех имеющихся средств защиты ин­формации.

Концептуальность подхода означает, что решение всех вопросов защиты информации осуществляется в рамках некоторой единой концеп­ции, объединяющей наиболее рациональным образом все системные ре­шения по защите.

Третий фундаментальный вывод заключается в том, что на базе си­стемно-концептуального подхода может быть разработана унифициро­ванная концепция защиты информации, причем унифицированная как относительно различных видов и стратегий защиты, так и относительно типов АСОД, их архитектурного построения, технологий и условий функционирования. Рассмотрению структуры, содержания и методов практической реализации унифицированной концепции защиты отведена основная доля объема данного учебника.

Четвертый фундаментальный вывод сводится к тому, что работы по защите информации должны проводиться непрерывно. В самом деле, из анализа развития концепций защиты однозначно следует, что рассмат­риваемые здесь проблемы защиты информации оказались не просто на­много сложнее, а принципиально отличными от первоначального пред­ставления о них как о чисто технических задачах, которые могут быть решены попутно с разработкой основных компонентов АСОД. Более чем 30-летний опыт и теоретических исследований, и практического решения проблем как у нас в стране, так и за рубежом показывает, что возмож­ности случайных воздействий на информацию и особенно злоумышлен­ных действий над ней развивались и совершенствовались, по крайней мере, не менее интенсивно, чем средства их предупреждения и пресечения. Про­блема приобрела ярко выраженный характер игровой ситуации и притом в антагонистической и стохастической ее постановке. Из теории игр из­вестно, что решение таких задач заключается не просто в определении не­которого решения, а в формировании стратегии поведения игроков. Применительно к проблеме защиты информации это означает, что ее ре­шение не может быть сведено к созданию механизмов защиты – требуется организация регулярной защиты в широкой интерпретации этого поня­тия.

Уже в первых работах по данной проблеме отмечалось, что она представляет собой процесс создания механизмов защиты информации, как реализацию целевой программы различных мероприятий.

Перечень и содержание этих мероприятий следующий:

– установление необходимой степени защиты информации;

– назначение лица, ответственного за выполнение мероприятий по защите информации;

– определение возможных причин (каналов) нарушения защищен­ности информации;

– выделение необходимых средств на защиту информации;

– выделение лиц (подразделений), которым поручается разработка механизмов защиты;

– установление мер контроля и ответственности за соблюдением всех правил защиты информации.

Нетрудно видеть, что приведенная программа есть не что иное, как простая интерпретация методологии проектирования компонентов слож­ных систем. Такой подход полностью вытекает из господствовавших в то время взглядов на решение проблем защиты информации как на разовое мероприятие, осуществляемое на этапе создания или модернизации АСОД. Однако по мере того, как становилось все более ясным, что про­блема защиты не может быть эффективно решена чисто формальными средствами и в порядке реализации разового мероприятия, стали суще­ственно меняться и подходы к организации механизмов защиты. Для по­вышения эффективности функционирования механизмов защиты был предложен целый ряд дополнительных мер организационного характера, направленный, прежде всего, на обеспечение физической целостности ин­формации и на предотвращение несанкционированного ее получения.

Для обеспечения физической целостности информации в АСОД ре­ко­мен­до­ва­лись меры, преследующие следующие цели:

– предупреждение ошибок при подготовке информации к вводу в АСОД;

– обнаружение и исправление ошибок, проявляющихся при вводе информации;

– предупреждение (или восстановление) искажения информации при передаче по линиям связи;

– обеспечение целостности и правильности функционирования ап­паратуры и программного обеспечения АСОД;

– обеспечение сохранности архивных массивов информации;

– предупреждение ошибок при выдаче носителей информации из библиотек и установке их на устройства ввода;

– предупреждение проявления, обнаружение и исправление ошибок операторов и обслуживающего персонала АСОД;

– предупреждение и ликвидация последствий стихийных бедствий и злоумышленных действий.

Перечень и содержание дополнительных мероприятий, предприни­маемых с целью предотвращения несанкционированного получения ин­формации, представляются в следующем виде:

– исключение доступа по­сторонних лиц к терминалам;

– предупреждение несанкционированного подключения к линиям связи;

– предупреждение перехвата и регистрации электромагнитных излучений и перекрестных наводок;

– предупреждение проникновения посторонних лиц в здания, где установлены средства АСОД;

– обеспечение надежной идентификации компонентов АСОД;

– до­полнительное закрытие информации, особенно имеющей повышенный гриф секретности;

– наблюдение за обслуживающим персоналом.

Постепенно, по мере того как росло число зарегистрированных преступлений над информацией в АСОД, росло количество и разнообра­зие мероприятий, которые рекомендовались для повышения эффектив­ности защиты.

Однако, несмотря на те большие усилия как теоретического, так и практического характера, которые прикладывались к решению проблемы защиты информации, состояние ее в настоящее время весьма далеко от сколько-нибудь надежного решения. Более того, возник ряд совершенно новых задач, связанных с проблемой так называемых компьютерных ви­русов. Специалисты приходят к выводу о необходимости кардинального изменения самого взгляда на проблему организации защиты.

Основные положения этих новых взглядов могут быть представле­ны таким образом:

– защита информации является не разовым мероприятием и даже не совокупностью мероприятий, а непрерывным процессом, который должен протекать (осуществляться) во все время и на всех этапах жизнен­ного цикла АСОД;

– осуществление непрерывного процесса защиты информации воз­можно лишь на базе системно-концептуального подхода и промышлен­ного производства средств защиты;

– создание эффективных механизмов защиты может быть осущест­влено лишь высококвалифицированными специалистами-профессионала­ми в области защиты информации;

– поддержание и обеспечение надежного функционирования меха­низмов защиты информации в АСОД сопряжено с решением специфиче­ских задач и поэтому может осуществляться лишь профессионально под­готовленными специалистами.

Общая структура системы обеспечения защиты информации в АСОД представлена на рис. 2.

Рис. 2. Система обеспечения защиты информации в АСОД.

На рисунке 3 приведена укрупненная схема основных процессов, осуществляемых при организации защиты информации на предприятии (в учреждении).

Рис. 3. Схема основных процессов, осуществляемых
при защите информации на предприятии (в учреждении).

Работы по созданию систем защиты информации, как и любых дру­гих сложных систем, выполняются в три этапа: подготовительный, основной и заключительный.

Назначение и общее содержание названных этапов является общепринятым:

– на предварительном этапе изучаются и оцениваются все факторы, влияющие на защиту информации;

– на этапе основных работ принимается принципиальное решение о необходимом уровне защиты и осуществляется проектирование системы защиты;

– на этапе заключительных работ производится оценка системы защиты, причем как по критериям эффективности, так и по технико-экономическим показателям.

Однако, как показал многолетний опыт (в том числе и зарубежный) организации защиты информации в АСОД, каким бы совершенным не был проект системы защиты и его первоначальная реализация, в процессе функционирования АСОД возникают непредвиденные обстоятельства, обусловливаемые, с одной стороны, действиями факторов, неучтенных (или неадекватно учтенных) на этапе создания системы защиты, а с дру­гой – изменениями, происходящими в процессе функционирования АСОД. В связи с этим неизбежно возникает необходимость изменения, совершенствования системы защиты. Весь процесс организации работ по защите удобно представить в виде циклической процедуры, структура и общее содержание которой приведены на рис. 4.

Рис. 4. Структура и содержание цикла работ по защите информации.

Как следует из представленного рисунка, основу технологии со­ставляют следующие положения:

– непрерывный сбор информации о функционировании механиз­мов защиты и о проводимых работах. Для этого, естественно, необходи­мо осуществлять постоянное наблюдение за защитой информации;

– систематический анализ состояния защищенности информации;

– систематическое уточнение требований к защите информации;

– проведение каждый раз (при необходимости, ввиду неудовлетво­рительного состояния защищенности или ввиду изменения требований) всего цикла работ по организации защиты.

Дата добавления: 2014-01-15; Просмотров: 1495; Нарушение авторских прав?; Мы поможем в написании вашей работы!