МЕТОДОЛОГИЯ ПОСТРОЕНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ НА ОБЪЕКТАХ ИНФОРМАТИЗАЦИИ

Королёв В.И.

1 Системный подход при комплексной защите информации

1.1 Объект информатизации как объект защиты

В общесистемном представлении под объектом информатизации понимается любой субъект или организация (предприятие) любого вида деятельности, в интересах которых обеспечиваются максимально необходимые потребности в информации. Такое представление является следствием нормативного определения информатизации как «процесса создания оптимальных условий для наиболее полного удовлетворения информационных потребностей … граждан, … организаций» [20]. В современной информационной сфере понятие информатизации тесно связано с понятием автоматизации, когда автоматизированные системы различного назначения (АИС, ИАС, САПР, АСУ - АСУП, АСУ ТП и др.) стали, по существу, производными информационных технологий (ИТ). Такая связь вполне объяснима, так как, во-первых, любая автоматизированная система (АС) предназначена для повышения эффективности работы организации, во-вторых, функционирование АС направлено на максимальное удовлетворение информационных потребностей пользователей АС непосредственно (АИС, ИАС) или через автоматизацию процессов деятельности (АСУП, АСУ ТП, САПР и др.).

Когда основой информатизации является разработка и внедрение АС, понятие объекта информатизации, как правило, связывается с объектом автоматизации – видом автоматизируемой деятельности, бизнес-процессом, технологическим процессом, процессом управления и т.д., но чаще с самой организацией, в интересах которой разрабатываются АС. Такой подход вполне согласуется с нормативным понятием информатизации, так как информатизация – это не только «процесс удовлетворения информационных потребностей», но и средства её реализации, место её реализации.

Таким образом, будем считать: объект информатизации (ОИ) – это организация определённого вида деятельности (производственное или иного предназначения предприятие, орган государственного управления, банк и т.д.), которая включает в себя развитую информационную сферу и широко использует в своей деятельности информационные технологии.

Как правило, понятие ОИ в таком представлении используется при решении проблемы информатизации/автоматизации организации в целом или отдельных её видов деятельности (бизнес-процессов).

Однако в ряде приложений, в том числе при решении проблемы обеспечения защиты информации, объект информатизации целесообразно определять в другом аспекте – как исполнительную структуру информационной сферы организации. В этом случае объект информатизации – это совокупность информационных ресурсов, средств и систем обработки и передачи информации, используемых в организации в соответствии с заданной информационной технологией. В состав объекта информатизации в данном случае включаются средства жизнеобеспечения объекта информатизации (здания, сооружения, помещения, обеспечивающие технические средства и инженерные системы), которые необходимы для установки и эксплуатации средств и систем обработки и передачи информации. Особо выделяются технологические и служебные помещения, в которых осуществляется работа с конфиденциальной информацией и возможно ведение конфиденциальных переговоров. Именно так трактуется объект информатизации в ГОСТ Р 51275–99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию» [10]. При решении проблемы защиты информации необходимо осмысленное и конкретное использование понятия «объект информатизации» с учётом приведённых выше двух аспектов.

Теоретические разработки и практика обеспечения защиты информации в современных информационных технологиях показывают, что эффективное обеспечение защиты информации на объекте информатизации требует системного подхода и комплексных решений, то есть создания комплексной системы защиты информации (КСЗИ) объекта информатизации – КСЗИ ОИ.

При создании КСЗИ в область рассмотрения должна включаться вся информационная сфера организации. При этом объект информатизации идентифицируется как объект защиты.

Строго говоря, информационная сфера организации включает в себя все виды информационной деятельности и используемые информационные технологии, однако, при дальнейшем рассмотрении ограничимся наиболее проблемными в части защиты информации автоматизированными информационными технологиями.

Схема информационного представления объекта информатизации в упрощённом виде показана на Рисунке 1.

Рисунок 1. - Информационное представление ОИ

Организация (объект информатизации) обладает собственными информационными ресурсами (ИР) или использует в работе в рамках предоставленной компетенции доверенные ей информационные ресурсы других обладателей информации. Информационные ресурсы ОИ являются базовым компонентом информационной сферы. Они являются исходным продуктом функционирования АС и других ИТ, эксплуатируемых на ОИ, могут динамически изменяться в ходе реализации информационных технологий (поступления, накопления, обработки, обмена и т.д.) или в результате их актуализации, предназначены для пользователей, то есть должны быть доступны для их использования по назначению. Однако информационные ресурсы могут включать в себя информацию ограниченного доступа в зависимости от её сущности. В соответствии с Законом РФ «Об информации, информационных технологиях и о защите информации» именно информация ограниченного доступа подлежит защите. Эта информация является предметом защиты для КСЗИ.

Защита информации (информационных объектов) ограниченного доступа – это безусловное и строгое обеспечение свойств конфиденциальности, целостности, доступности – в рамках установленных прав и полномочий, а также защита информации от «иных неправомерных действий в отношении такой информации» [13].

В состав информационной сферы ОИ могут входить традиционные документальные технологии, АС различного назначения с обеспечивающей информационно-технической инфраструктурой (ИТИ), отдельные автоматизированные ИТ, реализуемые на базе ИТИ или с помощью локальных комплексов средств автоматизации (КСА), технологии транспортировки информации средствами телекоммуникационной сети (ТКС).

Кроме того, ОИ информационно взаимодействует с внешней информационной средой (другие ОИ, внешние пользователи АС). Это взаимодействие может быть штатным, когда каналы информационного взаимодействия определёны, регламент информационного обмена контролируем. Но внешнее информационное взаимодействие может быть связано и с наличием побочных воздействий на защищаемую информацию и побочных исходящих информационных потоков, которые могут возникать за счёт человеческого фактора, свойств и особенностей работы технических средств, наличия специальной техники. Назовём это явление побочным информационным проявлением ОИ, а информационные отношения такого рода – побочными информационными технологиями. Одним из вариантов существования подобного рода побочных информационных технологий могут быть технологии съёма информации за счёт побочных электромагнитных излучений от технических средств обработки информации и наводок сигналов, имеющих информационную составляющую, на проводные среды (утечка информации за счёт ПЭМИН).

1.2 Системность и комплексность защиты информации

Анализ угроз информации, уязвимостей среды и средств реализации современных информационных технологий, методов, механизмов и средств защиты информации в автоматизированных системах показывает многоплановость и сложность защиты информации на объекте информатизации.

На объекте, как правило, эксплуатируется несколько АС различного назначения (информационного обеспечения и информационно-аналитической поддержки, управления, автоматизации технологических, операционных и расчётных процессов и т.д.). Они по-разному влияют на конечный результат функционирования ОИ и на возможный ущерб от угроз информационного характера, включают в себя информационные ресурсы, требующие различного уровня защиты, реализуются различными средствами, которые в большей или в меньшей мере являются уязвимыми в части защищённости информации.

Идеология современного построения средств автоматизации/информатизации ОИ предполагает наличие ИТИ (базовая платформа: программно-технический комплекс – ПТК и телекоммуникационная сеть – ТКС), на которой размещаются АС, как функциональные приложения, имеющие своё прикладное специальное программное обеспечение – СПО [11]. На основе ИТИ или локально своими КСА могут реализовываться другие ИТ – общесистемные сервисы, отдельные комплексы задач, внесистемные процедуры, ручные информационные технологии информационной сферы объекта, взаимодействующие с автоматизированным контуром.

Кроме того, следует также учесть и возможные побочные информационные технологии, для нейтрализации которых должны быть решены задачи защиты информации. Необходимо создать условия доверенного статуса вспомогательного оборудования, которое может стать техническим каналом утечки информации, территорий и помещений, предназначенных для размещения ПТК, компонентов ТКС, технологических и эксплуатационных служб. Условия доверенного статуса обеспечиваются, как правило, организационно-техническими мерами и мероприятиями (инженерно-техническая защита, специальный режим работы пользователей, технологического и эксплуатационного персонала и т.д.).

Базовым является фактор - структурные, технические, технологические и организационные решения по защите информации неразрывно связаны с проектными решениями по АС и обеспечивающей их функционирование инфраструктуре.

Все эти предпосылки, как ранее было отмечено, обосновывают методологический подход к эффективному решению проблемы защиты информации на объекте информатизации – системный подход и комплексное использование всех известных методов и средств защиты информации, то есть путём создания КСЗИ. Этот подход позволяет реализовать системную интеграцию разнородных задач и средств для достижения единой цели – обеспечения заданного уровня защищённости информационных ресурсов ОИ.

КСЗИ разрабатывается как автоматизированная организационно-техническая система управления [12] информационной безопасностью на объекте информатизации. Цель создания КСЗИ - нейтрализация актуальных для ОИ и эксплуатируемых на объекте АС угроз информационного характера, которые могут иметь различные источники и быть различной природы. При этом понимается, что система является специализированной (имеет свою специальную нормативную базу) и разрабатывается для защиты информации ограниченного доступа.

По охвату действия КСЗИ объекта информатизации должна обеспечивать защиту информации каждой функционирующей на объекте автоматизированной системы и всех информационных технологий, связанных с АС или с отдельными ИТ автоматизации/информатизации объекта.

Конструктивно КСЗИ является интегрированной обеспечивающей системой для всех эксплуатируемых на объекте информатизации АС. Её компоненты могут быть подсистемами защиты информации АС (ПСЗИ АС), тем самым, осуществляя системную увязку средств КСЗИ, согласование политик безопасности различных эксплуатируемых АС и единство управления информационной безопасностью на объекте в рамках КСЗИ.

Комплексная защита информации при выборе совокупности средств для решения задачи защиты должна удовлетворять следующим общим требованиям [6]:

• должны быть разработаны и доведены до уровня регулярного использования все необходимые механизмы гарантированного обеспечения требуемого уровня защищенности информации;

• механизмы требуемого уровня защищенности информации должны существовать в практической реализации;

• необходимо располагать сертифицированными средствами рациональной и эффективной реализации всех необходимых технических решений по защите информации;

• должны быть разработаны способы оптимальной организации и обеспечения проведения всех мероприятий по защите в процессе обработки информации.

Средства защиты, входящие в КСЗИ, обеспечивая решение задач защиты, должны регулярно выполнять свои функции, не конфликтуя между собой и с другими компонентами системы. В то же время они могут быть реализованы различными способами и методами в части моделей, алгоритмов и инструментария, могут быть программными или аппаратными средствами, организационными мерами и мероприятиями, а также представлять собой комплексные технические и организационные решения в виде отдельных функциональных изделий.

Системный подход к защите информации ограниченного доступа на объектах информатизации требует обеспечения защиты [3]:

• при всех видах информационной деятельности на объекте информатизации;

• во всех структурных компонентах АС;

• при всех режимах функционирования;

• на всех этапах жизненного цикла АС;

• с учётом взаимодействия объекта информатизации с внешней средой.

Таким образом, КСЗИ создаются в соответствии с принципами системности и комплексности. Исходя из рассмотренных выше предпосылок, эти принципы могут быть в обобщённом виде представлены в следующей интерпретации.

• Принцип системности заключается в том, что при декомпозиции целей и синтезе структурных элементов КСЗИ между ними, компонентами АС и процессами реализации информационных технологий, в интересах которых осуществляется защита информации, должны быть установлены такие связи, которые обеспечивают цельность КСЗИ и её взаимодействие с другими системами объекта информатизации и подсистемами АС.

При этом обеспечивается:

• рассмотрение всех угроз информации, влияющих на состояние защищённости информации в АС и на объекте информатизации;

• выделение актуальных из них путём анализа порождаемых ими рисков и последующего возможного ущерба, если риск становится реальным событием;

• ранжирование актуальных угроз;

• учёт всех выделенных актуальных угроз при создании КСЗИ.

  • Принцип комплексности предполагает оптимальное использование различных методов, мер и средств защиты информации (административно-правовых, организационных, организационно-технических, технических, программных) для нейтрализации угроз информации и поддержания заданного уровня защищённости информации, интеграции этих средств в единую технологически связанную и управляемую систему.