Глава 10

подключения к линиям связи; предупреждение перехвата и регистрации электромагнитных излучений и перекрестных наводок; предупреждение проникновения посторонних лиц в здания, где установлены средства АСОД; обеспечение надежной идентификации компонентов АСОД; до­полнительное закрытие информации, особенно имеющей повышенный гриф секретности; наблюдение за обслуживающим персоналом.

Постепенно, по мере того как росло число зарегистрированных преступлений над информацией в АСОД, росло количество и разнообра­зие мероприятий, которые рекомендовались для повышения эффектив­ности защиты.

Однако, несмотря на те большие усилия как теоретического, так и практического характера, которые прикладывались к решению проблемы защиты информации, состояние ее в настоящее время весьма далеко от сколько-нибудь надежного решения. Более того, возник ряд совершенно новых задач, связанных с проблемой так называемых компьютерных ви­русов. Специалисты приходят к выводу о необходимости кардинального изменения самого взгляда на проблему организации защиты.

Основные положения этих новых взглядов могут быть представле­ны таким образом:

1. защита информации является не разовым мероприятием и даже не совокупностью мероприятий, а непрерывным процессом, который должен протекать (осуществляться) во все время и на всех этапах жизнен­ ного цикла АСОД;

2. осуществление непрерывного процесса защиты информации воз­ можно лишь на базе системно-концептуального подхода и промышлен­ ного производства средств защиты;

3. создание эффективных механизмов защиты может быть осущест­ влено лишь высококвалифицированными специалистами-профессионала­ ми в области защиты информации;

4. поддержание и обеспечение надежного функционирования меха­ низмов защиты информации в АСОД сопряжено с решением специфиче­ ских задач и поэтому может осуществляться лишь профессионально под­ готовленными специалистами.

Общая структура системы обеспечения защиты информации в АСОД представлена на рис. 10.1.

На рис. 10.2 приведена укрупненная схема основных процессов, осуществляемых при организации защиты информации на предприятии (в учреждении).

Работы по созданию систем зашиты информации, как и любых дру­гих сложных систем, выполняются в три этапа: подготовительный, основной и заключительный. Назначение и общее содержание названных этапов является общепринятым: на предварительном этапе изучаются и оцениваются все факторы, влияющие на защиту информации; на этапе основных работ принимается принципиальное решение о необходимом уровне защиты и осуществляется проектирование системы защиты; на этапе заключительных работ производится оценка системы защиты, при-

Организация и обеспечение работ по защите информации

чем как по критериям эффективности, так и по технико-экономическим показателям.

Однако, как показал многолетний опыт (в том числе и зарубежный) организации защиты информации в АСОД, каким бы совершенным не был проект системы защиты и его первоначальная реализация, в процессе функционирования АСОД возникают непредвиденные обстоятельства, обусловливаемые, с одной стороны, действиями факторов, неучтенных (или неадекватно учтенных) на этапе создания системы защиты, а с дру­гой - изменениями, происходящими в процессе функционирования АСОД. В связи с этим неизбежно возникает необходимость изменения, совершенствования системы защиты. Весь процесс организации работ по защите удобно представить в виде циклической процедуры, структура и общее содержание которой приведены на рис. 10.3.

Как следует из представленного рисунка, основу технологии со­ставляют следующие положения:

1. непрерывный сбор информации о функционировании механиз­ мов защиты и о проводимых работах. Для этого, естественно, необходи­ мо осуществлять постоянное наблюдение за защитой информации;

1. систематический анализ состояния защищенности информации;

2. систематическое уточнение требований к защите информации;

2. проведение каждый раз (при необходимости, ввиду неудовлетво­ рительного состояния защищенности или ввиду изменения требований) всего цикла работ по организации защиты.