2.5. Задачи защиты информации в иткс, способы и средства их решения
От четкости и конкретности целей и задач во многом зависит успех в их достижении и решении. Провал многих, в принципе полезных, начинаний обусловлен именно расплывчатостью и неопределенностью целей и задач.
Цели защиты информации сформулированы в ст. 20 Закона РФ «Об информации, информатизации и защите информации»:
- предотвращение утечки, хищения, искажения, подделки информации;
- предотвращение угроз безопасности личности, общества, государства;
- предотвращение несанкционированных действий по уничтожению, модификации, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима как объекта собственности;
- защита конституционных прав граждан по сохранению личной тайны, конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
- обеспечение прав субъекта в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средства их обеспечения.
Основной целью защиты информации является обеспечение заданного уровня ее безопасности. Под заданным уровнем безопасности информации понимается такое состояние защищенности информации от угроз, при котором обеспечивается допустимый риск ее уничтожения, изменения и хищения. Под уничтожением информации понимается не только ее физическое уничтожение, но и стойкое блокирование санкционированного доступа к ней. В общем случае при блокировке информации в результате неисправности замка или утери ключа сейфа, забытия пароля компьютера, искажения кода загрузочного сектора винчестера и других факторах информация не искажается и не похищается и при определенных усилиях доступ к ней может быть восстановлен. Следовательно, блокирование информации прямой угрозы ее безопасности не создает. Однако при невозможности доступа к ней в нужный момент ее пользователь теряет информацию так же, как если бы она была уничтожена.
Угроза может быть реализована с различной вероятностью. Вероятность реализации угрозы безопасности информации определяет риск ее владельца. Допустимость риска означает, что ущерб в результате реализации угроз не приведет к серьезным последствиям для собственника информации. Ущерб может проявляться в разнообразных формах: неполучение прибыли, ожидаемой от информации при ее материализации в новой продукции или принятии более обоснованного решения, дополнительные затраты на замену образцов военной техники, характеристики которой стали известны вероятному противнику и другие. По некоторым оценкам, например, попадание к конкуренту около 20% объема конфиденциальной информации фирмы может привести к ее банкротству.
Риск владельца информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, определяется ресурсами системы. Ресурс может быть определен в виде количества людей, привлекаемых к защите информации, в виде инженерных конструкций и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительства, разработки и покупки технических средств, их эксплуатационных и др. расходов. Наиболее, общей формой представления ресурса является денежная мера. Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер. Разовый ресурс расходуется на закупку, установку и наладку дорогостоящей техники, постоянный – на заработную плату сотрудникам службы безопасности и поддержание определенного уровня безопасности, прежде всего, путем эксплуатации технических средств и контроля эффективности защиты. Средний ресурс оценивается величиной денежных средств, выделяемых или расходуемых в среднем в год, как отношение расходов за определенный период на длительность этого периода в годах. При построении или модернизации системы защиты необходимые большие разовые расходы на создание или закупку технических средств защиты за достаточно большое время их применения (5-10 лет) окупаются.
Чем больше ресурс на защиту информации, тем более высокий уровень безопасности информации может он обеспечить. В принципе, при неограниченном ресурсе можно получить сколь угодно малую вероятность реализации угрозы. Если обозначить через Cи и Pу цену информации и вероятность реализации угрозы соответственно, то ущерб от реализации угрозы можно оценить величиной
Cу = CиPу.
Величину ущерба можно рассматривать как возможные (потенциальные) косвенные расходы, а ресурс – как прямые (учитываемые бухгалтерией) расходы Cпр на защиту. Следовательно, владелец (пользователь) информации объективно вынужден нести расходы на нее, равные сумме прямых и косвенных расходов:
Cри = Cпр + Cкр.
Между этими слагаемыми существует тесная связь – косвенные расходы обратно пропорциональны прямым расходам. Эта связь позволяет оценить на качественном уровне зависимость суммарных расходов на информацию от прямых расходов, качественно отображенной на рис.4.
Рис. 4. Зависимость суммарных расходов на информацию от прямых расходов
Рост суммарных расходов на информацию при малых прямых расходах вызван тем обстоятельством, что эффект защиты начинает проявляться, когда прямые расходы превышают некоторую критическую массу. Например, для получения эффекта от средства защиты необходимо предварительно вложить средства в его покупку и установку.
Из этого рисунка следует, что при некоторых прямых расходах наблюдается область с минимальными суммарными расходами на информацию. Эта область является областью рациональной защиты информации.
Сформулировать задачи защиты информации можно только тогда, когда определена защищаемая информация и ее угрозы. В постановке задачи указывается необходимость определения рациональных мер для конкретной защищаемой информации и ее угроз с учетом имеющегося ресурса.