Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
167
Добавлен:
10.05.2015
Размер:
4.13 Mб
Скачать

Введение Цели, задачи и ресурсы системы защиты информации

Формулирование целей и задач защиты информации, как лю­бой другой деятельности, представляет начальный и значимый этап обеспечения безопасности информации. Важность этого эта­па часто недооценивается и ограничивается целями и задачами, на­поминающими лозунги. В то же время специалисты в области сис­темного анализа считают, что от четкости и конкретности целей ипостановок задач во многом зависит успех в их достижении и ре­шении. Провал многих, в принципе полезных, начинаний обуслов­лен именно неопределенностью и расплывчатостью целей и задач, из которых не ясно, кто, что и за счет какого ресурса предполагает решать продекларированные задачи.

Цели защиты информации сформулированы в ст. 20 Закона РФ «Об информации, информатизации и защите информации»:

  • предотвращение утечки, хищения, искажения, подделки инфор­мации;

  • предотвращение угроз безопасности личности, общества, госу­дарства;

  • предотвращение несанкционированных действий по уничтоже­нию, модификации, копированию, блокированию информации,предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспече­ние правового режима как объекта собственности;

  • защита конституционных прав граждан по сохранению личнойтайны, конфиденциальности персональных данных, имеющих­ся в информационных системах;

  • сохранение государственной тайны, конфиденциальности до­кументированной информации в соответствии с законодатель­ством;

  • обеспечение прав субъектов в информационных процессах ипри разработке, производстве и применении информационныхсистем, технологии и средств их обеспечения.

В общем виде цель защиты информации определяется как обес­печение безопасности информации, содержащей государственнуюили иные тайны. Но такая постановка цели содержит неопределен­ные понятия:информация ибезопасность.

Информация — первичное понятие, используемое в понятий­ном аппарате информационной безопасности. Предпринимаются многочисленные попытки дать корректное определение понятию «информация», но список попыток пока не закрыт. Учитывая, чтолюбой материальный объект или физическое явление отобража­ются в виде совокупности признаков (свойств), а человек, кроме того, на основе этих признаков формирует их модели или образы, то информацию можно представить как отображение реального или виртуального мира на языке признаков материальных объек­тов или абстрактных символов. Более подробно понятие «инфор­мация» рассмотрено в разд. И.

Основной целью защиты информации является обеспечение заданного уровня ее безопасности. Под заданным уровнем безо­пасности информации понимается такое состояние защищеннос­ти информации от угроз, при котором обеспечивается допустимыйриск ее уничтожения, изменения и хищения. При этом под унич­тожением информации понимается не только ее физическое унич­тожение, но и стойкое блокирование санкционированного досту­па к ней. В общем случае при блокировке информации в резуль­тате неисправности замка или утери ключа сейфа, забытия пароля компьютера, искажения кода загрузочного сектора винчестера или дискетки и других факторах информация не искажается и не похищается и при определенных усилиях доступ к ней может быть вос­становлен. Следовательно, блокирование информации прямой уг­розы ее безопасности не создает. Однако при невозможности до­ступа к ней в нужный момент ее пользователь теряет информацию так же, как если бы она была уничтожена.

Угроза может быть реализована с различной вероятностью. Вероятность реализации угрозы безопасности информации оп­ределяет риск ее владельца. Допустимость риска означает, что ущерб в результате реализации угроз не приведет к серьезным последствиям для собственника информации. Ущерб может про­являться в разнообразных формах: неполучение прибыли, ожида­емой от информации при ее материализации в новой продукции или принятии более обоснованного решения; дополнительные за­траты на замену образцов военной техники, характеристики кото­рой стали известны вероятному противнику; и другие. По некото­рым оценкам, например, попадание к конкуренту около 20% объ­ема конфиденциальной информации фирмы может привести к ее банкротству.

Риск владельца информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, опре­деляется ресурсами системы. Ресурс может быть определен в видеколичества людей, привлекаемых к защите информации, в виде ин­женерных конструкций и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительства, разработки и покупки технических средств, их эксплуатационных и др. расходов. Наиболее общей формой представления ресурса яв­ляется денежная мера. Ресурс, выделяемый на защиту информа­ции, может иметь разовый и постоянный характер. Разовый ресурс расходуется на закупку, установку и наладку дорогостоящей тех­ники, постоянный — на заработную плату сотрудникам службы безопасности и поддержание определенного уровня безопасности,прежде всего, путем эксплуатации технических средств и контро­ля эффективности защиты. Средний ресурс оценивается величи­ной денежных средств, выделяемых или расходуемых в среднем в год, как отношение расходов за определенный период на длитель­ность этого периода в годах. При построении или модернизации системы защиты необходимые большие разовые расходы на создание или закупку технических средств защиты за достаточно боль­шое время их применения (5-10 лет) окупаются.

Чем больше ресурс на защиту информации, тем более высо­кий уровень безопасности информации может он обеспечить. В принципе, при неограниченном ресурсе можно получить сколь угодно малую вероятность реализации угрозы. Если обозначить через Си и Ру цену информации и вероятность реализации угро­зы соответственно, то ущерб от реализации угрозы можно оценить величиной С = СиР . Величину ущерба можно рассматривать как возможные (потенциальные) косвенные расходы, а ресурс — как прямые (учитываемые бухгалтерией) расходы Спр на защиту ин­формации. Следовательно, владелец (пользователь) информацииобъективно вынужден нести расходы на нее, равные сумме пря­мых и косвенных расходов: С pи = Спр + Скp. Между этими слагаемы­ми существует тесная связь — косвенные расходы обратно пропор­циональны прямым расходам. Эта связь позволяет оценить на ка­чественном уровне зависимость суммарных расходов на информа­цию от прямых расходов, качественно отображенной на рис. 1.2.

Рис. 1.2. Зависимость суммарных расходов на информацию от прямых расходов

Рост суммарных расходов на информацию при малых прямых расходах вызван тем обстоятельством, что эффект защиты начина­ет проявляться, когда прямые расходы превышают некоторую кри­тическую массу. Например, для получения эффекта от средства за­щиты необходимо предварительно вложить средства в его покуп­ку и установку.

Из этого рисунка следует, что при некоторых прямых расходах наблюдается область с минимальными суммарными расходами наинформацию. Эта область является областью рациональной за­щиты информации.

Задачи инженерно-технической защиты, как любые иные за­дачи, — не микроцели, как часто их определяют, а четкое и кон­кретное описание того, что надо сделать для достижения цели. Сформулировать задачи можно только тогда, когда определена за­щищаемая информация и угрозы ей. В постановке задачи указыва­ется необходимость определения рациональных мер для конкрет­ной защищаемой информации и угрозы ей с учетом имеющегося ресурса.

Соседние файлы в папке ИТЗИ 622221с