- •Тема 1: Концепция информационной безопасности. Содержание и структура основных понятий и терминов в области технической защиты информации
- •Основные понятия и определения в области защиты информации
- •Концептуальные вопросы защиты информации
- •Структура и функции органов и подразделений по технической защите информации в организации
Концептуальные вопросы защиты информации
С позиций системного подхода к защите информации предъявляются определенные требования [2]. Защита информации должна быть:
Непрерывной.
Плановой. Каждая служба разрабатывает план защиты информации в сфере своей компетенции.
Целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели.
Конкретной. Защищаются конкретные данные, объективно подлежащие защите.
Активной.
Надежной.
Универсальной. Распространяется на любые каналы утечки информации.
Комплексной. Применяются все необходимые виды и формы защиты.
К системе безопасности информации предъявляются следующие требования:
четкость определения полномочий и прав пользователей на доступ к определенным видам информации;
предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;
сведение к минимуму числа общих для нескольких пользователей средств защиты;
учет случаев и попыток несанкционированного доступа к конфиденциальной информации;
обеспечение оценки степени конфиденциальной информации;
обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя
Система защиты информации (СЗИ), как и любая система, должна иметь определенные виды собственного обеспечения (совокупность обеспечивающих подсистем), опираясь на которые она будет выполнять свою целевую функцию. В частности, СЗИ может иметь:
Правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия.
Организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая служба и другими.
Аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности самой СЗИ.
Информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности.
Программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации.
Математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты.
Лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации.
Нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.
Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности,
Рис.1. Концептуальная модель безопасности информации
предприятия и государства от внутренних и внешних угроз. Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий. На рисунке 1 представлена концептуальная модель безопасности информации.
В каждой организации разрабатывается концепция информационной безопасности. Она является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних угроз. Она определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в ИС. Концепция является методологической основой:
формирования и проведения единой политики в области обеспечения безопасности информации в ИС;
принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;
координации деятельности структурных подразделений при проведении работ по созданию, развитию и эксплуатации ИС с соблюдением требований обеспечения безопасности информации;
разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности ИС.
При разработке концепции должны учитываться основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно- программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий.
Основные положения концепции должны базироваться на качественном осмыслении вопросов безопасности информации и не концентрировать внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на защиту информации.
Положения концепции предусматривают существование в рамках проблемы обеспечения безопасности информации в ИС двух относительно самостоятельных направлений, объединенных единым замыслом: защита информации от утечки по техническим каналам и защита информации в ИС от несанкционированного доступа.