- •Н. В. Гришина организация комплексной системы защиты информации введение
- •1. Сущность и задачи комплексной системы защиты информации
- •1.1. Подходы к проектированию систем защиты информации
- •1.2. Понятие комплексной системы защиты информации
- •1.3. Назначение комплексной системы защиты информации
- •1.4. Принципы построения комплексной системы защиты информации
- •1.5. Стратегии защиты информации
- •1.6. Выработка политики безопасности
- •1.7. Основные требования, предъявляемые к комплексной системе защиты информации
- •2. Методологические основы комплексной системы защиты информации
- •2.1. Методология защиты информации как теоретический базис комплексной системы защиты информации
- •2.2. Основные положения теории систем
- •2.3. Общие законы кибернетики
- •2.4. Основы методологии принятия управленческого решения
- •3. Определение состава защищаемой информации
- •3.1. Методика определения состава защищаемой информации
- •3.2. Классификация информации по видам тайны и степеням конфиденциальности
- •3.3. Определение объектов защиты
- •4. Источники, способы и результаты дестабилизирующего воздействия на информацию
- •4.1. Определение источников дестабилизирующего воздействия на информацию
- •4.2. Методика выявления способов воздействия на информацию
- •4.3. Определение причин и условий дестабилизирующего воздействия на информацию
- •5. Каналы и методы несанкционированного доступа к информации
- •5.1. Выявление каналов доступа к информации
- •5.2. Соотношение между каналами и источниками воздействия на информацию
- •5.3. Деловая разведка как канал получения информации
- •5.4. Модель потенциального нарушителя
- •6. Моделирование процессов комплексной системы защиты информации
- •6.1. Понятие модели объекта
- •6.2. Значение моделирования процессов ксзи
- •6.3. Архитектурное построение комплексной системы защиты информации
- •7. Технологическое построение комплексной системы защиты информации
- •7.1. Общее содержание работ
- •7.2. Этапы разработки
- •7.3. Факторы, влияющие на выбор состава ксзи
- •7.4. Модель системы автоматизированного проектирования защиты информации
- •8. Кадровое обеспечение комплексной системы защиты информации
- •8.1. Подбор персонала
- •8.2. Подготовка персонала для работы в новых условиях
- •8.3. Мотивация
- •8.4. Разработка кодекса корпоративного поведения
- •9. Нормативно-методическое обеспечение ксзи
- •9.1. Значение нормативно-методического обеспечения
- •9.2. Состав нормативно-методического обеспечения
- •9.3. Порядок разработки и внедрения документов
- •10. Управление комплексной системой защиты информации
- •10.1. Понятие и цели управления
- •10.2. Планирование деятельности
- •10.3. Контроль деятельности
- •11. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций
- •11.1. Понятие и виды чрезвычайных ситуаций
- •11.2. Технология принятия решения в условиях чрезвычайной ситуации
- •11.3. Факторы, влияющие на принятие решения
- •11.4. Подготовка мероприятий на случай возникновения чрезвычайной ситуации
- •Заключение
- •Библиография
1.3. Назначение комплексной системы защиты информации
Главная цель создания системы защиты информации — ее надежность. Система ЗИ — это организованная совокупность объектов и субъектов ЗИ, используемых методов и средств защиты, а также осуществляемых защитных мероприятий.
Но компоненты ЗИ, с одной стороны, являются составной частью системы, с другой — сами организуют систему, осуществляя защитные мероприятия.
Поскольку система может быть определена как совокупность взаимосвязанных элементов, то назначение СЗИ состоит в том, чтобы объединить все составляющие защиты в единое целое, в котором каждый компонент, выполняя свою функцию, одновременно обеспечивает выполнение функций другими компонентами и связан с ними логически и технологически. А в чем же состоит значимость комплексных решений в СЗИ?
Надежность защиты информации прямо пропорциональна системности, т. е. при несогласованности между собой отдельных составляющих риск «проколов» в технологии защиты увеличивается.
Во-первых, необходимость комплексных решений состоит в объединении в одно целое локальных СЗИ, при этом они должны функционировать в единой «связке». В качестве локальных СЗИ могут быть рассмотрены, например, виды защиты информации (правовая, организационная, инженерно-техническая).
Во-вторых, необходимость комплексных решений обусловлена назначением самой системы. Система должна объединить логически и технологически все составляющие защиты. Но из ее сферы выпадают вопросы полноты этих составляющих, она не учитывает всех факторов, которые оказывают или могут оказывать влияние на качество защиты. Например, система включает в себя какие-то объекты защиты, а все они включены или нет — это уже вне пределов системы.
Поэтому качество, надежность защиты зависят не только от видов составляющих системы, но и от их полноты, которая обеспечивается при учете всех факторов и обстоятельств, влияющих на защиту. Именно полнота всех составляющих системы защиты, базирующаяся на анализе таких факторов и обстоятельств, является вторым назначением комплексности.
При этом должны учитываться все параметры уязвимости информации, потенциально возможные угрозы ее безопасности, охватываться все необходимые объекты защиты, использоваться все возможные виды, методы и средства защиты и необходимые для защиты кадровые ресурсы, осуществляться все вытекающие из целей и задач защиты мероприятия.
В-третьих, только при комплексном подходе система может обеспечивать безопасность всей совокупности информации, подлежащей защите, и при любых обстоятельствах. Это означает, что должны защищаться все носители информации, во всех компонентах ее сбора, хранения, передачи и использования, во все время и при всех режимах функционирования систем обработки информации.
В то же время комплексность не исключает, а, наоборот, предполагает дифференцированный подход к защите информации, в зависимости от состава ее носителей, видов тайны, к которым отнесена информация, степени ее конфиденциальности, средств хранения и обработки, форм и условии проявления уязвимости, каналов и методов несанкционированного доступа к информации.
Таким образом, значимость комплексного подхода к защите информации состоит:
— в интеграции локальных систем защиты;
— в обеспечении полноты всех составляющих системы защиты;
— в обеспечении всеохватности защиты информации.
Исходя из этого, можно сформулировать следующее определение:
«Комплексная система защиты информации — система, полно и всесторонне охватывающая все предметы, процессы и факторы, которые обеспечивают безопасность всей защищаемой информации»2.