Файловый архив студентов. Файловый архив студентов.
1315 вузов, 5361 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный юридический университет им. О.Е. Кутафина
Предмет:
Национальная безопасность
Файл:
Научно-информационный центр проблем безопасности - Комплексное обеспечение безопасности объектов связи / часть 1.pdf
Скачиваний:
434
Добавлен:
24.07.2017
Размер:
1.76 Mб
Скачать
►Содержание►

Комплексный подход к обеспечению информационной безопасности объекта

Введение

Современный опыт решения проблем информационной безопасности показывает, что для достижения наи большего эффекта при организации защиты информации необходимо руководствоваться рядом принципов, требований и рекомендаций, которые выработаны практикой решения проблем информационной безопас ности наиболее развитыми странами мирового сообщества.

1. Основные принципы, требования и рекомендации по обеспечению информационной безопасности предприятия

Первым и наиболее важным является принцип непрерывности совершенствования и развития системы информационной безопасности. Суть этого принципа заключается в постоянном контроле функционирова ния системы, выявлении ее слабых мест, потенциально возможных каналов утечки информации и НСД, об новлении и дополнении механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации. Таким образом, обеспечение информационной безопасности не может быть одноразовым ак" том.

Принцип звучит достаточно просто. Однако за этой простотой кроется целый ряд сложностей, которые дол жен уметь преодолевать любой руководитель предприятия или должностное лицо, несущее ответственность за обеспечение безопасности информации. Это, прежде всего, знание и умение вовремя применить на прак тике научно методический аппарат аналитического исследования существующей системы защиты информа ции или создания новой. Это постоянное пополнение своих знаний в области новых методов и средств осу ществления информационных атак и противодействия им. Это, наконец, умение рационально расходовать ресурсы (материальные и информационные) на нужды безопасной обработки информации на предприятии, а значит умение пользоваться современными методами поддержки управленческих решений.

Вторым является принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации. К сожалению далеко не всегда три обязательных составляющих этого принципа реализуются на практике.

Комплексный характер защиты информации проистекает, прежде всего, из характера действий злоумышлен ников, стремящихся любой совокупностью средств добыть важную для конкурентной борьбы информацию. Обычно говорят, что оружие защиты должно быть адекватно оружию нападения.

Сама суть принципа комплексного использования говорит о том, что наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм — систему информационной безопасности (а не совокупность разрозненных средств, защищающих либо отдель ные точки атак, либо не объединенные единым замыслом применения). Только в этом случае появляются так называемые системные свойства, не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повыше ния эффективности ее функционирования.

Для реализации этого принципа напрашивается наличие на предприятии перспективного плана или систем ного проекта развития направления обеспечения информационной безопасности.

Нужен ли такой проект? Безусловно, ибо в соответствии с ним появляется возможность наращивать систему защиты информации на протяжении долгого времени жизни автоматизированной системы обработки инфор мации предприятия, обеспечивать по единому замыслу приоритетность приобретения средств при поступле нии очередных финансов на эти нужды, избегать рассогласования совокупности средств защиты как между собой, так и с информационными ресурсами системы обработки информации.

Требует ли такой проект затрат? Да. Но руководители предприятий зачастую не понимают, что эти затраты с лих вой окупятся в будущем за счет исключения ошибок при развитии системы защиты без такого перспективного плана.

Таким образом существуют средства защиты и органы (служба безопасности), которые с помощью опреде ленного инструментария возможности этих средств используют. Эту совокупность можно определить как

систему информационной безопасности.

Существует ряд важных, проверенных жизнью взаимосвязанных условий, без которых сложно решать задачи обеспечения информационной безопасности на предприятии.

Важнейшим среди них является законность. Лицо, принимающее решение на доступ или ограничение дос тупа к информации, на установление режима секретности или конфиденциальности, на применение или соб ственную разработку средств зашиты различного предназначения каждый свой шаг должно сверять с бук вой закона, каким бы он ни был совершенным или нет. В противном случае гарантированы неприятности, могущие вылиться в долгие судебные разбирательства.

6.3

Комплексный подход к обеспечению информационной безопасности объекта

Не менее важным условием является соблюдение разумной достаточности в решении задач информацион ной безопасности. Все, кто занимается серьезно этой проблемой, поняли, что от всего и на все 100% защи титься невозможно, сколько бы Вы не вкладывали в решение этой проблемы средств и ресурсов. Поэтому перед каждым руководителем, ответственным за решение проблем безопасности, стоит задача рациональ ного использования возможностей предприятия для нужд защиты информации на базе владения инструмен тарием ранжирования угроз и выделения в соответствии с рангм определенных ресурсов.

Приведенное условие успешности решения проблем безопасности может решаться двумя путями: жестким распределением ресурсов по каждой угрозе или мягким (адаптивным, ситуационным) распределением ре сурсов. Последний из подходов более современен, но требует разработки механизма оценки ситуации и при нятия в соответствии с этой оценкой управленческих решений по распределению ресурсов в текущий мо мент времени.

Высокий профессионализм представителей службы информационной безопасности – залог успеха в решении всех информационных проблем. Сегодня все большее число руководителей понимает, что свою службу безо пасности нужно готовить.

Путей подготовки несколько. Это, прежде всего, курсы переподготовки и повышения квалификации, очные и дистанционные; семинары, тематические выставки; самостоятельная подготовка; постоянные тренировки по решению задач защиты информации.

Из всех перечисленных наиболее важными являются очные курсы и тренировки. Почему? На авторизованных курсах профессиональные преподаватели и менеджеры смогут систематизировать и те знания, которыми дол жны обладать соответствующие должностные лица, и те, которыми они уже обладают. Это главное, что , как пра вило, не под силу при самостоятельном изучении проблем безопасности и создаст базу для дальнейшего само стоятельного развития.

Что касается системы тренировок, то нужно отдавать себе отчет, что представители службы информационной безопасности не каждый день встречаются со всей совокупностью нападений на систему, а значит теряют со временем даже приобретенные навыки и умения. С другой стороны, угроз безопасности десятки, если не сотни. И любая из них может быть реализована в любой момент. Значит, одно из условий успешного решения задач защиты информации – постоянная готовность к возникновению любой ситуации на предприятии. Единствен ный путь к такой готовности – проведение с определенной периодичностью учений и тренировок по обеспече нию информационной безопасности при различных условиях обстановки.

Подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности

еще одно обязательное условие, на которое, к сожалению, достаточно редко обращают должное внимание руководители. В наибольшей степени это относится к пользователям конфиденциальной информации.

Ну, и, наконец, ряд условий, которые продекларированы в Доктрине информационной безопасности " соблю" дение баланса интересов личности и предприятия, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами, сомнений не вызывают и в коммен тариях вряд ли нуждаются.

В практике ряда стран принята многорубежная система защиты информации:

первый или внешний рубеж защиты (ограждение территории на расстояния, исключающие эффектив ную регистрацию электромагнитного излучения аппаратуры, и организацию систематического контроля этих территорий.)

физическая изоляция сооружений и помещений, в которых установлены средства ВТ, от других зданий и помещений;

развертывание систем управления доступом у входов в охраняемые помещения вычислительных центров;

использование специальных запирающих устройств;

наблюдение за охраняемыми помещениями с помощью телевизионных систем и развертывание средств охраной сигнализации;

использование программных средств управления доступом к ЭВМ и базам данных (БД), аутентификация персонала;

криптографическая защита информации при всех транзакциях и т.п.

Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуе мого уровня защиты.

Требования к системе информационной безопасности объекта

С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований. Таких требований в различных моногра фиях и периодических изданиях приводится большое множество. Мы остановимся только на наиболее зна чимых из них.

6.4

Комплексный подход к обеспечению информационной безопасности объекта

Централизованность управления. Необходимо иметь в виду, что процесс управления информационной бе зопасностью должен быть всегда централизован вне зависимости от масштабов организации и решаемых ею задач. Здесь должна соблюдаться та самая “вертикаль власти”.

Важнейшая причина централизации — целевая направленность и наличие цельной системы защиты ин" формации, охватывающей своей организационной структурой все компоненты и предназначенной для обес печения единства действий по достижению главных целей.

Вторая причина — функциональное разделение системы защиты информации на самостоятельно функцио" нирующие подсистемы. В связи с этим каждая из подсистем имеет верхнюю и нижнюю границы своего само стоятельного функционирования. При этом верхняя граница определяет порядок получения от вышестоящей инстанции указаний по решению данной подсистемой каких то конкретных задач, а нижняя характеризует рубеж их выполнения.

Все выше сказанное приводит к выводу о необходимости централизованной координации совокупной дея" тельности всех компонентов системы защиты информации в интересах достижения поставленных целей. Смысл и существо централизации управления заключается в том, что каждый уровень управления низшего зве на подчиняется решениям, принимаемым вышестоящим органом управления.

Однако любая централизация одновременно подразумевает определенную степень децентрализации в виде де легирования полномочий отдельным структурным подразделениям, передачи прав и ответственности по приня тию решений конкретной подсистеме нижнего уровня управления. Степень централизации управления для каж дой конкретной системы защиты информации требует собственного обоснования, так как определяется в зависи мости от предназначения, сложности, характера и условий функционирования компонентов системы, уровня под готовки и опыта руководящих кадров, технического оснащения, а также многих других параметров.

Централизация управления в зависимости от полноты принимаемого решения проявляется в двух формах:

когда вышестоящий уровень управления своим решением осуществляет постановку задач и задает по" рядок, обеспечивающий согласованные действия всех подчиненных компонентов в интересах достиже ния главных целей системы;

когда вышестоящий уровень управления принимает решения, определяющие совершенно конкретные действия подчиненных по выполнению поставленных им задач, т. е. дает указания (распоряжения), кому, что, где, когда, как, каким способом действовать.

Метод «децентрализованного управления» (ДЦУ) предусматривает такую организацию принятия решений, при ко торой нижестоящая подсистема ввиду делегированных ей прав определяет не только способы выполнения част ных задач, но, исходя из целей подсистемы, и саму постановку общей задачи, и порядок ее осуществления, дей ствуя как бы независимо от вышестоящего уровня.

Однако, при внимательном рассмотрении функций управления в обоих случаях становится ясно, что подоб ная трактовка методов ЦУ и ДЦУ достаточно условна и при осуществлении ДЦУ «принципы централизации» действуют в полной мере. Методы ЦУ и ДЦУ находятся в диалектическом единстве лишь с разным весом в зависимости от условий функционирования компонентов системы.

В большинстве случаев подсистемам должна предоставляться самостоятельность в выборе способов реше ния поставленной задачи, поскольку они всегда имеют больше возможностей учесть необходимые детали кон кретной обстановки, чем вышестоящая подсистема, а значит своевременно отреагировать на ее изменение.

Таким образом, существо проблемы выбора степени централизации управления заключается в обосновании оптимального распределения прав и ответственности в принятии решений на различных уровнях иерархи ческой структуры системы защиты информации, исходя из достижения в целом максимального значения об щего показателя эффективности ее функционирования в соответствии с поставленными целями.

Представляется целесообразным сделать замечание относительно самого понятия «ДЦУ». Если система фун кционирует целенаправленно, то управление уже осуществляется централизованно. Термин «децентрализа ция», строго говоря, может быть употреблен лишь в значении «децентрализация в принятии решений по от ношению к вышестоящему органу управления».

Факторы, определяющие степень централизации управления

Сложность системы число самостоятельно функционирующих подсистем, количество иерархических уровней управления; необходимые оперативность и цикличность управления при решении задач подсистемами и всей системой в целом; сложность и количество взаимосвязей между компонентами и с внешними структурами.

Условия функционирования подсистем пространственная разнесенность подсистем; важность и многогран ность задач, решаемых подсистемами, а значит, – обоснованность принятия решения и уровень контроля его выполнения непосредственными или же вышестоящими руководителями; оперативность выполнения задач,

6.5

Комплексный подход к обеспечению информационной безопасности объекта

определяемая допустимым запаздыванием управления на соответствующем уровне иерархии исходя из ди намики процесса функционирования подсистемы; наличие случайных факторов, влияющих на процесс вы полнения подсистемой задач.

Уровень информационного обеспечения процесса управления компонентами системы защиты информации условия, а также качество, полнота и оперативность получения необходимой информации для осуществле ния своих функций.

Качество системы связи в интересах обеспечения процессов управления надежность связи между подсис темами и их элементами как по вертикали, так и по горизонтали; оперативность и полнота передачи управ ленческой и другой требуемой информации на соответствующие элементы системы.

Характеристика показателей эффективности функционирования конкретных подсистем и всей системы в целом – количественное или качественное их выражение.

Условия функционирования подсистем особенности местных условий могут уменьшать возможности примене ния централизованных решений или же, наоборот, – требовать их расширения.

Субъективные факторы подготовленность кадров руководящего персонала; допустимая нагрузка на пер сонал при выполнении обязанностей по принятию решений; инициативность, психологический склад харак тера руководителей и пр.

Анализ перечисленных факторов позволяет сформулировать общие критерии, из которых следует исходить

при обосновании рациональной степени централизации управления для конкретной системы защиты инфор мации:

важность решений, принимаемых в подсистемах (чем они важнее, тем выше должна быть степень цент рализации);

число функциональных областей, по отношению к которым принимаются решения (чем их больше, тем менее должна быть централизация управления);

число компонентов, замыкающихся на данную подсистему (чем их больше, тем труднее осуществить цен трализованное управление);

число решений, требующих проверки (незначительное их число сопутствует более слабой централизации уп равления; необходимость регулярной проверки, докладов об их принятии и предварительного согласования с вышестоящим уровнем управления приводит к повышению степени централизации управления);

эффективность функционирования каждой подсистемы при различной степени централизации управ ления; этот критерий наиболее объективный, однако, воспользоваться им далеко не просто из за труд ностей количественного выражения самих показателей.

В заключение необходимо отметить, что главный принцип, которым следует руководствоваться при решении обоснования степени централизации управления это достаточность необходимой на данном уровне управ ления информации для обеспечения своевременного принятия качественных решений.

Плановость мероприятий по обеспечению информационной безопасности. Планирование одно из наибо лее узких мест в информационной безопасности. Большинство руководителей достаточно холодно относятся к вопросам планирования, не понимая при этом, что планирующие документы нужны прежде всего для координа" ции взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности. Если в планирующей документации нет этого координирующего начала, то такие планы действительно никому не нужны. Каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации.

Конкретность и целенаправленность защиты информационных ресурсов. Это требование тесно связано с понятием разумной достаточности, о котором уже шла речь. Защите подлежат абсолютно конкретные ин формационной ресурсы, могущие представлять интерес для конкурентов, с абсолютно конкретными целями.

Активность в решении проблем информационной безопасности. Защищать информацию необходимо с до статочной степенью настойчивости и целеустремленности, предвидения и прогнозирования ситуации. Это тре бование достаточно сложно реализовать, но реализация именно этого требования (рекомендация) позволит выйти на современный уровень развития систем защиты информации, обеспечив наращивание ее возмож ностей на перспективной технологической основе. Реализация требования предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструмен" тариев, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить», который в наибольшей степени присущ таким сложным и динамичным объектам, как сис тема информационной безопасности. Принципиально имеют право на существование оба принципа. Каждый из них реализуется в зависимости от характера решаемой задачи.

Полнота охвата и универсальность. Защите должны подлежать все возможные точки атак технологическо го процесса обработки информации на предприятии. Любое исключение из этого множества ослабляет сис

6.6

Комплексный подход к обеспечению информационной безопасности объекта

тему защиты. Методы и средства защиты должны надежно перекрывать все возможные каналы утечки инфор мации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;

Устойчивость к воздействию дестабилизирующих факторов. За все нужно платить, и за устойчивость тоже. Некий запас прочности, который, как правило, обеспечивается каким либо видом избыточности, должен быть заложен при проектировании системы защиты. Это позволит в будущем гибко реагировать на неблагоприят ные изменения ситуации.

Агрегирование элементов объекта защиты. Суть этой рекомендации заключается в целесообразном раз делении всего объекта защиты на ряд групп, объединенных по определенному признаку, с целью исключе ния или уменьшения влияния состояния защищенности одной группы на другие.

Эшелонирование средств защиты. Наличие нескольких рубежей, а иногда и дублирование средств защиты в системе информационной безопасности повышает ее эффективность. С этой точки зрения целесообразно начинать противостояние потенциальным злоумышленникам еще на дальних подступах к защищаемому объек ту, не допуская доступ в те точки, откуда можно с большей вероятностью реализовать угрозу нападения.

Нестандартность построения системы защиты по сравнению с другими организациями. Она может дости гаться разнообразием используемых средств защиты, а также внедрением в их состав элементов собствен ных наработок.

Открытость для изменения и дополнения мер обеспечения безопасности информации. Это требование не посредственно связано с системным подходом к обеспечению информационной безопасности объекта. Если такой подход реализован, то он само собой предусматривает возможность наращивания системы защиты, обес печивая реализацию заранее принятой политики информационной безопасности, совместимость мероприятий и средств защиты как между собой, так и с компонентами системы обработки информации.

Персонализация ответственности. Одна из заповедей идеального менеджера говорит о том, что за каждое дело должен отвечать один и только один человек. Однако при решении некоторых проблем, решение кото рых базируется на принципе “разделяй и властвуй”, иногда целесообразно участие в отдельных действиях и процедурах нескольких должностных лиц.

Доказательная база. Система защиты информации должна строиться на принципах контроля ее состоя ния, корректности функционирования, фиксации в явной и скрытой форме событий, которые могут ока зать помощь в предотвращении нарушения или локализации времени, места и личности нарушителя, а так же в ходе следственных действий.

Экономическая эффективность. Это одно их наиболее важных требований. В общем случае затраты на систему защиты не должны превышать размеры возможного ущерба. Показателем экономической эффек тивности могут быть величина предотвращенного ущерба, приходящаяся на одну условную единицу зат рат на систему защиты информации, а также окупаемость капиталовложений на решение проблем ин формационной безопасности.

Наряду с основными требованиями, существует ряд устоявшихся рекомендаций, которые будут не бесполез ны создателям систем информационной безопасности:

средства защиты должны быть просты для технического обслуживания и “прозрачны” для пользовате" лей; наряду с “прозрачностью”, все таки у пользователей должно присутствовать ощущение присутствия строгих мер в случае появления желания “поэкспериментировать” с системой защиты;

каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы; такой набор может быть сформирован, если четко определены функциональные обязанности должностных лиц и конфиденциальная информация, необходимая для реализации этих обязанностей.

автоматическое прекращение доступа в случаях возникновения в системе нештатных ситуаций, не предусмотренных разработчиками (например, сбой средств контроля);

возможность отключения защиты в особых случаях, например, когда механизмы защиты реально меша ют выполнению работ;

независимость системы защиты от субъектов защиты; очевидно разработчики или лица, обслужива ющие систему защиты, не должны быть в числе тех, кого система будет контролировать;

разработчики должны предполагать, что пользователи имеют наихудшие намерения (враждебность ок ружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;

отсутствие на предприятии излишней информации о существовании механизмов защиты.

Все перечисленные принципы, требования и рекомендации должны лечь в основу формирования системы за щиты информации.

Теперь, владея основными концептуальными положениями, необходимо освоить механизм выработки деталь ных предложений по формированию политики и построению системы информационной безопасности.

6.7

Соседние файлы в папке Научно-информационный центр проблем безопасности - Комплексное обеспечение безопасности объектов связи
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности