Формирование концепции обеспечения информационной безопасности
Для достижения указанных целей в УКЗИ предложен кортеж концептуальных решений по ЗИ, состоящий из следующей последовательности решений: функции ЗИ задачи ЗИ средства ЗИ система ЗИ.
3. Адаптация общих концептуальных положений информационной безопасности к особенностям предприятия
Необходимость разработки концепции на каждом предприятии обусловлена целым рядом причин.
Первая из них заключается в том, что на предприятии должна быть генеральная линия относительно общего решения проблем информационной безопасности, а не сиюминутные, временные взгляды, не имеющие перс пективы, не охватывающие все проблемы защиты. Концепция не должна зависеть от личных амбиций руко водства и их смены. Разрабатываться она должна до формирования системного проекта защиты информа ции, а не после того, как многое на пути защиты тех или иных процессов управления уже сделано.
Во вторых, в условиях современного финансирования на полномасштабную систему обеспечения инфор мационной безопасности вряд ли удастся получить требуемую сумму денег, а только на ее отдельные элементы. И чтобы эти элементы, разрабатываемые или закупаемые в разное временя, затем постепенно собирались в единую систему защиты информации, нужно иметь единый замысел, идею, концепцию.
Впользу разработки на предприятии концепции свидетельствует и тот факт, что сейчас созданием средств и систем защиты информации, а также предоставлением услуг в этой области занимаются сотни организаций. Организация взаимодействия с этими организациями также должна строиться в соответствии с единой кон цепцией.
С решением проблем обеспечения информационной безопасности неразрывно связан целый ряд подпроб лем, таких, как долгосрочная и ближайшая программы защиты информации, организация разработки сис темы защиты информации, программа подготовки кадров и ряд других. Все эти направления должны быть объединены единой концепцией, так как развитие систем защиты информации не может свестись к про стой сумме отдельных преобразований. Успешное решение всей совокупности проблем информационной безопасности возможно лишь на основе взаимосвязанных и согласованных программ развития составля ющих системы информационной безопасности.
Концепция обеспечения информационной безопасности должна базироваться на основных положениях те ории защиты информации и быть строго увязана с существующим экономическим и научно техническим по тенциалом предприятия.
В“Концепции” должны быть отражены наиболее общие взгляды на построение системы защиты информа ции на всех этапах ее жизненного цикла в АСОИ предприятия, т. к. она предназначена для широкого круга участников процесса обеспечения информационной безопасности с целью достижения единства взглядов на проблемы и соответствующие технологические процессы.
Не претендуя на полноту изложения, остановимся кратко на основных элементах концепции.
Представляется, что документ должен начинаться с общих положений по обеспечению информационной бе" зопасности, в которых отражаются такие вопросы, как цель защиты информации, основные нормативные и руководящие документы, на которых базируется концепция; роль и место системы защиты информации в управлении предприятием, для кого она предназначена, кто и с чьим участием разрабатывает концепцию; порядок разработки и внесения изменений; основные направления, требования и принципы обеспечения информационной безопасности.
Цели защиты информации определяют сущность ее защиты, т.к. содержательная часть защиты зависит от от вета на вопрос: зачем, ради чего должна защищаться информация. В определении целей защиты информа ции наличествует большой разброс мнений. Поэтому на предприятии эти цели должны быть четко сформули рованы. Определение и нормативное закрепление таких целей позволит, в частности, всесторонне раскрыть значение защиты информации, показать ее место в системе информационной и национальной безопасности.
Важным концептуальным положением является ответ на вопрос: какую информацию необходимо защищать, каковы критерии отнесения ее к защищаемой, при каких условиях эти критерии могут реализоваться.
Внормативных документах и литературе содержатся неоднозначные ответы на данный вопрос. Однако руко водству предприятия придется решать прежде всего этот вопрос
Воснову построения концепции и внесения в нее изменений должен быть заложен главный принцип эво" люционный подход. Дополнительно к нему и тем наиболее общим, которые были рассмотрены ранее, необ ходимо раскрыть ряд более конкретных принципов.
Так, к организационным принципам можно отнести:
•обязательное наличие на предприятии целевого органа, отвечающего за обеспечение информационной безопасности;
17.5
Формирование концепции обеспечения информационной безопасности
•рациональная этапность работ по построению системы информационной безопасности: первоочеред ное решение задач научного обеспечения, создания общей инфраструктуры и включение в нее базовых средств защиты информации;
•приоритетная реализация наиболее эффективных (результативных) программ.
Методологические принципы:
•обеспечение единства, взаимосвязи и сбалансированности в решении задач производственной деятель ности и защиты информации,
•сочетание общих норм защиты с нормами, вызываемыми спецификой деятельности предприятий раз личного профиля,
•обеспечение сбалансированного соотношения объективной необходимости с экономической целесооб разностью защиты информации,
•сочетание максимального ограничения доступа к защищаемой информации с качественным выполнени ем служебных обязанностей,
•обеспечение персональной ответственности за защиту информации и др.
•комплексный характер работ по созданию системы защиты информации;
•системный подход к проблемам защиты информации, учет влияния системы защиты информации на фун кционирование АСОИ;
•приоритетность функций сбора достоверной информации об обстановке в интересах обеспечения безо пасности информации;
•первоочередное решение проблем информационной безопасности наиболее важных объектов с учетом ценности информации.
Технологические принципы:
•использование мировых достижений в области информатики и информационных технологий;
•соблюдение концепции открытых систем;
•обеспечение совместимости – одно из стержневых направлений развития систем защиты информации;
•использование собственных технологий и средств обеспечения безопасности информации в областях, в наибольшей степени влияющих на экономику предприятия;
•адаптируемость системы защиты информации к различным условиям и режимам функционирования АСОИ, к внедрению новых информационных технологий, к возможным изменениям в организационной структуре управления предприятием;
•внедрение в систему защиты информации интеллектуального советчика при решении разнообразных неформальных задач управления, связанных с неопределенностью и риском.
Безусловно, каждая из приведенных групп может быть дополнена и откорректирована в преломлении к кон кретным задачам предприятия.
Весьма важным разделом “Концепции” является раздел с основными понятиями информационной безопас ность предприятия. Концепция защиты информации, прежде всего, предполагает раскрытие понятий “инфор мационная безопасность” и «защита информация».
Несмотря на существование ГОСТ’овских определений и руководящих документов Гостехкомиссии, а также различных законов и других нормативных документов, зачастую допускается путаница в интерпретации тех или иных терминов, что может отрицательно сказаться на построении системы безопасности.
Содержание этого понятия имеет ключевое, основополагающее значение, поскольку оно должно выражать суть защиты, а суть защиты определяет цели, задачи, объекты, методы, технологию защиты. Здесь необходимо дать совершенно четкие и ясные определения, преломленные к особенностям производственной деятельности пред приятия, а также представить структуру информационной безопасности и совокупность решаемых задач.
Важнейшей составляющей концепции защиты информации должно быть определение состава потенциально су ществующих угроз безопасности информации, поскольку их наличием определяется система защиты информа ции. В конкретном преломлении большинство авторов публикаций угрозу безопасности информации отожде ствляют либо с характером (видом, способом) дестабилизирующего воздействия на информацию, либо с по следствиями (результатами) такого воздействия. Между тем может быть и иной подход к определению угрозы безопасности информации, базирующийся на сформулированном в законе «О безопасности» понятии «угроза безопасности», которая рассматривается как «совокупность условий и факторов, создающих опасность жиз" ненно важным интересам личности, общества и государства». При таком подходе угроза безопасности вклю чает в свой состав такие взаимосвязанные и взаимообусловленные компоненты, как источники, виды и спосо бы дестабилизирующего воздействия на информацию, причины, обстоятельства и условия такого воздействия, а, если источником воздействия являются люди, дополнительно — каналы, методы и средства несанкциониро ванного доступа к информации.
Однако представляется, что все три определения имеют в какой то степени право на существование. Прак тика свидетельствует о том, что такого рода сложные термины (например, система) могут иметь большое количество трактовок, характеризующих еще одну грань этого сложного явления или процесса.
Угрозы безопасности информации во многом предопределяют и постановку задач по ее защите. Конечно, на конкретных предприятиях эти задачи должны формулироваться с учетом видов тайны информации, сте
17.6
Формирование концепции обеспечения информационной безопасности
пени ее конфиденциальности, состава носителей защищаемой информации, требуемого уровня защиты. Одной из важных составляющих при этом должен быть учет всех объектов защиты, имеющих то или другое отношение к защищаемой информации, поскольку защита информации осуществляется с привязкой к та ким объектам, от них зависит и выбор методов, средств и системы организации защиты. Однако эти безус ловно важные факторы носят прикладной характер, привязаны к конкретным предприятиям.
Каждый компонент угрозы безопасности информации целесообразно расписать с подробностью, соответству ющей статусу данного документа. В общем случае должны быть описаны источники дестабилизирующего воз действия на информацию; виды и способы дестабилизирующего воздействия по каждому источнику; причи ны, которые лежат в основе дестабилизирующего воздействия на информацию со стороны каждого источни ка, обстоятельства, вызывающие эти причины, условия, при которых они реализуются.
Наиболее важным разделом Концепции должно быть описание каналов вторжения в информационную сис" тему. Здесь сложность опять заключается в неоднозначном толковании понятия “информационный канал”. Не вдаваясь в подробности разночтений, представляется, что существует два вида информационных каналов
– каналы доступа к информации (в том числе и каналы утечки информации) и каналы воздействия на инфор мационные ресурсы (хотя и такое деление тоже носит условный характер). В Концепции необходимо опре делиться с этими понятиями и в соответствии с этим попытаться описать и разделить все возможные каналы вторжений на группы.
Необходимость следующего раздела с описанием требований к системе обеспечения информационной бе зопасности и методов оценки ее эффективности также определяется отсутствием единых подходов к выбору показателей эффективности и методов ее оценки. Без этого сложно говорить о выборе рационального вари анта построения системы защиты информации и совместимости ее элементов.
Один из наиболее важных разделов концепции – организация разработки (совершенствования) системы защиты информации на предприятии. Здесь четко определяются ответственность, порядок финансирова ния и взаимодействия структурных подразделений предприятия, нормативные документы, последователь ность действий, методика постановки задачи, методики выбора решений по видам обеспечения и их со гласованию. Здесь же определяются наиболее важные базовые технические решения и инструментальные средства и стандарты и ряд других вопросов, связанных с непосредственным “производством” и сдачей в эксплуатацию системы защиты информации.
Важным разделом “Концепции” является долгосрочная программа развития системы информационной бе зопасности. Эта программа должна быть тесно увязана с программой развития АСОИ и предприятия в целом
ив какой то степени являться “идеализированной”, рассчитанной на оптимальную организацию всех работ
ипрогнозируемое развитие экономики страны. Это наиболее консервативная часть концепции. Вместе с тем, в рамках долгосрочной программы должна быть разработана программа на ближайшую перспективу, учиты вающая сложившуюся вокруг проблемы защиты информации ситуацию.
Организация и программа подготовки кадров по вопросам информационной безопасности предприятия в полной мере базируются на концепции и методологии обеспечения информационной безопасности. В этом разделе должны быть приведены основные направления подготовки кадров различных категорий (а возможно и методика определения этих направлений), необходимая материально техническая база, а также сторонние организации, в которых предполагается осуществлять обучение по отдельным про блемам.
Организация использования системы защиты информации определяет инфраструктуру органов управления безопасностью, их функции, обязанности должностных лиц при различных ситуациях, раскрывает систему тех нического обслуживания.
Научное сопровождение проблем информационной безопасности имеет две функции:
•выявление устойчивых тенденций, определение общих стратегических направлений решения воз никающих проблем (концептуальное проектирование), прогнозирование долгосрочных проблем развития систем защиты информации;
•обоснование принципов совершенствования системы защиты информации и ее основных характеристик, которые должны быть достигнуты в рамках конкретной программы.
Дополнительными функциями научного сопровождения являются разработка технологий защиты информа ции и их адаптация к системе управления предприятием.
Является аксиомой, что защита информации должна быть дифференцированной, с учетом видов тайны, к ко торым отнесена информация, ее собственников, носителей, в которых она отображена. От этого зависят и организация, и технология, и уровень защиты информации. Поэтому должны быть определены особенности защиты различных видов тайн исходя из преимуществ, которые получает собственник информации при за щите данного вида тайны..
17.7
Формирование концепции обеспечения информационной безопасности
Однако единых подходов к разделению защищаемой информации по различным показателям пока нет. В пер вую очередь это относится к классификации информации по видам тайны и обусловлено тем, что сами виды тайны информации не имеют четкой правовой регламентации с указанием необходимых параметров каждо го из них.
С классификацией информации по видам тайны тесно увязан вопрос о классификации информации каж дого вида тайны по степеням конфиденциальности. Применительно к государственной тайне такая клас сификация имеется. По остальным видам тайны нет ни названия степеней конфиденциальности, ни разде ления информации по ним.
Следовательно, классификация защищаемой информации по видам тайны и степеням конфиденциальности также требует самостоятельного принятия решения до законодательного закрепления.
Концептуально должно произойти закрепление каждого из видов (направлений) защиты (правовое, органи зационное, программно аппаратное, инженерно техническое) к конкретной защищаемой информации. До полнительно должна быть определена взаимосвязь между ними.
По методам защиты информации необходимы некоторые уточнения, а также систематизация и классифика ция их на универсальные, присущие двум и более видам защиты, и локальные, применяемые в одном виде защиты. В большей степени это касается организационных методов.
Ключевым вопросом в организации защиты информации является обеспечение ее системности, ибо только системность может гарантировать надежность защиты. О системах защиты информации написано много, од нако не до конца разработанными являются само понятие системы защиты информации, классификация си стем, сущность и назначение комплексной системы защиты информации.
Концепция защиты информации должна предусматривать и кадровое обеспечение защиты информации. Оно включает в себя определение наименований и статуса служб защиты информации, их структуры, должност ного и численного состава, подбор и обучение кадров, организацию работы, распределение компетенции по защите информации между руководством предприятия, службой защиты информации, специальными обще ственными комиссиями и пользователями защищаемой информации и др.
Концепция должна определять условия, необходимые для надежного обеспечения защиты информации. Сюда входят:
•обеспеченность материально технической базой (площади, оборудование, средства обработки и защи ты информации и др.),
•наличие необходимых нормативно методических документов,
•формирование у работающих с защищаемой информацией должного отношения к защите информации, обучение их правилам работы с информацией, создание здорового микроклимата,
•обеспечение материального и морального поощрения за надежную защиту информации и т.д.
Заключение
Каждый этап создания системы информационной безопасности важен по своему. Этап формирования Концепции информационной безопасности занимает особое положение. Это связано с тем, что разра ботанная Концепция базируется на результатах, полученных на предыдущих этапах построения системы информационной безопасности, по качеству ее разработки можно судить в целом о зрелости руковод ства и службы безопасности и, наконец, Концепция является исходным материалом для разработки по литики информационной безопасности.
17.8