Состав компонентов ксиб.

Ключевые понятия:

объект защиты, информация, источник информации, носитель информации, виды информации;

угроза, виды угроз;

СЗИ.

В общем виде, если отбросить научную фразеологию, концепция информационной безопасности отвечает на 3 простых вопроса:

1. что защищать – объект защиты,

2. от чего защищать – угроза,

3. к ак защищать – СЗИ,

которые и формируют компоненты КСОИБ.

Рис. 2. Состав компонентов КСОИБ.

На основании разделения СрЗИ можно выделить состав КСОИБ:

1. нормативно-правовое,

2. морально-эстетическое,

3. организационное,

4. техническое

обеспечение информационной безопасности:

В качестве объектов, подлежащих защите в интересах субъектов информационных отношений, должны рассматриваться:

• информация, представленная в любой материальной форме, ее носители;

• информационные средства, процессы и системы обработки (передачи, хранения) информации.

Под информацией понимают сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (их свойствах, характеристиках) в некоторой предметной области, которые (сведения) используются (необходимые) для оптимизации принимаемых решений в процессе управления данными объектами. В зависимости от наносимого собственнику ущерба защищаемая информация делится на информацию открытого и ограниченного доступа (государственная, служебная, коммерческая тайна…). Источник информации – материальный объект или субъект информации, способный накапливать, хранить, преобразовывать и выдавать информацию в виде сообщений или сигналов различной физической природы. Информация доступна человеку, если она содержится на материальном носителе. Значит, правильнее будет сказать, что объектами защиты являются материальные носители информации – это физическое лица или материальный объект, в том числе физическое поле, в котором информация находит свое отображение в виде символов, образов, сигналов, технических решений или процессов. Носители бывают: прямые и косвенные.

В общем случае среди информационных средств, представляемых в качестве объекта защиты, выделяют: ОТСС, ВТСС, выделенные (защищаемые) помещения.

Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. По отношению к объекту защиты угрозы бывают объективные и субъективные, внутренние и внешние.

Методология формирования задач

Ключевые понятия:

методологические основы ЗИ;

особенности проблемы ЗИ;

функции ЗИ, множество функций ЗИ, его состав, требование к множеству функций ЗИ;

задачи ЗИ, множество задач ЗИ, его состав, требование к множеству задач ЗИ.

Р ис. 3. Методология формирования задач ЗИ.

Особенности проблемы ЗИ, многолетний опыт решения частных проблем ЗИ, отсутствие системных наработок в данной области привели к необходимости разработки методологического базиса, как самой проблемы, так и ее решения. Как было указано ранее, для этого приняты принципы системного концептуального подхода к проблеме комплексной ЗИ. Все это и привело к формированию методологических основ ЗИ.

Системообразующим компонентом, предназначенным для создания концепции в рамках системно-концептуального подхода, является определение и формирование множества функций защиты. Функции защиты – это совокупность мероприятий, регулируемых и определяемых в АС различными средствами и методами для создания, поддержания и обеспечения условий, необходимых для надежной ЗИ. Множество функций ЗИ должно состоять из двух подмножеств:

1. функции непосредственной ЗИ,

2. функции управления механизмами защиты.

Для того чтобы множество функций соответствовало своему назначению, оно должно удовлетворять требованию полноты. Это требование является абсолютным (при его нарушении принципы системно-концептуального подхода к ЗИ вообще не могут быть реализованы).

Множество перечисленных функций управления является универсальным и полным в том смысле, что создает объективные предпосылки для эффективного управления любыми системами в любых условиях их функционирования.

Обеспечение регулярного осуществления функций ЗИ достигается тем, что в АС регулярно решаются специальные задачи ЗИ. Задачи ЗИ – это организованные возможности средств, методов и мероприятий, осуществляемых в АС с целью полного или частичного осуществления одной или нескольких функций ЗИ в одной или нескольких зонах защиты. Основное концептуальное требование к задачам ЗИ – это надежное обеспечение заданного уровня осуществления каждой из полного множества функций ЗИ. Практическая реализация этой возможности может быть обеспечена лишь в том случае, если множество задач ЗИ будет репрезентативным.

Аналогично двум видам функций должны быть предусмотрены и два вида задач ЗИ:

1. создания и реализации механизмов защиты,

2. управления механизмами защиты.

По оценкам, множество задач ЗИ должно включать огромное количество (порядка 10 тыс.) групп задач. Размерность этого множества можно существенно уменьшить, проведя системную классификацию задач. Анализ показывает, что репрезентативное множество задач может состоять из некоторого количества классов задач. На основе системного и предметного анализа рациональных путей осуществления функций ЗИ сформировано 10 классов задач первого вида (решаемых с целью создания механизмов ЗИ) и 4 класса задач второго вида (решаемых с целью управления механизмами защиты):

Класс 1.1. — введение избыточности элементов системы.

Класс 1.2 — резервирование элементов системы.

Класс 1.3. — регулирование доступа к элементам системы.

Класс 1.4. — регулирование использования элементов.

Класс 1.5 — маскировка информации.

Класс 1.6 — контроль элементов системы.

Класс 1.7 — регистрация сведений.

Класс 1.8 — уничтожение информации.

Класс 1.9 — сигнализация.

Класс 1.10 — реагирование.

Класс 2.1 — планирование ЗИ.

Класс 2.2 — оперативно-диспетчерское управление ЗИ.

Класс 2.3 — календарно-плановое руководство ЗИ.

Класс 2.4 — обеспечение повседневной деятельности всех подразделений и отдельных должностных лиц, имеющих непосредственное отношение к ЗИ.