Основы методики построения системы защиты информации.

 

Авторы пособия «Безопасность граждан и организаций» Теплов Э.П., Янин Ю.П. [30] вводят принцип: «равнопрочность границ зон безопасности», который определяет, что все границы охраняемых зон, все пути доступа в эти зоны должны быть одинаково надежно контролируемы. Не должно быть ситуации, когда, например, входы и помещения здания таможни оборудованы современными системами безопасности и контроля, но при этом - закрытые совещания в кабинете начальника таможни на втором этаже проходят при открытых окнах, выходящих на неконтролируемую территорию.

Что же такое система информационной безопасности? Для начала определим – термин «безопасность». Закон Российской Федерации «О безопасности» от 5 марта 1992 г. определяет безопасность как «состояние защищенности … от … угроз». Согласно [27], «Безопасность информации – состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, целостность и доступность информации при ее обработке техническими средствами». То есть, любая структура, решающая вопросы безопасности информации, по своей сути может являться системой защиты информации. А что попадает под понятие «система»? По определению академика П.К. Анохина «система» - (systema - греч. целое, составленное из частей) - это особая целостность, состоящая из избирательно вовлеченных в нее элементов (частей), соединенных между собой определенными взаимосвязями (взаимоотношениями) так, что это соединение обеспечивает взаимосодействие элементов. В соответствии с определением, приведенным в ГОСТ Р ИСО/МЭК 12207-99, «система — это комплекс, состоящий из процессов, технических и программных средств, устройств и персонала, обладающий возможностью удовлетворять установленным потребностям или целям».

Систему всегда характеризует качественнаяопределенность, отличающая данную систему от остальных. Это особое качество называется системным, и является тем новым качеством, которого не имели ранее (до образования системы) отдельно взятые элементы, и которое теперь принадлежит всем ее элементам.

Система, также, качественно характеризуется взаимосвязями (отношениями) с внешней средой, с другими системами. «Взаимосвязи» понимаются нами как отношения между элементами системы, и взаимоотношения с другими (внешними) системами и объектами, имеющие прямые и обратные связи.

Более того, система должна быть динамичной и своевременно реагировать на изменения окружающей обстановки, на дестабилизирующие факторы, то есть, система должна развиваться. Это подтверждает следующее утверждение: Любая система может функционировать и развиваться только за счет использования материально-энергетических и информационных поступлений (дотаций) из окружающей внешней среды; абсолютно изолированное саморазвитие невозможно.

Говоря о безопасности, можно сказать, что система защиты должна не просто состоять из набора каких-либо защищающих элементов, а эти элементы должны быть взаимосвязаны, должны образовывать единую защитную структуру, и чем лучше определены взаимосвязи, тем качественнее будет система. Плюс – обязательное вложение средств, направленных на обеспечение работоспособности системы и ее развитие.

Кроме того, необходимо помнить, что любая система имеет свой жизненный цикл, и для обеспечения безопасного состояния объекта его необходимо учитывать. Жизненный цикл системы безопасности будет состоять из следующих этапов:

 

 

 

1) Исследование защищаемого объекта и его среды, моделирование системы защиты (рождение системы).

2) Реализация модели системы защиты (развитие системы).

3) Эксплуатация системы защиты (существование системы).

4) Утилизация системы защиты (разрушение системы).

Рассматриваемая методика, описанная в работах [5, 6, 7], в своем основном объеме будет касаться первого, второго и третьего этапов жизненного цикла.

Для создания системы защиты необходимо провести всесторонний анализ ситуации: конкретизировать объект защиты, определить его взаимоотношения с окружающим миром, выделить их опасную составляющую, и определить способы нейтрализации или уменьшения уровня воздействия. Иными словами, необходимо ответить на три основных вопроса:

- Что защищать?

- От кого защищать?

- Как защищать?

При этом, необходимо учитывать объемы возможных затрат на построение и эксплуатацию системы, и не забывать, что основная задача системы защиты – минимизация ущерба для защищаемого объекта.

Методика построения системы защиты информации, которую мы рассмотрим ниже, состоит из пяти основных этапов:

- определение защищаемого объекта;

- описание окружающей обстановки (среды, в которой находится защищаемый объект, отражающей совокупность условий, прямо или косвенно влияющих на процесс обеспечения безопасности);

- описание системы защиты информации;

- реализация системы защиты информации;

- эксплуатация системы защиты информации.

 

Перед началом рассмотрения методики предлагаю несколько ключевых определений:

Угроза – это возможное происшествие или деяние, преднамеренное или нет, которое может оказать отрицательное воздействие на среду, в которой обрабатывается информация, а также на саму информацию, подвергаемую обработке. Иначе говоря, угроза - это возможное событие, в результате наступления которого возникает какой-либо ущерб, убыток.

Под обработкой информации подразумевается ее прием, передача, хранение и собственно обработка, как таковая.

Уязвимость – характеристика защищаемого объекта, которая делает возможным появление угрозы для него. Т.е. уязвимость - нежелательная реакция защищаемого объекта на некоторые внешние воздействия производимые источниками угроз.

Источники угроз – перечень лиц (субъектов), а так же природных и техногенных факторов, которые могут реализовать каждую из угроз с определенной вероятностью. Иными словами, источник угроз – это лицо, имеющее возможность осознанно, по ошибке или незнанию, предпринять попытку реализации угрозы по отношению к объекту защиты и использовать при этом различные возможности, методы и средства, либо фактор, который может оказать на объект защиты воздействие, влекущее за собой определенный ущерб.

Модель – некое обобщенное описание исследуемого объекта, сделанное на основе интересующих нас признаков.

 

 

Рассмотрим последовательно этапы построения системы защиты:

	Определение защищаемого объекта

I этап

 

 

II этап

 

III этап

 

 

Анализ обстановки, и модификация политики ИБ

IV этап

 

 

Эксплуатация системы защиты информации

V этап

 

Рис. 1. Этапы построения системы защиты.

 

Первый этап – выделение наиболее важных защищаемых информационных массивов (либо составляющих этих массивов), исходя из особенностей конкретной организации. Второй этап – определение множества угроз для защищаемой информации, и создание модели источников угроз, исходя из условий расположения организации и окружающей обстановки. Третий этап – разработка политики обеспечения информационной безопасности в организации, и построение модели системы защиты на основе полученных данных [5, 6]. Четвертый этап – создание системы защиты на основе утвержденной модели, включая требуемые положения и инструкции. Пятый этап – эксплуатация системы защиты информации [7]. Так как система защиты должна находиться в состоянии динамического равновесия, и быть готовой к противодействию любым угрозам, то необходима периодическая адаптация системы к новым условиям. Для этого необходимы: периодический анализ окружающей обстановки, и, при необходимости, модификация политики информационной безопасности организации.

 

⇐ Предыдущая12345678910Следующая ⇒

Поделиться: