Itmo_Upravlenie_IB готовый. 1. Место информационной безопасности в системе национальной безопасности
Скачать 453.88 Kb.
|
30.Комплексные системы защиты информации. Системный подход - методологическое направление в науке, основная задача которого состоит в разработке методов исследования и конструирования сложноорганизованных объектов - систем разных типов и классов [14]. К числу важнейших задач системного подхода относятся: 1) разработка средств представления исследуемых и конструируемых объектов как систем; 2) построение обобщенных моделей системы, моделей разных классов и специфических свойств систем; 3) исследование структуры теорий систем и различных системных концепций и разработок. В системном исследовании анализируемый объект рассматривается как определенное множество элементов, взаимосвязь которых обусловливает целостные свойства этого множества. Основной акцент делается на выявлении многообразия связей и отношений, имеющих место как внутри исследуемого объекта, так и в его взаимоотношениях с внешним окружением, средой. Свойства объекта как целостной системы определяются не только и не столько суммированием свойств его отдельных элементов, сколько свойствами его структуры, особыми системообразующими, интегративными связями рассматриваемого объекта. Для понимания поведения систем, прежде всего целенаправленного, необходимо выявить реализуемые данной системой процессы управления - формы передачи информации от одних подсистем к другим и способы воздействия одних частей системы на другие, координацию низших уровней системы со стороны элементов ее высшего уровня управления, влияние на последние всех остальных подсистем. Существенное значение в системном подходе придается выявлению вероятностного характера поведения исследуемых объектов. Важной особенностью системного подхода является то, что не только объект, но и сам процесс исследования выступает как сложная система, задача которой, в частности, состоит в соединении в единое целое различных моделей объекта. Таким образом, с использованием системного подхода нам необходимо построить систему защиты информации. Система защиты информации (СЗИ) – это совокупность средств, методов, мероприятий, и персонала, предусматриваемых в составе той или иной информационной системы для решения задач ее защиты. Введением понятия СЗИ постулируется, что все ресурсы, выделяемые для защиты информации, должны объединяться в единую, целостную, функционально самостоятельную систему Наиболее характерной особенностью современных систем защиты информации является их комплексность. Комплексность, вообще говоря, понимается как решение в рамках единой концепции двух или более разноплановых задач (целевая комплексность), или использования для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или и то и другое (всеобщая комплексность) [7]. Применительно к проблеме защиты информации в настоящее время речь должна идти о всеобщей комплексности, что обусловлено устойчивыми тенденциями развития систем обработки информации и подготовлено предшествующими исследованиями и разработками проблем защиты. Необходимость комплексной защиты информации вызвано современными тенденциями развития информационных систем и технологий, к числу которых относятся следующие [7]: · массовое насыщение предприятий (учреждений, организаций) средствами вычислительной техники и прежде всего, персональными ЭВМ и их периферийным оборудованием; · все более интенсивное сращивание традиционных и автоматизированных технологий обработки информации с неуклонным ростом доли безбумажных процедур; · непосредственный доступ к ресурсам информационных систем массы пользователей, не являющихся профессионалами, а потому не владеющими в должной мере всеми необходимыми знаниями и навыками правильного и рационального их использования; · сопряжение средств вычислительной техники в локальные и глобальные сети; · все более настойчивое превращение информационных массивов в интеллектуальную собственность и в товар. Нетрудно видеть, что в этих условиях господствовавшее до недавнего времени представление о защите информации как о предупреждении несанкционированного ее получения (сохранения тайны) является чрезмерно узким. Более того, само понятие тайны до недавнего времени ассоциировалось преимущественно с государственными секретами, в то время как в современных условиях повсеместное распространение получают понятия служебной, коммерческой, банковской, личной и т.п. тайны. Таким образом, даже в рамках традиционного представления о защите информации ее содержание должно быть существенно расширено. Но в условиях, создаваемых перечисленными выше тенденциями, повышенную значимость приобретают такие проблемы, как обеспечение физической целостности информации (предупреждение уничтожения или искажения), обеспечение логической целостности (предупреждение разрушения или искажения в автоматизированных банках логических структур данных, задаваемых пользователями), предупреждение несанкционированной модификации информации, предупреждение несанкционированного копирования (размножения) информации, являющейся чьей-либо собственностью, соблюдение авторских прав в безбумажных технологиях хранения и обработки информации. Совершенно очевидно, что независимая защита информации по каждой из перечисленных целей будет весьма накладной, а во многих случаях - просто невозможной. Отсюда и вытекает объективная необходимость перехода к целевой комплексной защите. Рассмотрим далее вопрос об инструментальной комплексности. В рамках прежнего представления о защите информации практически независимо развивались три вида защиты: организационная (службы режима, первые отделы и др.), техническая (службы противодействия инженерно- технической разведке) и службы защиты информации в АСУ и на ВЦ. Относительно самостоятельно развиваются криптографические средства защиты. При этом имело место дублирование решаемых задач (например, в процессе автоматизированной обработки информации формируется значительное число технических каналов). Ясно, что в условиях неуклонного и повсеместного слияния традиционных и автоматизированных технологий обработки информации независимое развитие и использование различных видов защиты должно быть признано анахронизмом; необходима интеграция всех видов в единый комплексный арсенал защиты, реализуемый в виде комплексной системы защиты информации (КСЗИ). Но сказанным выше проблема комплексности защиты далеко не исчерпывается. В самом деле, при слиянии традиционных и автоматизированных технологий обработки информации и непосредственном доступе массы пользователей к ресурсам вычислительной техники все большая часть этих пользователей попадает в прямую зависимость от получаемой из ЭВМ информации. Тогда принципиальное значение приобретают такие характеристики, как своевременность выдачи информации, полнота выдачи, актуальность выдаваемой информации, ее релевантность, толерантность выдачи и др. В свою очередь, перечисленные характеристики зависят от своевременности актуализации находящейся в системе информации, глубины, полноты и адекватности ее обработки и некоторых других показателей. Перечисленные показатели и характеристики образуют свойство информации, обобщенно называемое ее качеством. Вообще говоря, проблема качества информации была весьма актуальной и при традиционных технологиях ее обработки, но, во-первых, масштабы обработки и объемы обрабатываемой информации были неизмеримо меньше, а во-вторых, в силу полной наглядности представления информации и процедур ее обработки она решалась почти естественным образом. В условиях же автоматизированной обработки резко возрастают объемы обрабатываемой информации и масштабы обработки, а само решение соответствующих задач должно осуществляться на принципиально иной основе. В силу этого обеспечение качества информации в ИС переросло в самостоятельную и достаточно сложную научно-техническую проблему. Поскольку КСЗИ является функциональной подсистемой ИС, то ресурсы, необходимые для её создания и поддержания её функционирования, содержат элементы следующего содержания: 1) техническое обеспечение - совокупность технических средств, необходимых для технической поддержки решения всех тех задач защиты информации, решение которых может потребоваться в процессе функционирования КСЗИ. В техническое обеспечение КСЗИ, естественно, должны быть включены все технические средства защиты, которые могут оказаться необходимыми в конкретной КСЗИ. Кроме того, к ним относятся те технические средства, которые необходимы для решения задач управления механизмами защиты информации; 2) математическое обеспечение - совокупность математических методов, моделей и алгоритмов, необходимых для оценок уровня защищенности информации и решения других задач защиты; З) программное обеспечение - совокупность программ, реализующих программные средства защиты, а также программ, необходимых для решения задач управления механизмами защиты. К ним должны быть отнесены также сервисные и вспомогательные программы КСЗИ; 4) информационное обеспечение - совокупность систем классификации и кодирования данных о защите информации, массивы данных КСЗИ, а также входные и выходные документы КСЗИ; 5) кадровое обеспечение составляют те лица (или группы лиц, коллективы, подразделения), которые имеют непосредственное отношение к защите информации в процессе функционирования ИС. К ним должны быть отнесены: 1) пользователи ИС, имеющие доступ к ее ресурсам и участвующие в обработке информации; 2) администрация ИС, обеспечивающая общую организацию функционирования системы обработки, в том числе и КСЗИ; 3) диспетчеры и операторы ИС, осуществляющие прием информации, подготовку ее к обработке, управление средствами ИС в процессе обработки, контроль и распределение результатов обработки, а также некоторые другие процедуры, связанные с циркуляцией информационных потоков; 4) администраторы банков данных, отвечающие за организацию, ведение и использование баз данных ИС; 5) обслуживающий персонал, обеспечивающий работу технических средств ИС, в том числе и средств КСЗИ; 6) системные программисты, осуществляющие управление программным обеспечением ИС; 7) служба защиты информации, специально создаваемая для организации и обеспечения защиты информации. Эта служба играет ведущую роль в защите информации. Она несет полную ответственность за защиту информации и имеет особые полномочия. Если служба защиты в виде самостоятельного подразделения не создается, то ее функции должны быть возложены на администрацию баз данных или ЛВС с соответствующим изменением ее организационно-правового статуса. 6) лингвистическое обеспечение - совокупность языковых средств, необходимых для обеспечения взаимодействия компонентов КСЗИ между собой, с компонентами ИС и с внешней средой. 7) организационно-правовое обеспечение, как компонент КСЗИ, представляет собою организованные совокупности организационно-технических мероприятий и организационно-правовых актов. Организационно-технические мероприятия, с одной стороны, участвуют в непосредственном решении задач защиты (чисто организационными средствами или совместно с другими средствами защиты), а с другой - объединяют все средства в единые комплексы защиты информации. Организационно-правовые акты являются правовой основой, регламентирующей и регулирующей функционирование всех элементов КСЗИ. В целом же организационно-правовое обеспечение служит для объединения всех компонентов в единую систему защиты. 8) поддерживающая инфраструктура – по составу совпадает с подобным видом обеспечения для ИС в целом и представляет собой системы электропитания, кондиционирования, тепло- и водоснабжения, системы связи и т.п. Далее рассмотрим каждый из компонентов КСЗИ в отдельности. При этом обратим внимание на то, что в специализированных источниках вышеперечисленные компоненты несколько видоизменяют свои названия в устойчивые словосочетания: · организационная защита информации, · правовая защита информации, · программно-аппаратная защита информации, · криптографическая защита информации и · инженерно-техническая защита информации. |