Лекция. Лекция 16052020. Системообразующими
Скачать 82.44 Kb.
|
Системообразующие факторы Любая система создается под заданные требования с учетом существующих ограничений. Факторы, влияющие на структуру и функционирование системы, называются системообразующими. К ним относятся: перечни защищаемых сведений, составляющих государственную (по тематике государственного заказа, если он выполняется организацией) и коммерческую тайну; требуемые уровни безопасности информации, обеспечение которых не приведет к превышению ущерба над затратами на защиту информации; угрозы безопасности информации; ограничения, которые надо учитывать при создании или модернизации системы защиты информации; показатели, по которым будет оцениваться эффективность системы защиты. Руководящие документы Структура и алгоритм функционирования системы защиты организации определяются в руководящих, нормативных и методических документах. К руководящим документам относятся: руководство (инструкция) по защите информации в организации; положение о подразделении организации, на которое возлагаются задачи по обеспечению безопасности информации; инструкции по работе с грифованными документами; инструкции по защите информации о конкретных изделиях; В различных организациях эти документы могут иметь разные наименования, отличающиеся от указанных. Но сущность этих документов остается низменной, так как необходимость в них объективна. Инструкция по защите информации в организации Порядок защиты информации в организации определяется соответствующим руководством (инструкцией). Оно может содержать следующие разделы: общие положения; перечень охраняемых сведений; демаскирующие признаки объектов организации; демаскирующие вещества, создаваемые в организации; оценки возможностей органов и средств добывания информации; организационные и технические мероприятия по защите информации; порядок планирования работ службы безопасности; порядок взаимодействия с государственными органами, решающими задачи по защите материальной и интеллектуальной собственности, государственной и коммерческой тайны. На каждом этапе и стадии к работе подключаются новые люди, разрабатываются новые документы, создаются узлы и блоки с информативными для них демаскирующими признаками. Созданию каждого изделия или самостоятельного документа сопутствует свой набор информационных элементов, их источников и носителей, угроз и каналов утечки информации, проявляющиеся в различные моменты времени. Для защиты информации об изделии на каждом этапе его создания разрабатывается соответствующая инструкция. Инструкция должна содержать необходимые для обеспечения безопасности информации сведения, в том числе: общие сведения о наименовании образца, защищаемые сведения и демаскирующие признаки, потенциальные угрозы безопасности информации, замысел и меры по защите, порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения контролируемых параметров, условия и методики, периодичность и виды контроля), фамилии лиц, ответственных за безопасность информации. Работа по защите информации в организации проводится всеми его сотрудниками, но степень участия различных категорий существенно отличается. Любой сотрудник, подписавший обязательство о неразглашении тайны, участвует в защите информации хотя бы путем выполнения руководящих документов о защите информации. Группа инженерно-технической защиты Ответственность за состояние защиты информации возлагается на соответствующее подразделение и лиц службы безопасности. Применительно к типовой структуре службы безопасности коммерческой структуры инженерно-техническая защита обеспечивается группой инженерно-технической защиты, которая, как вариант, может состоять из старшего инженера (инженера) - руководителя группы и инженера (техника) по специальным измерениям. Основные задачи группы: обследование выделенных помещений с целью установления потенциально возможных каналов утечки конфиденциальной информации через технические средства, конструкции зданий и оборудования; выявление и оценка степени опасности технических каналов утечки информации; разработка мероприятий по ликвидации (предотвращению утечки) потенциальных каналов утечки информации; организация контроля (в том числе и инструментального) за эффективностью принятых защитных мероприятий, анализ результатов контроля и разработка предложений по повышению надежности и эффективности мер защиты; подготовка заявок на приобретение технических средств защиты информации, участие в их установке, эксплуатации и контроле состояния. Кроме того, на группу инженерно-технической защиты информации целесообразно возложить также технические вопросы охраны носителей информации. В организациях работа по инженерно-технической защите информации включает два этапа: построение или модернизация системы зашиты; поддержание защиты информации на требуемом уровне. Построение (модернизация) системы защиты информации Построение системы защиты информации проводится во вновь создаваемых организациях, в остальных - модернизация существующей. Построение (модернизация) системы защиты информации на требуемом уровне ее защиты в организации предусматривают проведение следующих основных работ: уточнение перечня защищаемых сведений в организации, определение источников и носителей информации, выявление и оценка угрозы ее безопасности; определение мер по защите информации, вызванных изменениями целей и задач защиты, перечня защищаемых сведений, угроз безопасности информации; контроль эффективности мер по инженерно-технической защите информации в организации. Меры по защите информации целесообразно разделить на 2 группы: организационные и технические. Организационные меры инженерно-технической защиты информации включают в себя, прежде всего, мероприятия по эффективному использованию технических средств регламентации и управления доступом к защищаемой информации, а также по порядку и режимам работы технических средств защиты информации. Организационные меры инженерно-технической защиты информации являются частью ее организационной защиты, основу которой составляют регламентация и управление доступом. Регламентация - это установление временных, территориальных и режимных ограничений в деятельности сотрудников организации и работе технических средств, направленные на обеспечение безопасности информации. Регламентация предусматривает: установление границ контролируемых и охраняемых зон; определение уровней защиты информации в зонах; регламентация деятельности сотрудников и посетителей (разработка распорядка дня, правил поведения сотрудников в организации и вне ее т. д.); определение режимов работы технических средств, в том числе сбора, обработки и хранения защищаемой информации на ПЭВМ, передачи документов, порядка складирования продукции и т. д. Управление доступом к информации включает следующие мероприятия: идентификацию лиц и обращений; проверку полномочий лиц и обращений; регистрацию обращений к защищаемой информации; реагирование на обращения к информации. Технические меры предусматривают применение способов и средств, по противодействию ТСР с помощью технических средств. В общем случае способы и средства технической зашиты информации должны создать вокруг объекта защиты преграды, препятствующие реализации угроз безопасности информации как при непосредственном контакте злоумышленников с ее источниками, так и при ее утечке. Учитывая активность, непрерывность, скрытность разведки, большое количество потенциальных источников информации в организациях, многообразие побочных полей и электрических сигналов, возникающих при обработке, хранении и передаче информации и способных уносить ее за пределы объекта защиты, проблема защиты информации относится к числу сложных, так называемых слабоформализуемых проблем. Эти проблемы не имеют, как правило, формальных методов решения. Системный подход к защите информации. Системный подход - это концепция решения сложных слабоформализуемых проблем, рассматривающая объект изучения (исследования) или проектирования в виде системы. Основные принципы системного подхода состоят в следующем: любая система является подсистемой более сложной системы, которая влияет на структуру и функционирование рассматриваемой; любая система имеет иерархическую структуру, элементами и связями которой нельзя пренебрегать без достаточных оснований; при анализе системы необходим учет внешних и внутренних влияющих факторов, принятие решений на основе их небольшого числа без рассмотрения остальных может привести к нереальным результатам; накопление и объединение свойств элементов системы приводит к по¬явлению качественно новых свойств, отсутствующих у ее элементов. Эффективность реализации системного подхода на практике зависит от умения специалиста выявлять и объективно анализировать все многообразие факторов и связей достаточно сложного объекта исследования, каким является, например, организация как объект защиты. Необходимым условием такого умения является наличие у специалиста так называемого системного мышления, формируемого в результате соответствующего обучения и практики решения слабоформализуемых проблем. Системное мышление - важнейшее качество не только специалиста по защите информации, но любого организатора и руководителя. Системный анализ предусматривает применение комплекса методов, методик и процедур, позволяющих выработать количественные рекомендации по решению любых, прежде всего, слабоформализуемых проблем. Математической основой для системного анализа является аппарат исследования операций. С позиции системного подхода совокупность взаимосвязанных элементов, функционирование которых направлено на обеспечение безопасности информации, образует систему защиты информации. Такими элементами являются люди (руководство и сотрудники организации, прежде всего, службы безопасности), инженерные конструкции и технические средства, обеспечивающие защиту информации. Следует подчеркнуть, что речь идет не о простом наборе взаимосвязанных элементов, а объединенных целями и решаемыми задачами. Система задается (описывается) следующими параметрами (характеристиками): целями и задачами (конкретизированными в пространстве и во времени целями); входами и выходами системы; ограничениями, которые необходимо учитывать при построении (модернизации, оптимизации) системы; процессами внутри системы, обеспечивающими преобразование входов в выходы. Решение проблемы защиты информации с точки зрения системного подхода можно сформулировать как трансформацию существующей системы в требуемую. |