Анализ состояния дел в области информационной безопасности показывает, что в ряде развитых государств сложилась и успешно функционирует вполне устоявшаяся инфраструктура системы информационной безопасности СИБ, т.е. системы мер, обеспечивающей такое состояние конфиденциальной информации, при котором исключаются ее разглашение, утечка, несанкционированный доступ (внешние угрозы), а также искажение, модификация, потеря (внутренние угрозы).
Тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не прекращаются, а имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для успешного противодействия этой тенденции необходима стройная и управляемая система обеспечения безопасности информации (ОБИ).
Поскольку информация является продуктом информационной системы (ИС), т.е. организационно-упорядоченной совокупности информационных ресурсов, технологических средств, реализующих информационные процессы в традиционном или автоматизированном режимах для удовлетворения информационных потребностей пользователей, то материальными объектами информационной безопасности являются элементы таких ИС:
потребители и персонал;
материально-технические средства (МТС) информатизации;
информационные ресурсы (ИР) с ограниченным доступом.
Таким образом, под информационной безопасностью далее будем понимать состояние защищенности информационных ресурсов, технологий их формирования и использования, а также прав субъектов информационной деятельности. Здесь важно заметить следующее:
Объектом защиты становится не просто информация как некие сведения, а информационный ресурс, т.е. информация на материальных носителях (документы, базы данных, патенты, техническая документация и т.д.), право на доступ к которой юридически закреплено за ее собственником и им же регулируется [1];
Информационная безопасность пользователей в отличие от физической обеспечивает защищенность их прав на доступ к ИР для удовлетворения своих информационных потребностей;
С точки зрения экономической целесообразности защищать следует лишь ту информацию, разглашение (утечка, потеря и т.д.) которой неизбежно приведет к материальному и моральному ущербу.
Важнейшими принципами обеспечения безопасности ИС являются[2]:
Законность мероприятий по выявлению и предотвращению правонарушений в информационной сфере;
Непрерывность реализации и совершенствования средств и методов контроля и защиты информационной системы;
Экономическая целесообразность, т.е. сопоставимость возможного ущерба и затрат на обеспечение безопасности информации;
Комплексность использования всего арсенала имеющихся средств защиты во всех подразделениях фирмы и на всех этапах информационного процесса.
Последнее дает наибольший эффект тогда, когда все используемые средства, методы и мероприятия объединены в единую управляемую систему информационной безопасности. В этом случае достигается полный охват объектов защиты (персонала, МТС информатизации и ИР) всей совокупностью форм противодействия и защиты на основе правовых, организационных и инженерно-технических мероприятий.
В зависимости от масштаба и вида деятельности коммерческой организации структура ее СИБ может быть разнообразной исходя из экономической целесообразности. Однако обязательными элементами, присутствующими в ее структуре и соответствующие основным направлениям защиты, должны быть следующие [3]:
Правовая защита - юридическая служба (юрист, патентовед, рацорг, оценщик интеллектуальной собственности т.п.), взаимодействующая с бухгалтерией и плановым тделом;
Организационная защита - службы охраны (комендант, контролеры, пожарные и т.п.) и режима (государственной, служебной тайны, конфиденциальной информации и т.п.), взаимодействующие с отделом кадров;
Инженерно-техническая защита - инженерно-техническая служба (операторы ЭВМ, связисты, криптографы, техники и т.п.), взаимодействующие с функциональными подразделениями фирмы.
Объединяющим и координирующим началом всей СИБ является ее начальник в ранге заместителя руководителя фирмы по безопасности, опирающийся в своих действиях на решения Совета безопасности, объединяющего начальников соответствующих служб и возглавляемого ответственным руководителем фирмы.
Функционально СИБ строится в виде перекрывающихся "концентрических" контуров защиты по отношению к внешним угрозам, в центре которых располагается объект защиты. При этом "внешним" контуром (большего "радиуса") является контур правовой защиты, обеспечивающий законность и правомерность как самого объекта, так и мер по его защите. Далее следует контур организационной защиты, обеспечивающий порядок доступа к объекту, который непосредственно защищается "внутренним" контуром инженерно-технической защиты путем контроля и предотвращения утечки, НСД, модификации и потери информации.
Такое построение СИБ позволяет существенно локализовать техническую защиту и сократить расходы на нее вследствие правовой "селекции" объектов защиты и организации ограниченного доступа к ним. Реализация процесса защиты информации в каждом из означенных контуров происходит примерно по следующим этапам:
Определение объекта защиты:
права на защиту ИР;
|