Методика построения комплексной системы защиты информации в организации

Системный подход - направление методологии научного познания и социальной практики, в основе которого лежит рассмотрение объектов как систем. Системный подход ориентирует исследование на раскрытие целостности объекта, на выявление разных личных типов связей в нем и сведения в единую теоретическую картину.

Системный подход основан на представлении о системе как о чем-то целостном, обладающем новыми свойствами (качествами) по сравнению со свойствами составляющих ее элементов. Новые свойства при этом понимаются очень широко. Они могут выражаться, в частности, в способности решать новые проблемы или достигать новые цели. Для этого требуется определить границы системы, выделив ее из окружающего мира, и затем соответствующим образом изменить (преобразовать), или, говоря математическим языком, перевести систему в желаемое состояние. В системном подходе можно выделить следующие этапы:

Постановка задачи (проблемы): определение объекта исследования, постановка целей, задание критериев для изучения объекта и управления им;

Очерчивание границ изучаемой системы и ее (первичная) структуризация. На этом этапе вся совокупность объектов и процессов, имеющих отношение к поставленной цели, разбивается на два класса - собственно изучаемая система и внешняя среда;

Составление математической модели изучаемой системы: параметризация системы, задание области определения параметров, установление зависимостей между введенными параметрами;

Исследование построенной модели: прогноз развития изучаемой системы на основе ее модели, анализ результатов моделирования;

Выбор оптимального управления.

Выбор оптимального управления как раз и позволяет перевести систему в желаемое (целевое) состояние и тем самым решить проблему.

Несмотря на четкую математическую трактовку системного подхода, он не получил, однако, однозначной практической интерпретации. В связи с этим развиваются несколько направлений его практической реализации. Наибольшее распространение получили АСУПовское и системотехническое направления, суть которых заключается в совершенствовании существующих систем управления. Для этого проводится их обследование (диагностический анализ), выявляются недостатки и пути устранения последних, формируются мероприятия по совершенствованию систем, разрабатываются проекты систем, внедрение которых рассматривается как способ преобразования существующих систем управления.

Значительную роль в этих методах играют понятие системы, подсистемы, окружающей среды, классификация основных свойств и процессов в системах, классификация систем и т. д.

Остановимся на обобщенном определении системы.

Система, с одной стороны, может быть описана динамически как процесс, а с другой - статически, с точки зрения либо внешних, либо внутренних характеристик.

Кроме того, внутреннее строение системы может быть представлено в виде функциональных зависимостей и в виде структуры, реализующей эти зависимости.

Таким образом, можно выделить пять основных системных представлений: процессуальное, функциональное, макроскопическое, иерархическое и микроскопическое.

В процессуальном плане система рассматривается динамически как процесс, остальные системные представления отражают ее статический аспект.

В макроскопическом представлении описываются внешние характеристики системы, в функциональном, иерархическом и микроскопическом - внутренние.

Микроскопическое представление системы основано на понимании ее как совокупности взаимосвязанных элементов, неразложимых далее «кирпичиков». Центральными понятием микроскопического системного представления является понятие элемента. Конечно, в общем виде элемент лишь относительно неделим, однако для данной системы он является абсолютно неделимым. Элементы также могут быть рассмотрены как системы, но это будут системы другого типа, по отношению к исследуемой. Кроме того, система понимается как совокупность разнородных элементов, которые могут отличаться по принципу действия, техническому исполнению и ряду других характеристик. Система сводится к ансамблю простых частей.

Элементы системы обладают связями, которые объединяют их в целостную систему. Элементы могут существовать только в «связанном» виде - между элементами обязательно устанавливаются связи.

Например, в электрической цепи, если по ней не течет ток, нет электрических связей, следовательно, нет и элементов; когда цепь подключена к источнику электрической энергии, в ней образуются реальные электрические связи, и можно говорить о существовании элементов, которые они связывают.

Элементы в системе обязательно взаимодействуют, в результате одни свойства (переменные) изменяются, другие остаются неизменными (константы).

Важную роль в системных исследованиях играет поиск системообразующих связей, благодаря которым все элементы системы оказываются связанными воедино.

Функциональное представление системы связано с пониманием системы как совокупности функций (действий) Для достижения определенной цели. Каждый элемент в системе выполняет определенную функцию.

Синонимом понятия «структура» для функционально го представления служит понятие функциональной структуры, или организации.

Организация может быть реализована различными структурами (при этом функциональная сущность системы остается той же, меняется только способ реализации).

Для макроскопического представления характерно понимание системы как нерасчленимого целого. Здесь важно понятие системного окружения.

Под окружающей средой системы понимается совокупность всех объектов, изменение свойств которых влияет на систему и на которые влияет изменение свойств системы. Ни одна система объектов не может быть рассмотрена вне системного окружения. Системное окружение позволяет охарактеризовать систему множеством внешних связей (или внешней структурой), так и совокупностью внешних отношений.

Иерархическое представление системы (как иерархической упорядоченности) основано на понятии подсистемы, или единицы, которые следует отличать от понятия «элемент». Единица обладает функциональной спецификой целого (системы). Система может быть представлена в виде совокупности единиц, составляющих системную иерархию. (Единица может быть разложена на элементы.)

Можно выделить два типа функциональных связей между единицами системной иерархии - горизонтальные - между единицами одного уровня и вертикальные - между единицами различных уровней. Единицы каждого уровня описываются набором вертикальных и горизонтальных связей.

Процессуальное представление системы предполагает понимание системного объекта как совокупности процессов, характеризуемых последовательностью состояний во времени. Основным понятием здесь является понятие периода жизни - временного интервала, в течение которого функционирует данный процесс.

Комплексная система защиты информации - это система организационно-технологического типа. Она характеризуется рядом признаков.

КСЗИ - это система:

• искусственная, т. е. создана человеком;
• материальная, что подразумевает не только объективность ее существования, но и тот или иной уровень материальных и финансовых затрат на реализацию;
• открытая, т. е. возможно ее расширение;
• динамическая - подвержена старению, развитию, движению, прогрессу и регрессу, делению, слиянию и т. д.;
• вероятностная - система характеризуется вероятностью структуры, функции, целей, задач, ресурсов.

Очень важно, рассматривая теорию систем, не забывать о ее связи с проектированием. Даже хорошо работающие компоненты, соединенные вместе, не обязательно составляют хорошо функционирующую систему. В сложной системе часто оказывается, что даже если отдельные компоненты удовлетворяют всем необходимым требованиям, система как целое не будет работать. Для иллюстрации рассмотрим пример проектирования самолета специалистами разного профиля. Если рассмотреть данную систему с точки зрения специалиста по двигателям, то, например. Для электронного оборудования в ней совсем не останется места. Проектировщик фюзеляжа будет заботиться только об оптимальной конфигурации самолета, пренебрегая расположением антенны. Инженер-психолог потребует массу удобств для летчика, не считаясь с затратами. Плановик сведет до минимума затраты. И самолет никогда не полетит.

 

 

 

 

 

 

 

 

 

 

 

Глава 2. Разработка комплексной системы защиты информации

2.1.Принципы организации КСЗИ

 

При построении любой системы необходимо определить принципы, в соответствии с которыми она будет построена. КСЗИ - сложная система, функционирующая, как правило, в условиях неопределенности, требующая значительных материальных затрат. Поэтому определение основных принципов КСЗИ позволит определить основные подходы к ее построению.

Принцип законности заключается в соответствии принимаемых мер законодательству РФ о защите информации, а в случае отсутствия соответствующих законов - другим государственным нормативным документам по защите.

В соответствии с принципом полноты защищаемой информации защите подлежит не только информация, составляющая государственную, коммерческую или служебную тайну, но и та часть несекретной информации, утрата которой может нанести ущерб ее собственнику либо владельцу. Реализация этого принципа позволяет обеспечить и охрану интеллектуальной собственности.

Принцип обоснованности защиты информации заключается в установлении путем экспертной оценки целесообразности засекречивания и защиты той или другой информации, вероятных экономических и других последствий такой защиты исходя из баланса жизненно важных интересов государства, общества и граждан. Это, в свою очередь, позволяет расходовать средства на защиту только той информации, утрата или утечка которой может нанести действительный ущерб ее владельцу.

Принцип создания специализированных подразделений по защите информации заключается в том, что такие подразделения являются непременным условием организации комплексной защиты, поскольку только специализированные службы способны должным образом разрабатывать и внедрять защитные мероприятия и осуществлять контроль за их выполнением.

Принцип участия в защите информации всех соприкасающихся с нею лиц исходит из того, что защита информации является служебной обязанностью каждого лица, имеющего по роду выполняемой работы отношение к защищаемой информации, и такое участие дает возможность повысить качество защиты.

Принцип персональной ответственности за защиту информации требует, чтобы каждое лицо персонально отвечало за сохранность и неразглашение вверенной ему защищаемой информации, а за утрату или распространение такой информации оно несет уголовную, административную) или иную ответственность.

Принцип наличия и использования всех необходимых сил и средств для защиты заключается в том, что КСЗИ требует, с одной стороны, участия в ней руководства пред приятия и специальной службы защиты информации и всех исполнителей, работающих с защищаемой информацией, с другой стороны, использования различных организационных форм и методов защиты, с третьей стороны, наличие необходимых материально-технических ресурсов, включая технические средства защиты.

Принцип превентивности принимаемых мер по защите информации предполагает априорное опережающее заблаговременное принятие мер по защите до начала разработки или получения информации. Из этого принципа вытекает, в частности, необходимость разработки защищенных информационных технологий.

Среди рассмотренных принципов едва ли можно выделить более или менее важные. А при построении КСЗИ важно использовать их в совокупности.

 

 

 

 

2.2. Основные требования, предъявляемые к КСЗИ

 

Поскольку комплексная система защиты информации предназначена обеспечивать безопасность всей защищаемой информации, к ней должны предъявляться следующие требования:

• она должна быть привязана к целям и задачам защиты информации на конкретном предприятии;
• она должна быть целостной: содержать все ее составляющие, иметь структурные связи между компонентами, обеспечивающие ее согласованное функционирование;
• она должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на безопасность информации, и все виды, методы и средства защиты;
• она должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты, т. е. базироваться на принципе гарантированного результата;
• она должна быть «вмонтированной» в технологические схемы сбора, хранения, обработки, передачи и использования информации;
• она должна быть компонентно, логически, технологически и экономически обоснованной;
• она должна быть реализуемой, обеспеченной всеми необходимыми ресурсами;
• она должна быть простой и удобной в эксплуатации и управлении, а также в использовании законными потребителями;
• она должна быть непрерывной;
• она должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки информации, условий защиты.

Таким образом, обеспечение безопасности информации - непрерывный процесс, который заключается в контроле защищенности, выявлении узких мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты:

• безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты;
• никакая система защиты не обеспечит безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех правил защиты;
• никакую систему защиты нельзя считать абсолютно надежной, т. к. всегда может найтись злоумышленник, который найдет лазейку для доступа к информации.