СОЗДАНИЕ КОМПЛЕКСОВ
БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
Ляпунов И.В.
(Московский Государственный Институт
Электроники и Математики, Россия)
Проблема информационной безопасности в
последнее время выходит на новый, более открытый
общедоступный уровень. Создание систем защиты
информации перестает быть областью деятельности
только узко специализированных государственных
структур, сейчас появляются коммерческие фирмы,
работающие в этом секторе компьютерного рынка и
оказывающие различные услуги по информационной
безопасности. Это обусловлено рядом причин,
среди которых изменение политики России в
области защиты информации, появление в
нормативных актах РФ понятия конфиденциальной
по отношению к негосударственным структурам и
частным лицам. В настоящее время постепенно
открываются различные положения и руководящие
документы, регулирующие деятельности в
информационной безопасности.
Определим некоторые основные понятия
рассматриваемой предметной области.
Информационная безопасность - это защищенность
информации и поддерживающей инфраструктуры от
случайных или преднамеренных воздействий
естественного или искусственного характера,
наносящих ущерб владельцам или пользователям
информации и поддерживающие инфраструктуре.
Защита информации (ЗИ) - это комплекс мероприятий,
направленных на обеспечение информационной
безопасности, т.е. поддержание целостности,
доступности и конфиденциальности информации и
ресурсов, используемых для хранения, обработки и
передачи данных.
Таким образом, можно говорить о необходимости
и, более того, обязательности комплексного
подхода к проблеме защиты информации
предприятия или фирмы. Система безопасности
должна охватывать весь жизненный цикл
информационной системы (ИС) фирмы или самого
предприятия, т.е. развиваться, изменяться,
приспосабливаться к новым условиям вместе с ИС,
предприятием. Поддержание актуальности СЗИ и
адекватности ее окружающим условиям требует
постоянных усилий со стороны администраторов
безопасности организации, требует внимания к
новинкам в области информационной защиты и
нападения.
Руководство каждой организации должно
осознавать необходимость поддержания режима
информационной безопасности и выделения на эти
цели значительных ресурсов. Основная цель
руководства организации это выработка и
поддержание политики безопасности, которая
задает общее направление работ в данной области.
Под политикой безопасности понимается
совокупность документированных управленческих
решений, направленных на защиту информации и
ассоциированных с ней ресурсов. Она содержит:
цели, общие направления в достижении этих целей,
область применения, позиция организации по
определенным аспектам ИБ, роли и обязанности
персонала. Политика безопасности должна
определять понятие конфиденциальной информации
и правила отнесения данных к определенному
уровню конфиденциальности. Существует три типа
регуляторов в области информационной защиты
предприятия: управленческие, операционные и
программно-технические. К управленческим
регуляторам относятся:
• управление рисками, т.е. оценка размеров
возможного ущерба, выработка мер по уменьшению
риска - заключение риска в разумные рамки,
проверка результатов достигнутого;
• координация деятельности в области
информационной безопасности, пополнение и
распределение ресурсов;
• стратегическое планирование;
• контроль деятельности и области
информационной безопасности.
Операционные регуляторы, ориентированны на
людей, т.к. они формируют режим информационной
безопасности, и они являются главной угрозой ИС,
основным каналом утечки конфиденциальной
информации. Основными направлениями воздействия
являются:
• управление персоналом;
• физическая защита;
• поддержание работоспособности;
• реакция на нарушение режима информационной
безопасности;
• планирование восстановительных мероприятий.
Последний и самый важный рубеж защиты
организации - программно- технический, т.к.
основную часть ущерба организациям наносят
действия легальных пользователей, по отношению к
которым операционные регуляторы не могут дать
решающего действия- В этой связи необходимо
рассматривать и разрабатывать следующие
подсистемы защиты:
• идентификация и аутентификация;
• управление доступом;
• протоколирование и аудит;
• криптография;
• экранирование.
Таким образом, обеспечение информационной
безопасности организации является комплексной
проблемой, требующей постоянного внимания,
людских и материальных затрат, а также полной
поддержки со стороны руководства предприятия и
понимания - со стороны персонала и пользователей
информационной системы. |