5.5 Основные аспекты построения системы информационной безопасности

Мероприятия по защите информации охватывают множество аспектов законодательного, организационного и программно-технического характера. Для каждого из них формулируется ряд задач, выполнение которых необходимо для защиты информации. Перечислим самые общие из них.

В нормативно-законодательном аспекте необходимо:

• определить круг нормативных документов, применение которых требуется при проектировании и реализации системы информационной безопасности;

• установить требования по категорированию информации на основе нормативных документов;

• установить базовые требования к системе информационной безопасности и ее компонентам на основе нормативных документов.

В организационном аспекте требуется:

• установить соответствие защищаемой информации и информации по подсистемам и ресурсам ИС, в которых производится хранение, обработка и передача информации конечному пользователю (должно быть организовано ведение реестра ресурсов, содержащих информацию, значимую по критериям конфиденциальности, целостности и доступности);

• определить набор служб, обеспечивающих доступ к ИР системы (необходима выработка и согласование типовых профилей пользователей, ведение реестра таких профилей);

• сформировать политику безопасности, включающую в себя описание границ и способов контроля безопасного состояния системы, условий и правил доступа различных пользователей к ресурсам системы, мониторинг деятельности пользователей.

В процедурном аспекте следует:

• организовать физическую защиту помещений и компонентов ИС, включая сети и телекоммуникационные устройства;

• обеспечить решение задач информационной безопасности при управлении персоналом;

• сформировать, утвердить и реализовать план реагирования на нарушения режима безопасности;

• внести дополнения, связанные со спецификой ликввдации последствий несанкционированного доступа, в план восстановительных работ.

В программно-техническом аспекте необходимо:

• обеспечить архитектурную и инфраструктурную полноту решений, связанных с хранением, обработкой и передачей конфиденциальной информации;

• гарантировать проектцую и реализационную непротиворечивость механизмов безопасности по отношению к функционированию ИС в целом;

• выработать и реализовать проектные и программно-аппаратные решения по механизмам безопасности. При формулировании требований к обеспечению информационной безопасности и построению соответствующей функциональной модели следует учитывать следующие важные моменты.

Во-первых, для каждого сервиса основные требования к информационной безопасности (доступность, целостность, конфиденциальность) трактуются по-своему. Целостность с точки зрения СУБД и с точки зрения почтового сервера — вещи принципиально разные. Бессмысленно говорить о безопасности локальной или иной сети вообще, если сеть включает в себя разнородные компоненты. Необходимо анализировать защищенность конкретных сервисов и устройств, функционирующих в сети. Для разных сервисов и защиту строят по-разному. Во-вторых, основная угроза информационной безопасности организаций, как было отмечено ранее, в большей степени исходит не от внешних злоумышленников, а от собственных сотрудников.

В деле обеспечения информационной безопасности успех может принести только комплексный подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

• законодательного;

• административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);

• процедурного (меры безопасности, ориентированные на людей);

• программно-технического.

Законодательный уровень является важнейшим для обеспечения информационной безопасности.

На законодательном уровне различаются две группы мер:

• меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности);

• направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

Самое важное на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.

Самое важное на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий.

В современном мире глобальных сетей нормативно-правовая база должна быть согласована с международной практикой. Особое внимание следует обратить на то, что желательно привести национальные стандарты и сертификационные нормативы в соответствие с международным уровнем информационных технологий вообще и информационной безопасности в частности. Есть целый ряд оснований для того, чтобы это сделать. Одно из них - необходимость защищенного взаимодействия с зарубежными организациями. Второе - доминирование аппаратно-программных продуктов зарубежного производства.

Подводя итог, можно наметить следующие основные направления деятельности на законодательном уровне:

• разработка новых законов с учетом интересов всех категорий субъектов информационных отношений;

• обеспечение баланса созидательных и ограничительных (в первую очередь преследующих цель наказать виновных) законов;

• интеграция в мировое правовое пространство;

• учет современного состояния информационных технологий.

Контрольные вопрсы

1. Перечислите основные методы и средства защиты информации.

2. Дайте определения кодирования и декодирования.

3. Как осуществляется защита от несанкционированного доступа к данным?

4. Охарактеризуйте классы безопасности компьютерных систем.

5. Сформулируйте определение электронной цифровой подписи.