3.3. Принципы комплексной системы защиты информации
К основным принципам относятся:
Принцип системного подхода к построению системы;
Принцип оптимальности (рациональности);
Принцип комплексности;
Принцип прозрачности (система защиты не должна мешать, не должна быть заметна);
Принцип модульности;
Принцип адаптивности (система защиты должна подстраиваться под изменения в компьютере);
Угрозы безопасности современным информационно-телекоммуникационным системам и пути решения вопросов технической защиты информации в них.
Анализ ситуации в информационной сфере показывает, что государством в период глобализации информационных ресурсов, формирования единого информационного пространства решается задача по обеспечению информационной безопасности. На данный факт указывает множество действующих документов: Концепция национальной безопасности, Доктрина информационной безопасности Российской Федерации, федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года №149-ФЗ и др.
Понятие, структура, классификация ИТКС и возможные последствия негативных воздействий на них.
При их ближайшем изучении видно, что на сегодняшний день система обеспечения информационной безопасности в Российской Федерации продолжает развиваться и процесс ее формирования идет в соответствии с тенденциями постоянного повышения роли информации и информационной безопасности в современном мире.
Сфера информационной безопасности имеет свой понятийный аппарат: информационная технология, автоматизированная система, информационно-телекоммуникационная система, носитель информации и т. д. Одна часть этих терминов имеет строго прописанные определения, закрепленные в законах, ГОСТах, нормативно-методических документах и пр. В то же время, отдельные понятия, несмотря на их распространенность в различных документах, конкретно не определены.
Примером этому является понятие информационно-телекоммуникационной системы (ИТКС). Данный термин довольно часто встречается в документах. В частности, большое внимание вопросам обеспечения информационной безопасности информационно-телекоммуникационных систем уделяется в Доктрине информационной безопасности Российской Федерации.
В Концепции национальной безопасности, также указано на опасности нарушений нормального функционирования информационно-телекоммуникационных систем. Согласно положению о Федеральной службе по техническому и экспортному контролю и положению о Федеральной службе безопасности Российской Федерации на эти органы возложены функции обеспечения информационной безопасности информационно-телекоммуникационных систем.
Так что же представляет собой современная информационно-телекоммуникационная система? Из каких элементов она состоит? С этой целью обратимся к основным понятиям, используемым в области информационной безопасности.
Само по себе понятие «система» означает нечто целое, представляющее собой единство закономерно расположенных и находящихся во взаимной связи частей. Рассматривая информационно-телекоммуникационную систему, как совокупность взаимных упорядоченных связей между ее составными частями следует определиться, с чем связано функционирование ИТКС, а именно предназначение, цели, задачи и организация системы. Не вызывает сомнений тот факт, что ИТКС предназначена прежде всего для хранения, обработки и документирования информации. Ее передача между составными частями обеспечивается линиями связи. Обработка документов осуществляется посредством эксплуатации средств вычислительной техники при помощи обслуживающего персонала, который использует информационные технологии для обеспечения функционирования ИТКС. Всем эти понятиям, как уже было сказано, даны ясные определения в соответствующих документах.
Так, в ГОСТ Р 51275 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» дано определение информации. Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Там же сказано, что информационная технология – приемы, способы и методы применения средств вычислительной техники при выполнении функций хранения, обработки, передачи и использования данных.
Согласно ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном положении. Общие требования», автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
В Федеральном законе «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года № 149-ФЗ определено, что информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. Также в данном законе определено, что документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или, в установленных законодательством Российской Федерации случаях, ее материальный носитель.
В руководящем документе Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» под средствами вычислительной техники понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Таким образом, хотя на сегодняшний день однозначно точного определения информационно-телекоммуникационной системы не выведено.
Можно обобщить имеющиеся понятия и сказать, что современная информационно-телекоммуникационная система представляет собой организационно упорядоченную совокупность зафиксированной на материальных носителях документированной информации, представленной в виде, пригодном для ее обработки с использованием информационных технологий, каналов ее передачи, персонала и комплекса средств автоматизации его деятельности по реализации информационных процессов.
В соответствии с выведенным определением можно утверждать, что основными составляющими структуры типовой ИТКС являются:
– информация, находящаяся в системе;
– информационные технологии;
– каналы передачи данных, реализованные посредством системы передачи данных (СПД);
– персонал, непосредственно занимающийся реализацией информационных процессов;
– средства ВТ, предназначенные для автоматизации деятельности персонала.
Хотя данная структура системы и является типовой, она применима практически к любой ИТКС, функционирующей в различных областях информационной сферы Российской Федерации.
Эффективность деятельности любого ведомства при имеющемся объеме информации, ее специфичности ввиду принадлежности определенной области, степени ограниченности распространения, напрямую зависит от оперативности процессов обработки, обмена между структурными подразделениями при обеспечении ее целостности и сохранности от несанкционированного доступа. Этими факторами, а также такими, как повышение качества управления происходящими в системе процессами, интегрированная обработка информации, взаимодействие с внешними пользователями, информационно-справочное обслуживание структурных подразделений и другими обусловлена необходимость создания ИТКС.
Сегодня существует множество таких систем, и их число будет постоянно увеличиваться. Для обеспечения системного подхода к их построению, доступности, надежности и безопасности функционирования необходимо провести классификацию ИТКС. При этом выполнение этой работы возможно по следующим признакам:
– принадлежность к определенному ведомству;
– разделение по виду собственности;
– специализация функций ИТКС;
– уровень ограниченности распространения информации.
Принадлежность к определенному ведомству характеризует степень ущерба, который может быть нанесен в результате утечки или искажения информации, причем нарушения целостности информационной сферы в ИТКС гражданских ведомств, как правило, ведут к экономическим потерям, в то время, как нарушение информационной безопасности в оборонных ИТКС приводит также к угрозе национальной безопасности государства.
Разделение по виду собственности определяет, какие интересы преобладают при защите информации в ИТКС: государственные или частные, а специализация функций ИТКС в значительной степени определяет специфику угроз в конкретной ИТКС.
Уровень ограниченности распространения информации соотносит ущерб с конкретным владельцем информации. Следует иметь в виду, что владелец информации, разрешая доступ к информации другим субъектам, определяет уровень необходимости защиты информации, что существенным образом сказывается на реализации системы разрешения доступа в ИТКС.
Анализ возможных последствий негативных воздействий на ИТКС показывает, что необходимость их использования в различных областях информационной инфраструктуры определяет обязательность принятия мер по защите информации, циркулирующей в них. Весь спектр проблем, связанных с защитой информации в этих системах требует детальной и серьезной проработки.
Первым делом, необходимо определить, каким образом возможно воздействие на информацию, в результате которого может снизиться эффективность функционирования системы. Подобное воздействие возможно путем реализации угроз безопасности информации, как совокупности условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации или несанкционированным воздействием на нее.
- Введение
- 1. Организационное обеспечение информационной безопасности
- 1.1. Методы, обеспечивающие безопасность информации
- 1.2. Проблема информационной безопасности
- 1.3. Основные составляющие информационной безопасности
- 1.4. Информация конфиденциального характера
- 1.5. Стратегия информационной безопасности и её цели
- 1.6. Административный уровень информационной безопасности
- 2. Концептуальные положения организационного обеспечения информационной безопасности
- 2.1. Концепции национальной безопасности рф
- 3. Угрозы информационной безопасности на объекте
- 3.1. Виды угроз безопасности
- 3.2. Модель угроз безопасности Меры защиты
- 3.3. Принципы комплексной системы защиты информации
- 3.4. Система обеспечения информационной безопасности
- Литература
- 3.5. Предпосылки появления угроз
- 3.6. Угрозы безопасности информации и их классификация
- 4. Организация службы безопасности объекта
- 4.1. Концептуальная модель информационной безопасности
- 5. Концепция информационной безопасности
- 6. Овладение конфиденциальной информацией
- 6.1. Уязвимые места в информационной безопасности
- 6.2. Направления обеспечения информационной безопасности
- 6.3. Задачи службы безопасности предприятия
- 6.4. Концепция создания физической защиты важных объектов
- 7. Организационная структура системы обеспечения информационной безопасности
- 8. Основные мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- 9. Система организационно-распорядительных документов по организации комплексной системы защиты информации
- 10. Разработка технико-экономического обоснования создания сфз и комплекса итсо
- 10.1. Правовые основы создания службы безопасности
- 10.2. Структура службы экономической безопасности
- 11. Технология защиты от угроз экономической безопасности
- 11.1. Служба безопасности и проверка контрагентов
- 12 . Подбор сотрудников и работа с кадрами
- 12.1. Обеспечение безопасности коммерческих структур
- 12.2. Организация внутриобъектового режима
- 13. Требования и рекомендации по защите информации
- 13.1. Требования по технической защите информации
- 14. Организация охраны объектов
- 14.1. Контрольно-пропускной режим на предприятии
- 14.2. Подготовка исходных данных
- 14.3. Оборудование пропускных пунктов
- 14.4. Организация пропускного режима
- 15. Организационно-правовые способы нарушения безопасности информации
- 15.1. Цель и задачи защиты информации
- 15.2. Основные направления деятельности по защите информации
- 15.3. Основы организации защиты информации
- 16. Система защиты информации и ее задачи
- 16.1. Организационная система защиты информации
- 1) Координационный Совет по защите информации при полномочном представителе Президента Российской Федерации.
- 2) Управление Государственной технической комиссии при Президенте Российской Федерации.
- 17. Государственная политика и общее руководство деятельностью по защите информации
- 17.1. Направления формирования системы защиты информации
- 17.2. Этапы реализации концепции защиты информации
- 17.3. Финансирование мероприятий по защите информации
- 17.4. Результаты реализации концепции защиты информации
- Контрольные вопросы к экзамену
- Стандартизованные термины и их определения
- 1. Основные понятия
- 2. Организация защиты информации
- Информационное законодательство рф
- Библиографический список
- Организационное обеспечение информационной безопасности
- 6 80021, Г. Хабаровск, ул. Серышева, 47.
- Л.П. Березюк
- Учебное пособие Хабаровск