Методы и средства построения систем информационной безопасности. Их структура

     В результате решения проблем безопасности информации современные ИС и ИТ должны обладать следующими основными признаками:

• наличием информации различной степени конфиденциальности;
• обеспечением криптографической защиты информации различной степени конфиденциальности при передаче данных;
• иерархичностью полномочий субъектов доступа к программам и компонентам ИС и ИТ (к файл-серверам, каналам связи и т.п.);
• обязательным управлением потоками информации, как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;
• наличием механизма регистрации и учета попыток несанкционированного доступа, событий в ИС и документов, выводимых на печать;
• обязательной целостностью программного обеспечения и информации в ИТ;
• наличием средств восстановления системы защиты информации;
• обязательным учетом магнитных носителей;
• наличием физической охраны средств вычислительной техники и магнитных носителей;
• наличием специальной службы информационной безопасности системы.

При рассмотрении структуры системы информационной безопасности (СИБ) возможен традиционный подход – выделение обеспечивающих подсистем. Система информационной безопасности, как и любая ИС, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет способна выполнить свою целевую функцию. С учетом этого, СИБ должна иметь следующие виды (элементы) обеспечения: правовое, организационное, нормативно-методическое, информационное, техническое (аппаратное), программное, математическое, лингвистическое.4

      Правовое  обеспечение СИБ основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации. Этот вид обеспечения включает:

      • наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками по защите конфиденциальной информации;

      • формулирование и доведение до сведения всех сотрудников фирмы положения о правовой ответственности за разглашение  конфиденциальной информации, несанкционированное  уничтожение или фальсификацию документов;

      • разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.5

     Следует отметить, что из всех мер зашиты в настоящее время ведущую роль играют организационные мероприятия. Поэтому следует выделить вопрос организации службы безопасности. Реализация политики безопасности требует настройки средств защиты, управления системой зашиты и осуществления контроля функционирования ИС. Как правило, задачи управления и контроля решаются административной группой, состав и размер которой зависят от конкретных условий. Очень часто в эту группу входят администратор безопасности, менеджер безопасности и операторы.

     Обеспечение и контроль безопасности представляют собой комбинацию технических и административных мер. По данным зарубежных источников, у сотрудников административной группы обычно 1/3 времени занимает техническая работа и около 2/3 — административная (разработка документов, связанных с защитой ИС, процедуры проверки системы защиты и т.д.). Разумное сочетание этих мер способствует уменьшению вероятности нарушений политики безопасности.6

     Административную группу иногда называют группой информационной безопасности. Она обособлена от всех отделов или групп, занимающихся управлением самой ИС, программированием и другими относящимися к системе задачами, во избежание возможного столкновения интересов.

      Организационное обеспечение включает в себя регламентацию:

      • формирования и организации деятельности службы безопасности и службы конфиденциальной документации (или менеджера по безопасности, или референта первого руководителя), обеспечения деятельности этих служб (сотрудника) нормативно- методическими документами по Организации и технологии защиты информации;

      • составления и регулярного обновления состава (перечня, списка, матрицы) защищаемой информации фирмы, составления и ведения перечня (описи) защищаемых бумажных, машиночитаемых и электронных документов фирмы;

      • разрешительной системы (иерархической схемы) разграничения доступа персонала к защищаемой информации;

      • методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования сотрудников;

      • направлений и методов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации;

      • технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов фирмы (делопроизводственной, автоматизированной и смешанной технологий); внемашинной технологии защиты электронных документов;

      • порядка защиты ценной информации фирмы от случайных или умышленных несанкционированных действий персонала;

      • ведения всех видов аналитической работы;

      • порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями рекламных агентств, средств массовой информации;

      • оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации и охраны, сертификации информационных систем, предназначенных для обработки защищаемой информации;

      • пропускного режима на территории, в здании и помещениях фирмы, идентификации персонала и посетителей;

      • системы охраны территории, здания, помещений, оборудования, транспорта и персонала фирмы;

      • действий персонала в экстремальных ситуациях;

      • организационных вопросов приобретения, установки и эксплуатации технических средств защиты информации и охраны;

      • организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;

      • работы по управлению системой защиты информации;

      • критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.

      Организационный элемент защиты информации является стержнем, основной частью комплексной системы элементов системы защиты - «элемент  организационно-правовой защиты информации».

     Нормативно-методическое обеспечение может быть слито с правовым, куда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации; различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований соблюдения конфиденциальности.

     Нормативы и стандарты по защите информации накладывают требования на построение ряда компонентов, которые традиционно входят в обеспечивающие подсистемы самих информационных систем, т.е. можно говорить о наличии тенденции к слиянию обеспечивающих подсистем ИС и СИБ.

           Инженерно-техническое обеспечение системы защиты информации предназначено для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет важное значение, хотя стоимость средств технической защиты и охраны велика. Элемент включает в себя:

      • сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);

      • средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования, при проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке документов и т.п.;

      • средства защиты помещений от визуальных способов технической разведки;

      • средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);

      • средства противопожарной охраны;

      • средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т.п.);

      • технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т.п.

      Программно-аппаратное обеспечение системы защиты предназначено для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите. Элемент включает в себя:

      • автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;

      • программы защиты информации, работающие в комплексе с программами обработки информации;

      • программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных и др.)