Современная постановка задачи защиты информации

   Основное содержание видоизменения постановки задачи защиты может быть сведено к совокупности следующих направлений:

   1) интегральное представление понятия комплексности защиты информации в целевом и инструментальном планах;

   2) расширение рамок защиты от обеспечения компьютерной безопасности до защиты информации на объекте и защиты информационных ресурсов региона и государства;

   3) комплексное организационное построение систем защиты информации;

   4) организация не только защиты информации, но и защиты от нее;

   5) обеспечение условий наиболее эффективного использования информации;

 

   6) переход к так называемой упреждающей стратегии осуществления защитных процессов.

   Нетрудно видеть, что при таком подходе проблема защиты информации перерастает в более общую проблему управления информационными ресурсами.

   Рассмотрим основное содержание видоизмененной постановки задачи по каждому из названных направлений.

   1. Интегральное представление понятия комплексности защиты информации. Данное представление чаще других встречается в работах по защите информации, чем подтверждается тезис о том, что при решении любых проблем защиты требуется системный подход, поскольку сумма даже высокоэффективных независимых решений основных вопросов защиты совсем не гарантирует эффективной защиты в целом. Поэтому если, например, о комплексной защите говорят специалисты по ПЭВМ, то надо понимать защиту только в пределах отдельно взятого компьютера, а когда говорят специалисты по антивирусной борьбе, то только защиту от вирусов. Но в настоящее время, когда средства ВТ (и прежде всего ПЭВМ) получили массовое распространение, а требования к надежности обеспечения различных видов защиты информации (обеспечение физической и логической целостности, предупреждение несанкционированных получения, модификации и размножения) и к рациональному использованию выделенных на эти цели ресурсов неизмеримо возрастают, само понятие комплексности защиты должно быть комплексным. Суть такого интегрального понимания комплексности показана на рис. 1. Нетрудно заключить, что интегральному представлению понятия комплексности соответствует правый нижний элемент представленной классификации.

   2. Расширение рамок защиты информации. Данный аспект видоизменения постановки задачи защиты информации определяется двумя самыми последними шагами, осуществленными в этой области. Первый - это переход от компьютерной безопасности к проблеме комплексной защиты в автоматизированных системах и второй - это организация решения соответствующих задач в масштабе региона и государства в целом. Таким образом, масштаб проблемы защиты информации представляется в виде трехуровневой на объекте, защита информации в регионе (государстве).

   Без дополнительных обоснований, очевидно, можно утверждать, что при переходе от первого уровня ко второму и от второго к третьему происходит не только количественный рост задач защиты, но и появление качественно новых, более сложных задач.

   Так, при организации защиты информации на объекте дополнительно существенно расширяется круг разновидностей типовых структурных компонентов (ТСК), в которых должна быть обеспечена защита.

   Дополнительно к тем разновидностям, которые в общем случае имеют место в автоматизированных системах, добавляются традиционные организационные структуры объекта: контрольно-пропускные пункты (они являются, с одной стороны, частью системы защиты, а с другой - объектами защиты); подразделения традиционного делопроизводства; коллективы и рабочие помещения функциональных подразделений; вспомогательные подразделения и т . п . Для обеспечения надежности защиты информации особое значение имеет предупреждение возникновения условий, благоприятствующих порождению угроз безопасности информации, отсюда существенно повышается значимость законодательных, организационно-психологических и моральноэтических средств защиты. Таким образом, внимание сосредотачивается на системных вопросах защиты информации, а именно:

   1) формировании и обосновании общей политики защиты;

   2) подборе и расстановке кадров с учетом требований защиты;

   3) обучении кадров (руководителей объекта и его функциональных подразделений, сотрудников функциональных подразделений) вопросам защиты в современных условиях;

   4) системотехническом проектировании комплексной системы защиты информации на объекте;

   5) четкой организации технологии функционирования системы защиты во всех режимах и условиях деятельности объекта;

   6) сборе, накоплении и аналитико-синтетической обработке данных о функционировании системы защиты информации.

   При переходе же на региональный (а тем более - государственный) уровень рассмотрения проблемы все более превалирующее значение приобретают задачи стратегического плана - создание и преумножение информационных ресурсов, их сбережение и использование в соответствии с экономическими и политическими потребностями развития, включая и потребности обеспечения информационной безопасности. Все это уже означает не просто защиту информации в процессе ее обработки и защиту от информации в процессе ее циркуляции, а системную увязку задач обеспечения информационной безопасности с остальными задачами решения информационных проблем общества.

   Само собою, разумеется, что все вопросы, связанные с информационной безопасностью вообще, и с защитой информации в частности, будут решаться в рамках унифицированной информационной технологии. Но поскольку эта технология предполагает массовое применение, то она по определению должна обеспечивать высокоэффективное информационное обеспечение деятельности современных объектов (предприятий, учреждений, иных организаций) и быть экономной с точки зрения расходования ресурсов на ее разработку, тиражирование и эксплуатацию. Достижение этих целей возможно лишь при тщательном системном учете всех факторов, которые оказывают влияние на структуру, содержание и организацию функционирования информационной технологии. Совершенно очевидно, что проблемы обеспечения информационной безопасности (т. е. защиты информации и защиты от информации) относятся к числу существенно значимых факторов, поэтому на современном этапе они должны решаться не сами по себе, а как составляющая часть общей проблемы информатизации.

   Есть еще один очень важный аспект рассматриваемого вопроса. Как известно, любое индустриальное производство предполагает непременное и непрерывное управление перерабатываемыми на индустриальной основе ресурсами. В индустриальных информационных технологиях на индустриальной основе обрабатывается информация, чем предопределяется необходимость управления информацией по всем законам современной науки управления. Отсюда следует, что вопросы защиты информации должны решаться как составная часть задачи управления информацией.

   3. Комплексное организационное построение систем защиты информации. Прежде всего заметим, что примерно до середины XX столетия у нас в стране в плане защиты информации специализированные органы создавались только для защиты секретной информации, обобщенно они назывались режимно-секретными органами. Данные структуры обеспечивали соблюдение правил работы с секретными данными, правил секретного документооборота и функционирования режимных объектов. В итоге сложилась довольно стройная и эффективно функционирующая система организационной защиты. К этому следует добавить, что в тот же период по мере расширения возможностей технической разведки все более угрожающей становилась опасность утечки информации по техническим каналам. Перекрытие технических каналов возможно лишь специфическими методами и с широким использованием специальных технических средств, что могут осуществить лишь специалисты, имеющие фундаментальную инженерно-техническую подготовку. Для решения этой задачи были созданы специальные органы противодействия технической разведке. Стройную организационную структуру названные органы приобрели с созданием в 1973 г. Государственной технической комиссии (Гортехкомиссии) с развитой системой региональных органов.

   Когда для обработки секретной информации стали регулярно применяться средства ЭВТ, возникли новые задачи обеспечения ее защищенности в автоматизированных системах. Поскольку для решения этих задач необходимы знания методов автоматизированной обработки, то для их решения стали создаваться самостоятельные подразделения, состоящие из специалистов соответствующего профиля. С течением времени образовалась система органов защиты информации в автоматизированных системах, причем обозначилась и на практике реализуется тенденция объединения их с органами противодействия технической разведке. В настоящее же время, особенно под воздействием массового распространения персональных ЭВМ, актуальной стала задача объединения всех названных органов в единую комплексную структуру органов защиты информации.

   При этом создание такой единой структуры не должно быть сведено к механическому объединению рассмотренных выше трех видов органов. В итоге объединения должна быть создана такая структура, которая могла бы реализовать комплексную интенсивную защиту в полном соответствии с современными потребностями и возможностями.

   4. Организация защиты от информации. Выше уже отмечалось, что, помимо защиты информации второй составляющей обеспечения информационной безопасности является защита от информации, т . е . защита электронных информационно-управляющих систем и людей (отдельно взятого человека, коллектива людей, населения региона) от разрушающего воздействия информации. Важность и актуальность данной проблемы в настоящее время является общепризнанной. Что же касается уровня ее изучения и научной разработки, то системно-концептуальные подходы к проблеме находятся только в зародышевом состоянии. Объективная причина такого положения заключается в необычности проблемы, чрезвычайной ее сложности, многоаспектности и высоком уровне неопределенности. Существует и субъективная причина, заключающаяся в отсутствии до последнего времени общегосударственной востребованности серьезного решения этой проблемы. Положение здесь должно существенно улучшиться в связи с принятием Доктрины информационной безопасности Российской Федерации.

   В средствах массовой информации время от времени появляются публикации по отдельным вопросам и конкретным фактам злоумышленного использования информации как средства противоборства при силовом решении политических, социальных и экономических проблем. Наиболее серьезные исследования проблем информационной борьбы выполнил профессор Н. А. Костин (см. его статью в журнале «Безопасность информационных технологий », №4, 1996 г.). Имеются и другие публикации, заслуживающие внимания. Однако системные теоретико-концептуальные исследования проблемы защиты от информации еще ждут своего осуществления.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Список используемой литературы:

1. Белов Е.Б. «Основы информационной безопасности» 2006 г. -544с
2. Малюк А.А. «Информационная безопасность. Концептуальные и методологические основы защиты информации.» 2004 г. -280с