Главная » Безопасность » Защита5 » Решение проблемы обеспечения безопасности информации на современном уровне

Решение проблемы обеспечения безопасности информации на современном уровне

Решение проблемы обеспечения безопасности информации на современном уровне требует системного подхода, который предполагает систематизацию определенных задач и порядок их решения. Что защищать? Где защищать? Когда защищать? От чего защищать? И, наконец, чем защищать?

Рассмотрим порядок и основные составляющие, которые необходимо учитывать при системном анализе объекта защиты. Будем рассматривать предприятие как объект защиты, состоящий из:

— вида деятельности или класса решаемых задач, порождающих информацию с ограниченным доступом и необходимость ее защиты;
— носителей информации различной физической природы (персонал, технические устройства, твердые носители, поля, химические среды и т.д.);
— обусловленных каналов связи между носителями информации, обеспечивающих функционирование объекта защиты;
— протоколов хранения, обработки и обмена информацией между носителями;
— функциональных параметров объекта защиты и его элементов, характеризующих режимы хранения, обработки и передачи информации с ограниченным доступом и их изменение во времени;
— физического пространства, в котором располагаются носители и каналы связи (здания, сооружения, транспорт, территория и т.д.);
— требований по обеспечению безопасности информации.

 

Изучение поведения информации в носителях и ее движения по обусловленным каналам связи позволяет получить модель функционирования объекта защиты. Такая модель дает возможность ответить на первые три вопроса «Что? Где? Когда?» и таким образом обеспечить наблюдаемость объекта защиты как объекта управления безопасностью. С позиций системного анализа этот ответ представляет собой не что иное, как модель всего объекта защиты, адекватность, полнота и точность которой будет, скорее всего, определяться разумной достаточностью. Очевидно, что только теперь можно наиболее полно ответить на вопрос «От чего защищать?», т.е. определить действующие и предполагаемые угрозы, выявить наиболее вероятные каналы утечки информации.

Проведение аудита системы информационной безопасности предприятия дает возможность провести наиболее обоснованный выбор организационных и технических средств защиты, как на этапе создания объекта, так и на этапе его эксплуатации и, таким образом, обеспечить свойство управляемости объекта защиты как объекта управления. Общими характеристиками для организационных и технических средств защиты являются стоимость защиты, стоимость внедрения, стоимость эксплуатации, время внедрения, степень защиты — razgovorodele.ru. Следовательно, модель объекта защиты как системы, действующие и предполагаемые угрозы, организационные и технические средства и методы защиты определяют содержание и порядок проведения деятельности по обеспечению безопасности корпорации.

Рассмотрение основных элементов и свойств объекта защиты как системы позволяет обоснованно утверждать, что предприятие возможно представить как сложную систему с точки зрения обеспечения безопасности, так как ему присущи 4 характерных свойства, являющихся фундаментальными в определении сложной системы в терминах теории множеств. Это целостность и членимость, наличие обусловленных связей, определенная организация и наличие интегративных качеств. Системный анализ позволяет осуществить действительно комплексный подход к обеспечению безопасности, включая статическое и динамическое состояния объекта защиты, обеспечить полноту и непрерывность действий по обеспечению безопасности, разработать общий подход к проектированию комплексных систем управления безопасностью.

Одним из обобщенных параметров, характеризующих устойчивость информационной инфраструктуры, является показатель «живучести», включающий в качестве компонентов безопасность, надежность и доступность. Под «живучестью» следует подразумевать способность инфраструктуры достигать поставленной цели постоянным (непрерывным) способом в условиях атак, сбоев и аварий. Целью же является устойчивость и процветающая деятельность организации в целом. Естественно, достижение эффекта только в одном из компонентов (в том числе и в безопасности информационных систем — razgovorodele.ru) не даст руководству необходимых гарантий того, что информационная инфраструктура, а потому и само предприятие будет функционировать надлежащим образом. Как следствие, исключительную практичность приобретает вопрос о методах и критериях оценки безопасности информационных систем.

Система оценок должна носить интегральный характер, так как руководство предприятия по сути дела интересует не столько конкретный уровень безопасности в частных технологических вопросах, сколько общий уровень качества функционирования самого предприятия, обеспечиваемый, в том числе, и уровнем безопасности информационных систем. С практической точки зрения этот вопрос — самый тяжелый.

Оставить комментарий