Решение проблемы обеспечения безопасности информации на современном уровне требует системного подхода, который предполагает систематизацию определенных задач и порядок их решения. Что защищать? Где защищать? Когда защищать? От чего защищать? И, наконец, чем защищать?
Рассмотрим порядок и основные составляющие, которые необходимо учитывать при системном анализе объекта защиты. Будем рассматривать предприятие как объект защиты, состоящий из:
— вида деятельности или класса решаемых задач, порождающих информацию с ограниченным доступом и необходимость ее защиты;
— носителей информации различной физической природы (персонал, технические устройства, твердые носители, поля, химические среды и т.д.);
— обусловленных каналов связи между носителями информации, обеспечивающих функционирование объекта защиты;
— протоколов хранения, обработки и обмена информацией между носителями;
— функциональных параметров объекта защиты и его элементов, характеризующих режимы хранения, обработки и передачи информации с ограниченным доступом и их изменение во времени;
— физического пространства, в котором располагаются носители и каналы связи (здания, сооружения, транспорт, территория и т.д.);
— требований по обеспечению безопасности информации.
Изучение поведения информации в носителях и ее движения по обусловленным каналам связи позволяет получить модель функционирования объекта защиты. Такая модель дает возможность ответить на первые три вопроса «Что? Где? Когда?» и таким образом обеспечить наблюдаемость объекта защиты как объекта управления безопасностью. С позиций системного анализа этот ответ представляет собой не что иное, как модель всего объекта защиты, адекватность, полнота и точность которой будет, скорее всего, определяться разумной достаточностью. Очевидно, что только теперь можно наиболее полно ответить на вопрос «От чего защищать?», т.е. определить действующие и предполагаемые угрозы, выявить наиболее вероятные каналы утечки информации.
Проведение аудита системы информационной безопасности предприятия дает возможность провести наиболее обоснованный выбор организационных и технических средств защиты, как на этапе создания объекта, так и на этапе его эксплуатации и, таким образом, обеспечить свойство управляемости объекта защиты как объекта управления. Общими характеристиками для организационных и технических средств защиты являются стоимость защиты, стоимость внедрения, стоимость эксплуатации, время внедрения, степень защиты — razgovorodele.ru. Следовательно, модель объекта защиты как системы, действующие и предполагаемые угрозы, организационные и технические средства и методы защиты определяют содержание и порядок проведения деятельности по обеспечению безопасности корпорации.
Рассмотрение основных элементов и свойств объекта защиты как системы позволяет обоснованно утверждать, что предприятие возможно представить как сложную систему с точки зрения обеспечения безопасности, так как ему присущи 4 характерных свойства, являющихся фундаментальными в определении сложной системы в терминах теории множеств. Это целостность и членимость, наличие обусловленных связей, определенная организация и наличие интегративных качеств. Системный анализ позволяет осуществить действительно комплексный подход к обеспечению безопасности, включая статическое и динамическое состояния объекта защиты, обеспечить полноту и непрерывность действий по обеспечению безопасности, разработать общий подход к проектированию комплексных систем управления безопасностью.
Одним из обобщенных параметров, характеризующих устойчивость информационной инфраструктуры, является показатель «живучести», включающий в качестве компонентов безопасность, надежность и доступность. Под «живучестью» следует подразумевать способность инфраструктуры достигать поставленной цели постоянным (непрерывным) способом в условиях атак, сбоев и аварий. Целью же является устойчивость и процветающая деятельность организации в целом. Естественно, достижение эффекта только в одном из компонентов (в том числе и в безопасности информационных систем — razgovorodele.ru) не даст руководству необходимых гарантий того, что информационная инфраструктура, а потому и само предприятие будет функционировать надлежащим образом. Как следствие, исключительную практичность приобретает вопрос о методах и критериях оценки безопасности информационных систем.
Система оценок должна носить интегральный характер, так как руководство предприятия по сути дела интересует не столько конкретный уровень безопасности в частных технологических вопросах, сколько общий уровень качества функционирования самого предприятия, обеспечиваемый, в том числе, и уровнем безопасности информационных систем. С практической точки зрения этот вопрос — самый тяжелый. |