Наталия Васильевна Гришина - Организация комплексной системы защиты информации

Н. В. Гришина ОРГАНИЗАЦИЯ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

ВВЕДЕНИЕ

На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым элементом системы и вместе с тем самым трудно формализуемым и потенциально слабым ее звеном.

Создание системы защиты информации (СЗИ) не является главной задачей предприятия, как, например, производство продукции и получение прибыли. Поэтому создаваемая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть экономически оправданным. Тем не менее она должна обеспечивать защиту важных информационных ресурсов предприятия от всех реальных угроз.

В книге предложен комплексный подход к организации защиты информации (ЗИ) на предприятии. При этом объектом исследования является не только информационная система, но и предприятие в целом.

Рассматриваются концептуальные основы защиты информации, раскрывающие сущность, цели, структуру и стратегию защиты.

Анализируются источники, способы и результаты дестабилизирующего воздействия на информацию, а также каналы и методы несанкционированного доступа к информации. Определяются методологические подходы к организации и технологическому обеспечению защиты информации на предприятии. Представлена архитектура, этапы построения, принципы управления комплексной системой защиты информации (КСЗИ). Особое внимание уделено проблеме «человеческого фактора».

Предложенный подход к защите информации обеспечит целостное видение проблемы, повышение качества, следовательно, и надежности защиты информации.

Следует подчеркнуть, что автор умышленно уходит от понятия «информационная безопасность», используя термин «защита информации».

Информационную безопасность принято рассматривать как обеспечение состояния защищенности:

1) личности, общества, государства от воздействия недоброкачественной информации;

2) информации и информационных ресурсов от неправомерного и несанкционированного воздействия посторонних лиц;

3) информационных прав и свобод гражданина и человека.

Поскольку в книге не рассматриваются вопросы защиты от воздействия недобросовестной информации, автор посчитал необходимым использовать более «узкий» термин.

1. СУЩНОСТЬ И ЗАДАЧИ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

1.1. Подходы к проектированию систем защиты информации

Бытует мнение, что проблемы защиты информации относятся исключительно к информации, обрабатываемой компьютером. Это, по-видимому, связано с тем, что компьютер, и в частности персональный компьютер, является «ядром», центром хранения информации. Объект информатизации, по отношению к которому направлены действия по защите информации, представляется более широким понятием по сравнению с персональным компьютером. Что же представляет собой объект информатизации и каково его место на предприятии?

ГОСТ РФ 51275-99 определяет объект информатизации как «совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров»^[1].

Слово «совокупность» в данном определении указывает на то, что объект информатизации это единая информационная система, охватывающая в целом предприятие, учреждение, организацию.

В реальной жизни все эти отдельные «объекты информатизации» расположены в пределах одного предприятия и представляют собой единый комплекс компонентов, связанных общими целями, задачами, структурными отношениями, технологией информационного обмена и т. д.

Современное предприятие — большое количество разнородных компонентов, объединенных в сложную систему для --">