Направления обеспечения информационной безопасности автоматизированных систем.

Как известно, для того чтобы решить проблему надо быть выше нее и немного в стороне. Итак попробуем взглянуть на проблему сверху и охватить все ее аспек­ты. Обратите внимание на рисунок 1.

Известно, что ОСНОВОЙ или составными частями практически любой СИСТЕМЫ (в том числе и систе­мы защиты информации) являются:

1. Законодательная, нормативно-правовая и научная база;

2. Структура и задачи органов (подразделений), обес­печивающих безопасность ИТ;

3. Организационно-технические и режимные меры и методы (политика информационной безопасности);

4. Программно-технические способы и средства.

Представим ОСНОВЫ в виде куба, внутри которо­го и находятся все вопросы (предметная область) за­щиты информации (Рис.2).

Далее, руководствуясь принципом “разделяй и вла­ствуй”, выделим основные НАПРАВЛЕНИЯ в общей проблеме обеспечения безопасности информационных технологий (они представлены на Рис. 3).

НАПРАВЛЕНИЯ формируются исходя из конкрет­ных особенностей ИС как объекта защиты. В общем случае, исходя из типовой структуры ИС и историчес­ки сложившихся видов работ по защите информации предлагается рассмотреть следующие направления:

1. Защита объектов информационных систем;

2. Защита процессов, процедур и программ обработ­ки информации;

3. Защита каналов связи;

4. Подавление побочных электромагнитных излучений.

5. Управление системой защиты;

Но поскольку каждое из этих направлений базируется на перечисленных выше ОСНОВАХ, то грани куба объединяют ОСНОВЫ и НАПРАВЛЕНИЯ неразрывно связанные друг с другом (см. Рис. 3).

Но это еще не все... Далее рассматриваются ЭТАПЫ (последовательность шагов) построения СЗИ (см. Рис. 4), которые необходимо пройти в равной степени для всех и каждого в отдельности НАПРАВЛЕНИЙ (с уче­том всех ОСНОВ).

Проведенный анализ существующих методик (пос­ледовательностей) работ по созданию СЗИ позволяет выделить следующие ЭТАПЫ:

1. Определение информационных и технических ре­сурсов, а также объектов ИС(!) подлежащих защите;

2. Выявление полного множества потенциально воз­можных угроз и каналов утечки информации;

3. Проведение оценки уязвимости и рисков информа­ции (ресурсов ИС) при имеющемся множестве угроз и каналов утечки;

4. Определение требований к системе защиты инфор­мации;

5. Осуществление выбора средств защиты информа­ции и их характеристик;

6. Внедрение и организация использования выбран­ных мер, способов и средств защиты.

7. Осуществление контроля целостности и управление системой защиты.

Указанная последовательность действий осуществ­ляется непрерывно по замкнутому циклу, с проведе­нием соответствующего анализа состояния СЗИ и уточ­нением требований к ней после каждого шага.

Последовательность прохождения ЭТАПОВ созда­ния СЗИ для каждого из НАПРАВЛЕНИЙ с учетом ОСНОВ (общего представления структуры СЗИ) услов­но показано на Рис. 4.

Таким образом, получился своеобразный кубик Ру­бика с взаимосвязанными элементами.

А теперь попробуем развернуть этот кубик на плос­кости (на листе бумаги), иначе книга не сможет зак­рываться. Получится трехмерная матрица или попрос­ту таблица, которая поможет систематизировать материал, изложенный в книге.