Возможные пути реализации функций обеспечения защиты информации.

Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.

На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:

· целостность данных — защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;

· конфиденциальность информации;

· доступность информации для всех авторизованных пользователей.

При разработке компьютерных систем, выход из строя или ошибки в работе которых могут привести к тяжелым последствиям, вопросы компьютерной безопасности становятся первоочередными. Известно много мер, направленных на обеспечение компьютерной безопасности, основными среди них являются технические, организационные и правовые.

Обеспечение безопасности информации — дорогое дело, и не только из-за затрат на закупку или установку средств защиты, но также из-за того, что трудно квалифицированно определить границы разумной безопасности и обеспечить соответствующее поддержание системы в работоспособном состоянии.

Средства зашиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ.

Защита информации является крупномасштабной и весьма сложной проблемой. Естественно, что такой масштабной постановке задачи должна соответствовать не менее масштабная программа реализации функций обеспечения защиты, опирающаяся на развитую инфраструктуру как в масштабах отдельных предприятий и организаций, так и в масштабах государства в целом. Это требует создания разноплановых в функциональном отношении органов защиты, основу системы которых могут составлять отраслевые и территориальные центры защиты информации.

Вся работа сети центров защиты в целях повышения ее эффективности должна координироваться некоторым головным центром, роль которого может выполнять одна из государственных структур, ответственных за обеспечение информационной безопасности России, или их совместное объединение. Головной центр защиты информации должен реализовывать следующие функции:

- организацию и проведение фундаментальных исследований в области защиты информации;

- разработку, формирование и непрерывное совершенствование методологической и инструментальной базы защиты информации;

- научно-методическое и инструментальное обеспечение создания новых территориальных и ведомственных центров защиты;

- научное обоснование организационно-административных решений в области защиты информации;

- оказание текущей повседневной помощи территориальным и ведомственным центрам защиты.

Территориальный или ведомственный центр защиты информации должен представлять собой специализированное научно-производственное предприятие, профессионально ориентированное на разработку, практическую реализацию и внедрение концептуальных решений в области защиты информации, а также конкретных средств, методов и мероприятий защиты. Основные функцииэтих центров защиты могут быть следующими:

- участие в исследованиях и разработках концептуальных вопросов защиты информации;

- аккумулирование новейших достижений в области защиты информации и сведений о разработках методологии, средств и методов защиты;

- приобретение, разработка, накопление и хранение программных и организационных средств защиты;

- формирование, сбор, накопление, систематизация и хранение данных, необходимых для решения центром всей совокупности задач по защите информации;

- оказание абонентам широкого спектра услуг по защите информации;

- сбор, накопление, хранение и аналитико-синтетическая обработка данных о функционировании систем (механизмов) защиты информации у абонентов.

Важное значение для практической реализации концепции комплексной защиты информации имеет также организационно-правовое обеспечение, которое должно представлять собой высокоупорядоченную совокупность организационных решений, законов, нормативов и правил, регламентирующих общую организацию работ по защите информации, а также создание и функционирование систем защиты информации в конкретных информационных системах. При этом первостепенное значение приобретает разработка типовых документов по защите, основное назначение которых состоит в следующем:

- обеспечение научно-методологического и концептуального единства при решении всех вопросов защиты информации;

- создание условий для однозначного понимания и для практической реализации основных положений концепции защиты информации;

- обеспечение необходимыми методиками и данными всех органов и лиц, участвующих в решении вопросов защиты информации;

- обеспечение нормативно-правового регулирования процессов защиты информации.

Все документы должны образовывать единую систему, основными группами которой являются: справочно-информационные документы, стандарты, руководящие методические материалы, инструкции.

К группе справочно-информационных относятся также документы, которые в систематизированном виде содержат полную совокупность сведений, необходимых и достаточных, с одной стороны, для получения четкого и однозначного представления обо всех аспектах проблемы защиты, а с другой - признающихся большинством специалистов-профессионалов в области защиты информации.

К группе стандартов, естественно, относятся такие документы, которые являются образцом, эталоном в смысле совершенства по всем основным параметрам, имеют по ним точный сертификат и утверждены полномочным органом.

К руководящим методическим материалам по установившейся практике относится совокупность документов, содержащих полное и систематизированное описание соответствующих вопросов, относящихся к защите информации и утвержденных полномочными органами (однако, в отличие от стандартов, утверждение носит лишь рекомендательный характер).

К инструкциям отнесены систематизированные наборы типовых инструкций для различных категорий подразделений и лиц, имеющих отношение к защите информации.