Лекция 17. Структура и функции органов защиты информации.

План лекции.

1. Общее содержание основных вопросов организации и обеспечение работ по защите информации.

2. Структура и функции органов защиты информации.

3. Научно-методическое и документационное обеспечение работ по защите информации.

Общее содержание основных вопросов организации и обеспечение работ по защите информации.

Первый вывод, который можно считать доказанным несомненно, состоит в том, что защита информации в современных АСОД должна быть комплексной и предусматривать обеспечение физической и логической целостности информации, предупреждение несанкционированной ее модификации, предотвращение несанкционированного получения и несанкционированного размножения.

Второй принципиальной важности вывод сводится к тому, что комплексная защита информации может быть эффективной лишь при условии системно-концептуального подхода к изучению и решению всех вопросов, связанных с защитой.

При этом под системно-концептуальным подходом понимается системное рассмотрение всех вопросов и концептуальное их решение.

В понятие системности рассмотрения включается следующее:

1) исследование и разработка всей совокупности вопросов защиты информации с единых методологических позиций;

2) рассмотрение в едином комплексе всех перечисленных выше видов защиты информации;

3) системный учет всех факторов, оказывающих влияние на защищенность информации;

4) комплексное использование всех имеющихся средств защиты информации.

Концептуальность подхода означает, что решение всех вопросов защиты информации осуществляется в рамках некоторой единой концепции, объединяющей наиболее рациональным образом все системные решения по защите.

Третий фундаментальный вывод заключается в том, что на базе системно-концептуального подхода может быть разработана унифицированная концепция защиты информации, причем унифицированная как относительно различных видов и стратегий защиты, так и относительно типов АСОД, их архитектурного построения, технологий и условий функционирования.

Четвертый фундаментальный вывод сводится к тому, что работы по защите информации должны проводиться непрерывно.

Проблеме представляет собой процесс создания механизмов защиты информации, как реализацию целевой программы различных мероприятий. Перечень и содержание этих мероприятий следующий:

1) установление необходимой степени защиты информации;

2) назначение лица, ответственного за выполнение мероприятий по защите информации;

3) определение возможных причин (каналов) нарушения защищенности информации;

4) выделение необходимых средств на защиту информации;

5) выделение лиц (подразделений), которым поручается разработка механизмов защиты;

6) установление мер контроля и ответственности за соблюдением всех правил защиты информации.

Для повышения эффективности функционирования механизмов защиты был предложен целый ряд дополнительных мер организационного характера, направленный прежде всего на обеспечение физической целостности информации и на предотвращение несанкционированного ее получения.

Для обеспечения физической целостности информации в АСОД рекомендовались меры, преследующие следующие цели:

1) предупреждение ошибок при подготовке информации к вводу в АСОД;

2) обнаружение и исправление ошибок, проявляющихся при вводе информации;

3) предупреждение (или восстановление) искажения информации при передаче по линиям связи;

4) обеспечение целостности и правильности функционирования аппаратуры и программного обеспечения АСОД;

5) обеспечение сохранности архивных массивов информации;

6) предупреждение ошибок при выдаче носителей информации из библиотек и установке их на устройства ввода;

7) предупреждение проявления, обнаружение и исправление ошибок операторов и обслуживающего персонала АСОД;

8) предупреждение и ликвидация последствий стихийных бедствий и злоумышленных действий.

Перечень и содержание дополнительных мероприятий, предпринимаемых с целью предотвращения несанкционированного получения информации, представляются в следующем виде:

· исключение доступа посторонних лиц к терминалам;

· предупреждение несанкционированного подключения к линиям связи;

· предупреждение перехвата и регистрации электромагнитных излучений и перекрестных наводок;

· предупреждение проникновения посторонних лиц в здания, где установлены средства АСОД;

· обеспечение надежной идентификации компонентов АСОД;

· дополнительное закрытие информации, особенно имеющей повышенный гриф секретности;

· наблюдение за обслуживающим персоналом.

Основные положения этих новых взглядов могут быть представлены таким образом:

1) защита информации является не разовым мероприятием и даже не совокупностью мероприятий, а непрерывным процессом, который должен протекать (осуществляться) во все время и на всех этапах жизненного цикла АСОД;

2) осуществление непрерывного процесса защиты информации возможно лишь на базе системно-концептуального подхода и промышленного производства средств защиты;

3) создание эффективных механизмов защиты может быть осуществлено лишь высококвалифицированными специалистами-профессионалами в области защиты информации;

4) поддержание и обеспечение надежного функционирования механизмов защиты информации в АСОД сопряжено с решением специфических задач и поэтому может осуществляться лишь профессионально подготовленными специалистами.

Общая структура системы обеспечения защиты информации в АСОД представлена на рис. 17.1.

На рис. 17.2 приведена укрупненная схема основных процессов, осуществляемых при организации защиты информации на предприятии (в учреждении).

Работы по созданию систем защиты информации, как и любых других сложных систем, выполняются в три этапа: подготовительный, основной и заключительный. Назначение и общее содержание названных этапов является общепринятым: на предварительном этапе изучаются и . оцениваются все факторы, влияющие на защиту информации; на этапе основных работ принимается принципиальное решение о необходимом уровне защиты и осуществляется проектирование системы защиты; на этапе заключительных работ производится оценка системы защиты, причем как по критериям эффективности, так и по технико-экономическим показателям.

Весь процесс организации работ по защите удобно представить в виде циклической процедуры, структура и общее содержание которой приведены на рис. 17.3

Как следует из представленного рисунка, основу технологии составляют следующие положения:

1) непрерывный сбор информации о функционировании механизмов защиты и о проводимых работах. Для этого, естественно, необходимо осуществлять постоянное наблюдение за защитой информации;

2) систематический анализ состояния защищенности информации;

3) систематическое уточнение требований к защите информации;

4) проведение каждый раз (при необходимости, ввиду неудовлетворительного состояния защищенности или ввиду изменения требований) всего цикла работ по организации защиты.