Системный подход к защите информации

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

В настоящее время информация из категории научной превратилась в категорию коммерческую и является таким же принципиальным фактором развития, .как сырье и энергия. Являясь стратегическим ресурсом, информация должна оберегаться, защищаться и надежно сохраняться. Информатизация, кроме очевидных и широко рекламируемых средствами массовой информации выгод, ставит и ряд проблем. Одной из таких проблем, связанной с бурным ростом масштабов и глубиной процессов информатизации современных обществ, является проблема так называемой «компьютерной преступности».

В Беларуси, как и в других странах СНГ, в условиях перехода к рыночной экономике, актуализируются принципиально новые аспекты защиты информации, которые прежде не вызывались общественной потребностью. К таким аспектам относятся:

1. защита национального информационного ресурса при включении наших систем в международные системы и сети;

2. защита прав собственника по владению, распоряжению и управлению его информационными ресурсами;

3. защита коммерческой тайны в условиях офисной информатизации;

4. защита автоматизированных систем обработки и передачи информации в кредитно-финансовой сфере;

5. возникновение новых форм общественных отношений в области бизнеса (электронная подпись, электронная биржа, электронное соглашение с правом юридической силы).

К объектам информационной безопасности относятся информационные ресурсы, средства и системы информатизации.

Информационные ресурсы содержат сведения, отнесенные к государственной тайне, и конфиденциальную информацию, представленную в виде документированных информационных массивов и баз данных.

Средства и системы информатизации – средства вычислительной техники, информационно-вычислительные комплексы, сети и системы, программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации, а также их информационные физические поля.

Системный подход к защите информации

При создании системы защиты информации необходимо исходить из Концепции информационной безопасности, которая должна учитывать современные научные и технические достижения в этой области. В настоящее время сложились два основных подхода к проблеме обеспечения информационной безопасности:

1. редукционистский (фрагментарный) и

2. системный (комплексный).

Редукционистский подход к защите информацииориентируется на противодействие строго определенным угрозам при определенных условиях. Примером реализации такого подхода может быть использование в защите специализированного антивирусного средства. Избирательность такого подхода относительно конкретной угрозы обусловливает локальность его действия. При этом даже небольшое видоизменение угрозы ведет к потере эффективности защиты.

Отличительная черта фрагментарного подхода в защите состоит в отсутствии единой защищенной среды обработки информации.

Редукционистская парадигма защиты применима только в ограниченных пределах и лишь для обеспечения безопасности относительно простых информационных систем. Она неприменима к отраслевым и территориальным автоматизированным информационным системам, отличительной чертой которых является их сложность и несводимость к механической «сумме», составляющих их частей.

Системный подход.

Особенностью системного подхода к защите информации является создание защищенной среды обработки, хранения и передачи информации, объединяющей разнородные методы и средства противодействия угрозам:

1. программно-технические,

2. правовые,

3. организационно-экономические.

Программно-технические методы включают:

1. предотвращение утечки обрабатываемой информации путем исключения несанкционированного доступа к ней;

2. предотвращение специальных воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации;

3. выявление внедренных программных или аппаратных закладных устройств;

4. исключение перехвата информации техническими средствами;

5. применение криптографических средств защиты информации при передаче информации по каналам связи.

Правовые методы предусматривают разработку комплекса нормативно-правовых актов, регламентирующих информационные отношения в обществе, в том числе в отношении информационных ресурсов и компонентов компьютерных систем и сетей.

Организационно-экономические методы решают задачи:

1. организационного обеспечения функционирования систем защиты информации;

2. стандартизации способов и средств защиты информации;

3. сертификации компьютерных систем и сетей и их средств защиты по требованиям информационной безопасности;

4. лицензирования деятельности в сфере защиты информации;

5. страхования информационных рисков, связанных с функционированием компьютерных систем и сетей;

6. контроля за действием персонала в защищенных информационных системах.

Все сказанное относится кинформационной безопасности. Информационная безопасность: свойство процесса информатизации, характеризующее состояние защищенности личности, общества и государства от возможных негативных последствий информатизации.

Для разработки и функционирования систем комплексной защиты информации ключевую роль играют

- определение целей защиты объектов информационной безопасности и

- выбор критериев оценки состояния защищенности информационных ресурсов и средств информации.

Одной из наиболее важных составных частей информационной безопасности в современном обществе является безопасность автоматизированных информационных систем. В дальнейшем при изучении информационной безопасности основное внимание будет уделяться безопасности автоматизированных информационных систем.