Цели, задачи и ресурсы системы защиты информации

Цели, задачи и ресурсы системы защиты информации

Формулирование целей и задач защиты информации, как любой другой деятельности, представляет начальный и значимый этап обеспечения безопасности информации. Важность этого этапа часто недооценивается и ограничивается целями и задачами, напоминающими лозунги.

В то же время специалисты в области системного анализа считают, что от четкости и конкретности целей и постановок задач во многом зависит успех в их достижении и решении. Провал многих, в принципе полезных, начинаний обусловлен именно неопределенностью и расплывчатостью целей и задач, из которых не ясно, кто, что и за счет какого ресурса предполагает решать продекларированные задачи.

Цели защиты информации сформулированы в ст. 20 Закона РФ «Об информации, информатизации и защите информации»:


style="display:block; text-align:center;"
data-ad-format="fluid"
data-ad-layout="in-article"
data-ad-client="ca-pub-6007240224880862"
data-ad-slot="8925203109">

  • предотвращение утечки, хищения, искажения, подделки информации;
  • предотвращение угроз безопасности личности, общества, государства;
  • предотвращение несанкционированных действий по уничтожению, модификации, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспече ние правового режима как объекта собственности;
  • защита конституционных прав граждан по сохранению личной тайны, конфиденциальности персональных данных, имеющихся в информационных системах;
  • сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
  • обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения.

В общем виде цель защиты информации определяется как обеспечение безопасности информации, содержащей государственную или иные тайны. Но такая постановка цели содержит неопределенные понятия: информация и безопасность.

Информация — первичное понятие, используемое в понятийном аппарате информационной безопасности. Предпринимаются многочисленные попытки дать корректное определение понятию «информация», но список попыток пока нс закрыт. Учитывая, что любой материальный объект или физическое явление отображаются в виде совокупности признаков (свойств), а человек, кроме того, на основе этих признаков формирует их модели или образы, то информацию можно представить как отображение реального или виртуального мира на языке признаков материальных объектов или абстрактных символов.

Места входов и выходов

Места входов и выходов

Для системы защиты информации очень трудно точно указать места входов и выходов. Входами тобой системы являются силы и воздействия, изменяющие состояние системы. Такими силами и воздействиями являются угрозы.

Угрозы могут быть внутренними и внешними, в том числе такие трудно локализуемые как слабая правовая дисциплина сотрудников, некачественная эксплуатация средств обработки информации или наличие в помещении радио и электрических приборов, побочные физические процессы в которых способствуют несанкционированному распространению защищаемой информации. Источниками угроз могут быть злоумышленники, технические средства внутри организации, сотрудники организации, внутренние и внешние поля, стихийные силы и т. д.

Выходы системы представляют собой реакцию системы на входы. Выходами системы являются меры по защите информации. Однако локализовать в пространстве выходы системы так же сложно, как и входы. Каждый сотрудник, например, в меру своей ответственности обязан заниматься задачами защиты информации и принимать меры по обеспечению ее безопасности. Меры по защите информации также включают разнообразные способы и средства, в том числе документы, определяющие доступ сотрудников к защищаемой информации в конкретном структурном подразделении организации.

Следовательно, система зашиты информации представляет собой модель системы, объединяющей силы и средства организации, обеспечивающие защиту информации.

К параметрам системы, по терминологии, относятся:

  • цели и задачи (конкретизированные в пространстве и во времени цели);
  • входы и выходы системы;
  • ограничения, которые необходимо учитывать при построении (модернизации, оптимизации) системы;
  • процессы внутри системы, обеспечивающие преобразование входов в выходы.

Цели представляют собой ожидаемые результаты функционирования системы защиты информации, а задачи то, что надо сделать для того, чтобы система могла обеспечить достижение поставленных целей. Возможность решения задач зависит от ресурса, выделяемого на защиту информации. Ресурс включает в себя людей, решающих задачи защиты информации, финансовые, технические и другие средства, расходуемые на защиту информации. Входами системы защиты информации являются угрозы информации, а выходами — меры, которые надо применить для предотвращения угроз или снизив их до допустимого уровня. Наконец, мероприятия, действия и технологии, определяющие меры защиты, соответствующие угрозам, образуют процесс.

Так как для слабоформализуемых задач нет методов их точного решения, то процесс представляет собой выбор для угроз на
входе системы рациональных вариантов защиты, удовлетворяющих значениям используемых показателей эффективности защиты. Следовательно, процесс выбора должен включать также показатели эффективности, по которым производится выбор мер из множества известных. При отсутствии формальных методов решения слабоформализуемых задач в общем случае можно обеспечить лишь выбор рациональных решений, удовлетворяющих определенным требованиям и образующих область решений, внутри которой находится оптимальное решение.

Решение проблемы защиты информации с точки зрения системного подхода можно сформулировать как трансформацию существующей системы, не обеспечивающей требуемый уровень защищенности, в систему с заданным уровнем безопасности информации.

Применение комплекса методов

Применение комплекса методов

Системный анализ предусматривает применение комплекса методов, методик и процедур, позволяющих выработать в результате анализа модели системы рациональные рекомендации по решению проблем системы.

Математическим обеспечением системного анализа является аппарат исследования операций. Исследование операций представляет собой комплекс научных методов для решения задач эффективного управления организационными системами, в которых основным элементом является человек. Один из создателей аппарата исследования операций Т. Саати определил его как «искусство давать плохие ответы на те практические вопросы, на которые даются еще худшие ответы другими методами». Следует сразу оговориться, что при решении слабо-формализуемых задач методами системного анализа в большинстве случаев удается найти только область рациональных решений, внутри которой находится наилучший (оптимальный) для конкретных исходных данных результат.

Системный подход и системный анализ составляют основу теории систем. Теория систем зародилась в 30-е годы. В годы Второй мировой войны корпорация «Ренд корпорэшен» разработала методологию системных исследований, а в 50-е годы теория систем сформировалась как самостоятельное направление. В 50-е годы в США было организовано «Общество исследований в области общей теории систем». Его организаторами являются специалисты по математическим проблемам в области системотехники и психологии Л. Берталанфи, Р. Жерар и А. Рапопорт, К. Боулдинг. С 1956 г. «Общество ...» издает под редакцией Берталанфи и Рапопорта ежегодники «General System». В 1959 г. при Кейсовском технологическом институте (США) создан «Центр системных исследований». Корпорация «International Business Mashines Corporation» в 1963 г. организовала Институт системных исследований.

Созданию и развитию теории систем способствовал и труды русских ученых В. И. Вернадского, А. А. Богданова, Л. С. Выготского, Г. С Поспелова, Н. П. Бусленко, В. Н. Садовского, Н. П. Федоренко и других. С 1969 года в России издается ежегодник «Системные исследования», в 1976 году основан в Москве научно-исследовательский институт системных исследований РАН (НИИСИ).

В соответствии с требованиями системного подхода совокупность взаимосвязанных элементов, функционирование которых направлено на обеспечение безопасности информации, образует систему защиты информации. Такими элементами являются люди, инженерные конструкции и технические средства, обеспечивающие защиту информации независимо от их принадлежности к другим системам. Ядро системы защиты образуют силы и средства, основными функциями которых является обеспечение информационной безопасности. Однако они составляют лишь часть сил и средств системы защиты информации. Например, в систему защиты информации входят не только структурные подразделения (служба безопасности, отдел режима и секретности, 1-й отдел и др.), предназначенные для защиты информации, но все сотрудники организации, обязанные в меру своей ответственности обеспечивать защиту информации.

Следовательно, они также являются элементами системы защиты информации организации. И если какой-либо сотрудник организации нарушит правила обращения с секретными документами, то возможен огромный ущерб, несмотря на безупречную работу других элементов системы защиты. Следовательно, структура (элементы и их взаимосвязь) системы защиты информации государства, ведомства, организации пронизывает структуру государства, ведомства, организации.

Системное свойство — сознание человека!

Системное свойство — сознание человека!

Примером системного свойства является сознание человека, которое отсутствует у его частей. Мыслительные способности автономно функционирующего мозга как органа обработки и хранения информации и мозга в теле человека существенно отличаются.

Это утверждение подтверждается соответствующими опытами: у человека, изолированного от внешних воздействий (с закрытыми глазами и ушами, помещенного в бассейн с жидкостью, плотность которой равна плотности его тела), через некоторое время возникают галлюцинации, а через более продолжительное время проявляются симптомы психического расстройства.

Это можно объяснить влиянием расхождения между текущей моделью мира, которая постоянно создается в мозгу на основе информации от всех рецепторов тела человека, и эталонной, сформировавшейся в течение предыдущей жизни человека. Когда прекращается поток данных от рецепторов, то текущая модель деформируется, подсознание не может найти алгоритм сохраняющего здоровье и жизнь поведения, происходит так называемая «ошибка», приводящая к психическому расстройству. По этой же причине «теряется» человек, попадающий в незнакомую обстановку.

Эффективность реализации системного подхода на практике зависит от умения специалиста выявлять и объективно анализировать все многообразие факторов и связей достаточно сложного объекта исследования, каким является, например, организация как объект защиты. Необходимым условием такого умения является наличие у специалиста так называемого системного мышления, формируемого в результате соответствующего обучения и практики решения слабоформализуемых задач. Системное мышление — это форма мышления, характеризующая способность человека на бессознательном уровне решать задачи дедуктивным методом. Эти методы применительно к инженерно-технической защите информации предусматривают:

  • четкую постановку задачи, включающую определение тематических вопросов защищаемой информации и ее источников как объектов защиты, выявление угроз этой информации и формулирование целей и задач защиты информации;
  • разработку принципов и путей решения задачи;
  • разработку методов решения задач;
  • создание программного, технического и методического обеспечения решения задачи.

Системное мышление — важнейшее качество не только специалиста по защите информации, но и любого организатора и руководителя. Если руководитель не может быстро выявить факторы, влияющие на то или иное решение, и оценить их вес, то неучтенные или необоснованно отброшенные факторы постоянно будут о себе напоминать. Такой руководитель превращается в борца с им же создаваемыми проблемами.

Если системный поход характеризует концептуальные взгляды на пути решения слабоформализуемых задач, то основу их решения составляет системный анализ.

Совокупность элементов системы

Совокупность элементов системы

Совокупность элементов образует систему, когда у них появляются общие цели. Если представить цели элементов в виде векторов, то векторы целей элементов простой совокупности (набора элементов) ориентированы произвольно.

При сложении векторов результирующий вектор набора элементов нс будет существенно отличаться от векторов элементов. Однако если векторы целей элементов ориентированы в одном направлении, то результирующий вектор будет существенно отличаться от векторов элементов. В этом случае набор элементов трансформируется в систему с дополнительными возможностями. Например, толпа людей на улице ведет себя спокойно до тех пор, пока не найдется оратор и не сблизит цели собравшихся людей. Толпа может преобразоваться временно в систему с ориентацией суммарного вектора целей как на добрые дела, так и на разрушение.

Способность пламенных ораторов изменить ориентацию целей слушающих их людей и повести за собой писатели красиво назвали умением «зажечь сердца» людей. По этой же причине руководитель, назначенный или выбранный на высокий пост, собирает свою команду единомышленников, т. е. людей с одинаковой ориентацией векторов целей. Если это ему не удастся, то результирующий вектор целей его аппарата возрастает несущественно, так как складываются лишь проекции целей, величина которых определяется лишь формальным выполнением сотрудниками аппарата своих функциональных обязанностей.

Важнейшим отличием системы от набора элементов является то, что система обладает свойствами, отсутствующими у ее элементов. Традиционный несистемный подход предполагает, что свойства объекта или субъекта есть совокупность свойств его частей. Примером традиционного подхода могут служить пока преобладающие в официальной медицине методы диагностики и лечения болезней человека по результатам исследования отдельных его органов. Человек к старости, после прохождения многочисленных кабинетов узкоспециализированных врачей, «приобретает» такой букет болезней, что побочный вред от назначенных многочисленных лекарств может превысить пользу от них.

Человека нельзя делить на части без учета информационных, химических, электромагнитных, электрических связей между его органами и даже клетками, лечить надо не отдельные болезни, а человека в целом. Но человек как система очень сложен. Основная проблема современной медицины состоит в противоречии между необходимостью лечения человека как единого целого и ограниченностью медицинских знаний о нем врача. Консерватизм методов лечения традиционной медицины привел к тому, что нишу системных свойств человека заполняют знахари, экстрасенсы, так называемые народные целители и другие «самородки», заряжающие энергией зубные пасты и газеты.

Следует отметить, что восточная философия, в том числе и медицина, характеризуется более целостным подходом к миру, чем западная. Иероглифы, каждый из которых отображает целые понятия языка, являются примером такого подхода. Конечно, учащимся японской, корейской и китайской школ труднее запомнить несколько тысяч иероглифов, чем тридцать букв алфавита, но при изучении иероглифов уже в раннем возрасте развивается дедуктивное мышление, которое в дальнейшем способствует формированию системного мышления специалиста. Отчасти этим можно объяснить огромные успехи, например, Японии и Северной Кореи в производстве высокотехнологичной продукции.

Низкая точность эвристических методов

Низкая точность эвристических методов

Если число факторов влияния велико, что имеет место при решении задач инженерно-технической защиты информации, то точность эвристических методов низка.

В общем случае задачи инженерно-технической защиты информации характеризуются большим количеством и многообразием факторов, влияющих на результат решения, причем это влияние часто не удается однозначно выявить и строго описать. К ним, в первую очередь, относятся задачи, результаты решения которых зависят от людей. Только в отдельных простейших случаях удается однозначно и формально описать реакции человека на внешние воздействия.

В большинстве других вариантов сделать это не удается. Однако из этого утверждения не следует, что организация эффективной защиты информации зависит исключительно от искусства специалистов по защите информации. Человечеством накоплен достаточно большой опыт по решению слабоформализуемых проблем.

Решение любых задач производится на основе моделей исследуемых объектов и процессов. Решаемая задача или проблема представляет собой разницу между реальным объектом или процессом и тем, что надо достигнуть или получить. Наиболее универсальной моделью любого объекта или процесса является представление его в виде системы. Системный подход — это исследование объекта или процесса с помощью модели, называемой системой.

Этот подход предусматривает самый высокий уровень описания объекта исследования — системный. Самым низким уровнем является уровень описания параметров объекта — параметрический. Между ними располагаются структурный и функциональный уровни.

Сущность системного подхода состоит в следующем:

  • совокупность сил и средств, обеспечивающих решение задачи, представляется в виде модели, называемой системой;
  • система описывается совокупностью параметров;
  • любая система рассматривается как подсистема более сложной системы, влияющей на структуру и функционирование рассматриваемой;
  • любая система имеет иерархическую структуру, элементами и связями которой нельзя пренебрегать без достаточных оснований;
  • при анализе системы необходим учет внешних и внутренних влияющих факторов, принятие решений на основе части из них без рассмотрения остальных может привести к неверным результатам;
  • свойства системы превышают сумму свойств ее элементов за счет качественно новых свойств, отсутствующих у ее элементов — системных свойств.
Страница 3 из 41234
Яндекс.Метрика