Структура систем защиты информации, применяемых в общемировой практике обеспечения информационной безопасности
Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Под защитой информации в общем виде понимают соединение в единое целое отдельных элементов, механизмов, процессов, явлений, мероприятий, мер и программ их взаимосвязей, способствующих реализации целей защиты и обеспечению структурного построения системы защиты.
Структурно-типовая система защиты информации (рис. 1) представляет собой совокупность отдельных взаимосвязанных элементов, реализующих следующие её виды:
Рис. 1. Типовая схема СЗИ
правовая защита информации – защита информации, базирующаяся на применении статей конституции и законов государства, положений гражданского и уголовного кодексов и других нормативно-правовых документов в области информатики, информационных отношений и защиты информации. Правовая защита информации регламентирует права и обязанности субъектов информационных отношений, правовой статус органов, технических средств и способов защиты информации и является основой для морально – этических норм в области защиты информации.
Организационная защита информации –это комплекс направлений и методов управленческого, ограничительного и технологического характера, определяющих основы и содержание системы защиты, побуждающих персонал соблюдать правила защиты конфиденциальной информации. Организационные меры связаны с установлением режима конфиденциальности в организации.
Техническая или инженерно-техническая защита, основывающаяся на использовании технических устройств, узлов, блоков, элементов, систем, как в виде отдельных средств, так и встроенных в процессе единого технологического цикла создания средств обработки информации, сооружений и т.д.;
Программно-аппаратная защита, предполагающая использование программного обеспечения информационных систем, комплексов и систем, а также аппаратных устройств, встроенных в состав технических средств и систем обработки информации.
В качестве отдельного вида наиболее эффективных средств защиты информации выделяются математические или криптографические методы, которые могут быть реализованы в виде технических устройств, программ и программно-аппаратных средств.
Рассмотренные виды в основном обеспечивают надежную защиту информации в различных системах ее обработки и различных условиях их функционирования. Однако опыт практического обеспечения безопасности информации в России и за рубежом показывает, что для надежной защиты, в условиях обязательного участия человека, массовости решения задач защиты необходимо использовать психологические и морально-этические виды, а в ряде случаев и страховые.
Под психологическими видами защиты понимаются допускаемые нормами права и морали методы и средства изучения психофизиологических особенностей и возможностей людей, а также психологического воздействия на людей с целью оценки соответствия их требованиям для допуска к обработке защищаемой информации.
Под морально-этическими видами защиты понимаются нормы и правила, которые не имеют юридической силы, но их нарушение ведет к потере авторитета, возникновению дополнительных трудностей и другим негативным последствиям для человека и организации.
Страховая защита информации – защита информации, предусматривающая возмещение убытков от её уничтожения или модификации путем получения страховых выплат.
Морально-этические и психологические элементы защиты информации практически во всех странах до настоящего времени рассматривались лишь в теории.
Стоит отметить, что термин "компьютерная безопасность" (как эквивалент или заменитель ИБ) представляется слишком узким. Компьютеры – только одна из составляющих информационных систем. Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций, обслуживающий персонал.
Стоит обратить внимание, что в определении ИБ перед существительным "ущерб" стоит прилагательное "неприемлемый". Застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.
Что такое безопасность?
С точки зрения экономики, безопасность – это компромисс. Каждый раз, добиваясь большей безопасности, применяя дополнительные средства защиты, мы обязаны чем-то за это платить: вкладывать дополнительные финансовые средства, поступаться удобством использования компьютерной системы, вводить для сотрудников какие-то дополнительные проверки, усложняющие их повседневную «жизнь» - работу.
Конечно, первый вопрос, который приходит нам в голову при решении проблем безопасности – «насколько эффективно это решение для защиты от угрозы?». Этот вопрос не совсем правильный, более верным будет спросить «Стоит ли оно того?». Можно ввести какие-то сверх меры по безопасности, и в ряде случаев это сделает работу организации невозможной. Например, мы можем ввести ежедневную проверку сотрудников на полиграфе, запретить им использовать флэшки и мобильные телефоны, и даже отбирать их на входе, а на выходе производить личный досмотр каждого. Но, в общем-то, все мы понимаем, что это сделает работу сотрудников неэффективной, они будут находиться в постоянном стрессе и страхе от предстоящих проверок, работать они будут крайне плохо, а компания будет нести убытки. И в результате, скорее всего, какая-то конфиденциальная информация будет похищена уволившимися недовольными сотрудниками.
Плюс ко всему, любые меры защиты требуют определенных материальных вложений. Покупка специализированного ПО, найм дополнительного персонала для обеспечения защиты, создание новых структурных подразделений и т.д. Что, в общем-то, возможно, было вовсе и не нужно.
Именно поэтому всегда необходимо соизмерять потенциальный ущерб от реализации угрозы и затраты на защиту от нее. Естественно, что затраты на защиту должны быть меньше потенциального ущерба.
На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:
1. целостность данных — актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Обеспечение целостности включает защиту от сбоев, ведущих к потере информации, а также зашита от неавторизованного изменения или уничтожения данных;
2. конфиденциальность информации - это защита от несанкционированного доступа к информации;
3. доступность информации для всех авторизованных пользователей, или возможность за приемлемое время получить требуемую информационную услугу.