Эксплуатация системы защиты информации.
Общие вопросы.
Далее начинается самый длительный этап в существовании системы защиты информации – ее эксплуатация. Эксплуатация системы связана в первую очередь с поддержанием ее в рабочем состоянии, и принятии своевременных соответствующих мер в случае попытки реализации какой-либо из угроз. Это выражается в следующем:
- поддержание в рабочем состоянии технических средств;
- своевременное исправление ошибок в программном обеспечении;
- своевременное обновление и дополнение требующих этого компонент системы;
- контроль электронных журналов (Log-файлов), фиксирующих различные события в системе защиты;
- контроль ситуации в защищаемой системе на предмет несанкционированных изменений, либо несанкционированного накопления информации пользователями системы;
- проведение плановых мер по противодействию информационным угрозам, в том числе – тренировки персонала по отработке действий в случае реализации определенных видов угроз;
- отслеживание перспектив развития системы защиты;
- повышение квалификации персонала, эксплуатирующего систему защиты;
- постоянный контроль выполнения требований руководящих документов по защите информации в организации;
- осуществляемый на плановой основе анализ угроз безопасности организации, и отслеживание изменений в окружающей обстановке, касающихся информационной безопасности.
Специальный эксперимент.
Одним из методов, используемых для текущего анализа эффективности системы защиты информации, является специальный эксперимент [14].
Ни одна из существующих методик обеспечения безопасности защищаемого объекта (в нашем случае – информации), не в состоянии учесть все тонкости и нюансы построения и эксплуатации конкретной системы защиты. Например – влияние человеческого фактора на эффективность обеспечения безопасности объекта (как часто, и насколько внимательно администратор таможенной информационной системы просматривает журналы учета событий (лог–файлы) в системе защиты).
Свободным от этого недостатка является метод специального эксперимента. Кроме того, эксперимент полезен при прогнозировании появления новых угроз для объекта защиты и новых источников этих угроз. То есть, эксперимент является одной из возможностей получения информации для коррекции модели источников угроз. Эксперимент носит название специального, так как он направлен исключительно на исследование безопасности ресурсов информационной системы, что является его отличительной особенностью.
В основу метода специального эксперимента положено то обстоятельство, что любое явление действительности связано с условиями своего существования, а значит и реакция объекта изучения зависит от воздействия на него окружающей обстановки. Следовательно, изменяя условия, в которых находится объект изучения, можно получить данные о его свойствах. В соответствии со своими техническими возможностями (для технических систем) или намерениями (для физического лица) изучаемый реагирует на эти, вновь созданные условия, принимая их за подлинные При этом необходимо отметить, что непосредственным объектом конкретного эксперимента является не вся система защиты, а лишь отдельные ее элементы или отдельные стороны. Это обстоятельство связано с невозможностью одновременного изучения всех составляющих информационной безопасности из-за многообразия угроз, которое, в свою очередь, влечет за собой проявление этих угроз в различных формах.
Эксперимент – это научно поставленный опыт. В научности эксперимента заложено его главное отличие от такого процесса как испытание, хотя, иногда, эти границы бывают достаточно условны. Тем не менее, изначально испытания проводятся с целью подтверждения (опровержения) соответствия какой-либо системы требованиям, техническим условиям, ГОСТ-ам, инструкциям и. т. п. Следовательно, и исход испытаний может быть либо положительным, либо отрицательным. В принципе, испытания – это проверка. А под экспериментальными исследованиями понимается совокупность действий исследователя с целью получения новой информации об изучаемом объекте (процессе, явлении) путем постановки опытов с физическими и (или) математическими моделями объектов или с самим объектом.
Таким образом, в отличие от испытания, эксперимент относится к исследовательской категории и его конечной целью является получение нового результата, который, как правило, заранее не известен. Следовательно, эксперимент и испытания отличаются друг от друга целями.
Следует особо подчеркнуть, что при оценке состояния системы защиты методом специального эксперимента, действует известный в других областях науки «принцип поглощения». Суть принципа заключается в том, что если эффективность защиты в «благоприятных» для источника угроз условиях будет высокой, то в «неблагоприятных» условиях эта эффективность будет еще выше (по крайней мере – не ниже). Например, если вероятность «вирусного заражения» информационной системы близка к нулю в результате организационных мер, то при использовании антивирусного программного обеспечения эта вероятность тем более будет стремиться к нулю.