Сущность и задачи комплексной системы защиты информации

Но компоненты ЗИ, с одной стороны, являются составной частью системы, с другой — сами организуют систему, осуществляя защитные мероприятия.

Поскольку система может быть определена как совокупность взаимосвязанных элементов, то назначение СЗИ состоит в том, чтобы объединить все составляющие защиты в единое целое, в котором каждый компонент, выполняя свою функцию, одновременно обеспечивает выполнение функций другими компонентами и связан с ними логически и технологически. А в чем же состоит значимость комплексных решений в СЗИ?

Надежность защиты информации прямо пропорциональна системности, т. е. при несогласованности между собой отдельных составляющих риск «проколов» в технологии защиты увеличивается.

Во-первых, необходимость комплексных решений состоит в объединении в одно целое локальных СЗИ, при этом они должны функционировать в единой «связке». В качестве локальных СЗИ могут быть рассмотрены, например, виды защиты информации (правовая, организационная, инженерно-техническая).

Во-вторых, необходимость комплексных решений обусловлена назначением самой системы. Система должна объединить логически и технологически все составляющие защиты. Но из ее сферы выпадают вопросы полноты этих составляющих, она не учитывает всех факторов, которые оказывают или могут оказывать влияние на качество защиты. Например, система включает в себя какие-то объекты защиты, а все они включены или нет — это уже вне пределов системы.

Поэтому качество, надежность защиты зависят не только от видов составляющих системы, но и от их полноты, которая обеспечивается при учете всех факторов и обстоятельств, влияющих на защиту. Именно полнота всех составляющих системы защиты, базирующаяся на анализе таких факторов и обстоятельств, является вторым назначением комплексности.

При этом должны учитываться все параметры уязвимости информации, потенциально возможные угрозы ее безопасности, охватываться все необходимые объекты защиты, использоваться все возможные виды, методы и средства защиты и необходимые для защиты кадровые ресурсы, осуществляться все вытекающие из целей и задач защиты мероприятия.

В-третьих, только при комплексном подходе система может обеспечивать безопасность всей совокупности информации, подлежащей защите, и при любых обстоятельствах. Это означает, что должны защищаться все носители информации, во всех компонентах ее сбора, хранения, передачи и использования, во все время и при всех режимах функционирования систем обработки информации.

В то же время комплексность не исключает, а, наоборот, предполагает дифференцированный подход к защите информации, в зависимости от состава ее носителей, видов тайны, к которым отнесена информация, степени ее конфиденциальности, средств хранения и обработки, форм и условии проявления уязвимости, каналов и методов несанкционированного доступа к информации.

Таким образом, значимость комплексного подхода к защите информации состоит:

— в интеграции локальных систем защиты;

— в обеспечении полноты всех составляющих системы защиты;

— в обеспечении всеохватности защиты информации.

Исходя из этого, можно сформулировать следующее определение:

«Комплексная система защиты информации — система, полно и всесторонне охватывающая все предметы, процессы и факторы, которые обеспечивают безопасность всей защищаемой информации»

1.4. Принципы построения  комплексной системы защиты информации

При построении любой системы необходимо определить принципы, в соответствии с которыми она будет построена. КСЗИ — сложная система, функционирующая, как правило, в условиях неопределенности, требующая значительных материальных затрат. Поэтому определение основных принципов КСЗИ позволит определить основные подходы к ее построению.

Принцип законности заключается в соответствии принимаемых мер законодательству РФ о защите информации, а в случае отсутствия соответствующих законов — другим государственным нормативным документам по защите.

В соответствии с принципом полноты защищаемой информации защите подлежит не только информация, составляющая государственную, коммерческую или служебную тайну, но и та часть несекретной информации, утрата которой может нанести ущерб ее собственнику либо владельцу. Реализация этого принципа позволяет обеспечить и охрану интеллектуальной собственности.

Принцип обоснованности защиты информации заключается в установлении путем экспертной оценки целесообразности засекречивания и защиты той или другой информации, вероятных экономических и других последствий такой защиты исходя из баланса жизненно важных интересов государства, общества и граждан. Это, в свою очередь, позволяет расходовать средства на защиту только той информации, утрата или утечка которой может нанести действительный ущерб ее владельцу.

Принцип создания специализированных подразделений по защите информации заключается в том, что такие подразделения являются непременным условием организации комплексной защиты, поскольку только специализированные службы способны должным образом разрабатывать и внедрять защитные мероприятия и осуществлять контроль за их выполнением.

Принцип участия в защите информации всех соприкасающихся с нею лиц исходит из того, что защита информации является служебной обязанностью каждого лица, имеющего по роду выполняемой работы отношение к защищаемой информации, и такое участие дает возможность повысить качество защиты.

Принцип персональной ответственности за защиту информации требует, чтобы каждое лицо персонально отвечало за сохранность и неразглашение вверенной ему защищаемой информации, а за утрату или распространение такой информации оно несет уголовную, административную или иную ответственность.

Принцип наличия и использования всех необходимых правил и средств для защиты заключается в том, что КСЗИ требует, с одной стороны, участия в ней руководства предприятия и специальной службы защиты информации и всех исполнителей, работающих с защищаемой информацией, с другой стороны, использования различных организационных форм и методов защиты, с третьей стороны, наличие необходимых материально-технических ресурсов, включая технические средства защиты.

Принцип превентивности принимаемых мер по защите информации предполагает априорное опережающее заблаговременное принятие мер по защите до начала разработки или получения информации. Из этого принципа вытекает, в частности, необходимость разработки защищенных информационных технологий.

Среди рассмотренных принципов едва ли можно выделить более, или менее важные. А при построении КСЗИ важно использовать их в совокупности.

1.5. Стратегии защиты  информации

Осознание необходимости разработки стратегических подходов к защите формировалось по мере осознания важности, многоаспектности и трудности защиты и невозможности эффективного ее осуществления простым использованием некоторого набора средств защиты.

Под стратегией вообще понимается общая направленность в организации соответствующей деятельности, разрабатываемая с учетом объективных потребностей в данном виде деятельности, потенциально возможных условий ее осуществления и возможностей организации.

Известный канадский специалист в области стратегического управления Г. Минцберг[3] предложил определение стратегии в рамках системы «5-Р». По его мнению, она включает:

1) план (Plan) — заранее намеченные в деталях и контролируемые действия на определенный срок, преследующие конкретные цели;

2) прием, или тактический ход (Ploy), представляющий собой кратковременную стратегию, имеющую ограниченные цели, могущую меняться, маневр с целью обыграть противника;

3) модель поведения (Patten of behaviour) — часто спонтанного, неосознанного, не имеющего конкретных целей;

4) позицию по отношению к другим (Position in respect to others);

5) перспективу (Perspective).

Задача стратегии состоит в создании конкурентного преимущества, устранении негативного эффекта нестабильности окружающей среды, обеспечении доходности, уравновешении внешних требований и внутренних возможностей. Через ее призму рассматриваются все деловые ситуации, с которыми организация сталкивается в повседневной жизни.

Способность компании проводить самостоятельную стратегию во всех областях делает ее более гибкой, устойчивой, позволяет адаптироваться к требованиям времени и обстоятельствам.

Стратегия формируется под воздействием внутренней и внешней среды, постоянно развивается, ибо всегда возникает что-то новое, на что нужно реагировать.

Факторы, которые могут иметь для фирмы решающее значение в будущем, называются стратегическими. По мнению одного из ведущих западных специалистов Б. Карлофа, они, влияя на стратегию любой организации, придают и специфические свойства. К таким факторам относятся:

1) миссия, отражающая философию фирмы, ее предназначение. При пересмотре миссии, происходящем в результате изменения общественных приоритетов;

2) конкурентные преимущества, которыми организация обладает в своей сфере деятельности по сравнению с соперниками или к которым стремится (считается, что они оказывают на стратегию наибольшее влияние). Конкурентные преимущества любого типа обеспечивают более высокую эффективность использования ресурсов предприятия;

3) характер выпускаемой продукции, особенности ее сбыта, послепродажного обслуживания, рынки и их границы;

4) организационные факторы, среди которых выделяется внутренняя структура компании и ее ожидаемые изменения, система управления, степень интеграции и дифференциации внутренних процессов;

5) располагаемые ресурсы (материальные, финансовые, информационные, кадровые и пр.). Чем они больше, тем масштабнее могут быть инвестиции в будущие проекты. Сегодня для разработки и реализации стратегии огромное значение имеют, прежде всего, структурные, информационные и интеллектуальные ресурсы. Сравнивая значения параметров наличных и требующихся ресурсов, можно определить степень их соответствия стратегии;

6) потенциал развития организации, совершенствования деятельности, расширения масштабов, роста деловой активности, инноваций;

7) культура, философия, этические воззрения и компетентность управленцев, уровень их притязаний и предприимчивости, способность к лидерству, внутренний климат в коллективе.

На стратегический выбор влияют: риск, на который готова идти фирма; опыт реализации действующих стратегий, позиции владельцев, наличие времени.

Рассмотрим особенности стратегических решений. По степени регламентированности они относятся к контурным (предоставляют широкую свободу исполнителям в тактическом отношении), а по степени обязательности следования главным установкам — директивным.

По функциональному назначению такие решения чаще всего бывают организационными или предписывающими способ осуществления в определенных ситуациях тех или иных действий. С точки зрения предопределенности, это решения запрограммированные. Они принимаются в новых, неординарных обстоятельствах, когда требуемые шаги трудно заранее точно расписать. С точки зрения важности, стратегические решения кардинальны: касаются основных проблем и направлений деятельности фирмы, определяют основные пути развития ее в целом, отдельных подразделений или видов деятельности на длительную перспективу (не менее 5–10 лет). Они вытекают прежде всего из внешних, а не из внутренних условий, должны учитывать тенденции развития ситуации и интересы множества субъектов. Практическая необратимость стратегических решений обусловливает необходимость их тщательной и всесторонней подготовки. Стратегическим решениям присуща комплексность. Стратегия обычно представляет собой не одно, а совокупность взаимосвязанных решений, объединенных общей целью, согласованных между собой по срокам выполнения и ресурсам. Такие решения определяют приоритеты и направления развития фирмы, ее потенциала, рынков, способы реакции на непредвиденные события. Практика сформировала следующие требования к стратегическим решениям:

1. Реальность, предполагающая ее соответствие ситуации, целям, техническому и экономическому потенциалу предприятия, опыту и навыкам работников и менеджеров, культуре, существующей системе управления;

2. Логичность, понятность, приемлемость для большинства членов организации, внутренняя целостность, непротиворечивость отдельных элементов, поддержка ими друг друга, порождающая синергетический эффект;

3. Своевременность (реализация решения должна успеть приостановить отрицательное развитие ситуации или не позволить упустить выгоду);

4. Совместимость со средой, обеспечивающая возможность взаимодействия с ней (стратегия находится под влиянием изменений в окружении предприятия и сама может формировать эти изменения);

5. Направленность на формирование конкурентных преимуществ;

6. Сохранение свободы тактического маневра;

7. Устранение причин, а не следствий существующей проблемы;

8. Четкое распределение по уровням организации работы по подготовке и принятию решений, а также ответственности за них конкретных лиц;

9. Учет скрытых и явных, желательных и нежелательных последствий, которые могут возникнуть при реализации стратегии или отказе от нее для фирмы, ее партнеров; от существующего законодательства, этической стороны дела, допустимого уровня риска и пр.

Разработка научно обоснованной системы стратегий организации как ключевого условия ее конкурентоспособности и долгосрочного успеха является одной из основных функций ее менеджеров, прежде всего высшего уровня. От них требуется:

— выделять, отслеживать и оценивать ключевые проблемы;

— адекватно и оперативно реагировать на изменения внутри и в окружении организации;

— выбирать оптимальные варианты действий с учетом интересов основных субъектов, причастных к ее деятельности;

— создавать благоприятный морально-психологический климат, поощрять предпринимательскую и творческую активность низовых руководителей и персонала.

Исходный момент формирования стратегии — постановка глобальных качественных целей и параметров деятельности, которые организация должна достичь в будущем. В результате увязки целей и ресурсов формируются альтернативные варианты развития, оценка которых позволяет выбрать лучшую стратегию. Единых рецептов выработки стратегий не существует. В одном случае целесообразно стратегическое планирование (программирование) в другом — ситуационный подход.

Исходя из большого разнообразия условий, при которых может возникнуть необходимость защиты информации, общая целевая установка на решение стратегических вопросов заключалась в разработке множества стратегий защиты, и выбор такого минимального их набора, который позволял бы рационально обеспечивать требуемую защиту в любых условиях.