- нормативно-правовой базис защиты информации;
- средства, способы и методы защиты;
- органы и исполнителей.
Другими словами, на практике защита информации представляет собой комплекс регулярно используемых средств и методов, принимаемых мер и осуществляемых мероприятий с целью систематического обеспечения требуемой надежности информации, генерируемой, хранящейся и обрабатываемой на объекте АС, а также передаваемой по каналам. Защита должна носить системный характер, то есть для получения наилучших результатов все разрозненные виды защиты информации должны быть объединены в одно целое и функционировать в составе единой системы, представляющей собой слаженный механизм взаимодействующих элементов, предназначенных для выполнения задач по обеспечению безопасности информации.
Более того, КСЗИ предназначена обеспечивать, с одной стороны, функционирование надежных механизмов защиты, а с другой - управление механизмами защиты информации. В связи с этим должна предусматриваться организация четкой и отлаженной системы управления защитой информации.
Приведенные факты делают проблему проектирования эффективных систем защиты информации актуальной на сегодняшний день.
В данной работе рассмотрены основные принципы создания КСЗИ для АИС.
Целью работы является «Исследование современных систем защиты информации в АС».
Для достижения поставленной цели, в ходе выполнения работы решались следующие задачи:
- анализ нормативно-правовой базы обеспечения защиты информации в АС, а также проектирования защищенных АС;
- исследование степени защищенности современных АС с последующей оценкой эффективности ее защитных мероприятий;
- выбор путей повышения эффективности защитных мероприятий в АС;
- разработка рекомендаций по использованию защитных мероприятий в АС.
Таким образом, объектом исследования является защищенная АС, а предметом – используемые защитные мероприятия.
Наряду с существующими нормативно-правовыми документами [1–5,7-8,10-14] теоретическую базу исследований составляют труды известных ученых в области защиты информации от утечки по техническим каналам: В.В. Домарева [21], А.А. Хорева [38-40] и др.
Практические результаты основываются на исследовании эффективности организационных и инженерно-технических мероприятий по защите информации в АС.
Квалификационная работа специалиста состоит из введения, пяти разделов, заключения, списка использованной литературы и приложений.
В первом разделе проводиться анализ современной нормативно-правовой базы в области защиты информации, а также проектирования защищенных АС. Также был проанализирован современный метод построения КСЗИ, в соответствии с нормативными документами технической защиты информации Украины.
Во втором разделе были проанализированы основные принципы защитных мероприятий в АС для дальнейшего повышения их эффективности. В основе данного анализа была проведена оценка необходимости защиты информации от НСД, на основании которой были определены требования по защите информации от НСД. На основании таких требований и формируются защитные мероприятия для конкретных АС, а проведенный математический анализ эффективности таких мероприятий позволяет улучшать качество и надежность системы защиты.
В третьем разделе были рассмотрены общие принципы их оценки эффективности. На основании этого была предложена методика оценки эффективности защитных мероприятий, использование которой предполагает лишь наличие данных о необходимых требованиях защищённости и данных о полноте выполнения этих требований.
В четвертом разделе предложены возможные пути оптимизации защитных мероприятий в АС. В качестве такой оптимизации рассматривается выбор контролируемых параметров по различных показателям эффективности.
Пятый раздел содержит разработанные рекомендации по улучшению организационных и инженерно-технических мероприятий по защите информации в АС.
В заключении приведены основные результаты исследований.
Список использованной литературы содержит 41 наименование.
В приложении содержатся материалы иллюстративного характера, фотографии и технические характеристики некоторых защитных устройств, а также приведен ряд инструкций и правил для пользователей и обслуживающего персонала.
Бурный рост конфиденциальной и коммерческой информации, а также существенное увеличение фактов ее хищения вызывает повышенный интерес все большего числа организаций к созданию собственных защищенных информационных систем.
Проектирование защищенных информационных систем процесс довольно сложный, который предполагает наличие соответствующих знаний и опыта, у ее создателей.
Потребитель может не вникать в разработку такого проекта и подробности его развития, однако он обязан контролировать каждый его этап на предмет соответствия техническому заданию и требованиям нормативных документов. В свою очередь, персональный опыт проектировщиков требует использования существующих нормативных документов в данной области для получения наиболее качественного результата.
Таким образом, процесс проектирования защищенных информационных систем должен основываться на знании и строгом выполнении требований существующих нормативных документов, как со стороны ее разработчиков, так и со стороны заказчиков.
Существующая в Украине нормативная база еще не достигла необходимого развития в данной области. Так, например, из огромного списка стандартов и нормативных документов Украины можно выделить лишь некоторые, которые могут быть использованы при проектировании защищенных АС [2-5].
Поэтому, при проведении данного рода работ, специалисты используют также международные (ISO) и межгосударственные (ГОСТы, утвержденные до 1992 года, включительно) стандарты [6].
Согласно одному из таких стандартов [7] АС представляет собой систему, состоящую из персонала и комплекса средств автоматизации его деятельности, реализующую информационную технологию выполнения установленных функций.
В зависимости от вида деятельности выделяют следующие виды АС: автоматизированные системы управления (АСУ), системы автоматизированного проектирования (САПР), автоматизированные системы научных исследований (АСНИ) и др.
В зависимости от вида управляемого объекта (процесса) АСУ делят на АСУ технологическими процессами (АСУТП), АСУ предприятиями (АСУП) и т.д.
В нашем случае АС представляет собой среду обработки информации, и также информационных ресурсов в информационно-телекоммуникационной системе. Поэтому в дальнейшем будем использовать понятие автоматизированная информационная система.
Закон Украины «Об информации» [1] трактует понятие «информация» в следующем виде: «под информацией понимается документируемые или публично объявленные сведения о событиях и явлениях, которые происходят в обществе, государстве и окружающей среде».
В свою очередь, защита информации в АС - деятельность, которая направлена на обеспечение безопасности обрабатываемой в АС информации и АС в целом, и позволяет предотвратить или осложнить возможность реализации угроз, а также снизить величину потенциальных убытков в результате реализации угроз [2].
Таким образом, АИС представляет собой сложную систему, которую целесообразно разделять на отдельные блоки (модули) для облегчения ее дальнейшего проектирования. В результате этого, каждый модуль будет независим от остальных, а в комплексе они будут составлять цельную систему защиты.
Выделение отдельных модулей АИС позволяет службе защиты информации:
- своевременно и адекватно реагировать на определенные виды угроз информации, которые свойственны определенному модулю;
- в короткие сроки внедрять систему защиты информации в модулях, которые только что появились;
- упростить процедуру контроля системы защиты информации в целом (под системой защиты информационной инфраструктуры предприятия в целом следует понимать совокупность модулей систем защиты информации).
Постепенно наращивая количество модулей, а также усложняя структуру защиты, АИС приобретает некую комплексность, которая подразумевает использование не одного типа защитных функций во всех модулях, а их произведение.
Таким образом, построение КСЗИ становится неотъемлемым фактором в разработке эффективной системы защиты от несанкционированного доступа.
Согласно [8] КСЗИ – совокупность организационных и инженерных мероприятий, программно-аппаратных средств, которые обеспечивают защиту информации в АС.
Отсюда видно, что, например, простым экранированием помещения при проектировании КСЗИ не обойтись, так как данный метод предполагает лишь защиту информации от утечки по радиоканалу.
В общем случае понятие «комплексность» представляет собой решение в рамках единой концепции двух или более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или то и другое (всеобщая комплексность).
Целевая комплексностьозначает, что система информационной безопасности должна строиться следующим образом:
- защита информации, информационных ресурсов и систем личности, общества и государства от внешних и внутренних угроз;