Файл: Система защиты информации в зарубежных странах (Теоретические аспекты систем защиты информации).pdf

Содержание:

ВВЕДЕНИЕ

Проблема успешной реализации действий, которые направлены на обеспечение защиты информации, возникла очень давно, однако, наиболее интенсивное развитие получила она в период массовой информатизации общества и измеряется в более чем 40 лет. В 70-ые – начало 80-ых гг. выявляются основные направления поиска, реализации и разработки средств защиты информации.

Проблема защиты информации обусловлена возрастающей ее ролью в общественной жизни. Современное общество все более приобретает черты информационного общества.

Защита информации является одной из проблем, с которой столкнулось современное общество в процессе массового использования автоматизированных средств ее обработки.

Информационная безопасность – это защищенность информации и поддерживающей ее инфраструктуры от преднамеренных или случайных воздействий искусственного или естественного характера, которые могут нанести ущерб пользователям или владельцам информации.

Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации – это принципиально более широкое понятие. Задачи по обеспечению информационной безопасности для разных категорий субъектов могут существенно различаться.

Актуальность рассматриваемой темы определяется тем, что проблема проблемы создания и совершенствования системы защиты информации распространены во всем мире.

Целью данной работы является рассмотреть систему защиты информации в зарубежных странах. В работе предметом является система защиты информации, а объектом – защита информации.

Основными задачами работы являются:

1. проанализировать литературу по изучаемому вопросу;
2. рассмотреть систему защиты информации и ее построение;
3. описать структуру системы защиты информации;
4. изучить систему защиту информации в компании IBM;
5. проанализировать организацию сетевой политики безопасности компании Cisco Systems;
6. рассмотреть систему защиты информации в Западной Европе.

Таким образом, актуальность проблемы, ее научная и практическая значимость обусловили выбор темы исследования.

Глава 1 Теоретические аспекты систем защиты информации

1.1 Система защиты информации и ее построение

Система защиты определяется как организованная совокупность всех органов, средств, мероприятий и методов, которые предусмотрены в компьютерных информационных системах для обеспечения защиты информации от утечки, разглашения и несанкционированно доступа к ней^[1].

В современных условиях процесса информатизации построение системы защиты осуществляться должно на таких принципах как:

• адаптируемость,
• соответствие требованиям,
• концептуальное единство,
• функциональная самостоятельность,
• минимизация привилегий,
• удобство эксплуатации,
• активность реагирования,
• полнота контроля,
• невозможность перехода в небезопасное состояние,
• невидимость защиты,
• принцип равнопрочности границ,
• невозможность миновать средства защиты,
• экономичность,
• разделение обязанностей ^[2].

В соответствии с теорией защиты информации имеется два подхода к построению системы защиты: системный и фрагментарный^[3].

Фрагментарный подход ориентирован на противодействие четко определенным угрозам. В качестве примеров реализации данного подхода указать можно отдельные средства управления доступом, специализированные антивирусные программы, автономные средства шифрования и т.д.

Достоинство этого подхода – высокая избирательность к конкретной угрозе. Существенными недостатками являются потеря эффективности защиты при модификации угрозы безопасности, отсутствие единой защищенной среды обработки информации, деятельности организации, внешней среды.

К защите информации применяется фрагментарный подход только в узких рамках и лишь обеспечить безопасность относительно простых компьютерных информационных систем. В современное же время наиболее правильным и рациональным является применение системного подхода к защите информации.

Системный подход направлен на создание защищенной среды обработки информации, которая объединяется в единую систему средства противодействия угрозам. Организация защищенной среды дает возможность гарантировать определенный уровень безопасности компьютерной информационной системы, что является бесспорным достоинством системного подхода. Недостатками данного подхода являются сложности управления, большая чувствительность к ошибкам установки, ограничение на свободу действий пользователей системы и настройки средств защит. Как правило, применяют системный подход для защиты компьютерных информационных систем крупных организаций или небольших систем, которые выполняют ответственные задачи или обрабатывают особо важную информацию.

Процесс разработки системы защиты состоит из следующих этапов:

• аудит информационной безопасности компьютерной информационный системы, для которой строится система защиты;
• выбор средств и методов защиты информации;
• проектирование системы защиты;
• реализация и сопровождение системы защиты.

Аудит информационной безопасности компьютерной информационной системы является процессом сбора и анализа информации, которая необходима для оценки имеющегося уровня защиты, анализа риска и формулирования требований к системе защиты. Как правило, проводится аудит с целью подготовки технического задания на систему защиты либо после внедрения – для оценки эффективности ее. Аудит осуществляют как сторонние компании, которые работают в данной области, так и свои сотрудники^[4]. На данном этапе работ определяются все информационные ресурсы компьютерной информационной системы, которые подлежат защите, потенциальные угрозы безопасности, создается неформальная модель нарушителя системы защиты.

Вторым этапом создания системы защиты является выбор оптимального состава средств и методов защиты.

Этап проектирования системы защиты предполагает создание оптимальных механизмов обеспечения защиты информации и механизмов управления ими для заданной компьютерной информационной системы^[5]. Осуществляется проектирование в разных условиях, на которые оказывают определяющее влияние следующие параметры: состояние компьютерной информационной системы, для которой разрабатывается система защиты, и уровень расходов на защиту.

Для первого параметра отмечается три состояния системы: система функционирует, есть готовый проект, система проектируется. Расходы на защиту ограничены могут быть определенным уровнем, либо определяться в процессе проектирования системы защиты и потому с точки зрения проектирования будут неограниченными.

Оптимальным вариантом разработки системы защиты является параллельное проектирование системы защиты с проектированием компьютерной информационной системы, начиная с момента выработки общего решения построения системы управления и обработки данных. Невыполнение данного принципа, «наложение» системы защиты на готовую компьютерную информационную систему может привести к низкой эффективности защиты, понижению быстродействия и производительности средств вычислительной техники, росту затрат.

Проектирование системы защиты осуществляется с учетом анализа сведений, которые получены в результате исследования угроз безопасности, средств и методов защиты, конфигурации технических средств и технологии обработки информации в компьютерной информационной системе.

Результатом проектирования системы защиты является техническое решение - документ, который содержит:

• требования к системе защиты;
• цели, задачи, функции защиты;
• перечень возможных угроз безопасности;
• правила обработки информации, которые обеспечивают ее защиту от различных угроз;
• перечень защищаемых компонентов компьютерной информационной системы.

Система защиты компьютерной информационной системы организации в общем виде представляется графически в виде соответствующей модели, которая структурно состоит из средств защиты, размещаемых в соответствии с рубежами защиты, и управления, выполняемым службой защиты информации.

Реализация и сопровождение являются заключительными этапами построения системы защиты. На этапе реализации производится настройка средств защиты, которые необходимы для реализации функций, закрепленных в техническом решении. На практике применяются два способа реализации механизмов защиты: встроенная и добавленная ^[6].

При встроенной защите ее механизмы являются неотъемлемой частью системы, которая разработана и реализована с учетом определенных требований безопасности. При этом средства защиты составляют единый механизм, который отвечает за обеспечение защиты. Во втором случае защита информации при хранении, передаче, обработке обеспечивается дополнительными средствами, которые не входят в состав самой компьютерной информационной системы.

Добавленная защита более гибкая, по мере необходимости ее механизмы можно удалять или добавлять. Встроенная защита имеет жестко фиксированный набор функций, которые трудно расширить или удалить. Как правило, используется на практике комбинация данных вариантов.

Настройка средств защиты проводится при реализации системы защиты информации. Осуществляется реализация в соответствии с планом внедрения, утверждаемый руководителем организации и содержащий сведения об ответственных лицах и сроках внедрения. Планирование связано не только с наилучшим использованием всех возможностей, располагаемые организацией, в том числе выделенных ресурсов, но и с предотвращением ошибочных действий, которые могут привести к понижению эффективности системы защиты информации^[7].

Этап сопровождения заключается:

• в контроле применения средств защиты в процессе обработки информации;
• в сборе, организации и обработке баз данных, которые относятся к защите;
• в регистрации происходящих событий;
• в непрерывном распознавании ситуаций относительно защищенности системы;
• в принятии решений на оперативное вмешательство в функционирование системы защиты;
• в анализе защищенности системы;
• в реализации принятых решений;
• в разработке предложений по корректировке системы;
• в разработке организационно-распорядительных и методических документов, которые относятся к функционированию системы защиты.

Под защитой информации в общем виде понимают соединение в единое целое отдельных элементов, процессов, механизмов, мероприятий, явлений, мер и программ их взаимосвязей, которые способствуют реализации целей защиты и обеспечению структурного построения системы защиты^[8].

Таким образом, система защиты информации создается непосредственно для организации, компании, исходя из ее специфики и предъявляемых требований по обеспечению информационной безопасности. Следовательно, организация обязана предпринимать в дальнейшем меры по развитию менеджмента информационной безопасности.

В различных странах современное понятие защиты информации находится в центре внимания исследователей уже несколько десятков лет и ассоциируется, как правило, с проблемами создания систем защиты информации на разных уровнях ее использования, поэтому в следующем параграфе рассмотрим общую структуру системы защиты информации.

1.2 структура системы защиты информации

Несмотря на то, что имеется еще большое количество спорных и неразрешенных вопросов в теории информационной безопасности, в настоящее время сложилась типовая структура системы защиты информации, которая используется большинством развитых стран мира.

Структурно-типовая система защиты информации (приложение) представляет собой совокупность отдельных взаимосвязанных элементов, которая реализуют следующие ее виды:

1) правовая защита информации – защита информации, которая базируется на применении законов и статей конституции государства, положений уголовного и гражданского кодексов и иных нормативно-правовых документов в области информационных отношений, информатики и защиты информации. Правовая защита информации регламентирует права и обязанности субъектов информационных отношений, правовой статус органов, способов и технических средств защиты информации и является основой для морально-этических норм в области защиты информации.