ВИДЫ И ИСТОЧНИКИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РАЗЛИЧНЫХ СФЕРАХ ДЕЯТЕЛЬНОСТИ. МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ В РАЗЛИЧНЫХ СФЕРАХ. ФУНКЦИИ И СТРУКТУРА ГОСУДАРСТВЕННОЙ СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ЗАЩИТА ГОСУДАРСТВЕННОЙ ТАЙНЫ
1. Основные положения теории защиты информации

В начале 90-х годов группой ВУЗов были проведены исследования по проблеме безопасности информации. По их результатам сформулированы основные теоретические положения, отражающие принципиальные подходы в решении вопросов защиты информации:

• 
  защита информации (ЗИ) в современных системах ее обработки должна быть комплексной как по целям защиты, так и по используемым средствам;
  
• 
  организация защиты должна осуществляться в соответствии с четкой стратегической установкой;
  
• 
  ЗИ в любой обстановке, в любых условиях должна строиться на основе единого концептуально-методологического базиса, причем в этом базисе должен содержаться механизм, гарантирующий достижение необходимого уровня защиты;
  
• 
  концептуально-методологический базис должен обеспечивать наличие методологии и порядок применения инструментальных средств по достижению требуемого уровня защищенности, рациональным путем и на регулярной основе;
  
• 
  ЗИ в рамках единого концептуально-методологического базиса может быть эффективной лишь при высоком уровне организации и достаточной обеспеченности всех работ;
  
• 
  дальнейшее развитие и совершенствование концептуально-методологического базиса ЗИ требует адаптации и использования научно-технических результатов, накопленных за последние десятилетия в ходе исследований работы сложных систем.
  

Раскроем кратко сущность некоторых положений.

Комплексный подходк решению задач защиты. Комплексность, вообще говоря, понимается, как решение в рамках единой концепции двух или более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или и то и другое вместе взятое (всеобщая комплексность). Очевидно, что применительно к проблеме ЗИ речь должна идти о всеобщей комплексности, что обусловлено устойчивыми тенденциями развития систем и процессов обработки информации.

---

К таким тенденциям развития систем и процессов обработки информации в организациях следует отнести:

• 
  насыщение органов управления средствами автоматизации, в том числе персональными компьютерами;
  
• 
  все более интенсивное сращивание традиционных и автоматизированных технологий обработки информации (обычного и электронного документооборота);
  
• 
  доступность информационных ресурсов предприятий для пользователей (персонал, партнеры, взаимодействующие лица и компании), не являющихся профессионалами в области обработки и защиты информации, а поэтому не владеющими в должной мере всеми необходимыми знаниями и навыками правильного и рационального использования ресурсов;
  
• 
  объединение средств вычислительной техники в локальные и территориальные распределительные сети, при возможности стыковки с военными информационными системами;
  

Целевая комплексность предполагает скоординированное по времени проведение работ по обеспечению физической целостности информации (предупреждение уничтожения или искажения), логической целостности (предупреждение разрушения или искажения логических структур данных), предупреждению несанкционированной модификации информации, несанкционированного копирования информации, несанкционированного получения информации противником. Инструментальная комплексность предполагает одновременное и скоординированное привлечение для решения задач защиты нескольких служб, структурных подразделений, их сил и средств.

Решение задач защиты в соответствии с четкойстратегической установкой.

Стратегия защиты должна строится с учетом потребностей в защите данных (перечня защищаемых сведений), структурно-организационного построения информационной системы организации, уровня организации технологических схем обработки защищаемой информации, мест и условий расположения компонентов информационной системы (мест и условий хранения, обработки, использования носителей информации, координат размещения и условий работы информационных коммуникаций) и некоторых других параметров. Стратегия защиты должна обеспечивать заданное распределение защитных ресурсов, по объектам защиты (по группам носителей информации и информационным коммуникациям). Размер ресурсов на защиту информации может быть ограничен определенным пределом, либо определяться условием достижения выбранного уровня защиты. 

---

В первом случае задача решается так, чтобы при выделенных ресурсах обеспечивался максимально возможный .уровень защиты. Во втором случае, - чтобы требуемый уровень защиты обеспечивался при минимальном расходовании ресурсов.

Отметим, что существуют сложности с определением формального критерия защищенности данных (уровня защиты). Основная причина этого заключается в том, что процессы ЗИ зависят от большого числа случайных и трудно предсказуемых факторов. Это предполагает разработку указанного критерия по вероятностной схеме. Набор стратегий по защите информации, в сочетании с вероятностными оценками и позволяет преодолеть указанную сложность. Количество различных стратегий должно быть небольшим, но и в то же время достаточно полно отображать гамму потенциально возможных ситуаций.

Концептуально методологический базис системной деятельности по защите информации содержит: показатели уязвимости (защищенности) информации и методику их определения, набор требований к защите и методику их разработки, классифицированный перечень дестабилизирующих факторов (факторов, снижающих защищенность информации), классифицированный перечень функции, задач; средств защиты информации; модель системы защиты.

Как было сказано ранее, в базисе должен присутствовать модель, обеспечивающая определение уровня защиты данных. Для этих целей вводится понятие функции защиты. Функция защиты - есть однородная в функциональном отношении совокупность мероприятий, осуществляемых имеющимися методами и средствами в интересах обеспечения необходимой защищенности информации. В качестве критерия принимается определенное значение вероятности исполнения стандартизированных функций защиты. На рисунке 1 изображена модель реализации функций защиты информации от утечки. По данной модели рассмотрено четыре функции: Ф.1 – предупреждение условий порождающих дестабилизирующие факторы (ДФ), Ф.2 – предупреждение проявлений ДФ, Ф.3 – обнаружение проявившихся ДФ; Ф.4 – ликвидация (устранение) ДФ.

Модель предполагает пять исходов (итоговых событий) по защите информации, зависимых от качества реализации перечисленных функций. Каждый из исходов является случайным событием, а все они вместе представляют полную группу несовместных событий

( 1)

где Рm_i 

---

– вероятность i-го исхода.

Функции обеспечения ЗИ					Итоговые события
Ф.1	Ф.2	Ф.3	Ф.4	1. ЗИ обеспечена		2. ЗИ нарушена
« Нет»	«Нет»	«Да» «Да» «Да» «Нет»	«Да» «Нет»

---

Рис. 1. Модель реализации функций защиты информации от утечки
Часть их этих сходов положительна, с точки зрения защиты информации - 1-3 (защита обеспечена), и остаток исходов – отрицательный (защита нарушена). Сумму вероятностей положительных исходов принято считать вероятностью защиты информации Р_з .Защита информации заключается в создании условий для наступления благоприятных итоговых событий 1 - 3. Тогда мероприятия, осуществляемые в этих целях, и будут раскрывать содержание функций защиты. Так как, итоговые события 1-3 зависят от вероятности исполнения каждой функции, запишем вероятностное пояснение к модели

P₁=P₁^(ф);

P₂=(1-P₁^(ф))Р₂^(ф);

Р₃=(1-Р₁^(ф))(1-Р₂^(ф))Р₃^(ф)Р₄^(ф); (2)

где Р₁,Р₂,Р₃ – вероятности наступления положительного события –«защита обеспечена»;

Р₁^(ф),Р₂^(ф),Р₃^(ф),Р₄^(ф) – вероятности реализации перечисленных стандартизированных функций защиты, поддерживаемых в свою очередь полнотой соответствующих мероприятий.

Рассмотрим общее содержание функций

• 
  Функция № 1 - предупреждение условий, порождающих ДФ, Главной целью данной функции является достижение такого построения архитектуры информационной системы, технологических схем обработки информации и их обеспечения, чтобы свести к минимуму саму возможность появления ДФ, во всех возможных условиях функционирования системы. Иными словами - преследуется упреждающая цель.
  
• 
  Функция № 2 - предупреждение проявления ДФ в конкретных условиях функционирования информационной системы. Исполнение функции также преследуется цель превентивной локализации, но уже в конкретных условиях работы информационной системы. Функция № 2 является детализацией функции № 1.
  
• 
  Функция № 3 – обнаружение, проявившихся ДФ. Предполагает осуществление таких мероприятий, в результате которых проявившиеся ДФ (или угроза их проявления) будут обнаружены еще до того, как они окажут воздействие на защищаемую информацию. Другими словами функция № 3 - это функция слежения за ДФ, функция мониторинга информационной системы и процесса защиты.
  
• 
  Функция № 4 – устранение проявившихся и обнаруженных ДФ. Применительно к утечке информации ДФ в наиболее деструктивном виде проявляются как канал утечки информации. Данная функция содержит комплекс мероприятий по закрытию, выявленных при исполнении функции № 3, каналов утечки.
  

---

Смотрите также файлы

• Отчет по лабораторной работе 1 по дисциплине Промышленные роботы.docx

• Образование сравнительной степени прилагательных в английском языке.docx

• Рекомендованная литература финансы Текст учебник для бакалавров учебник для студентов вузов, обучающихся по экономическим специальностям А. Я. Барабаш, М. В. Романовский, О. В. Врублевская и др..docx

• Урок познания мира. Класс 1 Тема Семена и плоды.docx

• Практическая работа 5 Обоснование выбора средств проектирования информационной системы.docx