1.3. Исследование состава комплексных систем защиты
информации как вида организационно-технических систем
1.3.1.Система защиты информации и общеметодологические принципы ее построения
комплексная система защиты информации - это система, в которой действуют в единой совокупности правовые, организационные, технические, программно – аппаратные и другие нормы, методы, способы и средства, обеспечивающие защиту информации от всех потенциально возможных и выявленных угроз и каналов утечки. Элементы КСЗИ, в свою очередь, в общем виде, состоят из средств, устройств и способов защиты информации, а также методов их использования [3].
Понятие защиты информации в настоящее время ассоциируется, как правило, с проблемами обеспечения информационной безопасности в информационных системах (ИС).
Комплексная система защиты информации (КСЗИ) в самом общем виде может быть определена как организованная совокупность всех средств, методов и мероприятий, выделяемых в ИС для решения в ней выбранных задач защиты. Задачи же защиты информации решаются с целью нейтрализации дестабилизирующего воздействия причин нарушения целостности информации при обеспечении физической целостности информации или с целью перекрытия каналов несанкционированного получения информации — при защите от несанкционированного получения информации. В соответствии с основной целью данной монографии главное внимание в ней будет уделяться второму виду защиты, т.е. предупреждению несанкционированного получения информации [3].
Введением
понятия КСЗИ постулируется тот факт,
что все ресурсы, выделяемые для защиты
информации, должны объединяться 
в
единую целостную систему, которая
является функционально самостоятельной
подсистемой ИС.
Важнейшее концептуальное требование к КСЗИ - требование адаптируемости, т.е. способности к целенаправленному приспособлению при изменении структуры, технологических схем или условий функционирования ИС. Важность требования адаптируемости обусловливается, с одной стороны, тем, что перечисленные факторы, относящиеся к ИС, могут существенно изменяться, а с другой — тем, что процессы защиты информации относятся к слабоструктурированным, т.е. содержащим высокий уровень неопределенности. Управление же слабоструктурированными процессами может быть эффективным лишь при условии адаптируемости системы управления.
Помимо общего концептуального требования, к КСЗИ предъявляется еще целый ряд более конкретных, целевых требований, которые могут быть разделены на функциональные, эргономические, экономические, технические и организационные. В совокупности эти требования образуют систему, структура и содержание которой показаны на рис.6 [20].
В процессе развития работ по защите информации как у нас в стране, так и за рубежом, наряду с конкретными разработками конкретных вопросов защиты, формировались общеметодологические принципы (общие положения) построения и функционирования КСЗИ. Соблюдение требований таких принципов в общем случае способствует повышению эффективности зашиты. В условиях же системно-концептуального подхода к защите надо не просто руководствоваться теми или иными общими положениями — нужна стройная и возможно более полная система общеметодологических принципов.
Сформированная к настоящему времени система включает следующий перечень общеметодологических принципов: концептуальное единство; адекватность требованиям; гибкость (адаптируемость); функциональная самостоятельность; удобство использования; минимизация предоставляемых прав; полнота контроля; адекватность реагирования; экономичность.
Концептуальное единство означает, что архитектура, технология, организация и обеспечение функционирования как КСЗИ в целом, так и составных ее компонентов должны рассматриваться и реализовываться в строгом соответствии с основными положениями единой концепции защиты информации.
Адекватность требованиям означает, что КСЗИ должна строиться в строгом соответствии с требованиями к защите, которые, в свою очередь, определяются категорией соответствующего объекта и значениями параметров, влияющих на защиту информации.
Гибкость или адаптируемость системы защиты означает такое построение и такую организацию ее функционирования, при которых функции защиты осуществлялись бы достаточно эффективно при изменении в некотором диапазоне структуры ИС, технологических схем или условий функционирования каких-либо ее компонентов.
Рис.6. Система требований к системе защиты информации в ИС
Функциональная самостоятельность предполагает, что КСЗИ должна быть самостоятельной обеспечивающей подсистемой ОТС и при осуществлении функций защиты не зависеть от других подсистем. Удобство использования означает, что КСЗИ не должна создавать дополнительных неудобств для пользователей и персонала ОТС [15].
Минимизация предоставляемых прав означает, что каждому пользователю и каждому лицу из состава персонала ОТС должны предоставляться лишь те полномочия, на доступ к ресурсам ОТС и находящейся на ней информации, которые ему действительно необходимы для выполнения своих функций в процессе автоматизированной обработки информации. При этом предоставляемые права должны быть определены и установленным порядком утверждены заблаговременно.
Полнота контроля предполагает, что все процедуры автоматизированной обработки защищаемой информации должны контролироваться системой защиты в полном объеме, причем основные результаты контроля должны фиксироваться в специальных регистрационных журналах.
Активность реагирования означает, что СЗИ должна реагировать на любые попытки несанкционированных действий. Характер реагирования может быть различным и включать просьбу повторить действие; задержку в выполнении запросов; отключение структурного элемента, с которого осуществлено несанкционированное действие; исключение нарушителя из числа зарегистрированных пользователей; подача специального сигнала и некоторых др.
Экономичность СЗИ означает, что при условии соблюдения основных требований всех предыдущих принципов расходы на СЗИ должны быть минимальными.