Характеристики и принципы защиты информации
.pdfЛЕКЦИЯ№2
2.1 Качественные характеристики проблемы защиты
Принцип неопределенности.
Данный принцип обусловлен в целом наличием «человеческого фактора», так как неясно: кто, когда, где и каким образом может нарушить безопасность объекта защиты.
Принцип невозможности создания идеальной СЗ - следует из принципа неопределенности и ограниченности ресурсов СЗ.
Принцип минимального риска.
Практически невозможно создать идеальную СЗ, так как ее создание всегда ограничено средствами. Поэтому необходимо выбирать ту или иную степень риска, исходя из особенностей угроз безопасности и конкретных условий существования объекта защиты для любого момента времени.
Принцип минимального ущерба.
Данный принцип является вполне естественным и логическим развитием принципа невозможности создания идеальной СЗ и принципа риска.
Принцип безопасного времени.
Данный принцип является следствием принципа риска и предполагает учет двух факторов времени: абсолютного времени, в течении которого необходимо сохранение безопасности объектов защиты или коммерческой тайны; относительного времени, т.е. промежутка времени от момента выявления злоумышленных действий СЗ к достижению ЗЛ своей цели. Из этого следует, что более эффективна будет та СЗ, которая обеспечивает наиболее раннее оповещение о злоумышленных действиях.
Принцип «Защита всех от всех».
Логически понятный принцип, предполагающий всеобщность защитных мероприятий против всех форм угроз объектам защиты, что является следствием неопределенности процесса защиты.
2.2. Организационные принципы
Принцип законности.
Важность этого принципа трудно переоценить, хотя обеспечить скрупулезное следование ему в наше время очень непросто через несовершенство законодательства, которое не успевает соответствующим образом корректировать механизм правового регулирования происходящих в стране динамических процессов, связанных с коренным реформированием народного хозяйства.
В связи с возникновением новых правоотношений в нашем законодательстве наряду с хорошо знакомыми объектами права, такими как «государственная собственность», «государственная тайна», появились новые - «частная собственность», «собственность предприятия», «интеллектуальная собственность», «коммерческая тайна», «конфиденциальная информация», «информация с ограниченным доступом» и др.. К сожалению, пока в нашей научной правовой литературе отсутствуют развернутые определения этих новых понятий, комментарии относительно санкций за связанные с ними правонарушения. Лишь постепенно находят законодательное закрепление нормы, которые регулируют данную область правоотношения, к примеру, правовая основа для организации эффективной защиты коммерческой тайны предприятий еще недостаточно разработана.
Принцип персональной ответственности.
Согласно этому принципу каждый сотрудник предприятия, фирмы или их клиент несет персональную ответственность за сохранение режима безопасности в рамках своих полномочий или соответствующих инструкций. Ответственность за нарушение режима безопасности должна быть заранее конкретизированна и персонифицированна. При этом СЗ должна строиться таким образом, чтобы при любому ее нарушении был четко известен или минимизирован круг лиц, которые могут быть виновными. Это не только облегчает расследование ЧП, но и служит эффективным средством добросовестного выполнения
служебных обязанностей и удержание потенциальных ЗЛ от несанкционированных действий.
Принцип ограничения полномочий.
Данный принцип одновременно относиться как к персоналу, так и к средствам защиты и обработки информации. При этом он включает в себя и проблему доступа.
Вероятность нарушения коммерческой тайны или нормального функционирования предприятия прямо пропорциональная количеству осведомленных лиц, знающих это. Никому не следует знакомиться с конфиденциальной информацией, если это не требуется для выполнения его служебных обязанностей. Важно при этом включать в круг допускаемых к той или иной информации и лиц, которые могут с большой степенью вероятности узнать ее случайным образом при выполнении своих служебных функций. Непонимание этого может привести к разглашению по недоразумению, через лишние разговоры на эту тему, разного рода предположений и догадок, которые чаще всего оказываются близкими к истине, со стороны лиц, официально непосвященных в секреты и, следовательно, не обязанных держать их в тайне. Вполне естественно, что данный принцип относиться как к отдельным элементам СЗ, так и СЗ в целом.
Второй составляющей этого принципа является необходимость запрета физического доступа к особо уязвимым зонам для лиц, пребывание которых там не требуется по роду деятельности.
Третья составляющая определяет минимизацию любых средств, с помощью которых выполняются функциональные обязанности персонала и действия клиентов. Например, при обработке информации в ПЭВМ необходимо иметь минимальный состав ПО, обеспечивающий функциональную деятельность сотрудника. В противном случае появляются дополнительные возможности для несанкционированных действий
Принцип взаимодействия и сотрудничества.
Действие данного принципа направлено на создание благоприятной внутренней и внешней атмосферы безопасности. Внутренняя атмосфера безопасности достигается доверительными отношениями между сотрудниками СБ и персоналом, вспомогательными мерами и стимулированием, в том числе и материальным. При этом добиваются того, чтобы персонал предприятия правильно понимал необходимость в своих собственных интересах оказывать содействие СБ. Нельзя допускать, чтобы действующая на предприятии система безопасности воспринималась служащими как инструмент слежения за персоналом со стороны руководства предприятия. В атмосфере доверия ЗЛ сложнее преодолеть СЗ и привлечь как соучастников лиц из числа персонала.
Внешняя атмосфера заключается в необходимости отладки сотрудничества со всеми заинтересованными организациями и лицами. Прежде всего это касается установления рабочих контактов с местными органами власти, близлежащими подразделениями милиции, пожарной охраны и другими контролирующими и специализированными службами (котлонадзора, энерговодоснабжения и т.п.), а также с представителями СБ соседних предприятий и фирм. Практически невозможно и экономически обременительно, например, обеспечивать эффективную безопасность без такого сотрудничества, если предприятие арендует с другими фирмами помещения в одном здании.
С течением времени и у нас, как это имеет место на Западе, будет возрастать значение взаимодействия со страховыми компаниями, которые профессионально заинтересованы в поддержке и контроле состояния разных систем безопасности.
Важно также найти приемлемые формы взаимодействия с окружающими жителями близлежащего квартала, населенного пункта, может быть, в форме поддержки местного клуба молодежи, пенсионеров (при создании благоприятной атмосферы во взаимоотношениях с этой категорией лиц лучших добровольных помощников в части отслеживания обстановки вокруг предприятия найти невозможно), обнародование номеров телефонов охраны, по которым доброжелатели могли бы сообщать о моментах, которые настораживают, и т.п.
2.3. Принципы реализации системы защиты
Принцип комплексности и индивидуальности
ЗЛ может воздействовать на объект защиты (нарушить его безопасность) различными способами и методами. Следовательно, безопасность объекта защиты не обеспечивается каким-либо одним мероприятием, а лишь совокупностью комплексных, взаимосвязанных и дублирующих друг друга мероприятий и реализуемых с индивидуальной привязкой к конкретным условиям.
Принцип последовательных рубежей безопасности
Данный принцип предполагает своевременное выявление угрозы безопасности. Это означает, в частности, как можно более раннее оповещение о состоявшемся
посягательстве на безопасность |
того |
или иного объекта защиты или ином |
неблагоприятном происшествии |
с тем, |
чтобы увеличить вероятность того, что |
заблаговременный сигнал тревоги средств СЗ обеспечит сотрудникам СБ возможность своевременно определить причину тревоги и организовать эффективные мероприятия. При невыполнении этого принципа квалифицированному ЗЛ может быть представленно достаточно времени, чтобы преодолеть все, даже наиболее сложные рубежи безопасности, т.е. уменьшение безопасного времени. Из этого принципа следует, что чем ближе к цели преступных посягательств, тем более надежными должны быть рубежи безопасности.
Принцип равнопрочности и равномощности рубежной защиты
Необходимость равнопрочности рубежей защиты можно показать на примере. Если, например, по периметру здания некоторые окна не будут оборудованы защитной металлической решеткой, то прочность и надежность остальных решеток не имеет значения - этот рубеж защиты окажется быстро и легко преодолимый через незащищенные решеткой окна. Поэтому рубежи защиты не должны иметь незащищенных участков.
Равномощность рубежей защиты предполагает относительно одинаковую величину защищенности рубежей защиты в соответствии со степенью угроз объекту защиты, которая означает реализацию более мощной защиты там, где есть большая угроза и менее мощная защита в противном случае. Кроме того, равномощность предполагает наиболее эффективное распределение ресурсов СЗ по рубежам защиты.
Принцип адекватности и эффективности
Оценка возможных угроз материальным, имущественным и другим ресурсам предприятия требует усилий высококвалифицированных специалистов и зависит от
множества |
факторов. |
Объем |
принятых мер |
безопасности |
должен отвечать |
существующим угрозам, в противном случае СЗ будет экономически неэффективна. |
|||||
Не следует злоупотреблять излишними мерами |
безопасности. Это будет утомлять и |
||||
раздражать |
персонал, |
что может |
скомпрометировать самую идею |
о необходимости |
|
поддержания безопасности на должном уровне и, как следствие, сделать работу СБ неэффективной. Кроме того, они лишь демаскируют объект защиты и провоцируют проявление злоумышленных действий.
СЗ должна быть организована эффективно, т.е. уровень защиты должен соответствовать принятому в техническом задании и соответствовать принятым нормативным документам, национальным и международным стандартам.
Принцип секретности
Данный принцип очевиден.
Принцип адаптивности.
СЗ должна быть гибкой, допускающей без коренной ломки развитие своей функциональной структуры.
Принцип экономичности
Защита должна строиться по критерию «Эффективность - стоимость», т.е. при заданной и достигаемой эффективности, следует применять максимально дешевые средства и мероприятия защиты.
Принцип глобальности контроля
Этот принцип следует непосредственно из принципа неопределенности и означает создание в СЗ методов безусловной системы контроля любого объекта защиты и средств защиты для любого момента времени.
Принцип регистрации
Он необходим для анализа работы пользователей. Отметим только, что регистрация должна проводиться на всех рубежах защиты как при санкционированных, так и несанкционированных действиях.
Принцип защиты средств обеспечения защиты
Данный принцип является логическим следствием принципов: «защита всех от всех», комплексного и индивидуального подхода и глобальности контроля. Иначе говоря, любое защитное мероприятие или средство должно в свою очередь быть обеспечено защитой.
Иллюстрацией следования этому принципу является наличие средств защиты от попыток внесения несанкционированных изменений в программное обеспечение, реализующее, в свою очередь, какую-либо защитную функцию в информационных системах, например, разграничение доступа.
Другим примером является устройство охранительной сигнализация, функционально поддерживающее рубеж безопасности и, в свою очередь, защищаемое каким-либо специальным средством ( например маскирующим).
Практические рекомендации
1.Регулярно читать специальную и периодическую литературу по проблеме безопасности и ЗИ, а полученные сведения об угрозах, средствах защиты, т.п. «трансформировать» на свои объекты защиты.
2.Совершенствовать СЗ и СЗИ согласно новейшим достижениям науки и
техники.
3. При создании или проверке существующих СЗ их необходимо рассматривать с точки зрения предложенных принципов, так как при детальном анализе СЗ можно проявить нештатные ситуации, которыми может воспользоваться ЗЛ.
4.Изложенные принципы применимы для создания разных концепций защиты объектов, начиная от пожарно-охранной безопасности и заканчивая СЗИ.
5.При проектировании или усовершенствовании существующих СЗ для их объективной оценки следует привлекать сторонние организации, которые имеют лицензии на соответствующие виды деятельности.
6.Данные принципы оказывают существенную помощь в процессе контроля защищенности объектов при условии их детализации применительно к конкретным условиям.
7.Проводить регулярный и комплексный контроль всех мероприятий по обеспечению безопасности и ЗИ.
8.Подготовить и проводить в жизнь мероприятия по «защите персонала».
9.Составить подробный перечень возможных угроз для каждой технологии работы с объектами защиты.
10.Определить перечень внештатных ситуаций и меры по их ликвидации.
11.Готовить персонал к регламентированным действиям во внештатных ситуациях.
12. |
Проводить регистрацию и анализ текущей |
деятельности с целью |
|
определения возможных угроз и внештатных ситуаций. |
|
13.Выпустить специальные памятки для всех сотрудников предприятия и организации.
14.Проводить разъяснительную работу и учебу с персоналом, используя разные средства ( тренинг, инструктаж, наглядная агитация, профилактические проверки и т.д.).
15.Планировать и вести обучение, а также специальные проверки персонала по всем вопросам безопасности и ЗИ.
16.Проведение работ по обеспечению безопасности необходимо выполнять согласно действующей в стране нормативно-правовой системе.