Учитывая активность, непрерывность, скрытность разведки, большое количество потенциальных источников информации в организациях, многообразие побочных полей и электрических сигналов, возникающих при обработке, хранении и передаче информации и способных уносить ее за пределы объекта защиты, проблема защиты информации относится к числу сложных, так называемых слабоформализуемых проблем. Эти проблемы не имеют, как правило, формальных методов решения.

В общем случае рассматриваемые проблемы и задачи характеризуются большим количеством и многообразием факторов, влияющих на результат решения, причем это влияние часто не удается однозначно выявить и строго описать. К ним, в первую очередь, относятся задачи, результаты решения которых зависят от людей. Только в отдельных простейших случаях удается однозначно и формально описать реакции человека на внешние воздействия.

Человечеством накоплен достаточно большой опыт по решению слабоформализуемых проблем, который оформлен как системный подход к решению слабоформализуемых проблем и системный анализ объектов исследования.

Системный подход _ это концепция решения сложных слабоформализуемых проблем, рассматривающая объект изучения (исследования) или проектирования в виде системы.

Основные принципы системного подхода состоят в следующем:

- любая система является подсистемой более сложной системы, которая влияет на структуру и функционирование рассматриваемой;

- любая система имеет иерархическую структуру, элементами и связями которой нельзя пренебрегать без достаточных оснований;

- при анализе системы необходим учет внешних и внутренних влияющих факторов. Принятие решений на основе их небольшого числа без рассмотрения остальных может привести к нереальным результатам;

- накопление и объединение свойств элементов системы приводит к появлению качественно новых свойств, отсутствующих у ее элементов.

Эффективность реализации системного подхода на практике зависит от умения специалиста выявлять и объективно анализировать все многообразие факторов и связей достаточно сложного объекта исследования, каким является, например, организация как объект защиты. Необходимым условием такого умения является наличие у специалиста так называемого системного мышления, формируемого в результате соответствующего обучения и практики решения слабоформализуемых проблем.

Системный анализ предусматривает применение комплекса методов, методик и процедур, позволяющих выработать количественные рекомендации по решению любых, прежде всего, слабоформализуемых проблем. Математической основой для системного анализа является аппарат исследования операций.

С позиции системного подхода совокупность взаимосвязанных элементов, функционирование которых направлено на обеспечение безопасности информации, образует систему защиты информации . Такими элементами являются люди (руководство и сотрудники организации, прежде всего, службы безопасности), инженерные конструкции и технические средства, обеспечивающие защиту информации.

Система задается (описывается) следующими параметрами (характеристиками):

- целями и задачами (конкретизированными во времени и пространстве целями);

- входами и выходами системы;

- ограничениями, которые необходимо учитывать при построении (модернизации, оптимизации) системы;

- процессами внутри системы, обеспечивающими преобразование входов в выходы.

Решение проблем защиты информации с точки зрения системного подхода можно сформулировать как трансформацию существующей системы в требуемую.

Целями системы защиты являются обеспечение требуемых уровней безопасности информации на фирме, в организации, на предприятии (в общем случае _ на объекте защиты). Задачи конкретизируют цели применительно к видам и категориям защищаемой информации, а также элементам объекта защиты и отвечают на вопрос, что надо сделать для достижения целей. Кроме того, уровень защиты нельзя рассматривать в качестве абсолютной меры, безотносительно от ущерба, который может возникнуть от потери информации и использования ее злоумышленником во вред владельцу информации.

Ограничения системы представляют собой выделяемые на защиту информации людские, материальные, финансовые ресурсы, а также ограничения в виде требований к системе. Суммарные ресурсы удобно выражать в денежном эквиваленте. Независимо от выделяемых на защиту информации ресурсов они не должны превышать суммарной цены защищаемой информации. Это верхний порог ресурсов.

Ограничения в виде требований к системе предусматривают принятие таких мер по защите информации, которые не снижают эффективность функционирования системы при их выполнении. Например, можно настолько ужесточить организационные меры управления доступом к источникам информации, что наряду со снижением возможности ее хищения или утечки ухудшатся условия выполнения сотрудниками своих функциональных обязанностей.

Входами системы инженерно-технической защиты являются:

- воздействия злоумышленников при физическом проникновении к источникам конфиденциальной информации с целью ее хищения, изменения или уничтожения;

- различные физические поля, электрические сигналы, создаваемые техническими средствами злоумышленников и воздействующие на средства обработки и хранения информации;

- стихийные силы, прежде всего, пожары, приводящие к уничтожению или изменению информации;

- физические поля и электрические сигналы с информацией, передаваемой по функциональным каналам связи;

- побочные электромагнитные и акустические поля, а также электрические сигналы, возникающие в процессе деятельности объектов защиты и несущие конфиденциальную информацию.

Выходами системы защиты являются меры по защите информации, соответствующие входным воздействиям.

Алгоритм процесса преобразования входных воздействий (угроз) в меры защиты определяет вариант системы защиты. Вариантов, удовлетворяющих целям и задачам, может быть много. Сравнение вариантов производится по количественной мере, называемой критерием эффективности системы. Критерий может быть в виде одного показателя, учитывающего основные характеристики системы, или представлять собой набор частных показателей.

• Назад