ОЦЕНКА ЭФФЕКТИВНОСТИ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ

В настоящее время, защита информации приобретает всё более и более важную роль в деятельности любой организации. Количество средств по несанкционированному добыванию конфиденциальной информации и их вариативность постоянно растёт. В таких условиях необходимо наличие комплексного подхода к обеспечению защиты информации, охватывающему все возможные способы осуществления неправомерных действий. Ведь задача обеспечения защиты информации относится к слабоформализуемым задачам, то есть задачам с большим количеством факторов, влияющих на эффективность их решения. «Получение рациональных (удовлетворяющих поставленным требованиям) результатов при решении слабоформализуемых задач достигается на основе системного подхода» [3, c. 42].

К сожалению, на данный момент не существует достойных средств, которые бы помогали организовывать и контролировать процесс обеспечения комплексной защиты информации на объекте по всем фронтам. Все они являются узкоспециализированными и направлены на противодействие конкретным угрозам.

Ниже представлено описание метода, главной целью которого, является обеспечение именно комплексного подхода к обеспечению защиты информации, объединяя в единую систему множество различных средств защиты, в том числе программных и технических. Данный метод имеет скорее организационный характер, и призван облегчить процесс организации и контроля над установленным уровнем защиты информации.

Суть метода заключается в следующем. Существует некоторая организованная система информационной безопасности (СИБ). Она по своей структуре априори является сложной, со многими уровнями и связями. Поэтому, первым делом, для более детальной и точной оценки требуется классифицировать все средства и методы, используемые в рамках данной СИБ. Данный подход, помимо всего прочего, упрощает понимание структуры и позволяет учесть все детали в рамках единого целого.

В рассматриваемом методе предлагается многоуровневая классификация типа «дерево». В первую очередь, деление происходит по основным направлениям обеспечения защиты информации. К ним относятся следующие элементы: организационно-правовая защита информации, инженерно-техническая защита информации, программно-аппаратная защита информации и криптографическая защита информации.

Затем, после деления комплексной СИБ на большие кластеры-направления, каждый элемент рассматривается в отдельности. Таким образом, мы добиваемся того, что каждое отдельное средство получает своё место в иерархии СИБ. Рассмотрим каждое направление более детально.

Основной частью комплексной СИБ является организационно-правовой элемент. «Организационная защита информации по своей сути является организационным началом, так называемым "ядром" в общей системе защиты конфиденциальной информации предприятия. От полноты и качества решения руководством предприятия организационных задач зависит эффективность решения проблем в данной области в целом» [2, с. 35].

Не смотря на присутствие в настоящее время на любом объекте различных технических средств охраны, компьютеров, обрабатывающих конфиденциальную информацию, и других важнейших компонентов, представляющих собою уязвимость, самым главным компонентом любой подобной системы является человек. Он же является и самой главной уязвимостью всей системы. Именно он управляет всеми техническими и программными средствами, а поэтому от его компетенции, добросовестности и дисциплины зависит очень многое.

Организационно-правовой элемент, в свою очередь, регламентирует деятельность всех сотрудников предприятия с целью ликвидации возможных ошибок и неправомерных действий с их стороны. В рамках данных мер производится и проведение оценочных мероприятий по установлению степени эффективности СИБ. Именно упрощению и улучшению данного процесса посвящена данная статья.

Правовой элемент системы защиты информации регулирует юридическую сторону обеспечения защиты информации на предприятии. Он включает в себя, в первую очередь, закрепление взаимоотношений объекта и государства в поле использования системы защиты информации в рамках текущего законодательства. Также правовой элемент регламентирует степень ответственности, установленную между предприятием и персоналом по поводу обязанностей персонала, связанных с соблюдением установленных собственником информации ограничительных меры защитного характера, и последствий в результате их нарушения.

Далее следует инженерно-техническая часть защиты информации. Данный элемент охватывает противодействие, как активное, так и пассивное, средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств.

Затем следует программно-аппаратный элемент защиты информации. Данное направление является крайне важным, в связи с глобальной компьютеризацией, в частности переходом к цифровому хранению ключевой информации. Оно охватывает все меры и средства, связанные с защитой ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах.

Ключевой особенностью данного элемента является его гибкость и многогранность. Так, фрагменты этой защиты могут применяться не только самостоятельно, но и как сопутствующие средства, в рамках инженерно-технической и организационной защиты. Этот элемент включает в себя, преимущественно, различные программы защиты информации, способные работать как в комплексе с программами обработки информации, так и в комплексе с техническими (аппаратными) устройствами защиты.

Последний рассматриваемый элемент системы защиты информации предназначен для защиты конфиденциальной информации методами криптографии. Криптография – это наука о способах преобразования (шифрования) информации с целью защиты её от незаконного или нежелательного использования. Данный элемент крайне важен в системах с повышенными требованиями по защите конфиденциальной информации. Он, главным образом, регламентирует использование криптографических методов в ЭВМ и локальных сетях, при передаче информации по незащищённым каналам, а также при предоставлении доступа к различным файлам или предоставлении доступа персонала в выделенные помещения.

Все вышеизложенные направления обеспечения информационной безопасности представляют собой «критерии защищённости», на основе которых будет строиться детальная оценка эффективности той или иной системы. Систематизация и классификация этих критериев позволяет успешно их выделить из общей массы и дать обособленную характеристику.

Таким образом, критерии защищённости, содержащие в себе основные средства и методы защиты, являются, по факту, конкретными объектами, которые и требуется оценить.

В дальнейшем, встаёт вопрос о важности того или иного критерия. Так, например, в рамках школьной СИБ не требуются средства высокой степени защиты по криптографическому или программно-аппаратному направлению. В данном случае, приоритет отдаётся организационным и инженерно-техническим средствам, а именно организация охранного пункта с контрольно-пропускным пунктом и системой видеонаблюдения. В то же время, для предприятия, занимающегося крупным бизнесом, крайне важно не допустить утечки сугубо важной информации, связанной с производственным процессом, в том числе с новыми разработками. Здесь уже не обойтись без должной программно-аппаратной базы в совокупности с криптографическими методами.

Таким образом, для разных предприятий требуется своя СИБ, со своей степенью защиты. Поэтому при оценке системы информационной безопасности какого-либо объекта, всегда нужно исходить из установленных целей и требуемой степени защищённости. В связи с этим, предлагается также ввести классификацию объектов по степени требуемой защиты. Каждый класс защиты будет отличаться от других составом критериев оценки.

Для того чтобы обеспечить индивидуальный подход к каждому отдельному объекту, можно ввести понятие о коэффициентах критериев оценки. С помощью них можно настроить данную систему под конкретный объект, изменяя степень влияния того или иного критерия на итоговую оценку.

Проанализировав существующие методы оценки защиты информации, можно увидеть, что нет такого метода, который бы однозначно давал самую точную оценку. В рамках данной концепции предлагается проведение оценки методом сравнения по эталону. «Способ оценки ИБ по эталону сводится к сравнению деятельности и мер по обеспечению ИБ организации с требованиями, закреплёнными в эталоне» [1, с. 116]. То есть, производится непосредственное сравнение критериев эталонной СИБ с аналогичными критериями оцениваемой СИБ. Таким образом, ключевой оценкой является отклонение оцениваемой СИБ от выбранного нами эталона. В результате, мы получаем список конкретных критериев, которые требуется улучшить. Это и есть тот итог, который позволяет, проанализировав структуру и степень защищённости объекта, предпринимать конкретные действия по модернизации СИБ.

В заключении, стоит также обратить внимание на немало важный фактор любого производственного или бизнес процесса, а именно, экономический фактор. Любая организация обладает определённым бюджетом, который она готова потратить на организацию системы информационной безопасности или же на её модернизацию. Этот аспект всегда должен быть соотнесён с выдвигаемыми требованиями к СИБ. Зачастую, именно данный фактор является камнем преткновения на пути организации желаемой степени защиты объекта. Поэтому здесь требуется нахождение компромисса между средствами и методами, которые используются в СИБ и стоимостью их реализации.

Список литературы:

1. Андрианов В.В. Обеспечение информационной безопасности бизнеса, 2010. – 265с.
2. Жигулин Г.П. Организационное и правовое обеспечение информационной безопасности, 2014. – 173с.
3. Торокин А.А. Инженерно-техническая защита информации: учеб. пособие для студентов, обучающихся по специальностям в обл. информ. безопасности, 2005. – 960с.