ВВЕДЕНИЕ

ПРЕДИСЛОВИЕ

Принятие решений во всех сферах жизнедеятельности пред­приятия или организации все в большей степени базируется на информационных процессах. Анализ этих процессов с последую­щей выработкой управляющих решений осуществляется на осно-. не информационных моделей, построенных на современных ин­формационно-телекоммуникационных технологиях. Поэтому за­щита информации представляет собой самостоятельную состав­ляющую безопасности предприятия в целом, значение которой с каждым годом растет.

Информационный ресурс становится одним из главных источ­ников экономической эффективности предприятия. Фактически наблюдается тенденция, когда все сферы жизнедеятельности пред­приятия становятся зависимыми от информационного развития, В процессе которого они сами порождают информацию и сами же се потребляют.

На современном этапе развития основными угрозами безопас­ности предприятия являются угрозы в сфере информационного обеспечения. Последствиями успешного проведения информаци­онных атак могут стать компрометация или искажение конфи­денциальной информации, навязывание ложной информации, нарушение установленного регламента сбора, обработки и пере­дачи информации, отказы и сбои в работе технических систем, вызванные преднамеренными и непреднамеренными действиями как со стороны конкурентов, так и со стороны преступных сооб­ществ, организаций и групп. К одной из наиболее важных задач в области безопасности предприятия следует отнести создание ком­плексной системы защиты информации (КСЗИ). Различным ас­пектам этой проблемы посвящено данное учебное пособие.

Необходимость зашиты информации осознавалась с глубокой древности. Недаром до нас дошли сведения о применявшихся в прошлом методах защиты — технических (например, шифр Цеза­ря, различные виды стеганографии) и организационных (зачас­тую они сводились к физическому устранению людей — носите­лей сведений, когда необходимость в них миновала).

Шло время, совершенствовались не только методы защиты, но и методы нападения. В Советском Союзе обеспечению безопас­ности информации уделялось большое внимание. Но решать эти вопросы, когда «все вокруг народное, все вокруг ничье», было сравнительно несложно. Иное дело — современная экономиче­ская обстановка, когда в ожесточенной конкурентной схватке бо­рется множество больших и малых организаций. В борьбе, как известно, все средства хороши, а тем более эффективные. К та­ким, без сомнения, можно причислить нападение на информа­цию конкурента с целью завладеть ею, исказить, сделать недо­ступной и т.д. Поэтому вопросы защиты информации в совре­менном обществе имеют первостепенное значение.

Особенно облегчается задача злоумышленника в связи с по­всеместным внедрением автоматизированной обработки инфор­мации. Степень автоматизации фирмы определяет зачастую ее кон­курентоспособность и в то же время является источником много­численных угроз безопасности. Неслучайно в сознании многих людей защита информации — это прежде всего защита информа­ции в компьютерных системах от несанкционированного досту­па. Конечно, эта точка зрения неверна точно так же, как неверна и точка зрения другой полярности: все определяется организаци­онно-режимными мерами.

Надежное обеспечение безопасности информации немыслимо без реализации комплексного подхода к решению этой задачи. Отсюда и потребность как в создании комплексной системы заши­ты информации на предприятии, так и в подготовке специалис­тов по данному профилю. Поэтому и была разработана програм­ма специальностей 075300, 075400, которая включила и дисциплину «Комплексная система защиты информации на предприятии».

Построение глав учебного пособия соответствует плану этой дисциплины. В нерпой главе рассмотрены основные понятия и определения изучаемой дисциплины, ее задачи и функции, во шпорой главе — принципы организации и этапы разработки ком­плексной системы зашиты информации (КСЗИ). ее взаимосвязь с другими системами предприятия. С учетом того что КСЗИ яв­ляется сложной системой, здесь же приведены основные положе­ния теории сложных систем. На построение КСЗИ предприятия влияют множество факторов, которые подробно рассмотрены в третьей главе.

Прежде чем защищать что-либо, нужно ответить на вопросы: «Что защищать?», «От кого защищать?», «В соответствии с каки-. ми требованиями строить защиту?». Для ответа на последний воп­рос необходимо четко представлять себе классификацию инфор­мации по видам тайн, нормативно-правовые аспекты ее защиты, методику определения состава защищаемой информации. Все это входит в содержание четвертой главы книги. В пятой главе при­ведены подлежащие защите объекты, которые являются носите­лями информации, либо на которых защищаемая информация об­рабатывается, объясняется необходимость защиты тех или иных объектов. Факторы и угрозы безопасности информации, а также модели нарушителей рассмотрены в шестой главе.

Защиту информации техническими средствами можно разде­лить на два больших направления: защита от утечки информации по техническим каналам и защита от несанкционированного до­ступа к информации в автоматизированных системах. Техничес­кие каналы утечки информации, а также меры по их нейтрализа­ции рассмотрены в седьмой главе. Восьмая глава посвящена за­щите информации (ЗИ) от несанкционированного доступа (НСД) к ней в автоматизированных системах (АС).

В девятой главе приведен общий подход к субоптимальному выбору компонентов системы. В качестве иллюстрации данного подхода решается задача выбора компонентов подсистемы КСЗИ, связанной с защитой информации от НСД в АС, но аналогичным образом можно решать и другие задачи по определению компо­нентов КСЗИ. На этот выбор большое влияние оказывают усло­вия функционирования КСЗИ, рассмотренные в десятой главе. Изучение ведется на основе концепции безопасности информа­ции в автоматизированной системе предприятия, разработанной в одной из фирм. Одиннадцатая глава посвящена моделям КСЗИ. Особое внимание уделяется формальным моделям безопасности. На практическом примере показан принцип формализации тре­бований безопасности и условий функционирования системы. Построенная формальная модель используется в девятой главе при обосновании выбора средств защиты информации.

В двенадцатой главе рассмотрены технологические и органи­зационные аспекты построения КСЗИ. Приведены стадии созда­ния КСЗИ, основное содержание технического задания на ее по-

5строение. В тринадцатой главе затронут важнейший аспект обес­печения безопасности информации — кадровый, а в четырнад­цатой главе — вопросы материально-технического обеспечения

Эффективность КСЗИ во многом определяется эффективно­стью управления системой. В пятнадцатой главе подробно рас­смотрены вопросы, связанные с организацией управления КСЗИ, а в шестнадцатой главе — не менее важные аспекты планирова­ния функционирования КСЗИ. Обратная связь в контурах управ­ления основана на результатах контроля. Связанные с этим воп­росы освешены в семнадцатой главе. Восемнадцатая глава по­священа вопросам управления КСЗИ в чрезвычайных ситуациях. Наконец, в девятнадцатой и двадцатой главах подробно рас­сматриваются различные подходы к сложной и неоднозначной проблеме оценки эффективности КСЗИ.