Принципы системного подхода к защите информации

Введение

Человечество из поколения в поколение защищает свои данные. На современном этапе своего развития информационная безопасность достигла того уровня, что все ее проблемы с каждым годом набирают все больший масштаб. Этому предшествовал такой фактор как развитие и проникновение ИТ-технологий во все сферы человеческой жизни.
Актуальность темы: системный подход к обеспечению информационной безопасности информации совершенствуются с каждым годом, а вместе с ними технологии обработки информации.
Так как рациональных и эффективных методов защиты не существует на сегодняшний день, во многом успех при построении механизмов безопасности для реальной системы будет зависеть от её специфических особенностей. Поэтому информационную безопасность сопоставляют как синтез неформальных рекомендаций по созданию систем защиты информации разного типа.
Цель - рассмотреть основные принципы системного подхода к защите информации, в частности конфиденциальной.
Задачи:
рассмотреть основные понятия системного подхода к защите информации;
рассмотреть концепцию системного подхода к защите конфиденциальной информации.
Предметом рассмотрения в данной работе является законодательная база, выраженная в Федеральных законах, монографиях, статьях по данной тематике.
Объектом рассмотрения является системный подход к защите информации.
1. Основные понятия системного подхода к защите информации

Привычное для большинства людей логическое мышление основывается на разделении любой системы на составляющие части. Далее изучаются свойства этих частей, после чего происходит «сложение» этих частей в единую систему на основе выявленных между ними связей. При этом остаются незамеченными множество комбинаций свойств и факторов, которые могут иметь взаимное влияние друг на друга, что в свою очередь приводит к неверному понимаю системы в целом, система становится упрощенной.
Рассматривая объект зашиты как систему, необходимо четко понимать, как взаимодействуют многочисленные части этой системы между собой. Данные взаимодействия не линейны, часто скрыты и неочевидны. С точки зрения информационной безопасности неверное определение или полное игнорирование взаимовлияния факторов системы друг на друга может привести к самым разнообразным негативным последствиям: например, неправильный выбор средств зашиты информации, неверная их настройка, нарушение работы информационной системы, нарушение нормальной работы пользователей информационной системы, другие инциденты информационной безопасности, вызванные уязвимостями в системе защиты.
С другой стороны, правильное объединение средств зашиты информации в единую систему может привести к возникновению новых свойств системы, повышающих уровень защищенности объекта. Поскольку злоумышленник обычно находит слабые места в системе защиты, если таковые имеются, то система безопасности должна быть комплексной, иметь всесторонний характер и закрывать все потенциально возможные уязвимости.
Обеспечение реализации всех требовании информационной безопасности осуществляется при помощи систем защиты информации. При этом проектирование, модернизация, обеспечение эффективного функционирования и даже ликвидация таких систем является нетривиальной задачей. Поскольку отсутствуют формальные методы решения задач, направленные на удовлетворение требований информационной безопасности, обычно используются методы неформальные, эмпирические, так как требования зачастую абсолютны, а возможности весьма ограничены.
В этих условиях системный подход может быть использован для решения задач на всех этапах жизненного цикла систем защиты информации, позволяя обеспечить полноту и эффективность реализации их функций, а также оптимальные ресурсные, финансовые и временные параметры для достижения поставленных целей [1].
Рассмотрим основные определения. Под системой понимается полный и целостный набор компонентов, связанных между собой и взаимодействующих таким образом, что у системы появляются новые свойства, отсутствующие у компонентов ее образующих [2]. Любая система обладает рядом свойств: целостностью, организованностью, функциональностью, эмерджентностью, синергичностью, мультипликативностью и др.
Из определения следует, что главным свойством системного подхода является целостность, которая означает, что каждый элемент системы вносит свой вклад в образование функции системы. В результате связи между компонентами системы и взаимодействия этих компонентов возникают новые свойства системы, которые присуще системе в целом, но не свойственны ни одному из ее компонентов в отдельности - свойство эмерджентности.
Организованность системного подхода может выражаться в иерархичности ее строения. Любая система может рассматриваться как элемент системы более высокого порядка, в то время как ее элементы могут выступать в качестве систем более низкого порядка.
Функциональность - проявление свойств системы при взаимодействии с внешней средой.
Другое важное свойство системного подхода синергичность - однонаправленное действие в системе, приводящее к усилению (умножению) эффективности деятельности (результата), в результате соединения отдельных компонентов в единую систему.
Еще одно свойство, которое имеет большое значение, при объединении средств защиты информации, свойство мультипликативности

. Это одно из первично-фундаментальных свойств системы, означающих, что положительные и отрицательные эффекты обладают свойством умножения.
Наличие данных свойств показывает, что свойства системы защиты могут зависеть не только от свойств ее отдельных элементов (средств защиты), но и от совокупности всех элементов системы, связей между ними, в результате чего могут проявлять новые свойства системы защиты.
В зависимости от того, каким образом одни и те же элементы системы объединяются в общую систему, они могут образовывать различные по свойствам системы. Из этого следует, что характеристики системы определяются не только и не столько свойствами ее элементов, сколько характеристиками связей между ними. Существование взаимодействия между элементами определяет особое свойство сложных систем - организованную сложность.
Вывод: в данном разделе были рассмотрены основные теоретические положения системного подхода к защите информации.

2. Системный подход к вопросам защиты конфиденциальной информации

В условиях крепнущих рыночных отношений вопросы защиты конфиденциальной информации приобретают все большую значимость. К сожалению, имеющиеся на сегодняшний день нормативные акты правового регулирования в области защиты информации не являются исчерпывающими, что создает определенные сложности для предприятий, желающих создать свою собственную систему защиты конфиденциальной информации.
По данным специализированных изданий [3,4] российские государственные и коммерческие предприятия отчетливо осознают все отрицательные последствия разглашения конфиденциальной информации: прямые финансовые убытки (46 %), удар по репутации (42,3 %) и потерю клиентов (36,9 %). По мнению специалистов, утрата 20 % информации, составляющей коммерческую тайну, в 60 случаях из 100 приводит к банкротству фирмы, а потери в результате действий конкурентов, использующих шпионаж в кредитно-финансовой сфере, составляют 30 % от ущерба в мировой банковской системе.
Во многих печатных изданиях [5-7], рассматривающих различные аспекты бизнеса, и сети Интернет появляются статьи, так или иначе посвященные вопросам конфиденциальной информации, в которых достаточно широко представляются варианты ее защиты. Разобраться в этом объеме разноплановой информации достаточно сложно. Прежде всего нет однозначного понимания самого понятия «конфиденциальная информация».
Зачастую оно подменяется понятиями «коммерческая тайна», «служебная тайна» или даже «секретная информация».
К секретной информации, как известно, относятся сведения, составляющие государственную тайну, и отнесение информации к государственной тайне осуществляется в соответствии с Федеральным законом РФ от 21.07.1993 № 5485-1 «О государственной тайне» [8]. В настоящее время эта сфера в наибольшей степени регламентирована нормативными документами.
В соответствии с Указом Президента РФ от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» к конфиденциальной информации относятся [9]:
- сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
- сведения, составляющие тайну следствия и судопроизводства;
- служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
- сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);
- сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
- сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Соответственно понятия «коммерческая тайна», «служебная тайна», «персональные данные» определяют виды конфиденциальной информации, но не заменяют сам термин