6 раздел, вопрос 1. 

1. Постановка проблемы комплексного обеспечения информационной безопасности автоматизированных систем.

Автоматизированная система (АС) (по ГОСТ 34.003-90) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Компонент АС - часть АС, выделенная по определенному признаку или совокупности признаков и рассматриваемая как единое целое:

• пользователь АС - лицо, участвующее в функционировании АС или использующее результаты ее функционирования;
• эксплуатационный персонал AC;
• организационное обеспечение АС - совокупность документов, устанавливающих организационную структуру, права и обязанности пользователей и эксплуатационного персонала АС в условиях функционирования, проверки и обеспечения работоспособности АС;
• методическое обеспечение АС - совокупность документов, описывающих технологию функционирования АС, методы выбора и применения пользователями технологических приемов для получения конкретных результатов при функционировании АС;
• техническое обеспечение АС - совокупность всех технических средств, используемых при функционировании АС;
• математическое обеспечение АС - совокупность математических методов, моделей и алгоритмов, примененных в АС;
• программное обеспечение АС - совокупность программ на носителях данных и программных документов, предназначенная для отладки, функционирования и проверки работоспособности АС;
• информационное обеспечение АС - совокупность форм документов, классификаторов, нормативной базы и реализованных решений по объемам, размещению и формам существования информации, применяемой в АС при ее функционировании;
• лингвистическое обеспечение АС - совокупность средств и правил для формализации естественного языка, используемых при общении пользователей и эксплуатационного персонала АС с комплексом средств автоматизации при функционировании АС;
• правовое обеспечение АС - совокупность правовых норм, регламентирующих правовые отношения при функционировании АС и юридический статус результатов ее функционирования (правовое обеспечение реализуют в организационном обеспечении АС).
• эргономическое обеспечение АС - совокупность реализованных решений в АС по согласованию психологических, психофизиологических, антропометрических, физиологических характеристик и возможностей пользователей АС с техническими характеристиками комплекса средств автоматизации АС и параметрами рабочей среды на рабочих местах персонала АС;
• комплекс средств автоматизации автоматизированной системы (КСА AC) - совокупность всех компонентов АС, за исключением людей;

и т.д.
Комплексное обеспечение информационной безопасности автоматизированных систем - область науки и техники, охватывающая совокупность проблем, связанных с построением, исследованием и эксплуатацией систем и технологий обеспечения информационной безопасности автоматизированных систем.
Обеспечение информационной безопасности – это комплексная проблема, для решения которой требуется сочетание мер законодательного, административного, процедурного и программно-технического уровней.
Основной проблемой реализации систем защиты является: — с одной стороны, обеспечение надежной защиты, находящейся в системе информации: исключение случайного и преднамеренного получения информации посторонними лицами, разграничение доступа к устройствам и ресурсам системы всех пользователей, администрации и о обслуживающего персонала; — с другой стороны, системы защиты не должны создавать заметных неудобств пользователям в ходе их работы с ресурсами системы.
Обеспечение информационной безопасности должна основываться на следующих основных принципах:
системности;
комплексности;
непрерывности защиты;
разумной достаточности;
гибкости управления и применения;

открытости алгоритмов и механизмов защиты;
простоты применения защитных мер и средств.
Системный подход к защите информационных ресурсов предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности.
Системный подход к защите информации в АС предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения информационной безопасности в АС.
Обеспечение информационной безопасности подразумевает комплексное использование широкого спектра мер, методов и средств защиты и предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.
Обеспечение информационной безопасности – это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла информационной системы, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.
Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев информационной системы от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления. Однако это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).

Сущность и задачи комплексной системы защиты информации (КСЗИ).
Комплексная система защиты информации – это комплекс правовых, организационных, инженерно-технических средств, методов и способов, предназначенных для обеспечения информационной безопасности.
Комплексная система защиты информации - совокупностью методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации в автоматизированных системах обработки данных. КСЗИ предприятия есть совокупность методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации предприятия.
Система – это множество взаимосвязанных элементов, проявляющие некоторое свойство, нехарактерное для любого элемента в частности. Под системностью как основной частью системно-концептуального похода понимается: — системность целевая, т. е. защищенность информации рассматривается как основная часть общего понятия качества информации; — системность пространственная, предлагающая взаимоувязанное решение всех вопросов защиты на всех компонентах предприятия; — системность временная, означающая непрерывность работ по ЗИ, осуществляемых в соответствии планам; — системность организационная, означающая единство организации всех работ по ЗИ и управления ими.
Поскольку система определяется как совокупность взаимосвязанных элементов, то назначение системы защиты информации состоит в том, чтобы объединить все составляющие элементы защиты в единое целое, в котором каждый компонент, выполняя свою прямую функцию, одновременно обеспечивает выполнение функций другими компонентами и связан с ними логически и технологически.
Комплексность – это один из основополагающих принципов защиты информации; способность системы решать ряд разнородных задач одновременно.
Комплекс вообще – это совокупность предметов и явлений, составляющих одно целое.
Комплексность имеет три назначения:
— объединение локальных систем защиты информации (например, по видам защиты информации: правовая, организационная, инженерно-техническая).
— обеспечение полноты всех составляющих системы защиты (должны учитываться все параметры уязвимости информации, потенциально возможные угрозы ее безопасности, охватываться все необходимые объекты защиты, использоваться все возможные виды, методы и средства защиты и необходимые для защиты кадровые ресурсы, осуществляться все вытекающие из целей и задач защитные мероприятия).
— обеспечение всеохватности защиты информации (система должна обеспечивать безопасность всей совокупной информации, подлежащей защите, и при любых обстоятельствах)
Главной целью КСЗИ является обеспечение непрерывности бизнеса, устойчивого функционирования коммерческого предприятия и предотвращения угроз его безопасности.
Главная цель создания КСЗИ — достижение максимальной эффективности защиты за счет одновременного использования всех необходимых ресурсов, методов и средств, исключающих несанкционированный доступ к защищаемой информации и обеспечивающих физическую сохранность ее носителей.
КСЗИ направлена:
 на защиту законных интересов организации от противоправных посягательств;
 охрану жизни и здоровья персонала;
 недопущение:
o хищения финансовых и материально-технических средств;
o уничтожения имущества и ценностей;
o разглашения, утечки и несанкционированного доступа к служебной информации;
o нарушения работы технических средств обеспечения производственной деятельности, включая информационные технологии.
Задачи КСЗИ:
1. Прогнозирование. Выявление и устранение угроз безопасности персоналу и ресурсам предприятия, которые могут причинить материальный и моральный ущерб.
2. Отнесение информации к категории ограниченного доступа (государственной, коммерческой тайнам, иной информации, подлежащей защите от неправомерного использования), а других ресурсов — к различным уровням уязвимости (опасности), подлежащих сохранению.
3. Создание механизма и условий оперативного реагирования на угрозы безопасности проявления негативных тенденций в функционировании предприятия.
4. Эффективное пресечение угроз на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности.
5. Создание условий для уменьшения ущерба, последствий.