150 73 21MB
Russian Pages 131 Year 2007
Н . В . Г р и ш и н а
О Р Г А Н И З А Ц И Я КО М П ЛЕКСН О Й С И С Т Е М Ы З А Щ И Т Ы И Н Ф О Р М А Ц И И
М о с к в а « Г е л и о с А Р В » 2 0 0 7
В В Е Д Е Н И Е
У Д К 0 0 4 . 2 3 9 . 0 5 6 ( 0 7 5 ) Б Б К 3 2 .9 7 3 .2 0 2 - 0 1 8 .2
Н а р ы н к е з а щ и т ы и н ф о р м а ц и и п р е д л а г а е т с я м н о г о от
Г 3 2
д е л ь н ы х
и н ж е н е р н о - т е х н и ч е с к и х ,
программно-аппарат
н ы х, к р и п т о г р а ф и ч е с к и х с р е д с т в з а щ и т ы и н ф о р м а ц и и . В л и т е р а т у р е п о з а щ и т е и н ф о р м а ц и и м о ж н о н а й т и описа
Г р и ш и н а Н . В . Г 3 2
О р г а н и з а ц и я к о м п л е к с н о й с и с т е м ы з а щ и т ы инфор м а ц и и . — М .: Г ел и о с А Р В , 2007. — 256 с, и л . I S B N
н ие м е т о д о в и с р е д с т в н а и х о с н о в е , т е о р е т и ч е с к и х м о д е л е й з а щ и т ы . О д н а к о д л я т о г о , ч т о б ы с о з д а т ь н а п р е д п р и я т и и у с л о в и я э ф ф е к т и в н о й з а щ и т ы и н ф о р м а ц и и , н е о б х о д и м о
978-5-85438-1 71 -0
о б ъ е д и н и т ь о т д е л ь н ы е с р е д с т в а з а щ и т ы в с и с т е м у . П р и Р а с с м а т р и в а ю т с я в о п р о с ы о р г а н и з а ц и и с и с т е м ы з а щ и т ы ин
э т о м н а д о п о м н и т ь , ч т о г л а в н ы м э л е м е н т о м э т о й с и с т е м ы
ф о р м а ц и и н а п р е д п р и я т и и . О п р е д е л я ю т с я м е т о д о л о г и ч е с к и е под
я в л я е т с я ч е л о в е к . П р и ч е м ч е л о в е к я в л я е т с я к л ю ч е в ы м эле
х о д ы к т е х н о л о г и и п о с т р о е н и я , п р и н ц и п ы у п р а в л е н и я ком п лекс
м е н т о м с и с т е м ы и в м е с т е с т е м с а м ы м т р у д н о ф о р м ал и зу е
н о й с и с т е м о й з а щ и т ы и н ф о р м а ц и и ( К С З И ) . О с о б о е в н и м а н и е уде л е н о п р о б л е м е « ч е л о в е ч е с к о г о ф а к т о р а » . Д л я с п е ц и а л и с т о в , п р е п о д а в а т е л е й , с т у д е н т о в и в с е х и н тересу ю щ и х с я п р о б л е м а т и к о й з а щ и т ы и н ф о р м а ц и и .
м ы м и п о т е н ц и а л ь н о с л а б ы м е е з в е н о м . С о з д а н и е с и с т е м ы з а щ и т ы и н ф о р м а ц и и ( С З И ) н е явля ется г л а в н о й з а д а ч е й п р е д п р и я т и я , к ак , н а п р и м е р , произ в о д с т в о п р о д у к ц и и и п о л у ч е н и е п р и б ы л и . П о э т о м у созда
Б Б К 3 2 .9 7 3 .2 0 2 - 0 1 8 .2
ваем ая С З И н е д о л ж н а п р и в о д и т ь к о щ у т и м ы м т р у д н о с т я м в р а б о т е п р е д п р и я т и я , а с о з д а н и е С З И д о л ж н о б ы т ь эконо м и ч е с к и о п р а в д а н н ы м . Т е м н е м е н е е о н а д о л ж н а обеспечи вать з а щ и т у в а ж н ы х и н ф о р м а ц и о н н ы х р е с у р с о в предпри я ти я о т всех р е а л ь н ы х у г р о з . В к н и г е п р е д л о ж е н к о м п л е к с н ы й п о д х о д к организа ции з а щ и т ы и н ф о р м а ц и и ( З И ) н а п р е д п р и я т и и . П р и э т о м о б ъ е к т о м и с с л е д о в а н и я я в л я е т с я н е т о л ь к о и н ф о р м а ц и о н ная с и с т е м а , но и п р е д п р и я т и е в ц е л о м . Р а с с м а т р и в а ю т с я к о н ц е п т у а л ь н ы е о с н о в ы з а щ и т ы ин ф о р м а ц и и , р а с к р ы в а ю щ и е с у щ н о с т ь , ц е л и , с т р у к т у р у и с т р а т е г и ю з а щ и т ы . А н а л и з и р у ю т с я и с т о ч н и к и , с п о с о б ы и р е з у л ь т а т ы де с т а б и л и з и р у ю щ е г о в о з д е й с т в и я н а и н ф о р м а ц и ю , а т а к ж е к а н а л ы и м е т о д ы н е с а н к ц и о н и р о в а н н о г о д о с т у п а к инфор
I S B N
9 7 8 - 5 - 8 5 4 3 8 - 1 7 1 - 0
© Г р и ш и н а Н . В., 2 0 0 7
м а ц и и . О п р е д е л я ю т с я м е т о д о л о г и ч е с к и е п о д х о д ы к орга
© О ф о р м л е н и е . И з д а т е л ь с т в о
н и з а ц и и и т е х н о л о г и ч е с к о м у о б е с п е ч е н и ю з а щ и т ы инф ор
« Г е л и о с А Р В » , 2 0 0 7
м а ц и и н а п р е д п р и я т и и . П р е д с т а в л е н а а р х и т е к т у р а , э т а п ы 3
п о с т р о е н и я , п р и н ц и п ы у п р а в л е н и я к о м п л е к с н о й с и с т е м о й з а щ и т ы и н ф о р м а ц и и ( К С З И ) . О с о б о е в н и м а н и е у д е л е н о
1.
п р о б л е м е « ч е л о в е ч е с к о г о ф а к т о р а » .
С ущ н ость и задачи ком плексной систем ы за щ и т ы и н ф о рм а ц и и
П р е д л о ж е н н ы й п о д х о д к з а щ и т е и н ф о р м а ц и и о б е с п е ч и т ц е л о с т н о е в и д е н и е п р о б л е м ы , п о в ы ш е н и е к а ч е с т в а , с л е д о в а т е л ь н о , и н а д е ж н о с т и з а щ и т ы и н ф о р м а ц и и .
1.1. П о д х о д ы к п р о е к т и р о в а н и ю с и с т е м з а щ и т ы и н ф о р м а ц и и
С л е д у е т п о д ч е р к н у т ь , ч т о а в т о р у м ы ш л е н н о у х о д и т о т п о н я т и я « и н ф о р м а ц и о н н а я б е з о п а с н о с т ь » , и с п о л ь з у я тер м и н « з а щ и т а и н ф о р м а ц и и » . Информационную
безопасность
п р и н я т о
рассматри
в а т ь к а к о б е с п е ч е н и е с о с т о я н и я з а щ и щ е н н о с т и : 1 ) л и ч н о с т и , о б щ е с т в а , г о с у д а р с т в а о т в о з д е й с т в и я н е д о б р о к а ч е с т в е н н о й и н ф о р м а ц и и ; 2 ) и н ф о р м а ц и и и и н ф о р м а ц и о н н ы х р е с у р с о в о т не п р а в о м е р н о г о и н е с а н к ц и о н и р о в а н н о г о в о з д е й с т в и я п о с то р о н н и х л и ц ; 3 ) и н ф о р м а ц и о н н ы х п р а в и с в о б о д г р а ж д а н и н а и че л о в е к а . П о с к о л ь к у в к н и г е н е р а с с м а т р и в а ю т с я в о п р о с ы з а щ и т ы о т в о з д е й с т в и я н е д о б р о с о в е с т н о й и н ф о р м а ц и и , а в т о р
Б ы т у е т м н е н и е , ч т о п р о б л е м ы з а щ и т ы и н ф о р м а ц и и от н о с я т с я и с к л ю ч и т е л ь н о к и н ф о р м а ц и и , о б р а б а т ы в а е м о й к о м п ь ю т е р о м . Э т о , п о - в и д и м о м у , с в я з а н о с т е м , ч т о ком п ь ю т е р , и в ч а с т н о с т и п е р с о н а л ь н ы й к о м п ь ю т е р , я в л я е т с я « я д р о м » , ц е н т р о м х р а н е н и я и н ф о р м а ц и и . О б ъ е к т и н ф о р м а т и з а ц и и , п о о т н о ш е н и ю к к о т о р о м у н а п р а в л е н ы д е й с т в и я п о з а щ и т е и н ф о р м а ц и и , п р е д с т а в л я е т с я б о л е е ш и р о к и м по н я т и е м п о с р а в н е н и ю с п е р с о н а л ь н ы м к о м п ь ю т е р о м . Ч т о ж е п р е д с т а в л я е т с о б о й о б ъ е к т и н ф о р м а т и з а ц и и и к а к о в о е г о м е с т о н а п р е д п р и я т и и ? Г О С Т Р Ф 5 1 2 7 5 - 9 9 о п р е д е л я е т о б ъ е к т и н ф о р м а т и з а ц и и к а к « с о в о к у п н о с т ь и н ф о р м а ц и о н н ы х р е с у р с о в , с р е д с т в
п о с ч и т а л н е о б х о д и м ы м и с п о л ь з о в а т ь б о л е е « у з к и й » тер
и с и с т е м о б р а б о т к и и н ф о р м а ц и и , и с п о л ь з у е м ы х в соответ
м и н .
с т в и и с з а д а н н о й и н ф о р м а ц и о н н о й т е х н о л о г и е й , с р е д с т в о б е с п е ч е н и я о б ъ е к т а и н ф о р м а т и з а ц и и , п о м е щ е н и й и л и объ е к т о в ( з д а н и й , с о о р у ж е н и й , т е х н и ч е с к и х с р е д с т в ) , в кото р ы х о н и у с т а н о в л е н ы , и л и п о м е щ е н и я и о б ъ е к т ы , п р едн а 1
з н а ч е н н ы е д л я в е д е н и я к о н ф и д е н ц и а л ь н ы х п е р е г о в о р о в » . С л о в о « с о в о к у п н о с т ь » в д а н н о м о п р е д е л е н и и у к а з ы в а е т н а т о , ч т о о б ъ е к т и н ф о р м а т и з а ц и и э т о е д и н а я и н ф о р м а ц и о н н а я с и с т е м а , о х в а т ы в а ю щ а я в ц е л о м п р е д п р и я т и е , уч р е ж д е н и е , о р г а н и з а ц и ю . В р е а л ь н о й ж и з н и в с е э т и о т д е л ь н ы е « о б ъ е к т ы и н ф о р м а т и з а ц и и » р а с п о л о ж е н ы в п р е д е л а х о д н о г о п р е д п р и я т и я и п р е д с т а в л я ю т с о б о й е д и н ы й к о м п л е к с к о м п о н е н т о в , с в я 1
ГОСТ РФ 51275-99 «Защита информации. Объект информатиза
ции. Факторы, воздействующ ие на информацию».
5
з а н н ы х о б щ и м и ц е л я м и , за д а ч а м и , с т р у к т у р н ы м и отноше н и я м и , т е х н о л о г и е й и н ф о р м а ц и о н н о г о о б м е н а и т. д. С о в р е м е н н о е п р е д п р и я т и е — б о л ь ш о е к о л и ч е с т в о раз н о р о д н ы х к о м п о н е н т о в , о б ъ е д и н е н н ы х в с л о ж н у ю с и с т е м у для в ы п о л н е н и я п о с т а в л е н н ы х ц елей , к о т о р ы е в п р о ц е с с е ф у н к ц и о н и р о в а н и я п р е д п р и я т и я м о гу т м о д и ф и ц и р о в а т ь с я . М н о г о о б р а з и е и с л о ж н о с т ь в л и я н и я в н у т р е н н и х и в н е ш н и х ф а к т о р о в , к о т о р ы е ч а с т о н е п о д д а ю т с я с т р о г о й количест в е н н о й о ц е н к е , п р и в о д я т к то м у , что эта с л о ж н а я с и с т е м а м о ж е т о б р е т а т ь н о в ы е качества, н е с в о й с т в е н н ы е составля ю щ и м е е к о м п о н е н т а м .
п е р в ы й о т н о с и т с я к т о м у в р е м е н и , к о гд а о б р а б о т к а и н ф о р м а ц и и о с у щ е с т в л я л а с ь п о т р а д и ц и о н н ы м ( р у ч н ы м , б у м а ж н ы м ) т е х н о л о г и я м ; вто р о й — когда д л я о б р а б о т к и и н ф о р м а ц и и на регу л я р н о й о с н о в е п р и м е н я л и с ь с р е д с т в а э л е к т р о н н о й вычис л и т е л ь н о й т е х н и к и п е р в ы х п о к о л е н и й ; т р е т и й — к о гд а и с п о л ь з о в а н и е с р е д с т в э л е к т р о н н о в ы ч и с л и т е л ь н о й т е х н и к и п р и н я л о м а с с о в ы й и повсемест ный х а р а к те р ( п о я в л е н и е п е р с о н а л ь н ы х к о м п ь ю т е р о в ) . g 6 0 - 7 0 гг. п р о б л е м а з а щ и т ы и н ф о р м а ц и и р е ш а л а с ь д о с т а т о ч н о э ф ф е к т и в н о п р и м е н е н и е м в о с н о в н о м организа ц и о н н ы х м е р . К н и м о т н о с и л и с ь : р е ж и м н ы е м е р о п р и я т и я ,
Х а р а к т е р н о й о с о б е н н о с т ь ю п о д о б н ы х с и с т е м я в л я е т с я
охрана, с и г н а л и з а ц и я и п р о с т е й ш и е п р о г р а м м н ы е с р е д с т в а
п р е ж д е всего н а л и ч и е ч е л о в е к а в к аж д о й из с о с т а в л я ю щ и х
защ и ты и н ф о р м а ц и и . Э ф ф е к т и в н о с т ь и с п о л ь з о в а н и я э т и х
ее п о д с и с т е м и о т д а л е н н о с т ь ( р а з д е л е н н о с т ь ) ч е л о в е к а от
средств д о с т и г а л а с ь за с ч е т к о н ц е н т р а ц и и и н ф о р м а ц и и в
о б ъ е к та его д е я т е л ь н о с т и . Э то п р о и с х о д и т в с в я з и с те м ,
о п р е д е л е н н ы х м е с т а х (с п е ц . х р а н и л и щ а , в ы ч и с л и т е л ь н ы е
что м н о ж е с т в о к о м п о н е н т о в , с о с т а в л я ю щ и х о б ъ е к т ин
цен тры ), ч то с п о с о б с т в о в а л о о б е с п е ч е н и ю з а щ и т ы относи
ф о р м а т и з а ц и и , и н т е г р а л ь н о м о ж е т б ы ть п р е д с т а в л е н о со
тельн о м а л ы м и с р е д с т в а м и .
в о к у п н о с т ь ю т р е х г р у п п с и с т е м : 1 ) л ю д и ( б и о с о ц и а л ь н ы е с и с т е м ы ) ; 2) т е х н и к а ( т е х н и ч е с к и е с и с т е м ы и п о м е щ е н и я , в к о т о р ы х о н и р а с п о л о ж е н ы ) ; 3 ) п р о г р а м м н о е о б е с п е ч е н и е , к о то р о е я в л я етс я и н т е л л е к т у а л ь н ы м п о с р е д н и к о м м е ж д у ч е л о в е к о м и т е х н и к о й ( и н т е л л е к т у а л ь н ы е с и с т е м ы ) . Сово к у п н о с т ь эти х т р е х г р у п п о б р а зу е т с о ц и о т е х н и ч е с к у ю сис
« Р а с с о с р е д о т о ч е н и е » и н ф о р м а ц и и п о м е с т а м хране ния и о б р а б о т к и о б о с т р и л о с и т у а ц и ю с ее з а щ и т о й . Поя вились д е ш е в ы е п е р с о н а л ь н ы е к о м п ь ю т е р ы . Э то д а л о воз м о ж н о с ть п о с т р о е н и я с е те й Э В М ( л о к а л ь н ы х , г л о б а л ь н ы х , н а ц и о н а л ь н ы х и т р а н с н а ц и о н а л ь н ы х ) , к о т о р ы е м о гу т ис пользовать р а з л и ч н ы е к а н а л ы с в я зи . Э ти ф а к т о р ы способс тв у ю т с о з д а н и ю в ы с о к о э ф ф е к т и в н ы х с и с т е м р а з в е д к и и
те м у . Т а к о е п р е д с т а в л е н и е о с о ц и о т е х н и ч е с к и х с и с т е м а х
получения и н ф о р м а ц и и . О н и н а ш л и о т р а ж е н и е и в совре
я вля ется д о с т а т о ч н о ш и р о к и м и м о ж е т б ы т ь распростра
м ен н ы х п р е д п р и я т и я х .
н ен о н а м н о г и е о б ъ е к т ы . К р уг н а ш и х и н т е р е с о в ограничи
С о в р е м е н н о е п р е д п р и я т и е п р е д с т а в л я е т с о б о й слож
вается и с с л е д о в а н и е м б е з о п а с н о с т и си стем , предн азн ачен
ную си стем у, в р а м к а х к о т о р о й о с у щ е с т в л я е т с я з а щ и т а ин
н ы х для о б р а б о т к и п о с т у п а ю щ е й на их вход и н ф о р м а ц и и и
ф о р м а ц и и .
в ы д а ч и результата, т. е. с о ц и о т е х н и ч е с к и х с и с т е м инфор м а ц и о н н о г о т и п а . Е сли о б р а т и т ь с я к и с т о р и и это й п р о б л е м ы , то м о ж н о
Р а с с м о т р и м
о с н о в н ы е
о с о б е н н о с т и
с о в р е м е н н о г о
п р е д п р и я т и я : — с л о ж н а я о р г а н и з а ц и о н н а я стр ук тур а;
у с л о в н о в ы д е л и т ь т р и п е р и о д а р азви ти я с р е д с т в з а щ и т ы
— м н о г о а с п е к т н о с т ь ф у н к ц и о н и р о в а н и я ;
и н ф о р м а ц и и ( З И ) :
— вы со к ая т е х н и ч е с к а я о с н а щ е н н о с т ь ; 7
— ш и р о к и е с в я з и п о к о о п е р а ц и и ;
1.2. П о н я т и е к о м п л е к с н о й с и с т е м ы
— н е о б х о д и м о с т ь р а с ш и р е н и я д о с т у п а к и н ф о р м а ц и и ;
з а щ и т ы и н ф о р м а ц и и
— в с е в о з р а с т а ю щ и й у д е л ь н ы й в е с б е з б у м а ж н о й тех н о л о г и и о б р а б о т к и и н ф о р м а ц и и : • в о з р а с т а ю щ и й
у д е л ь н ы й
Р а б о т ы п о з а щ и т е и н ф о р м а ц и и у н а с в с т р а н е ведут в е с
а в т о м а т и з и р о в а н н ы х
с я д о с т а т о ч н о и н т е н с и в н о и у ж е п р о д о л ж и т е л ь н о е в р е м я .
п р о ц е д у р в о б щ е м о б ъ е м е п р о ц е с с о в о б р а б о т к и дан
Н а к о п л е н с у щ е с т в е н н ы й о п ы т . С е й ч а с у ж е н и к т о н е дума
н ы х ;
ет, ч т о д о с т а т о ч н о п р о в е с т и н а п р е д п р и я т и и р я д о р г а н и
• в а ж н о с т ь и о т в е т с т в е н н о с т ь р е ш е н и й , п р и н и м а е м ы х
з а ц и о н н ы х м е р о п р и я т и й , в к л ю ч и т ь в с о с т а в а в т о м а т и з и
в а в т о м а т и з и р о в а н н о м р е ж и м е , н а о с н о в е а в т о м а т и з и р о в а н н о й о б р а б о т к и и н ф о р м а ц и и ; • в ы с о к а я к о н ц е н т р а ц и я в а в т о м а т и з и р о в а н н ы х систе м а х и н ф о р м а ц и о н н ы х р е с у р с о в ; • б о л ь ш а я т е р р и т о р и а л ь н а я р а с п р е д е л е н н о с т ь к о м п о н е н т о в а в т о м а т и з и р о в а н н ы х с и с т е м ; • н а к о п л е н и е н а т е х н и ч е с к и х н о с и т е л я х о г р о м н ы х объ е м о в и н ф о р м а ц и и ; • и н т е г р а ц и я в е д и н ы х б а з а х д а н н ы х и н ф о р м а ц и и раз л и ч н о г о н а з н а ч е н и я и р а з л и ч н о й п р и н а д л е ж н о с т и ; • д о л г о в р е м е н н о е х р а н е н и е б о л ь ш и х о б ъ е м о в и н ф о р м а ц и и н а м а ш и н н ы х н о с и т е л я х ;
р о в а н н ы х с и с т е м н е к о т о р ы е т е х н и ч е с к и е и п р о г р а м м н ы е с р е д с т в а — и э т о г о б у д е т д о с т а т о ч н о д л я о б е с п е ч е н и я бе з о п а с н о с т и . Г л а в н о е н а п р а в л е н и е п о и с к а н о в ы х п у т е й з а щ и т ы ин ф о р м а ц и и з а к л ю ч а е т с я н е п р о с т о в с о з д а н и и с о о т в е т с т в у ю щ и х м е х а н и з м о в , а п р е д с т а в л я е т с о б о й р е а л и з а ц и ю р е г у л я р н о г о п р о ц е с с а , о с у щ е с т в л я е м о г о н а в с е х э т а п а х ж и з н е н н о г о ц и к л а с и с т е м о б р а б о т к и и н ф о р м а ц и и п р и ком п л е к с н о м и с п о л ь з о в а н и и в с е х и м е ю щ и х с я с р е д с т в з а щ и т ы . П р и э т о м в с е с р е д с т в а , м е т о д ы и м е р о п р и я т и я , и с п о л ь з у е м ы е д л я З И , н а и б о л е е р а ц и о н а л ь н ы м о б р а з о м о б ъ е д и н я ю т
• н е п о с р е д с т в е н н ы й и о д н о в р е м е н н ы й д о с т у п к ресур
с я в е д и н ы й ц е л о с т н ы й м е х а н и з м — п р и ч е м н е т о л ь к о о т
с а м (в т . ч . и к и н ф о р м а ц и и ) а в т о м а т и з и р о в а н н ы х сис
з л о у м ы ш л е н н и к о в , н о и о т н е к о м п е т е н т н ы х и л и н е д о с т а
т е м б о л ь ш о г о ч и с л а п о л ь з о в а т е л е й р а з л и ч н ы х катего
т о ч н о п о д г о т о в л е н н ы х п о л ь з о в а т е л е й и п е р с о н а л а , а т а к ж е
р и й и р а з л и ч н ы х у ч р е ж д е н и й ;
н е ш т а т н ы х с и т у а ц и й т е х н и ч е с к о г о х а р а к т е р а .
• и н т е н с и в н а я ц и р к у л я ц и я и н ф о р м а ц и и м е ж д у к о м п о н е н т а м и а в т о м а т и з и р о в а н н ы х с и с т е м , в т о м ч и с л е и у д а л е н н ы х д р у г о т д р у г а . Т а к и м о б р а з о м , с о з д а н и е и н д у с т р и и п е р е р а б о т к и ин
О с н о в н о й п р о б л е м о й р е а л и з а ц и и с и с т е м з а щ и т ы явля е т с я : —
с о д н о й с т о р о н ы , о б е с п е ч е н и е н а д е ж н о й з а щ и т ы ,
н а х о д я щ е й с я в с и с т е м е и н ф о р м а ц и и : и с к л ю ч е н и е с л у ч а й
ф о р м а ц и и , с о д н о й с т о р о н ы , с о з д а е т о б ъ е к т и в н ы е п р е д п о
н о г о и п р е д н а м е р е н н о г о п о л у ч е н и я и н ф о р м а ц и и п о с т о
с ы л к и д л я п о в ы ш е н и я у р о в н я п р о и з в о д и т е л ь н о с т и т р у д а и
р о н н и м и л и ц а м и , р а з г р а н и ч е н и е д о с т у п а к у с т р о й с т в а м и
ж и з н е д е я т е л ь н о с т и ч е л о в е к а , с д р у г о й с т о р о н ы , п о р о ж д а е т
р е с у р с а м с и с т е м ы в с е х п о л ь з о в а т е л е й , а д м и н и с т р а ц и и и
ц е л ы й р я д с л о ж н ы х и к р у п н о м а с ш т а б н ы х п р о б л е м . О д н о й
о б с л у ж и в а ю щ е г о п е р с о н а л а ;
и з н и х я в л я е т с я о б е с п е ч е н и е с о х р а н н о с т и и у с т а н о в л е н н о г о с т а т у с а и н ф о р м а ц и и , ц и р к у л и р у ю щ е й и о б р а б а т ы в а е м о й н а п р е д п р и я т и и . 8
— с д р у г о й с т о р о н ы , с и с т е м ы з а щ и т ы н е д о л ж н ы со з д а в а т ь з а м е т н ы х н е у д о б с т в п о л ь з о в а т е л я м в х о д е и х рабо т ы с р е с у р с а м и с и с т е м ы . 9
Проблема обеспечения желаемого уровня защиты ин формации весьма сложная, требующая для своего решения не просто осуществления некоторой совокупности науч ных, научно-технических и организационных мероприятий и применения специальных средств и методов, а создания целостной системы организационно-технологических ме роприятий и применения комплекса специальных средств и методов по ЗИ. На основе теоретических исследований и практичес ких работ в области ЗИ сформулирован системно-концеп туальный подход к защите информации. П од системностью как основной частью системно-кон цептуального похода понимается: — системность целевая, т. е. защищенность информа ции рассматривается как основная часть общего понятия качества информации; — системность пространственная, предлагающая вза имоувязанное решение всех вопросов защиты на всех ком понентах предприятия; — системность временная, означающая непрерывность работ по ЗИ, осуществляемых в соответствии планам; — системность организационная, означающая единс тво организации всех работ по ЗИ и управления ими. Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обос нованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также целенаправлен ной организации всех работ по ЗИ . Комплексный (системный) подход к построению лю бой системы включает в себя: прежде всего, изучение объ екта внедряемой системы; оценку угроз безопасности объ екта; анализ средств, которыми будем оперировать при построении системы; оценку экономической целесооб-
разности; изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности; со отношение всех внутренних и внешних факторов; возмож ность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца. Комплексный (системный) подход — это принцип рас смотрения проекта, при котором анализируется система в целом, а не ее отдельные части. Его задачей является опти мизация всей системы в совокупности, а не улучшение эф фективности отдельных частей. Это объясняется тем, что, как показывает практика, улучшение одних параметров часто приводит к ухудшению других, поэтому необходи мо стараться обеспечить баланс противоречий требований и характеристик. Комплексный (системный) подход не рекомендует приступать к созданию системы до тех пор, пока не опре делены следующие ее компоненты:
1. Входные элементы. Это те элементы, для обработки которых создается система. В качестве входных элементов выступают виды угроз безопасности, возможные на дан ном объекте; 2. Ресурсы. Это средства, которые обеспечивают со здание и функционирование системы (например, матери альные затраты, энергопотребление, допустимые размеры
и т. д.). Обычно рекомендуется четко определять виды и допустимое потребление каждого вида ресурса как в про цессе создания системы, так и в ходе ее эксплуатации;
3. О кружающая среда. Следует помнить, что любая реальная система всегда взаимодействует с другими систе
мами, каждый объект связан с другими объектами. Очень важно установить границы области других систем, не под чиняющихся руководителю данного предприятия и не вхо дящих в сферу его ответственности.
10
11
ния ф у н к ц и о н а л ь н о г о н а з н а ч е н и я с и с т е м ы ; и м е т ь я с н ы й Х а р а к т е р н ы м п р и м е р о м в а ж н о с т и р е ш е н и я э т о й за
и о д н о з н а ч н ы й ф и з и ч е с к и й с м ы с л ; б ы т ь с в я з а н н ы м с ос
д а ч и я в л я е тс я р а с п р е д е л е н и е ф у н к ц и й п о з а щ и т е инфор
н о в н ы м и х а р а к т е р и с т и к а м и с и с т е м ы и д о п у с к а т ь количес
м а ц и и , п е р е д а в а е м о й с и г н а л а м и в к а б е л ь н о й л и н и и , про
т в е н н у ю о ц ен к у н а в с е х э т а п а х с о з д а н и я с и с т е м ы .
х о д я щ е й п о т е р р и т о р и я м р а з л и ч н ы х о б ъ е к т о в . К а к б ы н и
Т а к и м о б р а з о м , у ч и т ы в а я м н о г о о б р а з и е потенциаль
у с т а н а в л и в а л и с ь г р а н и ц ы с и с т е м ы , н ел ьзя и г н о р и р о в а т ь е е
ных угр о з и н ф о р м а ц и и н а п р е д п р и я т и и , с л о ж н о с т ь его
в з а и м о д е й с т в и е с о к р у ж а ю щ е й с р е д о й , и б о в э т о м случ ае
структуры , а т а к ж е у ч а с т и е ч е л о в е к а в т е х н о л о г и ч е с к о м
п р и н я т ы е р е ш е н и я м о г у т о к а з а т ь с я б е с с м ы с л е н н ы м и . Э то
процессе о б р а б о т к и и н ф о р м а ц и и , ц е л и з а щ и т ы информа
с п р а в е д л и в о к а к д л я г р а н и ц з а щ и щ а е м о г о о б ъ е к та , т а к и
ции м огут б ы т ь д о с т и г н у т ы т о л ь к о п у т е м с о з д а н и я С З И н а
д л я г р а н и ц с и с т е м ы з а щ и т ы ;
основе к о м п л е к с н о г о п о д х о д а .
4. Назначение и функции. Д л я к а ж д о й с и с т е м ы д о л ж н а б ы т ь с ф о р м у л и р о в а н а ц е л ь , к к о т о р о й он а ( с и с т е м а ) стре м и т с я . Э та ц е л ь м о ж е т б ы т ь о п и с а н а к ак н а з н а ч е н и е систе м ы , к а к ее ф у н к ц и я . Ч е м т о ч н е е и к о н к р е т н е е у к а з а н о на з н а ч е н и е и л и п е р е ч и с л е н ы ф у н к ц и и с и с т е м ы , т е м б ы с т р е е и п р а в и л ь н е е м о ж н о в ы б р а т ь л у ч ш и й в а р и а н т ее построе н и я . Так , н а п р и м е р , ц е л ь , с ф о р м у л и р о в а н н а я в с а м о м об щ е м в и д е как о б е с п е ч е н и е б е з о п а с н о с т и о б ъ е к та , з а с т а в и т р а с с м а т р и в а т ь в а р и а н т ы с о з д а н и я г л о б а л ь н о й с и с т е м ы за щ и т ы . Е с л и у т о ч н и т ь ее, о п р е д е л и в , н а п р и м е р , к а к обеспе ч е н и е б е з о п а с н о с т и и н ф о р м а ц и и , п е р е д а в а е м о й п о к а н а л а м с в я з и в н у т р и з д а н и я , т о к р у г в о з м о ж н ы х р е ш е н и й сущест в е н н о с у зи тс я . С л е д у е т и м е т ь в ви ду, ч то , к а к п р а в и л о , гло б а л ь н а я ц е л ь д о с т и г а е т с я ч е р е з д о с т и ж е н и е м н о ж е с т в а ме нее о б щ и х л о к а л ь н ы х ц е л е й ( п о д ц е л е й ) . П о с т р о е н и е т а к о г о « д е р е в а ц е л е й » з н а ч и т е л ь н о о б л е гч а е т, у с к о р я е т и удешев л я е т п р о ц е с с с о з д а н и я с и с т е м ы ; 5. Критерий эффективности.
Н е о б х о д и м о
всегда рас
с м а т р и в а т ь н е с к о л ь к о п у т е й , в е д у щ и х к ц ел и , в ч а с т н о с т и н е с к о л ь к и х в а р и а н т о в п о с т р о е н и я с и с т е м ы , обеспечива ю щ е й з а д а н н ы е ц е л и ф у н к ц и о н и р о в а н и я . Д л я т о г о ч т о б ы о ц е н и т ь , к а к о й и з п у т е й л у ч ш е , н е о б х о д и м о и м е т ь инстру м е н т с р а в н е н и я — к р и т е р и й э ф ф е к т и в н о с т и . О н д о л ж е н : х а р а к т е р и з о в а т ь к а ч е с т в о р е а л и з а ц и и з а д а н н ы х ф у н к ц и й ; у ч и т ы в а т ь з а т р а т ы р е с у р с о в , н е о б х о д и м ы х д л я в ы п о л н е -
Рис. 1. Непрерывный цикл создания СЗИ
13 12
П р о ц е с с с о з д а н и я к о м п л е к с н о й с и с т е м ы з а щ и т ы ин ф о р м а ц и и м о ж е т б ы т ь п р е д с т а в л е н в в и д е н е п р е р ы в н о г о ц и к л а , т а к к а к э т о п о к а з а н о н а р и с . 1 .
о б ъ е д и н и т ь л о г и ч е с к и и т е х н о л о г и ч е с к и в с е с о с т а в л я ю щ и е з а щ и т ы . Н о и з е е с ф е р ы в ы п а д а ю т в о п р о с ы п о л н о т ы э т и х с о с т а в л я ю щ и х , о н а н е у ч и т ы в а е т в с е х ф а к т о р о в , к о т о р ы е
1.3. Назначение комплексной системы защиты информации
о к а з ы в а ю т и л и м о г у т о к а з ы в а т ь в л и я н и е н а к а ч е с т в о защ и т ы . Н а п р и м е р , с и с т е м а в к л ю ч а е т в с е б я к а к и е - т о о б ъ е к т ы з а щ и т ы , а в с е о н и в к л ю ч е н ы и л и н е т — э т о у ж е в н е п р е д е
Г л а в н а я
ц е л ь с о з д а н и я с и с т е м ы з а щ и т ы и н ф о р м а
ц и и — е е н а д е ж н о с т ь . С и с т е м а З И — э т о о р г а н и з о в а н н а я
л о в с и с т е м ы . П о э т о м у
к а ч е с т в о ,
н а д е ж н о с т ь з а щ и т ы з а в и с я т н е
с о в о к у п н о с т ь о б ъ е к т о в и с у б ъ е к т о в З И , и с п о л ь з у е м ы х ме
т о л ь к о о т в и д о в с о с т а в л я ю щ и х с и с т е м ы , н о и о т и х пол
т о д о в и с р е д с т в з а щ и т ы , а т а к ж е о с у щ е с т в л я е м ы х за щ и т
н о т ы , к о т о р а я о б е с п е ч и в а е т с я п р и у ч е т е в с е х ф а к т о р о в и
н ы х м е р о п р и я т и й .
о б с т о я т е л ь с т в , в л и я ю щ и х н а з а щ и т у . И м е н н о п о л н о т а в с е х
Н о к о м п о н е н т ы З И , с о д н о й с т о р о н ы , я в л я ю т с я со став н о й ч а с т ь ю с и с т е м ы , с д р у г о й — с а м и о р г а н и з у ю т с и с т е м у , о с у щ е с т в л я я з а щ и т н ы е м е р о п р и я т и я .
с о с т а в л я ю щ и х с и с т е м ы з а щ и т ы , б а з и р у ю щ а я с я н а а н а л и з е т а к и х ф а к т о р о в и о б с т о я т е л ь с т в , я в л я е т с я в т о р ы м н а з н а ч е н и е м к о м п л е к с н о с т и .
П о с к о л ь к у с и с т е м а м о ж е т б ы т ь о п р е д е л е н а к а к сово к у п н о с т ь в з а и м о с в я з а н н ы х э л е м е н т о в , т о н а з н а ч е н и е С З И с о с т о и т в т о м , ч т о б ы о б ъ е д и н и т ь в с е с о с т а в л я ю щ и е защ и т ы в е д и н о е ц е л о е , в к о т о р о м к а ж д ы й к о м п о н е н т , в ы п о л н я я с в о ю ф у н к ц и ю , о д н о в р е м е н н о о б е с п е ч и в а е т в ы п о л н е н и е ф у н к ц и й д р у г и м и к о м п о н е н т а м и и с в я з а н с н и м и л о г и ч е с к и и т е х н о л о г и ч е с к и . А в ч е м ж е с о с т о и т з н а ч и м о с т ь ком п л е к с н ы х р е ш е н и й в С З И ? Н а д е ж н о с т ь з а щ и т ы и н ф о р м а ц и и п р я м о п р о п о р ц и о н а л ь н а с и с т е м н о с т и , т . е . п р и н е с о г л а с о в а н н о с т и м е ж д у со б о й о т д е л ь н ы х с о с т а в л я ю щ и х р и с к « п р о к о л о в » в т е х н о л о
П р и э т о м д о л ж н ы у ч и т ы в а т ь с я в с е п а р а м е т р ы у я з в и м о с т и и н ф о р м а ц и и , п о т е н ц и а л ь н о в о з м о ж н ы е у г р о з ы е е б е з о п а с н о с т и , о х в а т ы в а т ь с я в с е н е о б х о д и м ы е о б ъ е к т ы за щ и т ы , и с п о л ь з о в а т ь с я в с е в о з м о ж н ы е в и д ы , м е т о д ы и с р е д с т в а з а щ и т ы и н е о б х о д и м ы е д л я з а щ и т ы к а д р о в ы е ре с у р с ы , о с у щ е с т в л я т ь с я в с е в ы т е к а ю щ и е и з ц е л е й и з а д а ч з а щ и т ы м е р о п р и я т и я . В - т р е т ь и х , т о л ь к о п р и к о м п л е к с н о м п о д х о д е с и с т е м а м о ж е т о б е с п е ч и в а т ь б е з о п а с н о с т ь в с е й с о в о к у п н о с т и ин ф о р м а ц и и , п о д л е ж а щ е й з а щ и т е , и п р и л ю б ы х о б с т о я т е л ь с т в а х . Э т о о з н а ч а е т , ч т о д о л ж н ы з а щ и щ а т ь с я в с е н о с и т е л и
г и и з а щ и т ы у в е л и ч и в а е т с я . В о - п е р в ы х , н е о б х о д и м о с т ь к о м п л е к с н ы х р е ш е н и й со
и н ф о р м а ц и и , в о в с е х к о м п о н е н т а х е е с б о р а , х р а н е н и я , пе
с т о и т в о б ъ е д и н е н и и в о д н о ц е л о е л о к а л ь н ы х С З И , п р и
р е д а ч и и и с п о л ь з о в а н и я , в о в с е в р е м я и п р и в с е х р е ж и м а х
э т о м о н и д о л ж н ы ф у н к ц и о н и р о в а т ь в е д и н о й « с в я з к е » .
ф у н к ц и о н и р о в а н и я с и с т е м о б р а б о т к и и н ф о р м а ц и и .
В к а ч е с т в е л о к а л ь н ы х С З И м о г у т б ы т ь р а с с м о т р е н ы , на
В т о ж е в р е м я к о м п л е к с н о с т ь н е и с к л ю ч а е т , а , н а о б о
п р и м е р , в и д ы з а щ и т ы и н ф о р м а ц и и ( п р а в о в а я , о р г а н и з а ц и
р о т , п р е д п о л а г а е т д и ф ф е р е н ц и р о в а н н ы й п о д х о д к з а щ и т е
о н н а я , и н ж е н е р н о - т е х н и ч е с к а я ) .
и н ф о р м а ц и и , в з а в и с и м о с т и о т с о с т а в а е е н о с и т е л е й , в и д о в р е ш е н и и
т а й н ы , к к о т о р ы м о т н е с е н а и н ф о р м а ц и я , с т е п е н и е е к о н ф и
о б у с л о в л е н а н а з н а ч е н и е м с а м о й с и с т е м ы . С и с т е м а д о л ж н а
д е н ц и а л ь н о с т и , с р е д с т в х р а н е н и я и о б р а б о т к и , ф о р м и у с -
В о - в т о р ы х ,
1 4
н е о б х о д и м о с т ь
к о м п л е к с н ы х
1 5
ловий проявления уязвимости, каналов и методов несанк ционированного доступа к информации. Таким образом, значимость комплексного подхода к защите информации состоит: — в интеграции локальных систем защ иты; — в обеспечении полноты всех составляю щ их систе мы защ иты; — в обеспечении всеохватности защ иты информации. Исходя из этого, можно сформулировать следующее определение: «Комплексная система защ иты информации — систе ма, полно и всесторонне охватывающая все предметы, про цессы и факторы, которые обеспечивают безопасность всей 1 защ ищ аемой информации» .
1.4. П ринципы построения комплексной системы защиты информации
рой может нанести ущ ерб ее собственнику либо владельцу.
Реализация этого принципа позволяет обеспечить и охрану интеллектуальной собственности. Принцип обоснованности защиты информации заклю чается в установлении путем экспертной оценки целесо образности засекречивания и защиты той или другой ин
формации, вероятных экономических и других последствий такой защиты исходя из баланса жизненно важных интере сов государства, общества и граждан. Это, в свою очередь, позволяет расходовать средства на защиту только той ин формации, утрата или утечка которой может нанести дейс твительный ущ ерб ее владельцу. Принцип создания специализированных подразделе
ний по защите информации заключается в том, что такие подразделения являются непременным условием органи зации комплексной защ иты, поскольку только специали зированные службы способны должным образом разраба
П ри построении лю бой системы необходимо опреде лить принципы, в соответствии с которыми она будет пос троена. К С ЗИ — сложная система, функционирую щ ая, как правило, в условиях неопределенности, требую щ ая значи тельных материальных затрат. П оэтому определение ос новных принципов К С ЗИ позволит определить основные подходы к ее построению.
тывать и внедрять защ итные мероприятия и осуществлять
П ринцип законности заключается в соответствии при нимаемых мер законодательству РФ о защите информации, а в случае отсутствия соответствующих законов — другим государственным нормативным документам по защ ите.
повысить качество защ иты.
В соответствии с принципом полноты защ ищ аемой ин формации защите подлежит не только информация, состав ляющ ая государственную, коммерческую или служебную тайну, но и та часть несекретной информации, утрата кото-
контроль за их выполнением. Принцип участия в защите информации всех соприка сающихся с нею лиц исходит из того, что защита инфор
мации является служебной обязанностью каждого лица, имеющего по роду выполняемой работы отнош ение к за
щищаемой информации, и такое участие дает возможность Принцип персональной ответственности за защиту ин формации требует, чтобы каждое лицо персонально отве чало за сохранность и неразглашение вверенной ему за
щищаемой информации, а за утрату или распространение такой информации оно несет уголовную, административ ен ) или иную ответственность. с
1
Алексенцев A. If. П он яти е и назначение ком плексной системы за
щ иты ин ф орм ации // В опросы защ иты и н ф орм ац и и . — 1996. — № 2.
Принцип наличия и использования всех необходимых ил и средств для защиты заключается в том, что К С ЗИ
требует, с одной стороны, участия в ней руководства пред-
16 Зак. 282
17
приятия и специальной службы защиты инф орм ации и всех
1) план (Plan) — заранее намеченные в деталях и кон
исполнителей, работаю щ их с защ ищ аемой информацией, с
тролируемые действия на определенный срок, преследую
другой стороны, использования различных организацион
щие конкретные цели;
2) прием, или тактический ход (Ploy), представляю щ ий
ных форм и методов защиты, с третьей стороны, наличие необходимых материально-технических ресурсов, включая
собой кратковременную стратегию, и м ею щ ую ограничен
технические средства защ иты.
ные цели, могущ ую меняться, маневр с целью обыграть
П ринцип превентивности принимаемых мер по защите
противника; 3) модель поведения (Patten of behaviour) — ч а с т о спон
информации предполагает априорное опережаю щ ее забла говременное принятие мер по защите до начала разработки или получения информации. Из этого принципа вытекает, в частности, необходимость разработки защ ищ енны х инфор
танного, неосознанного, не имеющего конкретных целей;
4) позицию по отнош ению к другим (Position in respect to others); 5) перспективу (Perspective).
мационных технологий. Среди рассмотренных принципов едва ли можно вы делить более или менее важные. А при построении К С ЗИ важно использовать их в совокупности.
Задача стратегии состоит в создании конкурентно го преимущества, устранении негативного эффекта неста
бильности окружающей среды, обеспечении доходности, уравновешении внешних требований и внутренних воз
1.5. Стратегии защиты информации
можностей. Через ее призму рассматриваются все деловые
Осознание необходимости разработки стратегических
дневной ж изни.
ситуации, с которыми организация сталкивается в повсе подходов к защите формировалось по мере осознания важ
Способность компании проводить самостоятельную
ности, многоаспектности и трудности защ иты и невозмож
стратегию во всех областях делает ее более гибкой, устой
ности эффективного ее осуществления простым использо
чивой, позволяет адаптироваться к требованиям времени и
ванием некоторого набора средств защ иты.
обстоятельствам.
Стратегия формируется под воздействием внутренней
П од стратегией вообще понимается общая направлен ность в организации соответствующей деятельности, раз
и внешней среды, постоянно развивается, ибо всегда воз
рабатываемая с учетом объективных потребностей в дан
никает что-то новое, на что нужно реагировать.
Ф акторы, которые могут иметь для ф ирмы реш аю щ ее
ном виде деятельности, потенциально возможных условий ее осуществления и возможностей организации. Известный канадский специалист в области страте 1
гического управления Г. Минцберг предложил определе ние стратегии в рамках системы «5-Р». По его мнению , она включает: 1
Минцберг Г. С тратегический процесс. К о н ц е п ц и и , проблем ы , ре
ш ен и я . — С П б.: П итер, 2 0 0 1 . 18
значение в будущем, называются стратегическими. По мне нию одного из ведущих западных специалистов Б. Карло-
ф а , они, влияя на стратегию лю бой организации, придают
е
и специфические свойства. К таким факторам относятся: 1) миссия, отражающая философию фирмы, ее предна
значение. П ри пересмотре миссии, происходящ ем в резуль тате изменения общественных приоритетов; 2*
19
2) конкурентные преимущества, которыми организа ция обладает в своей сфере деятельности по сравнению с соперниками или к которым стремится (считается, что они оказывают на стратегию наибольш ее влияние). Конкурент ные преимущества лю бого типа обеспечивают более высо кую эффективность использования ресурсов предприятия; 3) характер выпускаемой продукции, особенности ее сбыта, послепродажного обслуживания, рынки и их грани цы; 4) организационные факторы, среди которых выделя ется внутренняя структура компании и ее ожидаемые изме нения, система управления, степень интеграции и диффе ренциации внутренних процессов; 5) располагаемые ресурсы (материальные, финансо вые, инф ормационные, кадровые и пр.). Чем они больше, тем масштабнее могут быть инвестиции в будущие проек ты. Сегодня для разработки и реализации стратегии огром ное значение имеют, прежде всего, структурные, информа ционные и интеллектуальные ресурсы. Сравнивая значения параметров наличных и требую щ ихся ресурсов, можно оп ределить степень их соответствия стратегии; 6) потенциал развития организации, совершенствова ния деятельности, расш ирения масштабов, роста деловой активности, инноваций; 7) культура, философия, этические воззрения и компе тентность управленцев, уровень их притязаний и предпри имчивости, способность к лидерству, внутренний климат в коллективе. На стратегический выбор влияют: риск, на который го това идти фирма; опыт реализации действую щ их страте гий, позиции владельцев, наличие времени. Рассмотрим особенности стратегических решений. По степени регламентированности они относятся к контурным (предоставляют ш ирокую свободу исполнителям в такти2 0
ческом отнош ении), а по степени обязательности следова ния главным установкам — директивны м.
По функциональному назначению такие решения чаще
всего бывают организационными или предписываю щ ими
способ осуществления в определенных ситуациях тех или
иных действий. С точки зрения предопределенности, это решения ^ з а п р о г р а м м и р о в а н н ы е . Они принимаю тся в но
вых, неординарных обстоятельствах, когда требуемые шаги
трудно заранее точно расписать. С точки зрения важности,
стратегические решения кардинальны: касаются основных проблем и направлений деятельности ф ирмы , определя ют основные пути развития ее в целом, отдельных подраз делений или видов деятельности на длительную перспек
тиву (не менее 5-10 лет). Они вытекают прежде всего из
внешних, а не из внутренних условий, долж н ы учитывать тенденции развития ситуации и интересы множества субъ ектов. Практическая необратимость стратегических реше ний обусловливает необходимость их тщ ательной и всес
торонней подготовки. Стратегическим реш ениям присуща
комплексность. Стратегия обы чно представляет собой не одно, а совокупность взаимосвязанных реш ений, объеди ненных общей целью , согласованных между собой по сро
кам выполнения и ресурсам. Такие реш ения определяют приоритеты и направления развития фирмы, ее потенциа
ла, рынков, способы реакции на непредвиденные события. Практика сформировала следую щ ие требования к страте гическим реш ениям: 1. Реальность, предполагаю щ ая ее соответствие ситу
ации, целям, техническому и экономическому потенциалу
предприятия, опыту и навыкам работников и менеджеров, культуре, сущ ествующ ей системе управления; 2. Логичность, понятность, приемлемость для боль шинства членов организации, внутренняя целостность, не-
2 1
противоречивость отдельных элементов, поддержка ими друг друга, порождающая синергетический эффект; 3. Своевременность (реализация решения должна ус петь приостановить отрицательное развитие ситуации или не позволить упустить выгоду);
— создавать благоприятный морально-психологичес к и й климат, поощ рять предпринимательскую и творчес к у ю активность низовых руководителей и персонала. Исходный момент формирования стратегии — поста новка глобальных качественных целей и параметров де
4. Совместимость со средой, обеспечивающая воз можность взаимодействия с ней (стратегия находится под влиянием изменений в окружении предприятия и сама мо жет формировать эти изменения); .
ятельности, которые организация должна достичь в буду
5. Направленность на формирование конкурентных преимуществ;
работки стратегий не существует. В одном случае целесо
6. Сохранение свободы тактического маневра; 7. Устранение причин, а не следствий сущ ествующ ей проблемы; 8. Четкое распределение по уровням организации ра боты по подготовке и принятию решений, а также ответс твенности за них конкретных лиц; 9. Учет скрытых и явных, желательных и нежелатель ных последствий, которые могут возникнуть при реализа ции стратегии или отказе от нее для фирмы, ее партнеров; от сущ ествующ его законодательства, этической стороны дела, допустимого уровня риска и пр. Разработка научно обоснованной системы стратегий организации как ключевого условия ее конкурентоспособ ности и долгосрочного успеха является одной из основных функций ее менеджеров, прежде всего высшего уровня. От них требуется:
щ е м . В результате увязки целей и ресурсов формируются альтернативные варианты развития, оценка которых поз воляет выбрать лучш ую стратегию. Единых рецептов вы
образно стратегическое планирование (программирование); в другом — ситуационный подход. Исходя из большого разнообразия условий, при кото
рых может возникнуть необходимость защ иты информа
ции, общая целевая установка на решение стратегических
вопросов заключалась в разработке множества стратегий
защиты, и выбор такого минимального их набора, который
позволял бы рационально обеспечивать требуем ую защиту в любых условиях.
В соответствии с наиболее реальными вариантами со
четаний значений рассмотренных факторов выделено три стратегии защ иты:
— оборонительная — защ ита от уже известных угроз
осуществляемая автономно, т. е. без оказания существен ного влияния на информационно-управляю щ ую систему;
— наступательная — защ ита от всего множества по
— выделять, отслеживать и оценивать ключевые про блемы;
тенциально возможных угроз, при осущ ествлении которой
— адекватно и оперативно реагировать на изменения внутри и в окружении организации;
технологии ее функционирования долж ны учитываться ус
— выбирать оптимальные варианты действий с учетом интересов основных субъектов, причастных к ее деятель ности;
22
в
архитектуре информационно-управляю щ ей системы и
ловия, продиктованные потребностями защ иты;
— упреждаю щ ая — создание информационной среды в
которой угрозы информации не имели бы условий для
проявления.
23
1.6. Выработка политики безопасности Прежде чем предлагать какие-либо решения по орга низации системы защ иты информации, предстоит разра ботать политику безопасности. Политика безопасности — набор законов, правил и практических рекомендаций, на основе которых строится управление, защита и распреде ление критичной инф ормации в системе. Она должна охва тывать все особенности процесса обработки информации, определяя поведение системы в различных ситуациях. По литика безопасности реализуется при помощи организаци онных мер и программно-технических средств, определя ю щ их архитектуру системы защиты, а также при помощ и средств управления механизмами защиты. Для конкретной организации политика безопасности должна быть индиви дуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств, расположения организации и т. д. Организационно политика безопасности описыва ет порядок представления и использования прав доступа пользователей, а также требования отчетности пользовате лей за свои действия в вопросах безопасности. Система за щиты информации окажется эффективной, если она будет надежно поддерживать выполнение правил политики безо пасности, и наоборот. Этапы построения организационной политики безопасности — это внесение в описание объекта структуры ценностей и проведение анализа риска, и опре деление правил для лю бого процесса пользования данны м видом доступа к ресурсам объекта автоматизации, имею щим данную степень ценности. Прежде всего необходимо составить детализированное описание общей цели пост роения системы безопасности объекта, выражаемое через совокупность факторов или критериев, уточняю щ их цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив). Ф акторы безо2 4
пасности, в свою очередь, могут разделяться на правовые, технологические, технические и организационные.
Разработка политики безопасности организации, как формальной, так и н е ф о р м а л ь н о й , — безусловно, нетри виальная задача. Эксперт должен не только владеть соот ветствующими стандартами и хорош о разбираться в ком
плексных подходах к обеспечению защ иты информации организации, но и, например, проявлять детективные спо собности при выявлении особенностей построения инфор
мационной системы и сущ ествую щ их мер по организации
защиты информации. Аналогичная проблема возникает в дальнейшем при необходимости анализа соответствия ре комендаций политики безопасности реальному положе
нию вещей: необходимо по некоторому критерию отобрать своего рода «контрольные точки» и сравнить их практичес кую реализацию с эталоном, задаваемым политикой безо пасности. В общем случае м ож но выделить следующие процес сы, связанные с разработкой и реализацией политики бе зопасности. 1. Комплекс мероприятий, связанных с проведением анализа рисков. К этой группе можно отнести: — учет материальных или информационных ценнос тей; — моделирование угроз информации системы;
— собственно анализ рисков с использованием того или иного подхода — например, стоимостной анализ рис ков. 2. М ероприятия по оценке соответствия мер по обес
печению защиты инф орм ации системы некоторому эталонпому образцу: стандарту, проф илю защиты и т. п. 3. Действия, связанные с разработкой разного рода до
кументов, в частности отчетов, диаграмм, профилей защиТ ь
1 , заданной п о безопасности.
2 5
4. Действия, связанные со сбором, хранением и обра боткой статистики по событиям безопасности для органи зации. Основу политики безопасности составляет способ уп равления доступом, определяющий порядок доступа субъ ектов системы к объектам системы. Название этого способа, как правило, определяет название политики безопасности. Для изучения свойств способа управления доступом создается его формальное описание — математическая мо дель. П ри этом модель должна отражать состояние всей системы, ее переходы из одного состояния в другое, а так же учитывать, какие состояния и переходы можно считать безопасными в смысле данного управления. Без этого гово рить о каких-либо свойствах системы, и тем более гаранти ровать их, по меньш ей мере некорректно. Отметим лиш ь, что для разработки моделей применяется ш ирокий спектр математических методов (моделирования, теории инфор мации, графов и др.). В настоящее время лучше всего изучены два вида по литики безопасности: избирательная и полномочная, осно ванные, соответственно, на избирательном и полномочном способах управления доступом. Кроме того, существует набор требований, усилива ющих действие этих политик и предназначенный для уп равления информационными потоками в системе. Следует отметить, что средства защиты, предназначенные для ре ализации какого-либо из названных способов управления доступом, только предоставляют возможности надежного управления доступом или информационными потоками. Основой избирательной политики безопасности явля ется избирательное управление доступом, которое под разумевает, что • все субъекты и объекты системы долж ны быть иден тиф ицированы; 2 6
• права доступа субъекта к объекту системы опреде ляются на основании некоторого правила (свойство изби рательности).
Для описания свойств избирательного управления до ступом применяется модель системы на основе матрицы доступа, иногда ее называют матрицей контроля доступа. Такая модель получила название матричной. М атрица до ступа представляет собой прямоугольную матрицу, в ко торой объекту системы соответствует строка, а субъекту столбец. На пересечении столбца и строки матрицы ука зывается тип разреш енного доступа субъекта к объекту. Обычно выделяю т такие типы доступа субъекта к объекту, как «доступ на чтение», «доступ на запись», «доступ на ис полнение» и др. М ножество объектов и типов доступа к ним субъекта может изменяться в соответствии с некоторыми правилами, существующими в данной системе. О пределение и измене ние этих правил также является задачей матрицы доступа. Решение на доступ субъекта к объекту принимает ся в соответствии с типом доступа, указанны м в соот ветствующей ячейке матрицы доступа. О бы чно избира тельное управление доступом реализует принцип «что не разрешено, то запрещ ено», предполагаю щ ий явное разре шение доступа субъекта к объекту. М атрица доступа — на иболее простой подход к моделированию систем доступа. Избирательная политика безопасности наиболее ши роко применяется в коммерческом секторе, так как ее ре ализация на практике отвечает требованиям коммерческих организаций по разграничению доступа и подотчетности, а также имеет приемлемую стоимость и небольш ие наклад ные расходы.
Основу полномочной политики безопасности состав
ляет полномочное управление доступом, которое под разумевает, что
27
— все субъекты и объекты системы долж ны быть од нозначно идентифицированы;
мации отвечала ряду требований, которые будут рассмот рены в следующем разделе.
— каждому объекту системы присвоена метка критич ности, определяющ ая ценность содержащ ейся в нем ин формации;
1.7. О сновные требования, предъявляемые к комплексной системе защ иты информации
— каждому субъекту системы присвоен уровень про зрачности, определяю щ ий максимальное значение метки критичности объектов, к которым субъект имеет доступ. Когда совокупность меток имеет одинаковые значения, говорят, что они принадлежат к одному уровню безопаснос
Поскольку комплексная система защ иты информации предназначена обеспечивать безопасность всей защищае мой информации, к ней должны предъявляться следующие требования:
ти. Организация меток имеет иерархическую структуру, и, таким образом, в системе можно реализовать иерархически
— она должна быть привязана к целям и задачам защи ты информации на конкретном предприятии;
восходящ ий поток инф ормации (например, от рядовых ис
— она должна быть целостной: содержать все ее со
полнителей к руководству). Чем важнее объект или субъ
ставляющие, иметь структурные связи между компонен
ект, тем выш е его метка критичности. П оэтому наиболее
тами, обеспечиваю щ ие ее согласованное функционирова
защ ищ енны ми оказываются объекты с наиболее высокими
ние;
значениями метки критичности. Каждый субъект кроме уровня прозрачности имеет те
— она должна быть всеохватывающ ей, учитывающ ей все объекты и составляющ ие их компоненты защиты, все
кущее значение уровня безопасности, которое может изме
обстоятельства и факторы, влияю щ ие на безопасность ин
няться от некоторого минимального значения до значения
формации, и все виды, методы и средства защ иты ;
его уровня прозрачности. Основное назначение полномочной политики безо п а с н о с т и — регулирование доступа субъектов системы к
— она должна быть достаточной для решения постав
ленных задач и надежной во всех элементах защ иты, т. е. базироваться на принципе гарантированного результата;
объектам с различным уровнем критичности и предотвра
— она должна быть «вмонтированной» в технологи
щение утечки инф ормации с верхних уровней должност
ческие схемы сбора, хранения, обработки, передачи и ис
ной иерархии в нижние, а также блокирование возможного
пользования информации;
проникновения с нижних уровней в верхние. П ри этом она функционирует на фоне избирательной политики, прида
— она должна быть компонентно, логически, техноло гически и экономически обоснованной;
вая ее требованиям иерархически упорядоченны й характер (в соответствии с уровнями безопасности).
— она должна быть реализуемой, обеспеченной всеми необходимыми ресурсами;
Выбор политики безопасности — это прерогатива ру
— она должна быть простой и удобной в эксплуатации
ководителя системы защиты информации. Но какой бы она
и
ни была, важно, чтобы внедренная система защ иты инфор-
бителями;
2 8
управлении, а также в использовании законными потре
2 9
— она должна быть непрерывной; — она должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении ком понентов ее составных частей, технологии обработки ин формации, условий защ иты. Таким образом, обеспечение безопасности информа ции — непрерывный процесс, который заключается в кон троле защ ищ енности, выявлении узких мест в системе за щ иты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защ иты : — безопасность информации в системе обработки дан ных мож ет быть обеспечена ли ш ь при комплексном ис пользовании всего арсенала имею щ ихся средств защ иты; — никакая система защиты не обеспечит безопасности инф ормации без надлежащей подготовки пользователей и соблюдения ими всех правил защ иты ; — никакую систему защиты нельзя считать абсолютно надежной, т. к. всегда может найтись злоумыш ленник, ко торы й найдет лазейку для доступа к инф ормации.
2. М етодологические основы комплексной системы защиты информации 2.1. М етодология защиты информации как теоретический базис комплексной системы защ иты информации Главная цель создания С З И — достиж ение макси мальной эффективности защиты за счет одновременно го использования всех необходимых ресурсов, методов и средств, исклю чаю щ их несанкционированный доступ к за щищаемой информации и обеспечиваю щ их физическую сохранность ее носителей. О р г а н и з а ц и я — это совокупность элементов (людей, органов, подразделений) объединенных для достижения какой-либо цели, решения какой-либо задачи на основе разделения труда, распределения обязанностей и иерархи ческой структуры. СЗИ относится к системам организационно-технологи ческого (социотехнического) типа, т. к. о б щ ую организа цию защиты и решение значительной части задач осущест вляют лю ди (организационная составляю щ ая), а защита информации осуществляется параллельно с технологичес ким процессами ее обработки (технологическая составля ющая).
Серьезным побудительным мотивом к проведению перспективных исследований в области защ иты информа ции послужили те постоянно нарастающие количествен
ные и качественные изменения в сфере информатизации, которые имели место в последнее время и которые, безу31
словно, должны быть учтены в концепциях защиты инфор мации. Постановка задачи защиты информации в настоящее
методом — способ достижения какой-либо цели, решения конкретной задачи. Н апример, при реализации принципа разграничения доступа в качестве подхода можно выбрать
время приобретает ряд особенностей: во-первых, ставит
моделирование, а в качестве метода реализации — постро
ся вопрос о комплексной защите информации; во-вторых,
ение матрици доступа.
защита информации становится все более актуальной для массы объектов (больших и малых, государственной и не государственной принадлежности); в-третьих, резко рас ширяется разнообразие подлежащ ей защите информации (государственная, промыш ленная, коммерческая, персо нальная и т. п.). Осущ ествление мероприятий по защите информации носит массовый характер, занимается этой проблемой большое количество специалистов различно го профиля. Но успеш ное осуществление указанных ме роприятий при такой их масштабности возможно только при наличии хорош его инструментария в виде методов и средств решения соответствую щ их задач. Разработка тако го инструментария требует наличия развитых научно-ме тодологических основ защиты информации. П од научно-методологическими основами комплекс ной защиты информации (как реш ения лю бой другой про блемы) понимается совокупность принципов, подходов и методов (научно-технических направлений), необходи мых и достаточных для анализа (изучения, исследования) проблемы комплексной защ иты, построения оптимальных механизмов защиты и управления механизмами защиты в процессе их функционирования. Уже из приведенного оп ределения следует, что основными компонентами научнометодологических основ являются принципы, подходы и методы. При этом под принципами понимается основное исходное положение какой-либо теории, учения, науки, мировоззрения; под п о д х о д о м — совокупность приемов, способов изучения и разработки какой-либо проблемы; под 3 2
Общее назначение методологического базиса заключа ется в — формировании обобщ енного взгляда на организа цию и управление К С ЗИ , отражаю щ его наиболее сущест венные аспекты проблемы; — формировании полной системы принципов, следо вание которым обеспечивает наиболее полное решение ос новных задач; — формировании совокупности методов, необходи мых и достаточных для решения всей совокупности задач управления. Предмет нашего исследования — рассмотрение раз личных аспектов обеспечения безопасности социотехнической системы, характерным примером которой является современный объект информатизации. Поэтому состав научно-методологических основ мож но определить следующ им образом:
— так как речь идет об организации и построении КСЗИ, то общеметодологической основой будут выступать основные положения теории систем; — так как речь идет об управлении, то в качестве на учно-методической основы будут выступать общ ие законы
кибернетики (как науки об управлении в системах любой природы);
— так как процессы управления связаны с решением
большого количества разноплановых задач, то в основе
Должны быть принципы и методы моделирования больших систем и процессов их функционирования.
3 г ° З а к . 282
3 3
Состав научно-методологических основ комплексной системы защиты информации представлен на рис. 2.
I ^
ходами могут быть количество готового продукта, его ка чество и т. п. (см. рис. 3).
I | техн и чески е направления i J L _ _ _ J Рис. 2 . С о с т а в н а у ч н о - м е т о д о л о г и ч е с к и х о с н о в К С З И
2.2. Основные положения теории систем Я считаю, что познать части без знания целого так же невозможно, как познать целое без знания его частей (Блез П аскаль 1623-1662). Эти слова очень точно отражают суть теории систем. Но давайте по-порядку. Н ачнем с определения системы. С и с т е м а — совокупность или множество связанных между собой элементов. П од системой может пониматься естественное соеди нение составных частей, самостоятельно сущ ествую щ их в природе, а также нечто абстрактное, порожденное вооб ражением человека. Такой подход к определению понятия системы заранее предлагает сущ ествование связей между ее элементами. Всякая система состоит из взаимосвязанных и взаимо действую щ их между собой и с внеш ней средой частей и в определенном смысле представляет собой замкнутое це лое. Система взаимодействует с внеш ней средой и может быть количественно оценена через свои входы и выходы. Входами могут быть, в общ ем смысле, перерабатывае мое сырье, его количество, состав, температура и т. д.; вы3 4
Рис. 3 . О б о б щ е н н о е п р е д с т а в л е н и е с и с т е м ы
Обычно система подвержена возмущ ениям, для их компенсации, т. е. для того, чтобы система работала в за данном направлении, используют управляю щ ие воздейс твия. Система — это достаточно сложный объект, который можно расчленить (провести декомпозицию ) на составля ющие элементы или подсистемы. Элементы связаны друг с другом и с окружающей средой объекта. Совокупность связей образует структуру системы. Система имеет алго ритм функционирования, направленный на достиж ение оп ределенной цели.
Все системы можно условно разделить на малые и большие. Малые системы однозначно определяются свойствами процесса и обычно ограничены одним типовы м процессом, его внутренними связями, а также особенностями функци онирования.
Большие системы представляют собой слож ную сово купность малых (подсистем) систем и отличаются от них в количественном и качественном отнош ениях.
Рассмотрим составляющие системы и ее основные свойства. 3*
3 5
Э л е м е н т ы — это объекты, части, компоненты систе мы. П ричем их число ограничено.
х факторов, в связи с чем поведение системы приобретаболее упорядоченный и предсказуемый характер.
Свойства — качества элементов, даю щ ие возможность количественного описания системы, выражая ее в опреде ленных величинах. С в я з и — это то, что соединяет элементы и свойства системы в целое. П ри анализе систем значительный интерес представ ляет изучение их структуры. Структура отражает наиболее существенные, устойчивые связи между элементами систе мы и их группами, которые обеспечивают основные свойс тва системы. То есть структура — это форма организации системы. Структура системы может претерпевать опре деленные изменения в зависимости от факторов (причин) внутренней и внеш ней природы, от времени. П онятие «состояние» обычно выявляют на основании исследования, ситуационного анализа, исследуя, например, входные воздействия и выходные результаты системы. П оведение системы характеризует возможность устой чивого, контролируемого перехода системы из одного со стояния в другое. П онятие «равновесие» определяется как способность системы в отсутствие внеш них воздействий сохранять за ранее заданное состояние. Устойчивость характеризуется как способность систе мы возвращаться в состояние равновесия после того, как она была выведена из него под влиянием внеш него воз действия. На рисунке 4 схематично показана система в ус тойчивом и неустойчивом состояниях. Реально устойчи вость систем может достигаться только в определенных пределах. П онятие «развитие» характеризует совершенствова ние структуры и функций системы под влиянием внутрен3 6
Рис. 4 . С и с т е м а в у с т о й ч и в о м с о с т о я н и и ( с п р а в а ) и н е у с т о й ч и в о м ( с л е в а )
Главное свойство системы в том, что она приобрета ет особенности, не свойственные ее элементам. Здесь мож но привести множество примеров: компью тер, как система, состоящая из определенного набора деталей и программно го обеспечения. И если все собрано и отлажено правильно (организована система), то получаем новые качества вхо дящих в эту систему элементов. Это свойство называется принципом эмерджентности. Общая теория систем — междисциплинарная область научных исследований, в задачи которой входит разработ ка обобщенных моделей систем, построение методологи ческого аппарата, описание функционирования и поведе ния системных объектов, рассмотрение динам ики систем, их поведения, развития, иерархического строения и процес сов управления в системах. Теория систем оперирует таки ми понятиями, как системный анализ и системный подход. Системный анализ — это стратегия изучения сложных систем. В качестве метода исследования в нем использует ся математическое моделирование, а основным принципом является декомпозиция сложной системы на более простые подсистемы (принципы иерархии системы). В этом случае математическая модель строится по блочному принципу: 3 7
общая модель подразделяется на блоки, которым можно дать сравнительно простые математические описания. В основе стратегии системного анализа леж ат следу ющие общие положения: 1) четкая формулировка цели ис следования; 2) постановка задачи по реализации этой цели и определение критерия эффективности решения задачи; 3) разработка развернутого плана исследования с указанием основных этапов и направлений решения задачи; 4) после довательное продвижение по всему комплексу взаимосвя занных этапов и возмож ны х направлений; 5) организация последовательных приближений и повторных циклов ис следований на отдельных этапах; 6) принцип нисходящей иерархии анализа и восходящей иерархии синтеза в реше нии составных задач и т. п. Системный анализ позволяет организовать наши зна ния об объекте таким образом, чтобы помочь выбрать нуж ную стратегию либо предсказать результаты одной или не скольких стратегий, представляющ ихся целесообразными для тех, кто должен принимать реш ение. С позиций системного анализа решаются задачи моде лирования, оптимизации, управления и оптимального про ектирования систем. Особый вклад (важность) системного анализа в реше нии различных проблем заключается в том, что он позволя ет выявить факторы и взаимосвязи, которые впоследствии могут оказаться весьма сущ ественными, дает возможность спланировать методику наблюдений и построить экспери мент так, чтобы эти факторы были включены в рассмот рение, освещает слабые места гипотез и допущ ений. Как научный подход системный анализ создает инструмента рий познания физического мира и объединяет его в систе му гибкого исследования сложных явлений. Системный подход — направление методологии науч ного познания и социальной практики, в основе которого лежит рассмотрение объектов как систем. Системный под3 8
ход ориентирует исследование на раскрытие целостности объекта, на выявление разных личны х типов связей в нем и сведения в единую теоретическую картину. Системный подход основан на представлении о систе ме как о чем-то целостном, обладаю щ ем новыми свойства ми (качествами) по сравнению со свойствами составляю щих ее элементов. Н овые свойства при этом понимаются очень ш ироко. Они могут выражаться, в частности, в спо собности решать новые проблемы или достигать новые цели. Для этого требуется определить границы системы, выделив ее из окружаю щ его мира, и затем соответствую щим образом изменить (преобразовать), или, говоря ма тематическим языком, перевести систему в желаемое со стояние. Академик В. М. Глуш ков выделил в системном 1 подходе следую щ ие этапы : 1. П остановка задачи (проблемы): определение объ екта исследования, постановка целей, задание критериев для изучения объекта и управления им ; 2. Очерчивание границ изучаемой системы и ее (пер вичная) структуризация. На этом этапе вся совокупность объектов и процессов, им ею щ их отнош ение к поставлен ной цели, разбивается на два класса — собственно изучае мая система и внешняя среда; 3. Составление математической модели изучаемой системы: параметризация системы, задание области опре деления параметров, установление зависимостей между введенными параметрами;
4. И сследование построенной модели: прогноз разви тия изучаемой системы на основе ее модели, анализ резуль татов моделирования; 5. Выбор оптимального управления. Выбор оптимального управления как раз и позволяет перевести систему в желаемое (целевое) состояние и тем самым решить проблему. 1
Гчуткое В. М. Введение в А С У . — К и е в : Техника, 1974. 3 9
Несмотря на четкую математическую трактовку сис
М икроскопическое представление системы основано
темного подхода, он не получил, однако, однозначной
на понимании ее как совокупности взаимосвязанных эле
практической интерпретации. В связи с этим развиваются
ментов, неразложимых далее «кирпичиков». Центральны
несколько направлений его практической реализации. На
ми понятием микроскопического системного представле
ибольшее распространение получили АС УП овское и сис
ния является понятие элемента. К он ечн о, в общ ем виде
темотехническое направления, суть которых заключается
элемент лиш ь относительно неделим, однако для данной
в соверш енствовании сущ ествую щ их систем управления.
системы он является абсолютно неделимы м. Элементы так
Для этого проводится их обследование (диагностический
же могут быть рассмотрены как системы, но это будут сис
анализ), выявляются недостатки и пути устранения послед
темы другого типа, по отнош ению к исследуемой. Кроме
них, формируются мероприятия по соверш енствованию
того, система понимается как совокупность разнородных
систем, разрабатываются проекты систем, внедрение кото
элементов, которые могут отличаться по принципу дейс
рых рассматривается как способ преобразования существу
твия, техническому исполнению и ряду других характерис
ю щ их систем управления.
тик. Система сводится к ансамблю простых частей.
Значительную роль в этих методах играют понятие системы, подсистемы, окружаю щ ей среды, классификация основных свойств и процессов в системах, классификация систем и т. д. Остановимся на обобщ енном определении системы. Система, с одной стороны, мож ет быть описана дина
Элементы системы обладают связями, которые объ единяют их в целостную систему. Э лем енты могут сущес твовать только в «связанном» виде — между элементами обязательно устанавливаются связи. Например, в электрической цепи, если по ней не течет ток, нет электрических связей, следовательно, нет и эле
мически как процесс, а с другой — статически, с точки зре
ментов; когда цепь подключена к источнику электрической
ния либо внешних, либо внутренних характеристик.
энергии, в ней образуются реальные электрические связи, и
Кроме того, внутреннее строение системы может быть представлено в виде функциональных зависимостей и в виде структуры, реализующей эти зависимости. Таким образом, можно выделить пять основных сис темных представлений: процессуальное, функциональное, макроскопическое, иерархическое и микроскопическое. В процессуальном плане система рассматривается ди намически как процесс, остальные системные представле ния отражают ее статический аспект.
можно говорить о существовании элементов, которые они связывают.
Элементы в системе обязательно взаимодействуют, в результате одни свойства (переменные) изменяю тся, дру гие остаются неизменными (константы).
Важную роль в системных исследованиях играет поиск системообразующих связей, благодаря которым все эле менты системы оказываются связанными воедино. Ф ункциональное представление системы связано с по
В макроскопическом представлении описываются вне
ниманием системы как совокупности ф ункций (действий)
шние характеристики системы, в функциональном, иерар
Для достижения определенной цели. К аж ды й элемент в
хическом и микроскопическом — внутренние.
системе выполняет определенную ф ункцию .
4 0
4 1
Синонимом понятия «структура» для функционально го представления служит понятие функциональной струк туры, или организации.
времени. О сновны м понятием здесь является понятие пе риода жизни — временного интервала, в течение которого функционирует данны й процесс.
Организация мож ет быть реализована различными
Комплексная система защ иты информации — это сис
структурами (при этом функциональная сущность системы
тема организационно-технологического типа. Она характе
остается той же, меняется только способ реализации).
ризуется рядом признаков.
Для макроскопического представления характерно по
КСЗИ — это система:
нимание системы как нерасчленимого целого. Здесь важно
— искусственная, т. е. создана человеком;
понятие системного окружения. П од окружаю щ ей средой системы понимается сово купность всех объектов, изменение свойств которых влияет на систему и на которые влияет изменение свойств систе
— материальная, что подразумевает не только объек тивность ее сущ ествования, но и тот или иной уровень ма териальных и ф инансовых затрат на реализацию ; — открытая, т. е. возможно ее расш ирение;
мы. Ни одна система объектов не может быть рассмотрена вне системного окружения. Системное окружение позволя ет охарактеризовать систему множеством внеш них связей (или внеш ней структурой), так и совокупностью внешних отнош ений. И ерархическое представление системы (как иерархи
— динамическая — подвержена старению, развитию, движению, прогрессу и регрессу, делению , слиянию и т. д.; — вероятностная — система характеризуется вероят ностью структуры, ф ункции, целей, задач, ресурсов. Очень важно, рассматривая теорию систем, не забы вать о ее связи с проектированием. Даже хорош о работа
ческой упорядоченности) основано на понятии подсисте
ющие компоненты, соединенные вместе, не обязательно
мы, или единицы, которые следует отличать от понятия
составляют хорош о ф ункционирую щ ую систему. В слож
«элемент». Единица обладает функциональной специфи
ной системе часто оказывается, что даже если отдельные
кой целого (системы). Система мож ет быть представлена в виде совокупности единиц, составляющ их системную ие рархию. (Единица м ож ет быть разложена на элементы.) М о ж н о выделить два типа функциональных связей
компоненты удовлетворяю т всем необходимым требовани ям, система как целое не будет работать. Д ля иллюстрации рассмотрим пример проектирования самолета специалис тами разного проф иля. Если рассмотреть данную систему
между единицами системной и е р а р х и и — горизонталь
с точки зрения специалиста по двигателям, то, например,
ные — между единицами одного уровня и вертикальные —
Для электронного оборудования в ней совсем не останется
между единицами различных уровней. Единицы каждого
места. П роектировщ ик фю зеляжа будет заботиться только
уровня описываются набором вертикальных и горизон
°б оптимальной конф игурации самолета, пренебрегая рас
тальных связей. П роцессуальное представление системы предполагает
положением антенны. И нженер-психолог потребует мас-
С
У удобств для летчика, не считаясь с затратами. П лано-
понимание системного объекта как совокупности процес
в
сов, характеризуемых последовательностью состояний во
полетит.
4 2
ик сведет до минимума затраты ... И самолет никогда не
4 3
2.3. О бщ ие законы кибернетики М ы уже отметили, что К С З И — сложная, многогран ная система. Для обеспечения эффективного функциониро вания такой системы необходимо грамотное управление. Кибернетика (от г р е ч . — искусство управления) — наука об общ их законах получения, сравнения, передачи и переработки инф ормации. Основной объект исследова н и я — кибернетические системы, рассматриваемые абс трактно, вне зависимости от их материальной природы (ав томатические регуляторы в технике, ЭВМ , человеческое общество и т. д.). Каждая такая система представляет со бой множество взаимосвязанных объектов (элементов сис темы), способных воспринимать, запоминать и перераба тывать инф ормацию , а также обмениваться ею .
вать изучаемые системы, прогнозировать их оптимальное поведение и выявлять каналы и алгоритмы управления. Методы кибернетики не только позволяю т создавать оптимально ф ункционирую щ ий процесс или систему, но указывают пути выбора и использования оптимального ре жима, а также оптимального управления процессом или системой. В рамках кибернетики сформулированы следующие общие законы лю бого управления: 1) всякое управление есть целенаправленный процесс; 2) всякое управление есть инф орм ационны й процесс, заключающийся в сборе, обработке и передаче информа ции. Причем он происходит непрерывно, как показано на рис. 5 ;
Н еобходимым и достаточным условием для опреде ления лю бой отрасли знаний как науки является наличие предмета исследования: метода исследования и средств для реализации этого метода. Д ля кибернетики как науки предметом исследования являются системы лю бой природы и возможность управ лять ими, методом исследования — математическое моде лирование, стратегией исследования — системный анализ, а средством исследования — вычислительная техника. По этому кибернетику можно определить как науку, изучаю щ ую системы лю бой природы, которые способны воспри нимать, хранить и перерабатывать информацию с целью оптимального управления.
Рис. 5
3) всякое управление осуществляется в замкнутом кон туре, образованном управляю щ им и управляемы ми объек тами (органами), объединенными в единую систему пря мой и обратной линиями связи (рис. 6).
Таким образом, кибернетика включает такие понятия, как системы, информация, хранение и переработка инфор мации, управление системами и оптимизация систем. П ри этом кибернетика ш ироко пользуется методом математи ческого моделирования и стремится к получению конкрет ных результатов, позволяю щ их анализировать и синтезиро4 4
Рис. 6
Фундаментальным достижением кибернетики являет ся доказательство двух положений: 1) перечисленные законы образуют систему, т. е. они Должны рассматриваться в совокупности и взаимосвязи; 4 5
2) действие системы кибернетических законов носит всеобщ ий характер, они справедливы для систем лю бой природы: биологических, технических, социальных. Общ ая модель системы организационного и органи зационно-технологического управления представлена на рис. 7.
Поиск и разработка вариантов зависят от имеющихся
ограничений на время, цену и ресурсы. Кроме этого, поиск вариантов ограничивается багажом знаний проектировщи ков системы и тем фактом, что для выбора наилучшего ва рианта можно сравнить лиш ь небольш ое число вариантов.
Предлагаемые системы всегда долж ны сравниваться на основе системного подхода, т. е. долж ны быть рассмот рены все те участники, которые влияют на проектную сис тему или испытываю т ее влияние. Для того чтобы оценить преимущ ество одного вариан та перед другим, необходимо выявить результаты и следс
твия всех допустимых вариантов; желательно учитывать
при этом вероятности появления определенных ситуаций в работе системы.
Лицо, принимаю щ ее реш ение (ЛП Р), долж но обладать определенным уровнем знаний и опытом, которые помога ют ему при рассмотрении имею щ ихся вариантов. Вариан Рис. 7
ты — это различные стратегии или технические решения,
2.4. О сновы методологии принятия управленческого решения
намерения. Каждый вариант ведет к одному или несколь
Суть управления состоит в принятии решения. При ана лизе лю бой проблемы необходимо всегда рассматривать несколько путей, ведущих к цели. А чтобы понять, какой из путей лучше, определить критерий эффективности. Итак, для принятия решения по созданию системы лю бого назначения необходимо иметь четкое и однозначное понимание того, где проходит граница между системой и внеш ней средой; какие цели ставятся перед системой; как оценивать эффективность будущ ей системы; какие затра ты ресурсов необходимы на всех этапах жизненного цикла будущей системы. 4 6
при помощи которых могут быть реализованы имеющиеся ким заранее известным результатам. Понятие «решение» весьма многозначно. Ч ащ е все го под решением подразумевают либо процесс выбора на илучшего (эффективного, оптимального) варианта дейс
твий из многих возможных, либо же сам результат этого выбора. Этот результат обычно фиксируется в письмен
ной или устной форме и включает в себя план (программу) Действий по достиж ению поставленной цели.
Таким образом, под управленческим решением (УР) понимается: 1) поиск и нахождение наиболее рационального и оп тимального варианта действий руководителя; 2) конечный результат постановки и выработки У Р.
4 7
П оведение человека, принимаю щ его реш ение, и само реш ение во многом зависят от структуры и объективных характеристик ситуации, применительно к которой он при нимает реш ение. Ситуации являются частью окружающей среды, в которой действует человек, и для их анализа тре буется предварительное знание характеристик этой среды. В окружаю щ ей среде, как правило, происходят со бытия, которые нельзя предсказать с полной определен ностью. П оэтому степень неопределенности с точки зрения принятия решения является весьма важной характеристикой среды. Кроме того, среде присуща определенная степень динамики, так как с течением времени она подвергается модификации и преобразованию . Наконец, среда характе ризуется определенной степенью сложности. П ричем среда человеческой деятельности и поведения тем сложнее, чем больше переменны х факторов в ней содержится. М о ж н о назвать и другие важные характеристики сре ды, например степень конфликтности интересов лиц, дейс твую щ их в ней. О днако в рамках данного рассмотрения можно ограничиться тремя названными выш е измерения ми. П оэтому среду (как природную, так и обществен ную) представим в виде трехмерного пространства, изме рениями которого являются неопределенность, динамика и сложность. Это представлено на рис. 8, где X— степень неопределенности; Y — степень динамики; Z — степень сложности. В зависимости от характеристик среды можно провес ти классификацию ситуаций и соответствующих им задач, требую щ их принятия решения. Каждая ситуация представляется как точка в про странстве среды, то есть как упорядоченная тройка чисел X, F и Z. Если рассматривать граничные значения, можно предположить, что каждое из них может принимать значе4 8
ния 0 или 1 (низкая или высокая степень качества). Это зна чит, что каждой ситуации соответствует своя вершина куба в системе координат X, Y, Z. Следовательно, возможны в принципе восемь типов пограничных ситуаций (по числу вершин куба), представляю щ их специфический интерес с точки зрения методики принятия решений.
У Y
Рис. 8 . С р е д а к а к т р е х м е р н о е п р о с т р а н с т в о с р а з м е щ е н н ы м и в н е м в и д а м и с и т у а ц и й
Вершины 1, 2, 3 и 4 (рис. 8) — это детерминированные ситуации, в которых реш ения принимаются в условиях оп ределенности и которые поэтому часто называют нериско ванными ситуациями (задачами). В этих ситуациях каждая альтернатива приводит к однозначно определенным пос ледствиям. Д етерминированные ситуации могут быть про стыми и статическими (вершина I), сложными и статичес кими (вершина 2), простыми и динамическими (вершина 3) или сложными и динамическими (вершина 4). Вершины 5, 6, 7 и 8 (рис. 8) — это рискованные ситуа ции. В рискованных (вероятностных) ситуациях лицо, при нимающее решения, не знает наверняка, какой результат Достигнут после принятия того или иного реш ения. Рис о в а н н ы е ситуации могут быть простыми и статическими (вершина 5), слож ны м и и статическими (вершина 6), про стыми и динамическими (вершина 7) или сложными и ди намическими (верш ина 8). Зак. 282
4 9
Таким образом, ситуации могут быть классифицирова ны, как: 1) стандартные проблемы, имеющ ие четкую структу ру, причинно-следственные связи, аналоги; 2) хорош о структурированные проблемы, которые мо гут быть расчленены на подпроблемы, блоки вопросов, для каждого из которых обычно имеется набор решений; 3) слабо структурированные проблемы, в которых да леко не всегда просматриваются причинно-следственные связи; сами проблемы не очерчиваются достаточно четко; 4) неструктурированные проблемы, которые обычно не имеют аналогов, причинно-следственные связи не всег да ясны, способы решения не определены. Классический пример — катастрофы природные и техногенные с боль ш ими социальными последствиями. К методам анализа и решения проблем могут быть от несены: 1) инструкции и руководства, четко и определенно обосновываю щ ие последовательность анализа системы и решение проблем; 2) экономико-математические модели и методы, фор мализующ ие взаимосвязи процессов и явлений; 3) системный анализ, позволяю щ ий выявить направле ния взаимодействия подсистем, стратегию их развития; 4) экспертные оценки и суждения, позволяющие авто ритетным специалистам оценить удельные веса событий, явлений, факторов, прогнозы развития систем и подсистем, соотнош ение детерминированных и вероятностных факто ров. М етод экспертных о ц е н о к — это метод организации работы со специалистами-экспертами и обработки мнений экспертов, выраженных в количественной и/или качествен ной форме с целью подготовки информации для принятия решений.
50
Рис. 9. У к р у п н е н н а я с х е м а в ы р а б о т к и у п р а в л е н ч е с к и х ре ш е н и й
4 '
51
Выделяю т два основных типа процедур экспертного опроса: 1) процедура с личными контактами между экспертами; 2) многоуровневые (итерационные) процедуры без личных контактов с контролируемой обратной связью. К первому относится — дискуссия за круглым столом — мозговой ш турм. В т о р о й — метод «Делфи». Эксперты изолированы друг от друга, но процедура реализуется за несколько туров, между турами обратная связь — в виде мнений других экспертов. Процесс принятия и реализации реш ений представля ется как последовательная смена взаимоувязанных стадий, этапов различных действий руководителя, поиск истины и анализ заблуждений, путей движений к цели и средств ее достижения. Д ан н ы й подход к принятию и реализации ре ш ений представлен на рис. 9.
Рис. 11. Х о р о ш о с т р у к т у р и р у е м а я п р о б л е м а
На диаграммах (рис. 10-13) представлены соотно шение используемых методов решения в зависимости от сложности задачи. Э ксп ертн ы е
С и с те м н ы й
оценки то/ 0
Рис. 10. С т а н д а р т н а я п р о б л е м а 5 2
Рис. 12. С л а б о с т р у к т у р и р у е м а я п р о б л е м а
Рис. 13. Н е с т р у к т у р и р у е м а я п р о б л е м а 5 3
К управленческому реш ению предъявляется ряд об щих требований: 1) всесторонняя обоснованность реш ения; 2 ) своевременность; 3) необходимая полнота содержания; 4) полномочность; 5) согласованность с принятыми ранее реш ениями. Всесторонняя обоснованность решения означает, что его необходимо принимать, используя максимально пол ную и достоверную инф ормацию . Оно должно охватывать весь спектр вопросов, всю полноту потребностей управля емой системы. Для этого необходимо знание особенностей, путей развития управляемой, управляю щ ей систем и окру жаю щ ей среды. Своевременность управленческого решения означает, что принятое решение не должно ни отставать, ни опере жать потребности и задачи системы. П реждевременно при нятое решение не находит подготовленной почвы для его j реализации и развития и может дать импульсы для разви тия негативных тенденций. Не менее вредны и запоздалые решения. Они не способствуют реш ению уже «перезрев ших» задач и еще более усугубляют и без того болезнен ные процессы. Необходимая полнота содержания решений означает, что решение долж но охватывать весь управляемый объ ект, все сферы его деятельности, все направления разви тия. А именно: а) цель (совокупность целей) функционирования и раз вития системы; б) средства и ресурсы, используемые для достижения этих целей; в) основные пути и способы достижения целей; г) сроки достижения целей;
5 4
д) порядок взаимодействия между подразделениями и исполнителями; е) организацию выполнения работ на всех этапах реа лизации решения. Важным требованием управленческого решения явля ется полномочность (властность) решения — строгое соб людение субъектом управления тех прав и полномочий, которые ему предоставлены высш им уровнем управления. Сбалансированность прав и ответственности каждого орга на, каждого звена и каждого уровня управления — посто янная проблема, связанная с неизбежным возникновением новых задач развития и отставанием от них системы регла ментации и регулирования.
Согласованность с приняты ми ранее реш ениями озна чает прежде всего преемственность, непротиворечивость развития. Она необходима для соблюдения традиций ува жения к законам, постановлениям, распоряжениям. Согласованность с приняты ми ранее реш ениями оз начает также необходимость соблюдения четкой причин но-следственной связи общ ественного развития. Если не обходимо, должны отменяться принятые ранее решения, вступившие в противоречие с новыми условиями сущес твования системы. П оявление противоречащ их друг дру гу решений есть прежде всего следствие плохого познания и понимания законов общ ественного развития, проявление низкого уровня управленческой культуры. Важное значение в процессе принятия управленчес кого решения играет психологическая теория реш ений — система мотивированных утверждений, раскрывающих внутреннее содержание деятельности людей в процессе подготовки и принятия реш ений. Опыт показывает, что структура задачи в больш ой сте пени определяет поведение реш аю щ его ее человека. Хотя задачи, с которыми приходится сталкиваться руководите-
55
лю , весьма разнообразны, в них м ож но выделить ряд об щих черт, позволяющ их описывать их структуру. П сихологическая теория реш ений наряду со структу рой задач учитывает черты личности, которые играют важ ную роль в процессе принятия реш ений. Одним из самых важных при этом является то, что действия лица, прини мающего решения, всегда направлены на достижение оп ределенных целей. В процессе подготовки и принятия ре шения играют сущ ественную роль такие познавательные качества, как кратковременная и долговременная память, скорость переработки инф ормации. Важнейш ими классами утверждений психологической теории реш ений являются следую щ ие: 1. П ервый класс касается того, как у лю дей возникает представление о ситуации принятия реш ений. Такое пред ставление является субъективным образом этой ситуации. П сихологи обнаружили, что очень часто принимаю щ ий ре шение упрощ ает ситуацию, забывая или игнорируя некото рые альтернативы или их последствия;
терпретируют инф ормацию о полезности исходов и их ве роятности и то, какие правила выбора альтернатив они при этом используют. Психологи обнаружили, что в простых задачах, связан ных с риском, лю ди обычно вы бираю т стратегии, максими зирующие субъективно ож идаем ую полезность, которую они представляют как линейную ком бинацию субъектив ной вероятности исходов и их полезности; 5. Пятый класс описывает факторы, управляю щ ие про цессом принятия реш ений. К их числу принадлежат вли яние окружающей среды, личностны е особенности при нимающего решение и влияние социальной группы. Например, чем сильнее у субъекта агрессивность и потреб ность в доминировании, тем более вы сокий уровень риска он допускает. Решения, принимаемые коллективно, более рискованны, чем индивидуальные и т. д. Эти зависимости отображены на диаграммах (рис. 14-17).
2. Второй класс описывает процесс оценки субъектив ной ценности того или иного варианта действия, называ емой полезностью. Это важнейш ий класс утверждений, поскольку полезность последствий альтернатив в значи тельной степени определяет характер принимаемого реше ния; 3. К третьему классу принадлежат утверждения, каса ющиеся субъективной оценки вероятностей обстоятельств, определяющ их последствия принятого реш ения. Так, на пример, психологи обнаружили, что лю ди переоценивают вероятности наступления маловероятных событий и одно временно недооценивают вероятности наступления очень правдоподобных событий; 4. Четвертый класс касается стратегий выбора поведе ния. Они описывают, как лица, приним аю щ ие решения, ин-
5 6
Рис. 14. Стандартная проблема
5 7
. Х о р о ш о с т р у к т у р и р у е м а я п р о б л е м а
Первый метод — лабораторный эксперимент. Если в экономике этот метод рассматривается в качестве вспомо гательного, то в психологии он является дом инирую щ им . Второй м е т о д — это формализация. Он состоит в том, что на первом этапе создается совокупность аксиом, касаю щихся каких-либо объектов, например риска или предпочте ния, на втором этапе с помощью формальных рассуждений выводятся новые утверждения, являющиеся следствиями принятых аксиом, и на третьем этапе проводится экспери ментальная проверка исследовательских гипотез.
Третий метод основан на моделировании деятельности по принятию решений, в частности маш инном. Результа ты моделирования сопоставляются с действиями человека в аналогичной обстановке.
. С л а б о с т р у к т у р и р у е м а я п р о б л е м а
Рис. 17. ^ с т р у к т у р и р у е м а я п р о б л е м а
В психологических исследованиях процессов приня тия реш ений используются три метода. 5 8
Таким образом, качественные и эффективные управ ленческие решения долж ны опираться на объективные за коны и закономерности общественного развития. С другой стороны, управленческие решения сущ ественным образом зависят от множества субъективных факторов — логики разработки решений, качества оценки ситуации, структу ризации задач и проблем, определенного уровня культу ры управления, механизма реализации реш ений, исполни тельской дисциплины и т. п. При этом необходимо всегда помнить, что даже тщательно продуманные реш ения могут оказаться неэффективными, если они не смогут предвосхи тить возможных изменений в ситуации, состоянии произ водственной системы. Таким образом, — управление — функция лю бого процесса, осущест вляемого в организационных системах; — цель управления — это согласование индивидуаль ных работ и выполнение общей функции — кооперирован ного трудового процесса. — значение управления — это абсолютная необходи мость для кооперированного труда. 5 9
3.
Определение состава защищаемой информации
3.1. М етодика определения состава защищаемой информации Определение состава защ ищ аемой информации — этО| первый шаг на пути построения системы защ иты. От Toroj
н ости
в соответствии с требованиями обработки и исполь
зования (например, библиотека). Теперь что касается разделения информации с ограни ченным доступом на конфиденциальную и составляющ ую государственную тайну. Термин «конфиденциальный» пе реводится с латинского как «секретный», «доверитель ный». Но информацию , отнесенную к государственной тай не, принято называть секретной. Возможно, что разделение
насколько он будет точно выполнен, зависит результат
информации на секретную и конфиденциальную было вы
функционирования разрабатываемой системы. О бщ ий под
звано стремлением вписаться в ранее принятые норматив
ход состоит в том , что защите подлежит вся конфиденци
ные акты.
1
альная информация, т. е. информация, составляющая госу
В «Конвенции о запрещ ении разработки, производс
дарственную тайну (секретная информация), информация,
тва, накопления и применения химического оружия и его
составляющая коммерческую тайну и определяемая собс
уничтожении», к которой присоединилась и Россия, речь
твенником (владельцем) часть открытой информации. П ри
идет об информации, составляю щ ей государственную тай
этом конфиденциальная информация должна защищаться
ну, но она называется конфиденциальной.
от утечки и утраты, а открытая только от утраты. Часто высказывается мнение, что любая открытая ин
В Законе «О международном инф ормационном обме не» информация, отнесенная к государственной тайне, пос
формация не может быть предметом защ иты. Не все со-]
тавлена в один ряд с «иной конфиденциальной информаци
гласны с включением информации, отнесенной к государс
ей» (ст. 8).
твенной тайне, в состав конфиденциальной.
Таким образом, к конфиденциальной информации
П оэтому рассмотрим эти вопросы подробнее.
должна быть отнесена вся информация с ограниченным до
Защита открытой информации существовала всегда и
ступом, составляющая лю бой вид тайны .
производилась путем регистрации ее носителей, учета их
Но изложенный общий подход устанавливает лиш ь
движения и местонахождения, т. е. создавались безопас
границы защищаемой информации, в пределах которых
ные условия хранения. Открытость информации не умаля
Должен определяться ее состав. П ри реш ении вопроса об
ет ее ценности, а ценная информация нуждается в защи
отнесении конкретной инф ормации к защ ищ аемой нужно
те от утраты. Эта защита не должна быть направлена на
Руководствоваться определенными критериями, т. е. при
ограничение общедоступности информации, т. е. не может
знаками, при наличии которых информация может быть от
быть отказа в доступе к информации, но доступ должен
несена к защ ищ аемой.
осуществляться с соблюдением требований по ее сохран1
Алексенцев А. И. О пределение состава конф иденциальной инфор
мации. С правочник секретаря оф ис-менедж ера. — 2003. — № 2. 3. 6 0
Очевидно, что общ ей основой для отнесения инфор мации к защищаемой является ценность информации, пос кольку именно ценность инф ормации диктует необходи6 1
мость ее защ иты. П оэтому критерии отнесения информаци к защ ищ аемой являются по существу критериями опреде ления ее ценности. П рименительно к открытой информации такими кр териями могут быть: — необходимость информации для правового обесп чения деятельности предприятия. Это относится к доку
отнесения информации к конфиденциальной и защиты ее оТ
утечки является возможность получения преимуществ
0 т
использования информации за счет неизвестности ее
третьим лицам . Этот критерий имеет как бы две состав ляющие: неизвестность информации третьим лицам и по лучение преимуществ в силу этой неизвестности. Данные составляющие взаимосвязаны и взаимообусловлены, пос
ментированной информации, регламентирующ ей стату
кольку, с одной стороны, неизвестность информации тре
предприятия, права, обязанности и ответственность его р
тьим лицам сама по себе ничего не значит, если не обеспе
ботников;
чивает получение преимуществ, с другой — преимущества
— необходимость информации для производственно
можно получить только за счет такой неизвестности. Кон
деятельности (это касается информации, относящейся к на
фиденциальность является правовой формой и одновре
учно-исследовательской, проектной, конструкторской, тех
менно инструментом обеспечения неизвестности инфор
нологической, торговой и другим сферам производствен
мации.
ной деятельности); — необходимость информации для управленческо
Преимущества от использования информации, не из вестной третьим лицам, могут состоять в получении выго
деятельности, сюда относится информация, требую щ аяс
ды или предотвращении ущерба, иметь, в зависимости от
для принятия управленческих реш ений, а также для орга
областей и видов деятельности, политические, военные,
низации производственной деятельности и обеспечения ее
экономические, моральные и другие характеристики, выра
функционирования;
жаться количественными и качественными показателями.
— необходимость информации для финансовой де ятельности; — необходимость информации для обеспечения функ ционирования социальной сферы; — необходимость информации как доказательного ис точника на случай возникновения конфликтных ситуаций; — важность информации как исторического источни ка, раскрывающего направления и особенности деятель ности предприятия. Эти критерии обусловливают необходимость защи ты открытой информации от утраты. Они же вызывают потребность в защите от утраты и конфиденциальной ин
3.2. Классификация информации по видам тайны и степеням конфиденциальности
Понятие государственной тайны является одним из важнейших в системе защ иты государственных секретов в любой стране. От ее правильного определения зависит и политика руководства страны в области защиты секретов.
Государственная тайна — защ ищ аемы е государством в е д е н и я в области его военной, внеш неполитической, эко номической, разведывательной, контрразведывательной и °неративно-розыскной деятельности, распространение ко-
формации. Однако основным, определяющ им критерием 62
6 3
торых может нанести ущ ерб безопасности Российской Ф е дерации. В соответствии с Указом П резидента РФ от 30.11.1995 г № 1203 к государственной тайне относят «сведения в облас ти военной, внеш неполитической, экономической, разве дывательной, контрразведывательной и оперативно-розыс кной деятельности государства, распространение которь может нанести ущ ерб безопасности Российской Федера ции, а также наименования федеральных органов исполни тельной власти и других организаций (далее именуются г~ сударственными органами), наделенных полномочиями п распоряжению этими сведениями». Главный документ, в соответствии с которым осущест вляется работа по защите государственной тайне, — это За кон о государственной тайне. В соответствии с Указом П резидента РФ от 06.03.1997 г № 118 в перечень сведений конфиденциального характер включены: 1. Сведения о фактах, событиях и обстоятельствах час тной жизни гражданина, позволяю щ ие идентифицировать его личность (персональные данные), за исключением све дений, подлежащ их распространению в средствах массо вой информации в установленных федеральными закона ми случаях; 2. Сведения, составляющие тайну следствия и судо производства; 3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Граж данским кодексом Российской Ф едерации и федеральными законами (служебная тайна); 4. Сведения, связанные с профессиональной деятель ностью, доступ к которым ограничен в соответствии с Кон ституцией Российской Ф едерации и федеральными зако нами (врачебная, нотариальная, адвокатская тайна, тайна 6 4
переписки, телефонных переговоров, почтовых отправле ний, телеграфных или иных сообщений и так далее); 5. Сведения, связанные с коммерческой деятельнос тью, доступ к которым ограничен в соответствии с Граж
данским кодексом Российской Ф едерации и федеральными законами (коммерческая тайна);
6. Сведения о сущности изобретения, полезной модели
или промышленного образца до официальной публикации информации о них. Коммерческая тайна — конфиденциальность информа
ции, позволяющая ее обладателю при сущ ествую щ их или
возможных обстоятельствах увеличить доходы, избежать
неоправданных расходов, сохранить положение на рынке
товаров, работ, услуг или получить иную коммерческую выгоду; информация, составляющая коммерческую тай ну, — научно-техническая, технологическая, производс
твенная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-
хау)), которая имеет действительную или потенциальную
коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном ос новании и в отнош ении которой обладателем такой инфор мации введен режим коммерческой тайны.
Право отнесения информации к коммерческой тайне,
как и установления режима защ иты коммерческой тайны в Целом, предоставляется обладателю коммерческой тайны. Таким образом:
— сведения, составляющ ие коммерческую тайну, моtyT быть в лю бой сфере экономической деятельности; Не
— состав сведений, относимых к коммерческой тай-