С. С. Бучик, к.т.н, доц.

Житомирський військовий інститут імені С. П. Корольова

 

ТИПОВА СХЕМА СИСТЕМИ ЗАХИСТУ ІНФОРМАЦІЇ

 

Нормативний документ технічного захисту інформації (НД ТЗІ) 1.1-003-99 «Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу», затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 р. № 22, надає визначення поняттю захист інформації в автоматизованій системі (АС), але не надає визначення, що собою представляє система захисту інформації. Існує визначення лише поняття комплексної системи захисту інформації (КСЗІ). Приведемо дані визначення.

Захист інформації в АС  – діяльність, яка спрямована на забезпечення безпеки оброблюваної в АС інформації та АС в цілому, і дозволяє запобігти або ускладнити можливість реалізації загроз, а також знизити величину потенційних збитків внаслідок реалізації загроз.

Комплексна система захисту інформації – сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС (на автономних робочих станціях (АС класу 1) і в комп’ютерних мережах (АС класу 2 і 3)).

Зрозуміло, що так як система визначається як сукупність взаємозв'язаних елементів, то призначення системи захисту інформації полягає в тому, щоб об'єднати усі складові елементи захисту в єдине ціле, в якому кожен компонент, виконуючи свою пряму функцію, одночасно забезпечує виконання функцій іншими компонентами і пов'язаний з ними логічно і технологічно [1].

За відсутності окремих компонентів системи або їх неузгодженості між собою неминучі помилки в технології захисту інформації. Отже, захист має бути системним, і це є основною умовою захисту інформації.

Для того, щоб забезпечити надійність захисту інформації, потрібна не лише системність захисту, але і її комплексність – один із основних принципів захисту інформації. В цілому, комплексність представляє собою сукупність предметів і явищ, які пов’язані між собою в одне ціле.

Відповідно до поняття захисту інформації комплексність має три призначення [1]:

1. у об'єднанні локальних систем захисту;

2. у забезпеченні повноти усіх складових системи захисту;

3. у забезпеченні всеосяжності захисту інформації.

Перше призначення полягає у об’єднанні в одне ціле локальних СЗІ, при цьому, вони повинні і функціонувати, як єдине ціле.

Друге призначення комплексності обумовлене призначенням самої системи. Система повинна  логічно і технологічно об'єднати усі складові захисту. Але вона не розглядає повноту цих складових, не враховує усіх чинників, які чинять або можуть чинити вплив на якість захисту. Таким чином, якість захисту полягатиме у обиранні необхідних оптимальних варіантів побудови систем (системи) захисту інформації (повинні враховуватися усі параметри уразливості інформації, потенційно можливі загрози її безпеки, охоплюватися усі необхідні об'єкти захисту, використовуватися усі можливі види, методи і засоби захисту і необхідні для захисту кадрові ресурси, здійснюватися усі захисні заходи, що викладені в цілях і завданнях) з урахуванням конкретного призначення системи.

Третє призначення комплексності полягає в тому, що система має забезпечувати безпеку усієї сукупної інформації належному захисту і за будь-яких обставин. Це означає, що повинні захищатися усі носії інформації в усіх компонентах її збору, зберігання, передачі і використання, в будь-який час і при усіх режимах функціонування системи обробки інформації.

В той же час, комплексність не виключає, а навпаки, припускає диференційований підхід до захисту інформації. Тут диференційованість залежить від складу її носіїв, видів таємниці, до яких віднесена інформація, ступеня її конфіденційності, засобів зберігання і обробки, форм і умов прояву її уразливості, каналів і методів несанкціонованого доступу до інформації.

Для того, щоб впевнитись у багатоплановості СЗІ достатньо переглянути її типову схему (рис.1) за основу якої взята схема, що представлена в [2], але з урахуванням авторських досліджень та запровадженого методу «Подвійної трійки захисту» [3,4].

Рис.1. Типова схема системи захисту інформації

Окремо охарактеризуємо виділенні на рис.1 елементи організаційної системи захисту. Розуміння решти елементів для більшості фахівців із захисту інформації не представляє труднощів.

Система організації психологічного захисту інформації являє собою систему, яка використовує допустимі нормами права і моралі методи і засоби вивчення психофізіологічних особливостей і можливостей людей, а також психологічної дії на людей з метою оцінки відповідності їх вимогам для допуску до обробки інформації, що захищається.

Система організації використання морально-етичних норм захисту інформації являє систему,  що використовує норми і правила, які не мають юридичної сили, але їх порушення веде до втрати авторитету, виникнення додаткових труднощів і інших негативних наслідків для людини і організації.

Система організації страхування захисту інформації є системою захисту інформації, яка передбачає відшкодування збитків від її знищення або модифікації шляхом отримання страхових виплат.

Як вказано в [2], морально-етичні і психологічні елементи захисту інформації практично в усіх країнах до теперішнього часу розглядалися лише в теорії.

ЛІТЕРАТУРА

1.                 Попов В. В. Комплексная защита информации на предприятии. Курс лекций / В. В. Попов. – М.: МАИ, 2009. – 124 с. – Режим доступу: http://www.frela-21.narod.ru/kzip/kzip.doc.

2.                 Аверченков В. И. Системы защиты информации в ведущих зарубежных странах : учеб. пособие для вузов / В. И. Аверченков, М. Ю. Рытов, Г. В. Кондрашин, М. В. Рудановский. – Брянск: БГТУ, 2007. –  225 с.

3.                 Юдін О. К. Методологія побудови класифікатора загроз державним інформаційним ресурсам / О. К. Юдін, С. С. Бучик, А. В. Чунарьова,
О. І. Варченко // Наукоємні технології. – 2014. –  №2(22). – С. 200–210.

4.                 Юдін О. К. Інформаційна безпека. Нормативно-правове забезпечення : підруч. / О. К. Юдін. – К.: НАУ, 2011. – 640 с.