С.А.Охрименко, доктор хабилитат, профессор (Молдавская Экономическая Академия)
Г.А.Черней, доктор экономики (Национальный банк Молдовы)

Abstracts: Are reviewed the questions of organizing the information resources security

Большинство создаваемых и функционирующих информационных систем базируются на использовании интегрированного (системного) подхода к использованию информационных, математических, программных, вычислительных и других их ресурсов. Именно это обстоятельство порождает необходимость обеспечения безопасности и исключения несанкционированного доступа и использования данных. При этом требуется решение трех взаимосвязанных проблем. Первая связана с определением (установлением) объекта защиты (что защищать), вторая – нарушителя защиты (от кого защищать) и третья – средств, методов и способов предотвращения возможных угроз (как защищать). Приведенные проблемы отличаются глубиной проработки теоретических и практических вопросов.

Первая проблема объединяет анализ целей и разработку общей концепции системы информационной безопасности, анализ потенциальных угроз и каналов утечки информации. Обоснование потенциальных действий злоумышленников, тактики и стратегии доступа нарушителей к информационным ресурсам, моделирование возможных воздействий, а также размера ущерба от неправомерных воздействий – все это характеризует вторую проблему. И, наконец, третья проблема носит прикладной характер, поскольку характеризует комплекс разработок, основной целью которых является исключение несанкционированного доступа, захвата и распространения информации.

Информационные ресурсы (ИР) представляют собой знания, представленные в проектной форме и воспринимаемые как часть знаний, которая не только отчуждена от своих создателей, но и материализована в виде документов, баз данных и знаний, алгоритмов и программ, а также произведений науки, литературы и искусства.

ИР объединяют следующие компоненты: информационную базу, материально-техническую базу информационной системы, кадровую, организационно-методическую                  составляющие, средства коммуникации, средства обработки информации, финансовую и правовую   составляющие [1, 3]. Рассмотрим подробнее приведенную совокупность [2].

Информационная база определяется объемом и структурой фондов первичных документов, объемом вторичной (агрегированной) информации, справочно-поискового аппарата, объемом информации, содержащейся в базах данных.

Материально-техническая база характеризует состав и архитектуру комплекса технических средств и программного обеспечения информационной системы.

Кадровая составляющая определяет численность персонала по сбору, анализу, обработке, хранению и передаче информации.

Организационно-методическая составляющая отражает уровень развития сети информационных служб, наличие методических и нормативных документов, которые регламентируют деятельность информационной системы.

Средства коммуникации характеризуют используемые средства связи, количество библиотек, количество изданий на различных носителях, а также число научных форумов.

Средства обработки информации – средства аналитико-синтетической переработки информации.

Финансовые средства – затраты на различные виды информационной деятельности, услуги, редакционно-издательскую деятельность.

Правовая составляющая определяет и регламентирует отношения, возникающие при сборе, передаче, обработке, накоплении, хранении, актуализации, купли и продаже информации, возникающие в процессе создания, внедрения и эксплуатации информационных систем, других систем обработки и передачи информации.

Организация защиты ИР должна строится на следующих принципах [2].

Первый принцип определяет, что защита должна быть комплексной и предусматривать обеспечение физической целостности информации, предупреждение несанкционированной ее модификации и предотвращение несанкционированного получения.

Второй принцип характеризует эффективность комплексной защиты только при условии системно-концептуального подхода к решению вопросов защиты. Это предусматривает: исследование и разработку совокупности вопросов защиты ИР с единых методологических позиций; рассмотрение в едином комплексе всех видов защиты, в том числе таких, как обеспечение физической целостности, предупреждения несанкционированной модификации, несанкционированного получения; системный учет факторов, оказывающих влияние на защищенность информации; комплексное использование средств и методов защиты.

Следующий, третий принцип определяет, что только на основе системно-концептуального подхода может формироваться унифицированная концепция защиты ИР. Причем унификация распространяется как на различные виды защиты (организационные, технические, программные и др.), так и на информационные системы, их архитектуру, технологии обработки информации и условия функционирования.

Четвертый принцип характеризует непрерывность проведения работ по защите ИР и реализацию комплекса мероприятий, основными из которых являются:

• создание механизмов защиты, что предусматривает установление необходимой степени защиты информации в соответствии с Законами о государственной и коммерческой тайне, персональных данных и др.; определение причин и каналов утечки информации; выделение финансовых средств; разработка мер контроля и ответственности за соблюдением правил защиты;
• обеспечение физической целостности посредством таких мер, как предупреждение, обнаружение и исправление ошибок при подготовке и вводе информации; восстановление информации при передаче в случае искажения; обеспечение целостности и корректности функционирования аппаратно-программного комплекса; обеспечение сохранности архивных массивов; предупреждение и устранение последствий действий злоумышленников.

Выработка стратегических решений для организации защиты ИР базируется на общих моделях систем и процессов, использование которых создает предпосылки для объективной оценки состояния информационной системы. Набор общих моделей должен отражать представление о реальных потребностях информационных систем и процессов. К их числу следует отнести следующие:

• общая модель процесса защиты ИР, отображающая взаимодействие угроз (дестабилизирующих факторов) и средств противостояния;
• обобщенная модель системы информационной безопасности, которая является продолжением и развитием общей модели с отображением процессов защиты;
• модель оценки угроз и потенциальных потерь (анализ рисков), основной целью которой является соответствие реальным процессам защиты;
• модель анализа систем разграничения доступа к ИР.

• Приведенные выше модели не исчерпывают всего многообразия, поскольку носят методологический характер, и это, относится, прежде всего, к модели анализа рисков. Это связано с изменением состава и структуры дестабилизирующих факторов, результатом действия которых является мультипликативный эффект. Именно данная модель находится в центре внимания специалистов по защите ИР.

     Немаловажным аспектом эффективной организации защиты ИР является создание стандартов и руководящих методических материалов. Стандарты должны быть сгруппированы в следующей последовательности: обязательные и рекомендуемые. К первой группе относят концептуальные (концепция защиты, система показателей защищенности информации, функции и задачи защиты). Вторая группа объединяет типовые (системы защиты, механизмы защиты, средства защиты, защищенные технологии сбора, обработки и хранения информации).

     Структура руководящих методических материалов должна охватывать следующие группы: методология защиты, уязвимость информации и ее оценка, требования к защите информации, функции и задачи защиты информации, средства защиты (с выделением технических, программных, организационных, криптографических, механизмов защиты, систем защиты и др.). Отдельную группу должны составлять материалы по методологии проектирования систем защиты ИР, организации работ по защите, организационно-правовому обеспечению, а также системе условий, обеспечивающих повышение эффективности защиты.

     Проблема защиты ИР требует обоснования и разработки соответствующей программы и выделения основных направлений развития. Данная проблема носит государственный характер и, по нашему мнению, должна включать проведение следующих работ: научно-исследовательские проблемы; разработку   и анализ проектов по управлению защитой ИР; методическое обеспечение мероприятий; подготовку кадров по защите информации.

Литература:

1. Ананьева Т.А. Информационное обеспечение органов управления в свете концепции информационного менеджмента. //Зарубежная радиоэлектроника. – 1995, N 4, с. 45-53.
2. Герасименко В.А Защита информации в автоматизированных системах обработки данных. В 2-х кн.- М.: Энергоатомиздат, 1994.
3. Черней Г.А., Охрименко С.А., Ляху Ф.С. Безопасность автоматизированных информационных систем. – Кишинев: Ruxanda, 1996.