4. Общие положения концепции обеспечения безопасности информационных систем (ис)

Основные понятия концепции. Широко употребляемое в настоящее время понятие "концепция" происходит от латинского слова "conceptia" и в известных отечествен­ных словарях имеет различное содержание: определенный способ по­нимания, трактовки какого-либо явления, основная точка зрения, ру­ководящая идея для их освещения; ведущий замысел, конструктивный принцип различных ви­дов деятельности. Исследования и системати­зация существующих подходов к формированию концепций защиты информации и принципов построения современных информационных технологий позволили развить и сформулировать концепцию обеспе­чения информационной безопасности (ИБ) информационных систем и таких их классов как информационно-телекоммуникационные, авто­мати­зи­ро­ванные системы обработки информации и управления.

Концепция обеспечения информационной безопасности ИС пред­ставляет содержание теоретических основ обеспечения информацион­ной безопасности и их прикладных направлений, обеспечивающих принципы реализации оптимального уровня защиты информации, ин­формационного ресурса, информационных систем, информационной среды личности, общества, государства с учетом затрат ресурсов, направленных на получение конечного народнохозяйственного резуль­тата, сбалансированного и согласованного развития производства.

С учетом этой концепции обеспечение ИБ предполагает реализа­цию дифференцированной комплексной защиты информации, при ко­торой интегрированы в единое целое средства, механизмы, процессы, методы, мероприятия, программы и их взаимосвязи, способствующие реализации целей защиты, обеспечению структурного построения сис­темы защиты, реализации концептуального подхода защиты и ее функционировании на всех этапах жизненного цикла.

Практическая реализация концепции предполагает систематиза­цию совокупности сведений и решений, необходимых и достаточных для изучения, анализа и синтеза систем защиты, решения задач и про­блем защиты, возникающих в реальных информационных системах различных в условиях постоянного внешнего воздействия дестабили­зирующих факторов и множества потенциальных угроз.

Структура концепции обеспечения информационной безопасности.

Основу общей структуры рассматриваемой концепции составляет ряд положений:

1. Формирование структурного представления системы обработки информации с учетом:

– сфер деятельности (экономика, политика, оборона, социальная сфера, управление, экология, СМИ, и др.);

– отношения к различным организационно-правовым формам собственности;

– степени самостоятельности функционирования, деятельности, взаимосвязей с различными государственными, общественными орга­нами (министерствами, ведомствами, организациями) внутри страны и за рубежом.

2. Обоснование системной классификации информации, циркули­рующей и обрабатываемой в информационных системах соответст­вующих классов:

– по степени важности (отнесение сведений и информации к государственной тайне, коммерческой тайне, интеллектуальной собст­венности, персональным данным);

– сферам (областям) ее использования (военная, экономическая и т.д.);

– степени (возможности) использования наработанной в ВПК информации в интересах народного хозяйства (двойное применение закрытой информации и информационных технологий в рамках про­граммы конверсии);

– степени компьютеризации, автоматизации процесса обработки сведений и информации в системах ее обработки и управления.

3. Уточнение (формирование) унифицированной структуры ин­формационных ресурсов и потоков в системе обработки и управления:

– формирование информационного ресурса по объектам отно­шений физических и юридических лиц государства (документы, мас­сивы документов, в том числе находящиеся в информационных систе­мах государственного, общественного, ведомственного и личностного характера), по классам ин формационных систем различного назначе­ния (библиотеки, архивы, банки данных, базы данных, информацион­ные технологии, процедуры и алгоритмы сбора, обработки, передачи, хранения, информации, научно-технический потенциал и т.д.);

– формирование структуры потоков обмена информационными ресурсами в системе обработки информации и управления.

4. Структурирование и представление среды, в которой должна осуществляться защита информации.

5. Формирование целей, задач комплексной защиты информации (обеспечения безопасности информации и информационной безопас­ности) и выбор моделей и методов их решения.

6.Уточнение перечня, структуры, классификации и характеристик объектов защиты информации.

7. Выявление, классификация и оценка возможных дестабилизи­рующих факторов, характеристик источников угроз безопасности ин­формации и каналов утечки информации, оказывающих влияние на защищенность информации.

8. Выбор способов, методов и средств обеспечения безопасности информации и инструментальных средств системных оценок эффек­тивности защиты информации.

9. Разработка системы концептуальных решений, обеспечиваю­щих организацию эффективной защиты информации от любых потен­циально возможных угроз.

10. Формирование системы условий, обеспечивающих практиче­скую реализацию заданных вариантов и стратегий эффективной защиты.