Концепцией защиты информации называется инструментально-методологическая база, обеспечивающая практическую реализацию стратегий защиты (оборонительной, наступательной, упреждающей), при ее оптимизации и минимальности затрат. На рис. 1. Приведена структура концепции защиты информации.
Рис. 1. Структура концепции защиты информации:
1 – концепции, задающие ситуацию защиты
2 – методология описания ситуации защиты
3 – система показателей уязвимости (защищенности) информации
4 – система дестабилизирующих факторов, влияющих на уязвимость (защищенность) информации
5 – методология оценки уязвимости (защищенности) информации
6 – методология определения требований к защите информации
7 – система концептуальных решений по защите информации
а) функции защиты
б) задачи защиты
в) средства защиты
г) система защиты
8 – требования к концептуальным решениям
9 – условия, способствующие повышению эффективности защиты
1. Концепции, задающие ситуацию защиты. Ситуацию защиты формируют концепции построения и использования автоматизированных систем обработки данных (АСОД) и условия их функционирования. АСОД предназначены для оптимального управления информационным обеспечением деятельности современных объектов (предприятий, учреждений и т.п.) на регулярной основе.
Решениями данной концепции являются формирование на каждом спецобъекте информационного кадастра, построение унифицированной технологии автоматизированной обработки информации и разработка методологии организации информационного обеспечения деятельности объектов.
Унифицированная технология автоматизированной обработки информации представлена в табл. 1.
Таблица 1
Наименование участков
Характеристики участков
Содержание обработки данных
Данные, используемые в процессе обработки
Данные, полученные в процессе обработки
Прием входных потоков информации
1. Прием и размещение в буферных ЗУ поступающих документов и данных
2. Контроль поступивших документов и данных
3. Регистрация поступивших документов и данных
4. Подготовка принятых документов и данных для последующей обработки
5. Передача документов и данных на обработку
1. Поступающие по каналам связи сообщения быстроменяющейся информации
2. Поступающие по каналам связи сообщения, содержащие медленноменяющуюся фактографическую информацию
3. Поступающие по каналам связи сообщения, содержащие постоянную информацию
4. Поступающая входящая корреспонденция
5. Поступающая техническая документация
6. Поступающая другая документальная информация
1. Подготовленные для последующей обработки все виды поступившей информации
2. Данные для регистрации всех видов поступившей информации
3. Данные об обнаруженных ошибках в поступивших сообщениях и документах
Обработка быстроменяющейся информации в реальном масштабе времени
1. Разделение потока быстроменяющейся информации по категориям срочности сообщений
2. Обеспечение немедленной обработки весьма срочных сообщений
3. Периодическая обработка массива срочных сообщений
4. Табельная обработка всего массива сообщений
5. Информационно-вычислительное обеспечение текущей работы диспетчерских служб
6. Передача всех поступивших данных на базовую обработку
1. Поступающие сообщения быстроменяющейся информации
2. Ранее накопленные массивы быстроменяющейся информации
3. Массивы нормативно-правовой информации
1. Сигналы о поступлении весьма срочных сообщений
2. Информационные сообщения, выдаваемые на устройства отображения
3. Результаты решения задачи распознавания ситуации
4. Табельные документы оперативно-диспетчерской службы
5. Данные, выдаваемые по нерегламентным запросам
6. Сообщения и документы, помещаемые в массивы для последующего использования
7. Сообщения, передаваемые на базовую обработку
Формирование текущих массивов входной информации
1. Проверка правильности приема и регистрации поступивших данных и документов
2. Определение назначения поступивших сообщений и документов и распределение их по массивам
1. Сообщения и документы входных потоков, поступившие в соответствующий интервал времени
2. Массивы нормативно-справочных данных
1. Массивы сообщений, подготовленные для базовой обработки фактографической информации
2. Массивы документов, подготовленные для базовой обработки документальной информации
Базовая обработка входных потоков информации
1. Обработка фактографической информации по стандартному алгоритму
2. обработка поступившей входящей корреспонденции по стандартному алгоритму
3. Обработка технической документации по стандартному алгоритму
4. Обработка другой документальной информации по стандартному алгоритму
5. Обеспечение ввода данных в массивы исходных данных
6. Формирование массивов описаний документов
7. Подготовка и передача в фонды оригиналов документов
1. Массивы сообщений, подготовленные на предыдущем этапе
2. Массивы документов, подготовленные на предыдущем этапе
3. Массивы нормативно-справочных данных
1. Данные, извлекаемые специалистами в процессе базовой обработки и помещаемые в персональные массивы
2. Массивы картотеки входящей корреспонденции
3. Массивы описаний документов
Формирование массивов исходных данных
1. Организация ввода и ввод данных в ЗУ
2. Проверка правильности формирования исходных данных
3. Размещение исходных данных в массивах в соответствии с их назначением и принадлежностью
4. Поддержание массивов исходных данных в рабочем состоянии
5. Обеспечение целостности и безопасности информации в массивах исходных данных
1. Данные, извлекаемые пользователями в процессе базовой обработки
2. Массивы ранее накопленных исходных данных
3. Массивы нормативно-справочных данных
1. Упорядоченные, организованные, поддерживаемые в рабочем состоянии и защищаемые массивы исходных данных
Аналитико-синтетическая обработка информации
1. Формирование перечня обновляемых регламентных данных
2. Формирование перечня впервые получаемых регламентных данных
3. Организация процесса обработки
4. Организация многоаспектного поиска в массивах исходных данных
5. То же в массивах регламентных данных
6. Логико-аналитическая обработка данных по запросу
7. То же в диалогом режиме
8. Организация экспертизы с количественными оценками параметров
9. Организация экспертных оценок на уровне лингвистических оценок экспертов
10. Организация экспертных оценок по методологии «мозгового штурма»
11. Организация и поддержание сеансов психоинтеллектуальной генерации
1. Массивы исходных данных
2. Массивы регламентных данных
3. Массивы нормативно-справочных данных
4. Массивы вспомогательных данных
1. Регламентные данные, подготовленные для ввода в массивы
2. Массивы вспомогательных данных (результаты)
Введение баз регламентных данных (информационного кадастра)
1. Формирование списков регламентных данных, подлежащих вводу в порядке обновления имеющихся данных кадастра
2. То же в порядке пополнения данных (расширение кадастра)
3. Организация процесса ввода данных
4. Формирование регламентных данных для ввода
5. Контроль правильности формирования пакета
6. Передача пакета данных администрации кадастра
7. Документальное и юридическое оформление передачи пакета данных
8. Ввод пакета данных в массивы регламентных данных
9. Контроль правильности ввода
10. Документальное оформление акта ввода данных в массивы кадастра
11. Поддержание массивов данных в рабочем состоянии
12. Организация защиты массивов данных
13. Организация контроля массивов кадастра
14. Оптимизация структуры массивов кадастра
1. Регламентные данные, полученные в результате аналитико-синтетической обработки
2. Обновляемые и пополняемые массивы регламентных данных
3. Журналы учета передачи регламентных данных в кадастр
4. Регистрационные журналы обновления и пополнения массивов (кадастра)
5. Журналы учета результатов контроля информационного кадастра
6. Массивы нормативно-справочных данных
1. Обновленные и пополненные массивы информационного кадастра
2. Записи в журналах учета передачи, регистрации обновления, пополнения и учета результатов контроля
Переработка данных
1. Ввод (формирование) запросов на переработку информации
2. Формирование процедуры (алгоритма) переработки информации в соответствии с запросом
3. Определение перечня данных, необходимых для выполнения сформированной процедуры
4. Выполнение процедуры по сформированному алгоритму
5. Выдача результатов переработки в соответствии с запросом
6. Запись (при необходимости) результатов переработки в массив результатов
7. Контроль записи
8. Регистрация записи в журнале
9. Поддержание массивов в рабочем состоянии
10. Защита массивов результатов
11. Оптимизация структуры массивов результатов
1. Массивы регламентных данных
2. Регистрационные журналы
3. Массивы нормативно-справочных данных
1. Результаты переработки данных в соответствии с алгоритмической процедурой
2. Записи в массивах результатов
3. Записи в регистрационных журналах
Выдача данных
1. Формирование списка подлежащих выдаче регламентных документов
2. Организация процедуры обработки документов
3. Компоновка формы обрабатываемого документа
4. Формирование списка данных, необходимых для обработки документа
5. Поиск и выборка необходимых данных
6. Обработка выбранных данных в соответствии с формой и содержанием обрабатываемого документа
7. Выдача документа
8. Запись документа в массив выданных документов
9. Регистрация выдачи документа и записи его в массив
10. Ввод запросов на нерегламентную выдачу данных
11.Формирование списка данных, необходимых для удовлетворения запроса
12. Поиск и выборка необходимых данных
13. Обработка выбранных данных
14. Выдача данных
15. Запись (при необходимости) выданных данных в массив
16. Регистрация (при необходимости) выдачи данных и записи их в массив
17. Поддержание массивов в рабочем состоянии
18. Защита массивов
19. Оптимизация структуры массивов выданных документов
1. Табель выдачи регламентных документов
2. Массивы форм документов
3. Массивы информационного кадастра
4. Результаты обработки на участке №8
1. Регистрационные данные о выдаче регламентных документов
2. Регистрационные данные о поступивших нерегламентных запросах и выданных по ним данным
2. Методология описания ситуации защиты. Описание ситуации защиты необходимо проводить в строго формальном представлении архитектуры и процессов функционирования рассматриваемой системы. Одной из наиболее характерных особенностей ситуаций является повышенной влияние случайных факторов, что затрудняет формальное описание системы.
3. Система показателей уязвимости (защищенности) информации. Под показателем уязвимости информации понимается мера потенциально возможного негативного воздействия на защищаемую информацию. Величина, дополняющая меру уязвимости до максимально возможного значения представляет собою меру защищенности информации. Показатели приведены в лекции № 13.
4. Система дестабилизирующих факторов, влияющих на уязвимость (защищенность) информации. Под дестабилизирующим фактором понимается событие или явление, которое может произойти в АСОД или системе защиты, и содержащее в себе потенциальную возможность такого негативного на информацию, результатом которого может быть повышение значений каких-либо показателей уязвимости защищаемой информации и соответственно – снижение показателей ее защищенности. Для реализации оборонительной стратегии защиты достаточно иметь сведения об уже известных и наиболее опасных угрозах. Для наступательной стратегии необходимы сведения о всех когда-либо проявлявшихся угрозах. Для реализации упреждающей стратегии необходимы сведения о всех потенциально возможных угрозах как в существующих, так и в перспективных системах защиты информации. Смотри лекцию № 11.
5. Методология оценки уязвимости (защищенности) информации. Данная методология должна содержать методы, модели и инструментальные средства определения текущих и прогнозирования будущих значений каждого из системы показателей уязвимости (защищенности) информации под воздействием каждой из потенциально возможных угроз и любой их совокупности. Смотри лекцию № 13.
6. Методология определения требований к защите информации. Данный компонент определяет подходы, средства и методы практической организации защиты. По возможности требования к любым параметрам создаваемых систем должны быть выражены в количественном эквиваленте. В связи с повышенным влиянием на систему различных неопределенностей требования к системе защиты определяются эвристическими и теоретико-эмпирическими методами. При этом построение системы необходимо проводить во взаимосвязи с задачами оптимизации и стандартизации. Смотри лекцию № 16.
7. Система концептуальных решений по защите информации. Под концептуальным решением понимается решение, которое создает объективные предпосылки для формирования инструментальных средств, необходимых и достаточных для эффективного решения всей совокупности задач по защите информации на регулярной основе и в соответствии с требованиями к их решению. Требования к решению задач определяются целями функционирования системы защиты. Концептуальные решения должны быть научно обоснованными и оптимальными. Принятие решений относится к слабоструктурированным задачам, и следовательно методики их решения должны основываться на эвристических методах. Смотри лекции №19 и № 21.
8. Требования к концептуальным решениям. Данный компонент концепции защиты заключается в обосновании таких требований к каждому из концептуальных решений, которые обеспечивали бы достижение целей их принятия наиболее рациональным способом.
9. Условия, способствующие повышению эффективности защиты. Данный компонент защиты информации заключается в формировании и обосновании перечней и содержания тех условий, соблюдение которых будет существенно способствовать повышению уровня защиты при расходовании выделенных для этих целей средств, обеспечивающих требуемый уровень защиты.
Целью защиты информации является: предупреждение возникновения условий, благоприятствующих порождению дестабилизирующих факторов; предупреждение непосредственного проявления дестабилизирующих факторов в конкретных условиях функционирования системы защиты; обнаружение проявившихся дестабилизирующих факторов; предупреждение воздействия дестабилизирующих факторов на защищаемую информацию; обнаружение воздействия дестабилизирующих факторов на информацию; локализация (ограничение) воздействия дестабилизирующих факторов на информацию; ликвидация последствий воздействия дестабилизирующих факторов на информацию.
Для реализации целей защиты информации сформированы 10 классов задач:
1. Введение избыточности элементов системы. Включение в состав элементов системы дополнительных компонентов сверх минимума, который необходим для выполнения ими всего множества своих функций. Избыточные элементы функционируют одновременно с основными, что позволяет создавать системы, устойчивые относительно внешних и внутренних дестабилизирующих воздействий. Избыточность подразделяют на организационную (введение дополнительной численности людей), аппаратную (введение дополнительных технических устройств), программно-алгоритмическую (введение дополнительных алгоритмов и программ), информационную (создание дополнительных информационных массивов), временную (выделение дополнительного времени для проведения обработки информации).
2. Резервирование элементов системы. Вместо введения в активную работу дополнительных элементов, часть элементов выводится из работы и держится в резерве на случай непредвиденных ситуаций. Различают два вида резервирования – горячее и холодное. При горячем резервировании выводимые в резерв элементы находятся в рабочем состоянии и способны включаться в работу сразу без проведения дополнительных операций включения и подготовки. При холодном резервировании элементы находятся в таком состоянии, что для перевода их в рабочее состояние требуются дополнительные процедуры.
3. Регулирование доступа к элементам системы. Доступ на объект будет предоставлен лишь при условии предъявления некоторой заранее обусловленной идентифицирующей информации.
4. Регулирование использования элементов системы. Осуществление запрашиваемых операций производится лишь при условии предъявления некоторых заранее обусловленных полномочий.
5. Маскировка информации. Защищаемые данные преобразуются или маскируются таким образом, что они в явном виде могут быть доступными лишь при предъявлении некоторой специальной информации, называемой ключом преобразования.
6. Контроль элементов системы. Совокупность проверок – соответствие элементов системы заданному их составу, текущего состояния элементов системы, работоспособности элементов системы, правильности функционирования элементов системы и т.д.
7. Регистрация сведений. Фиксация всех тех сведений о фактах, событиях и ситуациях, относящихся к защите информации.
8. Уничтожение информации. Осуществление процедур своевременного уничтожения тех элементов информации, которые больше не нужны для функционирования системы защиты и дальнейшее нахождение которых может отрицательно сказаться на защищенности информации. Одной из разновидностью уничтожения информации является аварийное уничтожение, осуществляемое при явной угрозе злоумышленного доступа к информации повышенной важности.
9. Сигнализация. В системе управления должна быть обратная связь, по которой поступает информация (сигналы) о состоянии управляемых объектов и процессов. Процедуры генерирования, передачи и отображения (выдачи) этих сигналов и составляют содержание рассматриваемого класса задач.
10. Реагирование. Наличие возможностей реагирования на проявление дестабилизирующих факторов с целью предотвращения или снижения степени их воздействия на информацию.
Основы защиты информации:
1. Защита информации должна быть комплексной и предусматривать обеспечение физической и логической целостности информации, предупреждение несанкционированной ее модификации, предотвращение несанкционированного получения и несанкционированного размножения.
2. Комплексная защита информации будет эффективной при условии системно-концептуального подхода к изучению и решению всех вопросов, связанных с защитой: исследование и разработка всей совокупности вопросов защиты информации с единых методологических позиций; рассмотрение в едином комплексе всех видов защиты информации; системный учет всех факторов, оказывающих влияние на защищенность информации; комплексное использование всех имеющихся средств защиты информации.
3. На базе системно-концептуального подхода может быть разработана унифицированная концепция защиты информации.
4. Работы по защите информации должны проводится непрерывно.
5. Создание эффективных механизмов защиты, их поддержания и обеспечения должно осуществляться профессионально подготовленными специалистами.
