13.1 Принципы построения комплексной системы защиты информации
13.2 Этапы создания комплексной системы обеспечения ИБ
Проблемы комплексного подхода
1. Возможность более/менее активного сопротивления сотрудников внедрению подобной системы.
Причины:
появление доп. ограничений в работе конечных пользователей, а зачастую и доп. их обязанностей и ответственности пользователей за нарушение установленных мер безопасности.
2. Объективные проблемы комплексного подхода, связанные с динамикой развития ИС предприятия.
Причины:
актуализация пакета организационно-распорядительных документов по ИБ может «отставать» за развитием ИС.

Рисунок 13.1 – Подходы к построению защиты
Современное предприятие представляет собой сложную систему, в рамках которой осуществляется защита информации.
Основные особенности такого сложного современного предприятия таковы:
Кроме того, нахождение информации по местам хранения и обработки, сюда же входят помещения, где разрабатываются программы, обострило ситуацию с ее защитой. Только один пример. Появились в огромных количествах персональные компьютеры и на их основе построены сети ЭВМ (локальные, глобальные, национальные, транснациональные), которые используют различные каналы связи, в том числе спутниковые.
Все это требует постоянного совершенствования, создания и разработки совокупности методологических, организационных и технических элементов комплексной защиты, взаимообусловленных и взаимоувязанных. Также надо учитывать, что на современном предприятии одновременно присутствуют люди, техника, ЭВМ, т.е. интегрально, комплексная система защиты информации может быть представлена совокупностью трех групп систем:
Поскольку система определяется как совокупность взаимосвязанных элементов, то назначение системы защиты информации состоит в том, чтобы объединить все составляющие элементы защиты в единое целое, в котором каждый компонент, выполняя свою прямую функцию, одновременно обеспечивает выполнение функций другими компонентами и связан с ними логически и технологически.
При отсутствии отдельных компонентов системы или их несогласованности между собой неизбежны ошибки в технологии защиты информации.
Следовательно, защита должна быть системной, и это является основным условием защиты информации.
Для того чтобы обеспечить надежность защиты информации нужна не только системность защиты, но и ее комплексность.
Комплексность – это один из основополагающих принципов защиты информации.
Комплекс вообще – это совокупность предметов и явлений, составляющих одно целое.
Комплексность не исключает и предполагает дифференцированный подход к защите информации. Здесь дифференцированность зависит от состава ее носителей, видов тайны, к которым отнесена информация, степени ее конфиденциальности, средств хранения и обработки, форм и условий проявления ее уязвимости, каналов и методов несанкционированного доступа к информации.
Таким образом, коротко назначение комплексности защиты информации состоит:
1. в объединении локальных систем защиты;
2. в обеспечении полноты всех составляющих системы защиты;
3. в обеспечении всеохватности защиты информации.
Исходя из этого, можно сформулировать следующее определение КСЗИ:
«Комплексная система защиты информации – это система, полно и всесторонне охватывающая все предметы, процессы и факторы, которые обеспечивают безопасность всей защищаемой информации».
Следовательно, из вышесказанного следует, что только комплексная система может гарантировать достижение максимальной эффективности защиты информации, поскольку системность обеспечивает необходимые составляющие защиты и устанавливает между ними логическую и технологическую связь, а комплексность, требует полноты этих составляющих, всеохватности защиты, обеспечивает ее надежность.
В процессе развития научных и практических работ по защите информации наряду с конкретными разработками конкретных вопросов защиты формировались и развивались и общеметодологические принципы (общие положения) построения и функционирования КСЗИ. Соблюдение требований выполнения таких принципов в общем случае способствует повышению эффективности защиты информации на предприятии.
Ниже перечисленные принципы относятся к любому предприятию: государственному, коммерческому, смешанному и другим формам собственности, а также большим, средним, малым. Среди принципов выделяют:
1. принцип законности. Здесь меры обеспечения функционирования предприятия разрабатываются на основе и в рамках действующих правовых актов. Правовые акты предприятия не должны противоречить государственным законам и подзаконным актам;
2. принцип превентивности, т.е. упреждения. Содержание этого принципа предполагает своевременное выявление тенденций и предпосылок, способствующих развитию угроз. На основе анализа этих угроз вырабатываются соответствующие профилактические меры по недопущению возникновения реальных угроз, т.е. разрабатываются упреждающие мероприятия;
3. принцип полноты состава защищаемой информации. Он заключается в том, что защите подлежит не только информация, содержащая государственную, коммерческую или служебную тайну, но даже часть служебной информации, утрата которой может нанести ущерб ее собственнику;
4. принцип обоснованности защиты информации. Выполнение этого принципа заключается в установлении целесообразности засекречивания и защиты той или другой информации с точки зрения экономических и иных последствий такой защиты. Это позволяет расходовать средства на защиту только той информации, утрата или утечка которой может нанести действительный ущерб ее владельцу;
5. принцип персональной ответственности за защиту информации заключается в том, что каждый сотрудник предприятия персонально отвечает за сохранность и неразглашение вверенной ему защищаемой информации, а за утрату или распространение такой информации несет уголовную, административную или иную ответственность;
6. принцип непрерывности, т.е. защита информации происходит на регулярной основе (постоянно);
7. принцип гибкости, т.е. это возможность варьирования и замены элементов системы без нарушения структуры и функционирования;
8. принцип к онцептуального единства. В комплексных системах защиты архитектура, технология, организация и обеспечение функционирования, как в целом, так и в отдельных ее компонентах должны рассматриваться в соответствии с общей концепцией защиты информации и теми требованиями, которые предъявляются для данной системы;
9. принцип регламентации предоставляемых прав, т.е. каждый сотрудник предприятия имеет доступ только к определенной информации, которая ему действительно необходима для выполнения своих функций в процессе работы, причем предоставленные права должны быть заранее определены и утверждены в установленном порядке, например, в договоре при приеме на работу;
10. принцип активности. Здесь меры противодействия угрозам осуществляются на основе взаимодействия и скоординированности усилий всех подразделений и служб предприятия, отдельных лиц, а также установления необходимых контактов с внешними организациями, способными оказать комплексной защите информации необходимое содействие в обеспечении безопасности предприятия.
11. принцип плановой основы деятельности предприятия. Здесь деятельность по обеспечению защиты информации должна строиться на основе комплексной программы обеспечения защиты информации на предприятии, разрабатываются подпрограммы обеспечения этой защиты по основным его видам (экономической, техногенной, научно-технической, экологической, технологической, информационной, психологической, физической, пожарной и другим видам), а также разрабатываются для их исполнения планы работы подразделений предприятия и отдельных сотрудников;
12. принцип системности. Этот принцип предполагает учет всех факторов, влияющих на организацию КСЗИ предприятия. При этом должны быть охвачены все этапы и режимы функционирования, задействованы все силы и средства.
Среди рассмотренных принципов едва ли можно выделить более или менее важные. А при построении КСЗИ важно использовать их в совокупности.
Первый этап

Рисунок 13.2 – Схема первого этапа
Анализ рисков повышает степень осведомленности руководства и ответственных сотрудников о сильных и слабых сторонах системы защиты, создает базу для подготовки и принятия решений и оптимизирует размер затрат на защиту.
Анализ рисков (согласно стандарту ISO 17799) – это процесс определения угроз, уязвимостей, возможного ущерба, а также контрмер (мер защиты).
Анализ рисков обычно производится по схеме:

Рисунок 13.3 – Схема анализа рисков
Второй этап
На основе ПБ и согласно полученным решениям составляется план обеспечения ИБ (план защиты) – официальный документ, описывающий конкретные действия по реализации средств поддержания ИБ, подвергающийся аудиту.
План защиты содержит (рис.13.4):

Рисунок 13.4 – Содержание плана защиты
Третий этап
Планирование действий в чрезвычайных ситуациях:
Важную роль в восстановлении может сыграть запасное оборудование – коммутаторы, кабели, сетевые платы и пр., а также планы мероприятий по эксплуатации и ремонту оборудования.
Четвёртый этап
Окончательный выбор и реализация средств обеспечения ИБ.
На этом этапе для выбранных средств защиты ПБ детализируется с помощью правил безопасности двух типов:
Пятый этап
Текущий контроль за действенностью реализованных механизмов защиты на регулярной основе.
Очевидно что абсолютная безопасность недостижима ни при каких затратах, поэтому основной принцип защиты состоит в разработке и реализации такой системы мер, которая уменьшит вероятность реализации возможных угроз до приемлемого уровня.