1

№4 ПОНЯТТЯ КСЗІ

На ринку захисту інформації пропонується багато окремих інженерно-

технічних, програмно-апаратних, криптографічних засобів захисту
інформації. В літературі по захисту інформації можна знайти опис методів і
засобів на їх основі, теоретичних моделей захисту. Однак для того, щоб
створити на підприємстві умови ефективного захисту інформації, необхідно
об'єднати окремі засоби захисту в систему. При цьому треба пам'ятати, що
головним елементом цієї системи є людина. Причому людина є ключовим
елементом системи і разом з тим самим важко формалізованою і потенційно
слабкою її ланкою.
Створення системи захисту інформації (СЗІ) не є головним завданням
підприємства, як, наприклад, виробництво продукції і отримання прибутку.
Тому створювана СЗІ не повинна призводити до відчутних труднощів в
роботі підприємства, а створення СЗІ має бути економічно виправданим. Тим
не менш, вона повинна забезпечувати захист важливих інформаційних
ресурсів підприємства від усіх реальних загроз.

В даний час вже не досить провести на підприємстві ряд

організаційних заходів, включити до складу автоматизованих систем деякі
технічні і програмні засоби.
Головний напрямок пошуку нових шляхів захисту інформації полягає
не просто в створенні відповідних механізмів, а являє собою реалізацію
регулярного процесу, здійснюваного на всіх етапах життєвого циклу систем
обробки інформації при комплексному використанні всіх наявних засобів
захисту. При цьому всі засоби, методи і заходи, які використовуються для ЗІ,
найбільш раціональним чином об'єднуються в єдиний цілісний механізм.
Причому захищається інформація не тільки від зловмисників, але і від
некомпетентних або недостатньо підготовлених користувачів і персоналу, а
також позаштатних ситуацій технічного характеру.

Завдання захисту інформації відносяться до неформальних, тобто які не

мають формальних (строго математичних) методів рішення, коректніше –
завданнями, що слабоформалізуються (повинні призводити до мети в умовах
неповноти вихідної інформації і відсутності чіткої програми управління
процесом вирішення завдання).
Завдання, що слабоформалізуються, до яких відноситься задача захисту
інформації, характеризуються такими основними особливостями:
 2

1. наявністю великого числа факторів, що впливають на ефективність

виконання завдання;
2. відсутністю кількісних достовірних вихідних даних про ці фактори;
3. відсутністю формальних (математичних) методів досягнення
оптимального результату рішення за сукупністю вихідних даних.

Ці особливості виключають можливість формального отримання

оптимального (найкращого) результату рішення задачі.

На основі теоретичних досліджень і практичних робіт в області ЗІ

сформульований системно-концептуальний підхід до захисту інформації.
Так як основу методології рішення завдань, що слабо формалізуються,
складають системний підхід і системний аналіз, то для розуміння концепції
захисту інформації необхідно зрозуміти сутність системного підходу до
захисту інформації.

В основі рішення слабоформалізуемих завдань лежить системний

підхід. Тобто для вирішення завдання захисту інформації необхідно
побудувати систему захисту, що представляє собою сукупність елементів,
функціонування яких спрямоване на забезпечення безпеки інформації.
Система захисту є моделлю для аналізу і розробки ефективного захисту
інформації.

Система захисту інформації описується рядом параметрів.

До параметрів системи відносяться:
1. цілі і завдання (цілі повинні бути конкретизовані в просторі і в часі);
2. входи і виходи системи;
3. обмеження, які необхідно враховувати при побудові (модернізації,
оптимізації) системи;
4. процеси всередині системи, що забезпечують перетворення входів в
виходи.

Системний підхід вимагає повноти та достовірності опису параметрів,

в іншому випадку можливі грубі помилки.

Загрози можуть бути внутрішніми і зовнішніми, в тому числі такі як

слабка правова дисципліна співробітників, неякісна експлуатація засобів
обробки інформації або наявність в приміщенні радіо і електричних приладів,
 3

побічні фізичні процеси в яких сприяють несанкціонованому поширенню

інформації.
Джерелами загроз можуть бути зловмисники, технічні засоби всередині
організації, співробітники організації, внутрішні і зовнішні поля, стихійні
сили і т. д.
Знання конкретних загроз створює можливість постановки задач по
визначенню раціональних заходів захисту інформації, що запобігають
загрози або знижують до допустимих значень ймовірність їх реалізаціі.
Різноманіття загроз безпеки інформації породжує різноманіття заходів
її захисту. (Визначення такого набору заходів є основним завданням захисту
інформації.) В принципі для запобігання або, принаймні, істотного зниження
рівня конкретної загрози безпеки інформації можна запропонувати кілька
заходів щодо її захисту. Однак їх ефективність може істотно відрізнятися.
Вибір будь-якого заходу захисту інформації, так само як в іншій будь-
якій сфері, проводиться за показниками оцінки ефективності, які враховують
ступінь виконання завдання і витрати ресурсу на її рішення.
Необхідно завжди розглядати кілька шляхів, що ведуть до мети,
зокрема кілька варіантів побудови системи, що забезпечує задані цілі
функціонування. Завдання захисту інформації вирішуються шляхом вибору
фахівцем раціональних варіантів вирішення на основі результатів системного
аналізу.
Для того щоб оцінити, який із шляхів краще, необхідно мати
інструмент порівняння - критерій ефективності. Він повинен:
характеризувати якість реалізації заданих функцій; враховувати витрати
ресурсів, необхідних для виконання функціонального призначення системи;
мати ясний і однозначний фізичний зміст; бути пов'язаним з основними
характеристиками системи і допускати кількісну оцінку на всіх етапах
створення сістеми.
Один з критеріїв оптимальної системи захисту - це найкращий рівень
безпеки і оптимальна ціна цієї системи, що можна проілюструвати
наступним чином:
 4

З цих кривих очевидно, що при проектуванні СЗІ необхідно

враховувати два основні показники: необхідний рівень захищеності і розмір
наявних ресурсів Р.
Величина шкоди залежить від рівня захисту, який визначається
витратами на неї. При збільшенні рівня безпеки вартість захисту возрастает.
Чем більше витрачається ресурсів на захист інформації, тим вищий
рівень безпеки інформації може він забезпечити. В принципі, при
необмеженому ресурсі можна отримати яку завгодно малу ймовірність
реалізації загрози.
Максимальний збиток можливий при нульових витратах на захист,
імовірно нульовий забезпечується при ідеальної захисту. Але ідеальний
захист вимагає нескінченно великих затрат.
Вартість шкоди падає зі зменшенням вартості наявних ресурсів. При
збільшенні витрат на захист ймовірність попадання інформації зловмиснику,
а отже, і збитки зменшуються.

При цьому найбільш складною є задача визначення необхідного рівня

захищеності тому що цей показник комплексний і може бути заданий
характером інформації, що захищається, умовами її обробки і зберігання.

Система захисту інформації являє собою модель системи, що об'єднує

сили і засоби організації, що забезпечують захист інформації.
Оскільки система може бути визначена як сукупність взаємопов'язаних
елементів, то призначення СЗІ полягає в тому, щоб об'єднати всі складові
захисту в єдине ціле, в якому кожен компонент, виконуючи свою функцію,
одночасно забезпечує виконання функцій іншими компонентами і пов'язаний
з ними логічно і технологічно.

Надійність захисту інформації прямо пропорціональна системності,

тобто при неузгодженості між собою окремих складових ризик «проколів» в
технології захисту збільшується.

Системний підхід - це дослідження об'єкта або процесу за допомогою

моделі, званої системою.

У загальному випадку завдання захисту інформації характеризуються

великою кількістю і різноманітністю факторів, що впливають на результат
вирішення, причому цей вплив часто не вдається однозначно виявити і
 5

строго описати. До них, в першу чергу, відносяться завдання, результати

вирішення яких залежать від людей. Тільки в окремих найпростіших
випадках вдається однозначно і формально описати реакції людини на
зовнішні впливи. У більшості інших варіантів зробити це не вдається.

Поняття комплексної системи захисту інформації

З огляду на різноманіття потенційних загроз інформації на

підприємстві, складність його структури, а також участь людини в
технологічному процесі обробки інформації, мети захисту інформації можуть
бути досягнуті тільки шляхом створення СЗІ на основі комплексного
підходу.
Основною характеристикою системи є її комплексність, тобто
наявність в ній обов'язкових елементів, що охоплюють всі напрямки захисту
інформації.
Співвідношення елементів та їх змісту забезпечують індивідуальність
побудови системи захисту інформації конкретної фірми і гарантують
неповторність системи, труднощі її подолання. Конкретну систему захисту
можна уявити у вигляді цегляної стіни, що складається з безлічі
різноманітних елементів (цегли). Елементами системи є: правовий,
організаційний, інженерно-технічний, програмно-апаратний і
криптографічний елементи.

Тільки при комплексному підході система може забезпечувати безпеку

всієї сукупності інформації, що підлягає захисту, і при будь-яких обставинах.
Це означає, що повинні захищатися всі носії інформації, у всіх компонентах
її збору, зберігання, передачі і використання, в будь-який час і при всіх
режимах функціонування системи обробки інформації.

Комплексний підхід до забезпечення інформаційної безпеки орієнтує

на захист інформації від розголошення, від витоку технічними каналами та
від несанкціонованого доступу до неї з боку конкурентів і зловмисників.
Необхідність комплексних рішень полягає в об'єднанні в одне ціле
локальних СЗІ, при цьому вони повинні функціонувати в єдиній «зв'язці». Як
локальні СЗІ можуть бути розглянуті, наприклад, види захисту інформації
(правова, організаційна, інженерно-технічна).

Принципи побудови комплексної системи захисту інформаціі

 6

При побудові будь-якої системи необхідно визначити принципи,

відповідно до яких вона буде побудована. КСЗІ - складна система, яка
функціонує, як правило, в умовах невизначеності, що вимагає значних
матеріальних витрат. Тому визначення основних принципів КСЗІ дозволить
визначити основні підходи до її побудови.

1. Принцип законності полягає у відповідності вжитих заходів із

законодавством України про захист інформації, а в разі відсутності
відповідних законів - іншим державним нормативним документам щодо
захисту.

2. Принцип повноти інформації, що захищається. В відповідно до

принципу повноти інформації, що захищається захисту підлягає не тільки
інформація, яка становить державну, комерційну або службову таємницю, а й
та частина нетаємної інформації, втрата якої може завдати шкоди її володарю
або власнику. Реалізація цього принципу дозволяє забезпечити і охорону
інтелектуальної власності.

3. Принцип обгрунтованості захисту інформації полягає у

встановленні шляхом експертної оцінки доцільності засекречування та
захисту тієї чи іншої інформації, ймовірних економічних та інших наслідків
такого захисту виходячи з балансу життєво важливих інтересів держави,
суспільства і громадян. Це, в свою чергу, дозволяє витрачати кошти на
захист тільки тієї інформації, втрата або витік якої може завдати дійсну
шкоду її власнику.

4. Принцип створення спеціалізованих підрозділів по захисту

інформації полягає в тому, що такі підрозділи є неодмінною умовою
організації комплексного захисту, оскільки тільки спеціалізовані служби
здатні належним чином розробляти і впроваджувати захисні заходи і
здійснювати контроль за їх виконанням.

5. Принцип участі в захисті інформації всіх осіб, що мають до нею

відношення, виходить з того, що захист інформації є службовим обов'язком
кожної особи, що має за родом виконуваної роботи відношення до
інформації, що захищається, і така участь дає можливість підвищити якість
захисту.
 7

6. Принцип персональної відповідальності за захист інформації

вимагає, щоб кожна особа персонально відповідала за збереження і
нерозголошення довіреної йому інформації, що захищається, а за втрату або
поширення такої інформації вона несе кримінальну, адміністративну) або
іншу відповідальність.

7. Принцип наявності і використання всіх необхідних сил і засобів для

захисту полягає в тому, що КСЗІ вимагає:
- участі в ній керівництва підприємства і спеціальної служби захисту
інформації та всіх виконавців, які працюють з інформацією,
- використання різних організаційних форм і методів захисту,
- наявності необхідних матеріально-технічних ресурсів, включаючи
технічні засоби захисту.

8. Принцип превентивності вжитих заходів щодо захисту інформації

передбачає апріорне випереджаюче завчасне вжиття заходів щодо захисту до
початку розробки або отримання інформації. З цього принципу випливає,
зокрема, необхідність розробки захищених інформаційних технологій.

Серед розглянутих принципів навряд чи можна виділити більш-менш

важливі. А при побудові КСЗІ важливо використовувати їх в совокупності.

Основні вимоги, що пред'являються до КСЗІ

Оскільки комплексна система захисту інформації призначена

забезпечувати безпеку всієї інформації, що захищається, до неї ставляться
такі вимоги:
1. вона повинна бути прив'язана до цілей і завдань захисту інформації
на конкретному підприємстві;
2. вона повинна бути цілісною: містити всі її складові, мати
структурні зв'язки між компонентами, що забезпечують її
узгоджене функціонування;
3. вона повинна бути всеохоплюючої, що враховує всі об'єкти і
складові їх компоненти захисту, всі обставини і фактори, що
впливають на безпеку інформації, і всі види, методи і засоби
захисту;
4. вона повинна бути достатньою для вирішення поставлених завдань
і надійної в усіх елементах захисту, тобто. базуватися на принципі
гарантованого результату;
 8

5. вона повинна бути «вмонтованою» в технологічні схеми збору,

зберігання, обробки, передачі і використання інформації;
6. вона повинна бути компонентно, логічно, технологічно і
економічно обгрунтованою;
7. вона повинна бути забезпеченою всіма необхідними ресурсами;
8. вона повинна бути простою і зручною в експлуатації і управлінні, а
також у використанні законними споживачами;
9. вона повинна бути безперервною;
10. вона повинна бути досить гнучкою, здатною до цілеспрямованого
пристосуванню при зміні компонентів її складових частин,
технології обробки інформації, умов захисту.

Основною характеристикою системи захисту інформації є її

комплексність, тобто наявність в ній обов'язкових елементів, що охоплюють
всі напрямки захисту інформації. Співвідношення елементів та їх змісту
забезпечують індивідуальність побудови системи захисту інформації
конкретної фірми і гарантують неповторність системи, труднощі її
подолання.
Комплексна безпека інформаційних ресурсів досягається
використанням правових актів державного та відомчого рівня,
організаційних заходів і технічних засобів захисту інформації від різних
внутрішніх і зовнішніх загроз.

Правові заходи забезпечення безпеки та захисту інформації є основою

порядку діяльності та поведінки співробітників всіх рівнів і ступеня їх
відповідальності за порушення встановлених норм і правил роботи із
забезпечення збереження ІзОД.
Правовий захист - це спеціальні закони, інші нормативні акти,
правила, процедури та заходи, що забезпечують захист інформації на
правовій основі;

Організаційні заходи є вирішальною ланкою у формуванні та реалізації

комплексних заходів захисту інформації. Вони в першу чергу виражаються в
створенні служби безпеки комерційного підприємства і забезпеченні її
нормального функціонування.
Організаційний захист - це регламентація виробничої діяльності та
взаємовідносин виконавців на нормативно-правовій основі, що виключає або
послаблює нанесення будь-якої шкоди виконавцям;
 9

Інженерно-технічний захист - це використання різних технічних

засобів в інтересах забезпечення інформаційної безпеки.

Напрями забезпечення безпеки взагалі розглядаються як нормативно-

правові категорії, що визначають комплексні заходи захисту інформації на
державному рівні, на рівні підприємства і організації, на рівні окремої
особистості.