Защита информации в информационных системах
Защита информации (ЗИ) в информационных системах (ИС), широко применяемых в органах государственной власти, на предприятиях и в организациях кредитно-финансовой, топливно-энергетической, транспортной и многих других сфер деятельности государства и общества, сегодня становится одной из приоритетных государственных задач.
Это обусловлено постоянно расширяющимся спектром угроз безопасности информации, реализация которых приводит к нарушениям, следствием которых могут быть не только финансовые, экономические потери, срывы в выполнении государственных заданий, снижение деловой репутации предприятий, негативные социальные последствия, экологические катастрофы, но и гибель людей. В этих условиях Правительством Российской Федерации, Советом безопасности Российской Федерации прилагаются активные усилия по парированию указанных угроз, созданию и развертыванию отечественных ИС в защищенном исполнении. Это достигается не только нормативным регулированием со стороны государства деятельности органов, предприятий и организаций в области ЗИ, но и созданием отечественной компонентной базы, программного обеспечения (ПО), отечественных средств и систем защиты информации для ИС.
Вместе с тем обеспечение эффективной защиты информации в ИС, обоснование требований к такой защите, изыскание рациональных путей построения систем защиты связано с необходимостью применения соответствующего методического обеспечения. Сегодня такое методическое обеспечение сводится к системе вербально сформулированных в нормативноправовых актах уполномоченных федеральных органов исполнительной власти требований, касающихся состава обязательных к применению мер защиты информации для определенного класса (уровня) защищенности ИС и действий по обеспечению ЗИ в части порядка формирования требований к ЗИ и разработки системы защиты информации в ИС, внедрения системы защиты информации, аттестации ИС по требованиям ЗИ, обеспечения ЗИ в ходе эксплуатации аттестованной ИС и при выводе ее из эксплуатации. Такие требования и действия определены на основе обобщения опыта специалистов. При этом какие-либо количественные процедуры их обоснования отсутствуют. Следствием такого подхода является то, что альтернативные варианты построения систем защиты информации, возможно более эффективные, чем предлагаемые к исполнению в нормативных правовых актах, вообще не рассматриваются. Все это обусловливает необходимость существенного совершенствования методического обеспечения защиты информации в ИС.
Данная монография направлена на устранение в определенной мере этого «пробела» в части, касающейся развития методологии оценки эффективности технической защиты информации (ТЗИ) от несанкционированного доступа (НСД), то есть ЗИ некриптографическими методами. При этом акцент сделан, во-первых, на ТЗИ в ИС от НСД и, во- вторых, - на ТЗИ в так называемых «офисных» ИС, то есть, как названы такие системы, например, в [1], в информационно-организационных системах (расчетных, логико-аналитических, информационно-справочных системах, системах электронного документооборота и т.п.), а также в некоторых классах автоматизированных систем управления технологическими процессами.
