Определение защищаемого объекта.
Первым вопросом, возникающим при построении любой системы безопасности, должен быть вопрос: Что защищать? Защищаемыйобъект всегда должен являться отправной точкой в процессе создания системы защиты. Объекты могут быть различными: конкретный человек или группа лиц, материальные ценности, недвижимость, окружающая среда, чьи-либо интересы, и тому подобное, и, соответственно, подходы к их защите так же будут различаться. Именно сутью объекта защиты в итоге должна определяться сложность системы защиты, ее стоимость и алгоритмы функционирования, а так же, направления дальнейшего развития данной системы. В принципе, ставя вопрос о создании системы защиты, мы уже, в самом общем смысле, даем ответ на этот вопрос. И в нашем случае объект защиты уже известен, это – информация, обрабатываемая в организации. Но, здесь необходима конкретизация – какая информация в данном случае требует защиты?
Для начала необходимо ввести понятие информации. На сегодняшний день существует множество различных определений информации. Например, академик Юзвишин И.И. дает следующее определение информации:
«Информация – это фундаментальный генерализационно – единый безначально – бесконечный законопроцесс резонансно – сотового, частотно – квантового и нуль – сингулярного самоотношения, самоотражения, взаимодействия, взаимопревращения и взаимосохранения (в пространстве и времени) энергии и движения на основе материализации и дематериализации в вакуумосферах и материосферах Вселенной».
Но, к сожалению, понимание ценности и необходимости защиты информации на основе данного определения затруднительно. В связи с этим, предлагаю рассмотреть следующий вариант:
Информация – в своей сущности есть некая нематериальная субстанция, являющаяся фундаментальной первопричиной любых действий в природе. А любая конкретная информация является причиной каких-либо специфических действий для определенных групп субъектов, объектов или процессов, для которых она предназначена. Аналогичная точка зрения рассматривается в [33].
Ценность информации, как и ценность денег, и определяется в конечном счете субъектами (лицами), которые с ней связаны определенным образом, то есть – она субъективна. Ценность информации в первую очередь определяется размером возможной или получаемой прибыли (материальной, духовной, и т.п., например, уровень эстетического наслаждения произведением искусства), либо же – размером предотвращенного ущерба (например, знание нужного лекарства для профилактики болезни).
Всю информацию, циркулирующую в организации, защищать нет необходимости по причине того, что определенная ее часть (как правило - большая) актуальна только в данный момент, и является обычной, малоинтересной «текучкой». Информация требующая защиты должна быть определена согласно ее ценности для владельца данной информации.
Ранее, при определении понятия угроза, прозвучало слово ущерб. Так вот, для выделения из всей информации, объема, требующего защиты, необходимо оценить ее с точки зрения величины ущерба, причиняемого организации или физическому лицу, при оказании на информацию или на ее носители отрицательного воздействия.
Для определения структуры и компонентов защищаемого информационного массива, рекомендуется провести анализ защищаемой информации, как минимум, по следующим направлениям:
1) Провести структурирование информации по содержанию.
2) Определить в каком виде (с точки зрения физических носителей) информация хранится и обрабатывается в организации.
3) Определить информационные потоки и места обработки и хранения информации.
Структурирование информации можно проводить используя метод «от общего к частному», и применяя древовидную структуру. В итоге должен получиться набор групп информационных компонентов (документов и др. минимальных неделимых объемов информации), таких, чтобы в каждой группе находились компоненты, имеющие близкие тематические характеристики содержания и одинаковые уязвимости, например: перспективные планы, счета, конфиденциальные справки, открытые справки, служебные отчеты.
В самом общем виде информацию, циркулирующую в организации, можно разделить на внутреннюю, и информацию, предназначенную для взаимодействия со сторонними лицами и организациями. Дальнейшее разделение информации на подгруппы производится по соответствующим тематикам (см. рисунок 1.2). Затем, проведя выборку информации согласно ее ценности, мы получаем перечень компонентов требующих защиты.
 |
Рис. 1.2. Пример структурирования информации.
Следующий шаг – определение, в каком виде, перечисленная выше информация, хранится и обрабатывается в организации. Для этого, первоначально, необходимо определить какие вообще носители используются в организации для обработки и хранения информации. Как правило, это:
- твердые печатные носители (бумага, пленка), либо изделия;
- акустическая информация;
- Электронная цифровая информация (обрабатываемая электронными информационными системами и ПК);
- электрические сигналы, обрабатываемые техническими средствами, и передаваемые по проводам;
- передача информации по радиоканалу.
Далее, необходимо выделить те носители, которые используются для обработки защищаемой информации. В итоге у нас может получиться следующее:
- отчет на бумаге;
- отчет в электронном виде;
- отчет передаваемый по телефонной связи.
Очередной этап – определение информационных потоков и мест обработки требующей защиты информации, внутри организации, и за ее пределами. Информационные потоки выходящие за территорию организации могут использоваться для взаимодействия со сторонними лицами и организациями по служебным вопросам или для обмена информацией с удаленными филиалами и подразделениями данной организации.
Рис. 1.3. Пример схемы информационных потоков.
Информационные потоки необходимо разделять с учетом носителей информации (см. рисунок 1.3).
Жизненный цикл информации можно разбить на следующие этапы:
- создание (генерация);
- существование (обработка);
- уничтожение, либо сдача на длительное хранение (архивирование).
При определении этапов жизненного цикла защищаемой информации, необходимо так же определить где проходят эти этапы, а так же, по возможности, какие лица за них отвечают.
В результате проведения подобного исследования, мы получаем структуру защищаемого объема информации, доступную для дальнейшего анализа и использования при построении модели системы защиты.
После определения информационных объемов, требующих защиты, необходимо, отталкиваясь от уровня ценности (важности) информации, разбить всю защищаемую информацию по степени важности на несколько уровней, и в дальнейшем, при организации защиты, отталкиваться от этой схемы. Этим, в перспективе, достигается не только снижение затрат на систему защиты информации, но и в определенной степени упрощается схема документооборота в организации. Кроме того, надо учесть, что необходимость защиты той или иной информации зависит и от длительности ее существования. С течением времени любая информация перестает быть актуальной, и соответственно, необходимость в ее защите отпадает. Своевременное выбраковывание подобной информации так же позволит уменьшить совокупные затраты на систему защиты.