История и перспективы развития системы защиты информации на предприятиях России
Владимир Ильич Петровский, Марина Владимировна Тумбинская
История развития системы защиты информации на предприятиях России, в частности Республики Татарстан
Защита информации в деятельности современного предприятия – одно из основных направлений, которое требует проведения постоянного анализа качества применяемых средств и методов защиты, а также их оперативного изменения и совершенствования. Необходимость обеспечения сохранности коммерческой информации и конфиденциальных данных диктуется условиями современного рынка.
В 1960–1970 гг. в России на территории Татарии одним из ведущих учреждений, курирующих вопросы защиты информации на предприятиях, являлось ФНПЦ «Радиоэлектроника», заместителем генерального конструктора которого был Петровский Владимир Ильич. В 1974 году перед одним из подразделений ФНПЦ «Радиоэлектроника» была поставлена задача по развитию службы информационной безопасности. Решение данной задачи предполагало развитие и модернизацию предприятий по следующим направлениям:
- создание службы защиты информации (функции: разработка Руководства по защите информации государственной важности на предприятии и Положения по защите конфиденциальной, коммерческой информации, оценка эффективности информационной безопасности предприятия, ежегодная разработка планов по защите информации, выпуск отчетов, разработка частной модели защиты предприятия как объекта информатизации, определение опасных видов разведок предприятия и т.п.);
- создание службы защиты разрабатываемой (выпускаемой) продукции предприятия (функции: разработка Инструкции по защите информации о разрабатываемой (выпускаемой) продукции для каждой стадии жизненного цикла разработки (модернизации) изделий, испытаний макетов, производства, эксплуатации, проведение работ по обоснованию предложений по перечню охраняемых сведений об изделии, методам и средствам их защиты и т.п.);
- служба анализа административной, хозяйственной и финансовой деятельности предприятия в части утечки информации (функции: аналитическая работа, проведение исследований по количественной оценке разведанности информации, анализ новых достижений в области защиты информации);
- служба контроля защиты информации (функции: обеспечение контроля состояния защиты информации, своевременное выявление и предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию, оценка защиты информации от технических разведок и злоумышленников).
ФНПЦ «Радиоэлектроника» координировало работу более сотни предприятий от Барнаула до Санкт-Петербурга: контролировало службу охраны в части обеспечения безопасности информации предприятий, учреждений, организаций, предлагало (рекомендовало) принципы построения данной службы, выбор технических средств, необходимых для защиты информации, осуществляло повышение квалификации персонала по программам дополнительного профессионального образования, по освоению новых методов защиты информации, по эксплуатации средств защиты информации.
Учитывая важность этого направления работ, руководство Кабинета Министров Республики Татарстан определило ответственного за направление «Информационная безопасность» в лице заместителя Премьер-министра РТ Аллы Максимилиановны Габатдиновой. Ежеквартально Габатдинова А.М. проводила совещания по обсуждению текущих проблем и вопросов, планов и задач на будущее. Совещания проводились с участием коллектива сотрудников ФНПЦ «Радиоэлектроника», Российской Академии наук и других выдающихся ученых, занимающихся проблемами защиты информации.
Благодаря настойчивым требованиям А.М. Габатдиновой, была организована служба "Комплексная система защиты информации и противодействия средствам технических разведок и злоумышленникам" при Кабинете Министров РТ на базе Казанского НИИ Радиоэлектроники. Так, Постановлением Кабинета Министров Республики Татарстан № 651-142 от 02.08.1996 г. впервые был создан Региональный центр по защите информации и проведению специальных экспертиз директором которого был назначен Петровский В.И. Далее Центр был аккредитован Государственной Технической комиссией при Президенте России как Орган по аттестации объектов информатизации, а совместным постановлением Государственной Технической комиссии при Президенте России и Кабинета Министров Республики Татарстан № 690-451 от 10.09.1997 г. руководитель Центра Петровский В.И. был назначен руководителем Лицензионного центра по защите информации. Все это положительно сказалось на обеспечение информационной безопасности в Республике Татарстан. Предприятия не нуждались в специалистах по защите информации других регионов России и беспрепятственно получали лицензии на соответствующий род деятельности на территории Республики Татарстан.
Очень важным было и то обстоятельство, что служба «Комплексная система защиты информации и противодействия средствам технических разведок и злоумышленникам» ставила задачу объединения всех предприятий, организаций, учреждений по идеологическому принципу, разработанному Государственной Технической комиссией России, объединения усилий в деле обеспечения оптимальной информационной безопасности в Республике Татарстан [5].
В истории развития системы защиты информации на предприятиях России можно выделить три периода:
- первый относится к тому времени, когда обработка информации осуществлялась по традиционным (ручным, бумажным) технологиям;
- второй – когда для обработки информации на регулярной основе применялись средства электронной вычислительной техники первых поколений;
- третий – когда использование средств электронно-вычислительной техники приняло массовый и повсеместный характер, появились персональные компьютеры.
Современное предприятие представляет собой сложную систему, в рамках которой должна осуществляться защита информации. С целью обеспечения надлежащего уровня защиты информации на предприятии целесообразно проведение работ по следующим направлениям:
- проведение ежегодного анализа состояния дел в области защиты информации,
- формирование единой научно-технической политики в области защиты информации,
- совершенствование законодательной, нормативной, правовой базы деятельности в области защиты информации, направленной на установление баланса между потребностью в свободном обмене информацией и существующими ограничениями на ее распространение,
- формирование целостной системы руководящих и нормативно-методических документов с учетом возрастающих возможностей технических разведок и широкого спектра нетрадиционных каналов несанкционированного доступа к информации,
- совершенствование деятельности системы стандартизации в области защиты информации,
- координация и объединение действий структур, занятых в сфере защиты информации и в области разработок и внедрения мер, позволяющих обеспечить защиту информации, координация работ по разработке методических, организационных, правовых и иных нормативно-технических документов в области защиты информации,
- создание единой системы технического контроля объектов информации,
- совершенствование системы подготовки, переподготовки и повышения квалификации специалистов в области защиты информации, развитие учебно-материальной базы,
- подготовка предложений по финансированию региональных программ в области защиты информации,
- укрепление материально-технической базы служб, занятых защитой информации,
- проведение экспертиз проектов создания в Министерствах и ведомствах локальных и корпоративных вычислительных сетей с целью предотвращения (исключения) утечки сведений, составляющих государственную и коммерческую тайну, а также искажений и уничтожения информации за счет несанкционированного доступа к ней,
- разработка комплекса мероприятий по созданию региональной системы защиты информации,
- разработка системы нормативно-правовых актов, регламентирующих порядок функционирования служб, занятых защитой информации, а также распределение ответственности за надлежащее выполнение требований нормативных документов,
- разработка системы методических материалов, необходимых для эффективного проведения мероприятий по обеспечению требуемой секретности (степени конфиденциальности) информации в соответствии с нормативно-правовыми документами,
- разработка комплекса программно-аппаратных средств обеспечения безопасности информации и средств проведения периодического контроля с целью выявления возможных каналов утечки информации.
Перспективы развития системы защиты информации на предприятии
В связи с бурным развитием информационных технологий и технических средств система защиты информации предприятия становится уязвимой и как следствие предприятию может быть нанесен экономический ущерб.
Задача оптимизации комплексной системы защиты информации (КСЗИ) на предприятии становится перспективной и чрезвычайно актуальной. Решение задачи оптимизации КСЗИ на предприятии сводится к:
- минимизации затрат на построение КСЗИ,
- увеличению уровня защищенности, обеспечиваемого КСЗИ,
- выбора оптимального решения по построению КСЗИ на предприятии.
Условия, которые бы позволяли исключить (значительно снизить) возможность утечки информации на предприятиях различных форм собственности можно представить схемой функционирования комплексной системы защиты информации (КСЗИ) на предприятии (рис.1).
Модели, методы и средства защиты информации, используемые на предприятиях, различны и чаще всего выбираются по правилу:
<Z → min,Uz ≥Udz> или <Uz → max, Z ≤ Zd>, (1)
где Z – затраты на разработку, реализацию, внедрение и администрирование КСЗИ на предприятии, Uz – уровень защиты, обеспечиваемый КСЗИ, Zd – приемлемая стоимость КСЗИ на предприятии, Udz – приемлемый уровень качества КСЗИ. Задачи (1) могут быть решены методами многокритериальной оптимизации, однако ограничены в практическом применении.
Для решения задачи оптимизации КСЗИ на предприятии предлагается использовать метод последовательных уступок [6], в котором выделяется ряд частных показателей качества защищенности, имеющих превосходство над остальными показателями, переводимыми в разряд ограничений.
Рассмотрим минимизацию затрат на построение КСЗИ.
Пусть aij = 1 , если i -ое средство информационной безопасности выбрано для защиты j -го информационного ресурса предприятия, и aij = 0 , если i -ое средство информационной безопасности не используется для защиты от угроз.
Требуется минимизировать затраты вида
(2)
при соблюдении граничных условий:
(3)
, где Zij – затраты на защиту j -го информационного ресурса i -м средством, i = 1, n, j = 1, m, Zi – затраты для совокупности информационных ресурсов i -м средством, I = {i1 , i2 ,..., in} – множество средств КСЗИ на предприятии, J = { j1, j2,..., jm} – множество защищаемых информационных ресурсов, mij – оценка качества защиты i -м средством j -го информационного ресурса, sj – коэффициент j -го информационного ресурса в интегрированной оценке качества КСЗИ, ki переменная бинарного типа, ki Î{0;1}, ki = 1 , если i -е средство КСЗИ может быть использовано, ki = 0 – в противном случае.
Рассмотрим увеличение уровня защищенности, обеспечиваемого КСЗИ. Требуется максимизировать уровень Uz:
(4)
при соблюдении следующих граничных условий:
(5)
При построении интегрированной оценки уровня Uz защищенности информации, обеспечиваемый КСЗИ на предприятии, предложен следующий расчет коэффициентов защищенности отдельных бизнес-процессов Kbi = {kb1, kb2,..., kbs} предприятия [2]:
(6)
где Pi – количество наиболее вероятных информационных угроз для i -ой бизнес-операции на предприятии, ∆w – коэффициент защищенности от w -й угрозы, ωwi – интенсивность потока атак w -го вида угроз на i –ю бизнес-операцию ( w∈Pi ), для w ∉ Pi ,wwi = 0, yi – время выполнения i -й бизнес-операции, O – количество бизнес-операций в бизнес-процессе предприятия, ni – вероятность выполнения бизнес-операции i в совокупности бизнес-процессов предприятия, O = {oj | j = 1,p} , Oj ⊂ kbi.
Рассмотрим выбор оптимального решения по построению КСЗИ на предприятии [3, 4]. Выбор оптимального решения по построению КСЗИ на предприятии основан на анализе многопараметрического критерия, зависящего от ряда частных показателей качества работы КСЗИ. В соответствии с (1) основанием для вывода об абсолютном превосходстве одних показателей над другими служит степень различия отдельных показателей по важности, при которой сравнение оценок вариантов построения системы КСЗИ осуществляется только по самому важному показателю без учета остальных, затем только по второму показателю и т.д.
Особое место в современной системе защиты информации на предприятии имеют информационные ресурсы. Под информационными ресурсами понимаются документы и массивы документов в информационных системах предприятия [7].
Информационные ресурсы предприятия подвержены различного рода угрозам. Для снижения угроз, уязвимостей, рисков на предприятии необходим контроль и эффективное управление информационными ресурсами. Эффективное управление подразумевает принятие решений при оптимизации комплексной системы защиты информации на предприятии (рис. 2).
Вопросы распределения, использования и защиты информационных ресурсов предприятия возложены на службу КСЗИ, которая формирует стратегию потребностей в информационных ресурсах, оценивает текущее состояние системы защиты информации и эффективность использования информационных ресурсов.
На предприятии защита информационных ресурсов сводится к оптимизации методов защиты информации, технических средств и его состава. Управление информационными ресурсами связано с информационной мощностью предприятия [1]. Информационная мощность предприятия – синергетическая характеристика, описывающая степень эффективности использования существующих информационных активов для увеличения конкурентоспособности предприятия с достижением максимума при:
- полном использовании функционала и возможностей информационных систем,
- организации информационных бизнес-решений, адекватных решаемым предприятием задачам [1].
Заключение
Описаны исторические аспекты развития и становления системы защиты информации на предприятиях России, в частности Республики Татарстан.
Предложен подход к совершенствованию организационных мероприятий по защите информации на предприятии, основанный на минимизации затрат на построение комплексной системы защиты информации на предприятии, увеличении уровня защищенности, обеспечиваемого КСЗИ на предприятии, выборе оптимального решения по построению КСЗИ на предприятиях различных форм собственности.
Оптимизация комплексной системы защиты информации на предприятиях различных форм собственности позволит внедрить и использовать методы и средства защиты информации, защищенные информационные ресурсы, за счет которых увеличится мощность информационной безопасности предприятия.
Список литературы
- Абросимов В.К., Канев С.А. Информационная мощность компании // Бизнес-информатика, №3(13), 2010.
- Гатчин Ю.А., Жаринов И.О., Коробейников А.Г. Математические модели оценки инфраструктуры системы защиты информации на предприятии // Научно-технический вестник информационных технологий, механики и оптики. № 2 (78). 2012.
- Петровский В.И., В.В. Петровский В.В. Помехи в технологии обеспечения информационной безопасности. Монография. Казань: Изд-во Казан. гос. техн. ун-та, 2004. - 282 с.
- Петровский В.И, Петровский В.В. Информационная безопасность и электромагнитная совместимость технических средств. Монография. - Казань: Изд-во Казан. гос. техн. ун-та, 2005. - 388с.
- Петровский В.И, Тумбинская М.В., Петровский М.В. Оптимизация комплексной системы защиты информации на предприятиях различных форм собственности. Монография. – Казань: «Познание», 2014. - 728 с.
- Троников И.Б. Методы оценки информационной безопасности предприятия на основе процессного подхода: дисс. канд. техн. наук … по спец. 05.13.19. – СПб: СПбГУ ИТМО, 2010. 134 с.
- Федеральный закон РФ от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации (с последующими изм.) // Собрание законодательства Российской Федерации. – 2006. – № 31 (часть I). – Ст. 3448.
Об авторе: Казанский национальный исследовательский технический университет им. А.Н. Туполева-КАИ
Казань, Россия
ptrvi@mail.ru, tumbinskaya@inbox.ru
Материалы международной конференции Sorucom 2014 (13-17 октября 2014)
Помещена в музей с разрешения авторов
27 августа 2015