Список использованной литературы содержит 41 наименование.

В приложении содержатся материалы иллюстративного характера, фотографии и технические характеристики некоторых защитных устройств, а также приведен ряд инструкций и правил для пользователей и обслуживающего персонала.

1 АНАЛИЗ НОРМАТИВНО-ПРАВОВОЙ БАЗЫ ОБЕЧПЕЧЕНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

Бурный рост конфиденциальной и коммерческой информации, а также существенное увеличение фактов ее хищения вызывает повышенный интерес все большего числа организаций к созданию собственных защищенных информационных систем.

Проектирование защищенных информационных систем процесс довольно сложный, который предполагает наличие соответствующих знаний и опыта, у ее создателей.

Потребитель может не вникать в разработку такого проекта и подробности его развития, однако он обязан контролировать каждый его этап на предмет соответствия техническому заданию и требованиям нормативных документов. В свою очередь, персональный опыт проектировщиков требует использования существующих нормативных документов в данной области для получения наиболее качественного результата.

Таким образом, процесс проектирования защищенных информационных систем должен основываться на знании и строгом выполнении требований существующих нормативных документов, как со стороны ее разработчиков, так и со стороны заказчиков.

1.1 Общие понятия и определения в области проектирования защищенных автоматизированных систем

Существующая в Украине нормативная база еще не достигла необходимого развития в данной области. Так, например, из огромного списка стандартов и нормативных документов Украины можно выделить лишь некоторые, которые могут быть использованы при проектировании защищенных АС [2-5].

Поэтому, при проведении данного рода работ, специалисты используют также международные (ISO) и межгосударственные (ГОСТы, утвержденные до 1992 года, включительно) стандарты [6].

Согласно одному из таких стандартов [7] АС представляет собой систему, состоящую из персонала и комплекса средств автоматизации его деятельности, реализующую информационную технологию выполнения установленных функций.

В зависимости от вида деятельности выделяют следующие виды АС: автоматизированные системы управления (АСУ), системы автоматизированного проектирования (САПР), автоматизированные системы научных исследований (АСНИ) и др.

В зависимости от вида управляемого объекта (процесса) АСУ делят на АСУ технологическими процессами (АСУТП), АСУ предприятиями (АСУП) и т.д.

В нашем случае АС представляет собой среду обработки информации, и также информационных ресурсов в информационно-телекоммуникационной системе. Поэтому в дальнейшем будем использовать понятие автоматизированная информационная система.

Закон Украины «Об информации» [1] трактует понятие «информация» в следующем виде: «под информацией понимается документируемые или публично объявленные сведения о событиях и явлениях, которые происходят в обществе, государстве и окружающей среде».

В свою очередь, защита информации в АС - деятельность, которая направлена на обеспечение безопасности обрабатываемой в АС информации и АС в целом, и позволяет предотвратить или осложнить возможность реализации угроз, а также снизить величину потенциальных убытков в результате реализации угроз [2].

Таким образом, АИС представляет собой сложную систему, которую целесообразно разделять на отдельные блоки (модули) для облегчения ее дальнейшего проектирования. В результате этого, каждый модуль будет независим от остальных, а в комплексе они будут составлять цельную систему защиты.

Выделение отдельных модулей АИС позволяет службе защиты информации:

- своевременно и адекватно реагировать на определенные виды угроз информации, которые свойственны определенному модулю;

- в короткие сроки внедрять систему защиты информации в модулях, которые только что появились;

- упростить процедуру контроля системы защиты информации в целом (под системой защиты информационной инфраструктуры предприятия в целом следует понимать совокупность модулей систем защиты информации).

Постепенно наращивая количество модулей, а также усложняя структуру защиты, АИС приобретает некую комплексность, которая подразумевает использование не одного типа защитных функций во всех модулях, а их произведение.

Таким образом, построение КСЗИ становится неотъемлемым фактором в разработке эффективной системы защиты от несанкционированного доступа.

Согласно [8] КСЗИ – совокупность организационных и инженерных мероприятий, программно-аппаратных средств, которые обеспечивают защиту информации в АС.

Отсюда видно, что, например, простым экранированием помещения при проектировании КСЗИ не обойтись, так как данный метод предполагает лишь защиту информации от утечки по радиоканалу.

В общем случае понятие «комплексность» представляет собой решение в рамках единой концепции двух или более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или то и другое (всеобщая комплексность).

Целевая комплексностьозначает, что система информационной безопасности должна строиться следующим образом:

- защита информации, информационных ресурсов и систем личности, общества и государства от внешних и внутренних угроз;

- защита личности, общества и государства от негативного информационного воздействия.

Инструментальная комплексностьподразумевает интеграцию всех видов и направлений ИБ для достижения поставленных целей.

Современная система защиты информации должна включать структурную,функциональную и временную комплексность.