Выбор технического средства защиты информации от НСД

Роль политики информационной безопасности
В предыдущем разделе нами сформулированы задачи, решаемые в рамках
разработки политики информационной безопасности. При этом политика
информационной безопасности — это основополагающий документ, регла­ментирующий все мероприятия, реализуемые на предприятии с целью обес­печения компьютерной безопасности. Политика информационной безопас­ности — это та основа, без которой невозможно приступать ни к выбору, ни к проектированию средств защиты информации, в том числе добавочных.
Невозможно в общем случае сказать, какое средство защиты лучше (при про­чих равных условиях — надежности функционирования, производительности и т.д.). Следует лишь говорить, какое средство в большей мере удовлетворяет
требованиям, формализуемым политикой информационной безопасности.
Например, если политикой регламентируется схема централизованного ад­министрирования механизмов защиты (в качестве потенциального злоумыш­ленника рассматривается пользователь), то, как показано ранее, не подхо­дят средства защиты, встроенные в современные универсальные ОС, а также ряд средств добавочной защиты, использующих встроенные в ОС механиз­мы (в частности, механизм управления доступом).
Следовательно, прежде всего, следует разработать политику информаци­онной безопасности, а уже с ее использованием приступать к разработ­ке, либо к выбору из представленных на рынке технических средств защиты информации.
Однако здесь существует противоречие, состоящее в следующем: с од­ной стороны, политика информационной безопасности выставляет требования к системе защиты, с другой стороны, может она быть реали­зована только на основе тех возможностей (механизмов защиты), кото­рые реализуются системой защиты. То есть именно система защиты яв­ляется центральным звеном, определяющим возможности защиты информации на предприятии в принципе.
Разработка политики информационной безопасности
Разработка политики информационной безопасности в общем случае являет­ся итерационной процедурой, состоящей из выполнения следующих шагов.
Первый шаг — разработка гипотетически идеальной для предприятия политики, куда закладываются те требования, которые идеаль­но подходят для данного предприятия — формулируется некий
идеальный профиль защиты.
Второй шаг — выбор (либо разработка) системы защиты, максималь­но обеспечивающей выполнение требований гипотетически иде­альной политики информационной безопасности.
Третий шаг — определение требований политики информационной бе­зопасности, которые не выполняются системой защиты.
Далее возможны следующие пути:
» осуществление доработки выбранного средства защиты в части вы­полнения ими сформулированных требований;
• выполнение (по возможности) данных требований организационны­ми мерами. Здесь главное — не свести все к абсурду, например, если рассматривать для ОС Windows NT/2000/XP в качестве потенциаль­ного злоумышленника пользователя, то с учетом того, что пользова­тель может запустить любую программу с внешнего устройства ввода, т.е. получает инструментарий преодоления системы защиты, в каче­стве организационных мероприятий может быть предусмотрено ис­пользование компьютеров без внешних устройств ввода);
» пересмотр политики информационной безопасности (если это возмож­но) с учетом возможностей выбранного средства защиты информации. Сделано это должно быть таким образом, чтобы чтобы не выполняемые
системой защиты требования не выдвигались в качестве основных тре­бований к обеспечению информационной безопасности (однако заме­тим, что это не должно привести к ослаблению защиты информации на предприятии: мы говорим о пересмотре, не об усечении возможностей).
Проблемы реализации принятого профиля информационной безопасности
В результате выполнения рассмотренной в предыдущем пункте проце­дуры будет сформирована политика информационной безопасности, обес­печиваемая техническими возможностями выбранной системы защиты.
Возникает резонный вопрос: а может ли случиться так, что разработан­ный на предприятии профиль защиты принципиально не достижим, либо, наоборот, реализуется с большой избыточностью (это тоже плохо, т.к. в данном случае необоснованно снижается производительность, повыша­ется цена системы защиты и т.д.)?
Гипотетически подобное возможно. Это обусловлено тем, что встроен­ные в современные универсальные ОС механизмы защиты еще весьма далеки от совершенства (их недостатки рассмотрены в предыдущих гла­вах), а добавочные средства защиты на отечественном рынке еще не столь широко представлены, чтобы обеспечить всевозможные профили защи­ты, потребность в которых может возникнуть на практике.
Существующие системы защиты скорее имеют больше общего, чем раз­личий. Пожалуй, значительно среди них выделяется КСЗИ «Панцирь» -здесь реализовано 9 патентов на изобретения сотрудников ЗАО «НПП «Информационные технологии в бизнесе» (на сегодняшний день по ре­ализованным техническим решения подано 15 заявок на изобретения), Это объективно иллюстрирует существенные отличия данной системы.
Вместе с тем отметим, что если в полном объеме политику информаци­онной безопасности обеспечить техническими средствами защиты не
удается, должны быть выделены «слабые» места защиты и выработаны соответствующие организационные мероприятия по возможной локали­зации потенциально опасных для системы защиты угроз.
Общее правило выбора системы технической защиты информации
Обобщая все сказанное, отметим, что система технической защиты ин­формации является ключевым звеном политики информационной безо­пасности, которая в своей основе базируется именно на механизмах тех­нической защиты информации. Обоснованный выбор средства защиты
для установки в корпоративной сети предприятия может быть осуществ­лен только на основе анализа на совпадения требуемого профиля защи­ты предприятия и профиля защиты, реализуемого системой зашиты, в
частности добавочной.
Поэтому выбор системы защиты, равно как и разработка политики ин­формационной безопасности, в общем случае является взаимосвязанной итерационной процедурой, состоящей из выполнения рассмотренных
выше шагов.