Безопасность и качество жизни современного общества во многом определяется безопасностью и эффективностью действующих в нем систем управления людьми и процессами (экологически опасные производства, энергетика, транспорт и т.п.):

• правильное решение любой проблемы может быть принято только на основании достоверной и своевременно полученной информации;
• планировать расходы может только тот, кто точно знает куда, зачем и сколько он тратит на самом деле;
• получить ожидаемую прибыль от нового продукта, идеи, компьютерной программы можно только в том случае, если удастся сохранить в тайне технологию создания;
• отказ системы управления аэропорта, железной дороги или атомной электростанции для многих из нас может стать той последней вещью, о которой мы никогда не узнаем;
• перечень примеров вы можете продолжить сами (даже вчера вы попали в «пробку» и опоздали на важную встречу только потому, что не имели информации о том, что на привычном маршруте будет начат ремонт дорожного покрытия).

Таким образом, информация является той субстанцией, которая может либо помогать решать, либо создавать проблемы – в зависимости от того, как с ней обращаться. При этом обеспечить безопасность информации - это не только сохранить ее конфиденциальность (секретность). Проблема безопасности значительно шире.

Далее мы очень сжато изложим свои предложения и основные подходы к обеспечению безопасности информационных ресурсов. Основная идея концепции является достаточно универсальной и может быть легко адаптирована под решение задачи защиты информации любого объекта.

Очень важный вопрос, с которого должно начинаться построение системы защиты. Для чего она вам нужна? Мы выделили пять основных мотиваций наших заказчиков:

Безопасность - это модно (если есть у соседа – у меня должно быть такое же или в два раза лучше);

Реклама (декларация безопасности применяемых технологий или предоставляемых услуг с целью привлечения дополнительных заказов);

Выполнение лицензионных условий основного вида деятельности (например, оператором связи);

Выполнение обязанностей (обязательств) перед государством (в основном относится к вопросам защиты государственной тайны);

Обеспечение собственной безопасности (комментариев не требует).

Очевидно, что для достижения этих целей требуется обеспечить совершенно разный уровень безопасности. При этом решение многих вопросов не требует существенных материальных ресурсов. Строго говоря, нижней границы экономии не существует, но нужно понимать, что снижение расходов предполагает пропорциональное снижение трудоемкости работ, а следовательно – качества безопасности.

Различные уровни безопасности можно показать на простых примерах.

Уровень «выше некуда» (достигнуть тяжело, но стремиться нужно). Применим для крупных промышленных и административных объектов.

Обеспечение защиты информационных ресурсов в комплексе, с учетом того, что объект располагает различными категориями информации ограниченного доступа - государственная, служебная, коммерческая тайна и т.д. Предполагает построение системы защиты «сверху»: от обязательных требований, соответствующих высшему уровню секретности, до уровня требований по защите коммерческой информации, экономически приемлемых для предприятия на данном этапе развития. Особенностью системы защиты в этом случае является решение, в том числе, целевой задачи выполнения обязательств перед государством - предотвращения попадания информации высших уровней секретности на уровни обращения, не обеспечивающие ее защиту. Требует проведения анализа всех областей деятельности, выявления и анализа всех путей обращения информации. Существенным преимуществом является то, что созданная система обеспечивает необходимый правовой режим и защиту всех видов информационных ресурсов в их взаимосвязи. Является наиболее трудоемкой и дорогостоящей задачей.

Целесообразность ее постановки обоснована тем, что (как ни странно) на стыках различных категорий информации всегда существуют предпосылки ее «перетекания» на низшие уровни защиты. Кроме того, по ряду позиций существует неопределенность категории информации (например, значение шифров и паролей - могут быть и государственной, и служебной, и коммерческой тайной в зависимости от условий применения). Если при построении системы защиты не учитывать данное обстоятельство и не закладывать определенные блокирующие механизмы, она может превратиться в «логическую бомбу», способную существенно дискредитировать ряд проблем безопасности.

При выполнении заказчиком всех рекомендаций исполнитель принимает на себя ответственность за эффективность функционирования созданной системы.

Уровень «что могу себе позволить». Определяется финансовыми возможностями заказчика и уровнем понимания им существующих проблем.

Решение локальных задач безопасности коммерческой информации исключительно по желанию заказчика (разработка перечня сведений, составляющих коммерческую тайну, методологии его составления, доработка положений, инструкций, создание локальных технологий и т.п.). В данном случае исполнитель не может принять на себя в целом обязательств по эффективности системы защиты кроме тех фрагментов, которые были разработаны при его участии и с учетом его рекомендаций.

В любом случае несет выраженный положительный эффект формирования коллективной психологии безопасности.

• Предотвращение угроз экономической, политической, техногенной и иной безопасности объекта защиты
• Предотвращение несанкционированных действий по уничтожению, модификации, блокированию информации
• Предотвращение несанкционированного доступа к конфиденциальной (закрытой) информации

• Определить приемлемые для вас цели и задачи безопасности
• Определить предмет защиты
• Назначить должностных лиц, ответственных за решение проблемы и наделить их необходимыми полномочиями
• Определить стратегию и тактику защиты
• Предусмотреть выделение ресурсов