 |
Главным критерием в выборе средств защиты интеллектуальной собственности следует считать ее ценность (реальную или потенциальную).
|
|
|
|
Ценность интеллектуальной собственности позволяет установить возможный ущерб от овладения информацией конкурентами, приносимым доходом, а также компенсацией возможных затрат на ее защиту. Для конкурентов же эта ценность должна компенсировать риск, связанный с ее получением (добыванием).
Для того чтобы обеспечить эффективную защиту интеллектуальной собственности, кроме оценки ценностинеобходимо провести анализ ее уязвимость.
Уязвимость дает возможность выявить характерные особенности и недостатки объекта защиты, которые могут облегчить проникновение злоумышленника к охраняемым сведениям. Главный результат этой работы - выявление источников информации и возможных каналов ее утечки.
Целью защиты информации является сведение к минимуму потерь в управлении, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.
Основными задачами системы информационной безопасности являются:
- своевременное выявление и устранение угроз безопасности и ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба его интересам;
- создание механизма и условий оперативного реагирования на угрозы безопасности и проявлению негативных тенденций в функционировании предприятия;
- эффективное пресечение посягательств на ресурсы и угроз персоналу на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
- создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение целей организации.
|
|
|
Мероприятия по защите информации должны исключать:
- выход излучений электромагнитного и акустического полей, а также наводок в сетях питания, кабельных линиях, заземлении, радио- и телефонных сетях за пределы контролируемой зоны;
- доступ в помещение, где осуществляется обработка информации, а также визуально-оптические возможности съема информации;
- работу специальных устройств ведения разведки, которые могут находиться в строительных конструкциях помещений и предметах их интерьера, а также внутри самого помещения или непосредственно в средствах обработки и передачи информации;
- перехват информации из каналов передачи данных;
- несанкционированный доступ к информационным ресурсам;
- воздействие излучений, приводящих к разрушению информации.
Приведенная совокупность определений достаточна для формирования общего, пока еще абстрактного взгляда на построение системы информационной безопасности. Для уменьшения степени абстракции и формирования более детального замысла необходимо знание основных принципов организации системы информационной безопасности.
Анализ состояния дел в области информационной безопасности показывает, что в ведущих странах сложилась достаточно четко очерченная система концептуальных взглядов на проблемы информационной безопасности.
И, тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не уменьшаются, а имеют достаточно устойчивую тенденцию к росту.
Это свидетельствует о том, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация обеспечения безопасности информационной системы.
Современный опыт решения проблем информационной безопасности показывает, что для достижения наибольшего эффекта при организации защиты информации необходимо руководствоваться рядом принципов.
|
|
|
Первым и наиболее важным является принцип непрерывности совершенствования и развития системы информационной безопасности. Суть этого принципа заключается в постоянном контроле функционирования системы, выявлении ее слабых мест, потенциально возможных каналов утечки информации и НСД, обновлении и дополнении механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации. Таким образом, обеспечение информационной безопасности не может быть одноразовым актом.
Вторым является принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации.
Комплексный характер защиты информации проистекает, прежде всего, из характера действий злоумышленников, стремящихся любой совокупностью средств добыть важную для конкурентной борьбы информацию. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения.
Кроме того, наибольший эффект достигается в том случае, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм – систему информационной безопасности. Только в этом случае появляются системные свойства не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования.
Можно определить систему информационной безопасности как организованную совокупность органов, средств, методов и мероприятий, обеспечивающих защиту информации от разглашения, утечки и несанкционированного доступа к ней.
Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм представителей службы информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.
|
|
|
Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуемого уровня защиты.
С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований.
Защита информации должна быть:
- централизованной; необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;
- плановой; планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;
- конкретной и целенаправленной; защите подлежат абсолютно конкретные информационной ресурсы, могущие представлять интерес для конкурентов;
- активной; защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментариев, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;
- надежной и универсальной, охватывать весь технологический комплекс информационной деятельности объекта; методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;
- нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;
- открытой для изменения и дополнения мер обеспечения безопасности информации;
- экономически эффективной; затраты на систему защиты не должны превышать размеры возможного ущерба.
|
|
|
Наряду с основными требованиями существует ряд устоявшихся рекомендаций, которые будут не бесполезны создателям систем информационной безопасности:
- средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей;
- каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;
- возможность отключения защиты в особых случаях, например, когда механизмы защиты реально мешают выполнению работ;
- независимость системы защиты от субъектов защиты;
- разработчики должны предполагать, что пользователи имеют наихудшие намерения(враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;
- отсутствие на предприятии излишней информации о существовании механизмов защиты.
|
|
|
