1.3. Современная постановка задачи защиты информации
До настоящего времени в обыденной практике и даже среди некоторой части специалистов продолжает превалировать представление задачи защиты информации как предупреждения несанкционированного ее получения в системах обработки, построенных на базе современных компьютерных средств и систем. Такая интерпретация задачи защиты воспринимается как нечто само собой разумеющееся. Нисколько не отрицая важность сохранения конфиденциальности информации и достигнутые успехи в решении этой задачи, скажем, однако, что в современных условиях существуют и объективная необходимость, и объективные предпосылки для кардинального изменения взгляда на саму проблему защиты информации и подходы к ее решению. Заметим, что необходимость своевременного видоизменения постановки задачи является одним из важнейших общеметодологических принципов развития науки.
Основные факторы, обуславливающие объективную необходимость назревшего изменения постановки задачи защиты, заключаются в следующем.
1. Небывалое повышение значимости информации как общественного ресурса. Современное общество характеризуется как постиндустриальное в хронологическом плане и как информационное в плане основополагающих процессов его функционирования. По мере поступательного развития индустриального общества возникло и неуклонно усиливалось противоречие между индустриальным характером материального производства и характером управления этим производством, существенно зависящим от искусства управленческого персонала. В целях преодоления названного противоречия управление должно быть основано на других принципах, как бы использующих методы поточно-индустриального производства. Осуществление такого перевода составляет главную задачу постиндустриального (информационного) общества. А поскольку всякое управление в основе своей есть информационный процесс, то информация приобретает статус главного ресурса общества со всеми вытекающими из этого требованиями, предъявляемыми к обращению с ним.
2. Существенные изменения в организации информационных технологий. Современные информационные технологии характеризуются массовым насыщением сверхбыстродействующими компьютерными средствами и объединением их в глобальные сети, что обеспечивает расширение обработки огромных объемов информации в очень короткие сроки, недостижимые на предыдущих этапах общественного развития.
3. Все возрастающие опасности злоумышленных действий по отношению к информации и злоумышленного ее использования. Настоящее время характеризуется серьезным ростом преступности, использующей возможности информационно-коммуникационных технологий для нанесения ущерба интересам граждан, общества и государства, подготовки и осуществления террористических актов и иных преступных деяний. При этом возможности злоумышленного использования информации достигли такого уровня, что уже практически ведутся информационные войны.
Объективные предпосылки видоизменения постановки задачи защиты информации создаются следующими обстоятельствами.
Наличие богатого опыта организации различных защитных процессов по отношению к информации как в традиционных («бумажных»), так и в автоматизированных технологиях ее обработки. На сегодняшний день отработаны современные методологии обеспечения сохранности (целостности) информации, ее надежности, качества обработки и выдачи, регулирования использования (предупреждения несанкционированного доступа).
Значительные достижения в научном обеспечении названных выше процессов. В последние два десятилетия XX века большое развитие получили теория надежности и теория обеспечения качества информации. В настоящий момент можно также с уверенностью утверждать, что разработаны основы теории защиты информации (в первую очередь трудами отечественных ученых).
Возможности решения всех проблем организации защитных процессов по отношению к информации в рамках единой концепции. Такой концепцией может стать разрабатываемая в теории защиты информации унифицированная концепция защиты информации (УКЗИ) [15].
Таким образом, видоизмененная постановка задачи защиты информации должна учитывать совокупность следующих основных концептуальных положений:
- интегральное представление понятия комплексности защиты информации в целевом и инструментальном планах;
- расширение рамок защиты от обеспечения компьютерной безопасности до защиты информации на объекте и защиты информационных ресурсов региона и государства;
- комплексное организационное построение систем защиты информации;
- организация не только защиты информации, но и защиты от нее;
- обеспечение условий наиболее эффективного использования информации;
- переход к так называемой упреждающей стратегии осуществления защитных процессов.
Нетрудно видеть, что при таком подходе проблема защиты информации фактически перерастает в более общую проблему управления информационными ресурсами.
Рассмотрим основное содержание видоизмененной постановки задачи защиты информации по каждому из названных направлений.
Интегральное представление понятия комплексности защиты информации. Практически во всех современных работах по защите информации именно комплексный, системный подход рассматривается как основа решения проблем защиты, поскольку сумма даже высокоэффективных независимых решений основных вопросов защиты совсем не гарантирует эффективной защиты в целом. В настоящее время, когда информационно-телекоммуникационные системы и компьютерные технологии получили массовое распространение, а требования к надежности обеспечения различных видов защиты информации (обеспечение физической и логической целостности, предупреждение несанкционированных получения, модификации и размножения) и к рациональному использованию выделенных на эти цели ресурсов неизмеримо возрастают, само понятие комплексности защиты должно быть комплексным. Суть такого интегрального понимания комплексности показана на рис.1.4. При этом интегральному представлению понятия комплексности соответствует правый нижний элемент представленной классификации.
Рис. 1.4. Интегральное представление понятия комплексности защиты информации
2. Расширение рамок защиты информации. Данный аспект видоизменения постановки задачи защиты информации определяется двумя обстоятельствами. Первое – это переход от компьютерной безопасности к проблеме комплексной защиты информации в автоматизированных системах. Второе – это организация решения соответствующих задач в масштабе региона и государства в целом. Таким образом, масштаб проблемы защиты информации представляется в виде трехуровневой структуры: компьютерная безопасность, защита информации на объекте, защита информации в регионе (государстве). Очевидно, что при переходе от первого уровня ко второму и от второго к третьему происходит не только количественный рост задач защиты, но и появление качественно новых, более сложных задач.
Так, при организации защиты информации на объекте дополнительно существенно расширяется круг разновидностей структурных компонентов, в которых должна быть обеспечена защита. Дополнительно к тем разновидностям компонентов, которые в общем случае присущи автоматизированным системам, (см., например, [15]), добавляются традиционные организационные структуры объекта: контрольно-пропускные пункты, которые, с одной стороны, являются частью системы защиты, а с другой – объектами защиты; подразделения традиционного делопроизводства; рабочие помещения функциональных подразделений; вспомогательные подразделения и т. п.
Для обеспечения надежной защиты информации в современных условиях особое значение приобретает предупреждение возникновения условий, благоприятствующих порождению угроз безопасности информации, отсюда существенно повышается значимость законодательных, организационно-психологических и морально-этических средств защиты. Таким образом, внимание все более сосредотачивается на системных вопросах защиты информации, а именно:
на формировании и обосновании общей политики защиты;
на подборе и расстановке кадров с учетом требований защиты;
на обучении кадров (руководителей объекта и его функциональных подразделений, сотрудников функциональных подразделений) вопросам защиты в современных условиях;
на системотехническом проектировании комплексной системы защиты информации на объекте;
на четкой организации технологии функционирования системы защиты во всех режимах и условиях деятельности объекта;
на сборе, накоплении и аналитико-синтетической обработке данных о функционировании системы защиты информации.
При переходе же на региональный (а тем более – государственный) уровень рассмотрения проблемы превалирующее значение приобретают задачи стратегического плана: создание и преумножение информационных ресурсов, их сбережение и использование в соответствии с экономическими и политическими потребностями развития, включая и потребности обеспечения информационной безопасности. Все это уже означает не просто защиту информации в процессе ее обработки и защиту от информации в процессе ее циркуляции, а системную увязку задач обеспечения информационной безопасности с остальными задачами решения информационных проблем общества.
Само собой разумеется, что все вопросы, связанные с информационной безопасностью вообще, и с защитой информации в частности, должны решаться в рамках некоторым образом унифицированной информационной технологии. Но поскольку эта технология предполагает ее массовое применение при формировании информационного общества, то она по определению должна обеспечивать высокоэффективное информационное обеспечение деятельности современных объектов информатизации (предприятий, учреждений, иных организаций) и быть экономной с точки зрения расходования ресурсов на ее разработку, тиражирование и эксплуатацию. Достижение этих целей возможно лишь при тщательном системном учете всех факторов, которые оказывают влияние на структуру, содержание и организацию функционирования информационной технологии. Совершенно очевидно, что проблемы обеспечения информационной безопасности (т. е. защиты информации и защиты от информации) относятся к числу существенно значимых факторов, поэтому на современном этапе они должны решаться не сами по себе, а как составная часть общей проблемы информатизации.
Есть еще один очень важный аспект рассматриваемого вопроса. Как известно, любое индустриальное производство предполагает непременное и непрерывное управление перерабатываемыми на индустриальной основе ресурсами. В индустриальных информационных технологиях на индустриальной основе обрабатывается информация, чем предопределяется необходимость управления информацией по всем законам современной науки управления. Отсюда следует, что вопросы защиты информации должны решаться как составная часть задачи управления информацией.
3. Комплексное организационное построение систем защиты информации. Прежде всего, заметим, что примерно до середины ХХ столетия в СССР (да и за рубежом) специализированные организационные структуры создавались только для защиты секретной информации. Они обеспечивали соблюдение правил работы с секретными документами и данными, а также правил функционирования режимных объектов. В итоге сложилась довольно стройная и эффективно функционирующая система организационной защиты. К этому следует добавить, что в тот же период по мере расширения возможностей технической разведки все более угрожающей становилась опасность утечки информации по техническим каналам. Для решения задачи перекрытия этих каналов стали создаваться специальные органы противодействия технической разведке. В нашей стране стройную организационную структуру данные органы приобрели с созданием в 1973 г. Государственной технической комиссии (Гостехкомиссии) с развитой системой региональных органов.
Когда для обработки секретной информации стали регулярно применяться средства вычислительной техники, возникли новые задачи обеспечения ее защищенности в автоматизированных системах. Поскольку для решения этих задач необходимы знания методов автоматизированной обработки, то для их решения стали создаваться самостоятельные подразделения, состоящие из специалистов соответствующего профиля. С течением времени образовалась система органов защиты информации в автоматизированных системах, причем обозначилась и на практике реализуется тенденция объединения их с органами противодействия технической разведке. В настоящее же время, при широкомасштабном применении современных информационных и компьютерных технологий, актуальной стала задача объединения всех названных органов в единую комплексную структуру органов защиты информации.
При этом создание такой структуры не должно быть сведено к механическому объединению рассмотренных выше трех видов органов. В итоге объединения должна быть создана такая структура, которая могла бы реализовать комплексную интенсивную защиту в полном соответствии с современными потребностями и возможностями.
4. Организация защиты от информации. Выше уже отмечалось, что, помимо защиты информации важнейшей составляющей обеспечения информационной безопасности является защита от информации, т. е. защита автоматизированных систем и людей (отдельно взятого человека, коллектива людей, населения региона) от разрушающего воздействия информации. Вместе с тем, системно-концептуальные подходы к решению этой проблемы находятся практически в зародышевом состоянии. Объективная причина такого положения заключается в необычности проблемы, чрезвычайной ее сложности, многоаспектности и высоком уровне неопределенности. Существует и субъективная причина, заключающаяся в отсутствии до последнего времени общегосударственной востребованности серьезного решения этой проблемы. Положение здесь должно существенно улучшиться в связи с реализацией Стратегии развития информационного общества и Доктрины информационной безопасности Российской Федерации.
В средствах массовой информации время от времени появляются публикации по отдельным вопросам и конкретным фактам злоумышленного использования информации как средства противоборства при силовом решении политических, социальных и экономических проблем. Однако системные теоретико-концептуальные исследования проблемы защиты от информации еще ждут своего осуществления.
В [15] говорилось о возможности трансформации в этих целях основных положений унифицированной концепции защиты информации и использования их для решения задачи защиты от информации. Действительно, основанием такого вывода служат сравнительно тесная родственная связь обеих задач и высокий уровень проработки и научной обоснованности УКЗИ. Как показывает практика использования основных положений УКЗИ при создании реальных систем защиты информации, она применима для обеспечения эффективной защиты в любых автоматизированных системах, в том числе организационно-технологического типа, на всех трех уровнях защиты: компьютерном, объектовом, региональном (государственном). На этой основе может быть сделан фундаментальный вывод о том, что полномасштабная реализация УКЗИ создает все необходимые объективные предпосылки для перехода от экстенсивных к интенсивным способам защиты информации. Такой переход обеспечит высокую надежность защиты и существенное снижение расходов на ее организацию. Пути и проблемы интенсификации процессов защиты информации и являются основным предметом данной монографии.