Информация становится стратегическим ресурсом государства, производительной силой и дорогим товаром.
Значимость обеспечения безопасности государства в информационной сфере подчеркнута в принятой законодательной базе Украины.
У Концепції Національної програми інформатизації (Затверджена Законом України від 4 лютого 1998 року N 75/98-ВР): "інформаційна безпека – невід'ємна частина політичної, економічної, оборонної та інших складових національної безпеки. Об'єктами інформаційної безпеки є інформаційні ресурси, канали інформаційного обміну і телекомунікації, механізми забезпечення функціонування телекомунікаційних систем і мереж та інші елементи інформаційної інфраструктури країни".
Содержание категории «информационная безопасность» находит свое развитие в комплексе нормативно-правовых документов по использованию способов вычислительной (компьютерной) техники для обработки и хранения информации ограниченного доступа; государственных стандартов по документированию, сопровождению, использованию, сертификационным испытаниям компьютерных программных способов защиты информации; банк методы диагностики, локализации и профилактики компьютерных вирусов, новые технологии защиты информации с использованием спектральных методов, высоконадежных криптографических методов защиты информации .
Важно также обеспечить конституционные права граждан на получение достоверной информации, на ее использование в интересах осуществления законной деятельности, а также на защиту информации, обеспечивающую личную безопасность.
Противоборство государств в области информационных технологий, стремление криминальных структур противоправно использовать информационные ресурсы, необходимость обеспечения прав граждан в информационной сфере, наличие множества случайных угроз вызывают острую необходимость обеспечения зашиты информации в компьютерных системах (КС), являющихся материальной основой информатизации общества.
Проблема обеспечения информационной безопасности на всех уровнях может быть решена успешно только в том случае, если создана и функционирует комплексная система защиты информации, охватывающая весь жизненный цикл компьютерных систем от разработки до утилизации и всю технологическую цепочку сбора, хранения, обработки и выдачи информации.
I. Основные понятия и положения защиты информации в компьютерных системах
Предмет защиты
В качестве предмета защиты рассматривается информация, хранящаяся, обрабатываемая и передаваемая в компьютерных системах.
Термин информация происходит от латинского infonnatio, что означает разъяснение, осведомление, изложение.
С позиции материалистической философии информация есть отражение реального мира с помощью сведений (сообщений).
Сообщение – это форма представления информации в виде речи, текста, изображения, цифровых данных, графиков, таблиц и т.п.
В неживой природе понятие информации связывают с понятием отражения, отображения.
В быту под информацией понимают сведения, которые нас интересуют, т.е. сведения об окружающем мире и протекающем в нем процессах, воспринимаемые человеком или специальными устройствами (субъективный подход).
Информация для человека – это знания, которые он получает из различных источников. С помощью всех своих органов чувств человек получает информацию из внешнего мира.
В теории связи под информацией принято понимать любую последовательность символов, не учитывая их смысл.
В теории информации под информацией понимают не любые сведения, а лишь те, которые снимают полностью или уменьшают существующую до их получения неопределенность. По определению К. Шеннона, информация – это снятая неопределенность.
В математике и кибернентике – количественная мера устранения неопределенности (энтропии), мера организации системы.
Информация – сведения об объектах и явлениях окружающей среды, их параметрах, свойствах и состоянии, которые уменьшают имеющуюся о них степень неопределенности, неполноты знаний.
Ценность информации является критерием при принятии любого решения о ее защите. Известно следующее разделение информации по уровню важности:
жизненно важная незаменимая информация, наличие которой необходимо для функционирования компьютерной системы, организации и т. п.;
важная информация – информация, которая может быть заменена или восстановлена, но процесс восстановления которой очень труден или связан с большими затратами;
полезная информация – информация, которую трудно восстановить, однако компьютерная система или организация может эффективно функционировать и без нее;
несущественная информация.
Ценность информации обычно изменяется со временем и зависит от степени отношения к ней различных групп лиц, участвующих в процессе обработки информации:
источников, или поставщиков, информации;
держателей, или обладателей, собственников, информации;
владельцев систем передачи, сбора и обработки информации;
законных пользователей, или потребителей, информации;
нарушителей, стремящихся получить информацию, к которой в нормальных условиях не имеют доступа.
Отношение этих групп лиц к значимости одной и той же информации может быть различным: для одной – важная, для другой – нет. Например:
важная оперативная информация, такая, например, как список заказов на данную неделю или график производства, может иметь высокую ценность для держателя, тогда как для источника (например, заказчика) или нарушителя – низкую;
персональная информация, например медицинская, имеет значительно большую ценность для источника (лица, к которому относится информация), чем для держателя или нарушителя;
информация, используемая руководством для выработки решений, например о перспективах рынка, может быть значительно более ценной для нарушителя, чем для источника или ее держателя, который уже завершил анализ этих данных.
Существует деление информации по уровню секретности, конфиденциальности. Признаками секретной информации является наличие:
законных пользователей, которые имеют право владеть этой информацией,
незаконных пользователей (нарушителей, противников), которые стремятся овладеть этой информацией с тем, чтобы обратить ее себе во благо, а законным пользователям во вред.
Для наиболее типичных, часто встречающихся ситуаций такого типа введены даже специальные понятия:
государственная тайна,
военная тайна,
коммерческая тайна,
юридическая тайна,
врачебная тайна и т. п.
ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ
Объектом зашиты информации является компьютерная система (КС) или автоматизированная система обработки данных (АСОД) или автоматизированная система обработки информации (АСОИ).
Будем пользоваться термином компьютерная система (КС).
Компьютерная система – это комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации.
Компоненты КС можно разбить на следующие группы:
аппаратные средства – ЭВМ и их составные части (процессоры, мониторы, терминалы, периферийные устройства-дисководы, принтеры, контроллеры, кабели, линии связи) и т.д.;
программное обеспечение – приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;
данные – хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;
персонал – обслуживающий персонал и пользователи.
При рассмотрении КС с точки зрения зашиты информации следует обратить внимание, что компьютерные системы относятся к классу человеко-машинных систем.
Обслуживающий персонал и пользователи могут быть как объектом, так и источником несанкционированного воздействия на информацию.
Таким образом, обеспечение безопасности информации в КС должно предусматривать защиту всех компонент от внешних и внутренних воздействий (угроз).
Под угрозой безопасности информации понимается потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации.
Все множество потенциальных угроз безопасности информации в КС может быть разделено на два класса (рис 1).
Под системой зашиты информации в КС понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации в КС в соответствии с принятой политикой безопасности.