Лекция 2 системный подход к решению проблемы защиты информации

Создание системы, обеспечивающей защиту информации в той или иной информационной системе, ввиду многообразия вариантов их построения, требует ответа на целый ряд серьезных вопросов, без которых невозможно решить эту задачу. Прежде всего, необходимо ответить на вопрос о том, что именно необходимо защищать и от кого. Затем, требуется определить, каким образом и при помощи каких средств должна осуществляться такая защита.

Ответить на эти вопросы однозначно невозможно, поскольку и объект защиты и угрозы со стороны внешней среды не поддаются исчерпывающему описанию и не могут быть заранее учтены с максимальной точностью.

Поэтому, приступая к созданию конкретной системы защиты информации (СЗИ), необходимо определится с тем, какая именно информация подлежит защите, какие силы, методы и средства для этого потребуются.

По этой причине системы защиты информации создают по методике, предполагающей следующую, циклически повторяющуюся в течение всего периода ее функционирования, последовательность действий.

1. Определение информации, подлежащей защите.

2. Выявление полного множества потенциально возможных угроз и каналов утечки информации.

3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки.

4. Определение требований к системе защиты.

5. Осуществление выбора средств защиты информации и их характеристик.

6. Внедрение и организация использования выбранных мер, способов и средств защиты.

7. Осуществление контроля целостности и управление системой защиты.

Указанная последовательность действий осуществляется непрерывно по замкнутому циклу, с проведением соответствующего анализа состояния СЗИ и уточнением требований к ней после каждого шага.

Рис. 2.1 Непрерывный цикл создания СЗИ

Приступая к выполнению каждого из пунктов приведенной методики, необходимо определиться с некоторыми ключевыми понятиями.

Прежде всего, необходимо ответить на вопрос, о том, что является объектом защиты.

Это, во-первых, информация. Под информацией закон Украины «Об информации» понимает совокупность документированных или публично оглашаемых сведений о событиях или явлениях, происходящих в обществе, государстве и окружающей среде.

Закон Украины «О защите информации в автоматизированных системах» трактует информацию как совокупность всех данных и программ, используемых в автоматизированной системе, независимо от способа их представления.

Есть и другие определения информации, которые трактуют это понятие с позиций своей области применения.

Во-вторых, это информационные ресурсы, под которыми понимают документы или массивы документов, хранящиеся в автоматизированных системах.

Особо следует оговорить такое понятие как документ. Под документом закон Украины «Об информации» понимает предусмотренную законом материальную форму получения, хранения, распространения и использования информации путем фиксации ее на магнитной, кино-, видео-, фотопленке или на другом носителе. Понятие «документа» важно, поскольку документы являются частью информационных ресурсов и имеют юридическую значимость.

Перечисленные понятия особенно важны, поскольку информация и информационные ресурсы, будучи предметом купли и продажи, являются основными объектами защиты в автоматизированных системах и системах телекоммуникации.

Следующими важными понятиями, относящимися к объекту защиты, являются свойства информации. Защите подлежат конфиденциальность (доступность содержания ограниченному кругу лиц), целостность (отсутствие умышленного искажения информации) и доступность (возможность доступа к информационным ресурсам АС, в рамках имеющихся полномочий) информации.

Эти и другие важные понятия, и их содержание определяются целым рядом законов Украины и других нормативных правил и актов, составляющих нормативно-правовое обеспечение организации и проведения мероприятий по защите информации.

Основой или составными частями практически любой сложной системы являются:

• Нормативно-правовая и научная база;

• Структура и задачи органов;

• Организационные меры и методы;

• Программно-технические способы и средства.

Построение СЗИ всегда начинают с определения объема той информации, которую необходимо защищать. Такая оценка принципиально необходима и должна быть по возможности точной, поскольку мероприятия направленные на ее защиту стоят очень дорого. Достаточно сказать, что ведущие фирмы в странах с высокоразвитой экономикой тратят на защиту своих производственных и коммерческих секретов до 20-ти процентов чистой прибыли.

До середины 70-х годов прошлого века проблема защиты информации решалась достаточно эффективно применением в основном организационных мер.

К их числу относились:

• режимные мероприятия;

• охрана;

• средства сигнализации;

• простейшие программные средства защиты информации.

Эффективность использования указанных средств достигалась за счет концентрации информации на автономных вычис­лительных центрах, как что способствовало обеспечению защиты относительно малыми средствами.

Появление в огромных количествах дешевых персональных компьютеров и построенных на их основе локальных и глобальных национальных и транснациональных сетей ЭВМ привело к рассосредоточению информации по местам ее хранения и обработки. В тоже время, появление спутниковых каналов связи, создание высокоэффективных систем разведки и добычи информации, обострило ситуацию с защитой информации.

Проблема обеспечения необходимого уровня защиты информации оказалась весьма сложной. Она требовала для своего решения осуществления научных, научно-технических и организа­ционных мероприятий.

Координация работ по защите информации в государственном масштабе традиционно осуществлялась и осуществляется государственными органами, деятельность которых была направлена на противодействие иностранным техническим разведкам.

К настоящему времени произошло переосмысление сложившегося в прошлые годы положения дел в этой области и работы в этом направлении у нас в стране ведутся достаточно интенсивно.

Накоплен опыт показал, что весь период работ по защите информации в АС достаточно четко делится на три этапа, каждый из которых характеризуется своими особенностями в принципиальных подходах к защите информации.

Первый этап характерен упрощенным подходом к самой проблеме, порожденным убеждением, что уже сам факт представления информации в ЭВМ в закодированном виде и обработкой ее по специфическим алгоритмам уже является серьезным защитным средством.

На этом этапе считалось вполне достаточным включить в состав АС некоторые технические и программные средства, а также осуществить ряд организационных мероприятий.

Время показало ошибочность такого представления о проблеме. Поэтому, на втором этапе, был сделан вывод о необходимости создания для защиты информации вполне организованной системы со своим управляющим элементом. В последствие такой элемент получил название ядра защиты или ядра безопасности. При этом, все еще сохранялась надежда, что система защиты с ядром в дальнейшем будет обеспечивать надежную защиту во все время функционирования АС. Кроме того, на этом этапе существенно повысилось внимание к организационным мероприятиям.

С течением времени нарушения безопасности информации неуклонно росли и этот факт стал серьезным препятствием на пути внедрения вычислительной техники.

Усиленные поиски выхода из сложившейся кризисной ситуации привели к выводу, что защита информации в современных АС должна быть не одноразовой акцией, а непрерывным процессом, целенаправленно осуществляемым во все время создания и функционирования систем с комплексным применением всех имеющихся средств, методов и мероприятий. Этот вывод стал началом третьего этапа в развитии подходов к защите информации, который осуществляется и в настоящее время.

Таким образом, обобщением зарубежного и отечественного опыта защиты информации в АС может быть назван системно-концептуальный подход к защите информации в АС.

Под системностью как составной частью системно-концептуального подхода понимается:

• во-первых, целевая системность, т.е. защищенность информации рассматривается как составная часть общего понятия качества информации;

• во-вторых, пространственная системность, предполагающая взаимоувязанное решение всех вопросов защиты во всех компонентах отдельно взятой АС, во всех АС учреждения (заведения, ведомства), расположенных на некоторой территории;

• в-третьих, временная системность, означающая непрерывность работ по защите информации, осуществляемых по взаимоувязанным планам;

• в-четвертых, организационная системность, означающая единство организации всех работ по защите информации и управления их осуществлением. Она предопределяет объективную необходимость создания в общегосударственном масштабе стройной системы органов, профессионально ориентированных на защиту информации, несущих полную ответственность за оптимальную организацию надежной защиты информации во всех АС и обладающей для этого необходимыми полномочиями. Главной целью указанной системы органов должна быть реализация в общегосударственном масштабе принципов системно-концептуального подхода к защите информации как государственного, так и коммерческого характера.

Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также для целенаправленной организации всех работ по защите информации. Разработка такой концепции в настоящее время находится в стадии завершения и ее содержание охватывает все направления обеспечения надежной защиты информации.

Учитывая многообразие потенциальных угроз информации в АС, сложность их структуры и функций, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания системы защиты информации на основе комплексного подхода.

Комплексная система защиты информации (КСЗИ) является совокупностью методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации в АС.

Комплексность системы защиты информации достигается охватом всех возможных угроз и согласованием между собой разнородных методов и средств, обеспечивающих защиту всех элементов АС.

Основные требования к комплексной системе защиты информации:

• система защиты информации должна обеспечивать выполнение АС своих основных функций без существенного ухудшения ее характеристик;

• она должна быть экономически целесообразной, так как стоимость системы защиты информации включается в стоимость АС;

• защита информации в АС должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;

• в систему защиты информации должны быть заложены возможности ее совершенствования и развития в соответствии с условиями эксплуатации и конфигурации АС;

• система защиты информации, в соответствии с установленными правилами, должна обеспечивать разграничение доступа к конфиденциальной информации;

• при взаимодействии защищаемой АС с незащищенными АС система защиты также должна обеспечивать соблюдение установленных правил разграничения доступа;

• система защиты должна позволять проводить документированный случаев нарушения безопасности информации в АС;

• система защиты не должна быть сложной для пользователя и не должна вызывать психологического противодействия и желания обойтись без нее.