- •Модуль 1 лекция 1. Основные направления обеспечения безопасности информации и информационных ресурсов
- •1.1. Основные определения
- •1.2. Правовая защита
- •1.3 Организационная защита информации
- •1.3.1 Общие положения организационной защиты
- •1.4 Инженерно-техническая защита информации
- •1.4.1 Общие положения инженерно-технической защиты
- •Лекция 2 системный подход к решению проблемы защиты информации
- •Лекция 3 угрозы безопасности информации и информационных ресурсов
- •3.1. Общие положения
- •3.2. Классификация угроз безопасности информации
- •3.3. Классификация источников угроз
- •3.4. Классификация уязвимостей безопасности
Лекция 2 системный подход к решению проблемы защиты информации
Создание системы, обеспечивающей защиту информации в той или иной информационной системе, ввиду многообразия вариантов их построения, требует ответа на целый ряд серьезных вопросов, без которых невозможно решить эту задачу. Прежде всего, необходимо ответить на вопрос о том, что именно необходимо защищать и от кого. Затем, требуется определить, каким образом и при помощи каких средств должна осуществляться такая защита.
Ответить на эти вопросы однозначно невозможно, поскольку и объект защиты и угрозы со стороны внешней среды не поддаются исчерпывающему описанию и не могут быть заранее учтены с максимальной точностью.
Поэтому, приступая к созданию конкретной системы защиты информации (СЗИ), необходимо определится с тем, какая именно информация подлежит защите, какие силы, методы и средства для этого потребуются.
По этой причине системы защиты информации создают по методике, предполагающей следующую, циклически повторяющуюся в течение всего периода ее функционирования, последовательность действий.
1. Определение информации, подлежащей защите.
2. Выявление полного множества потенциально возможных угроз и каналов утечки информации.
3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки.
4. Определение требований к системе защиты.
5. Осуществление выбора средств защиты информации и их характеристик.
6. Внедрение и организация использования выбранных мер, способов и средств защиты.
7. Осуществление контроля целостности и управление системой защиты.
Указанная последовательность действий осуществляется непрерывно по замкнутому циклу, с проведением соответствующего анализа состояния СЗИ и уточнением требований к ней после каждого шага.
Рис.
2.1 Непрерывный цикл создания СЗИ
Прежде всего, необходимо ответить на вопрос, о том, что является объектом защиты.
Это, во-первых, информация. Под информацией закон Украины «Об информации» понимает совокупность документированных или публично оглашаемых сведений о событиях или явлениях, происходящих в обществе, государстве и окружающей среде.
Закон Украины «О защите информации в автоматизированных системах» трактует информацию как совокупность всех данных и программ, используемых в автоматизированной системе, независимо от способа их представления.
Есть и другие определения информации, которые трактуют это понятие с позиций своей области применения.
Во-вторых, это информационные ресурсы, под которыми понимают документы или массивы документов, хранящиеся в автоматизированных системах.
Особо следует оговорить такое понятие как документ. Под документом закон Украины «Об информации» понимает предусмотренную законом материальную форму получения, хранения, распространения и использования информации путем фиксации ее на магнитной, кино-, видео-, фотопленке или на другом носителе. Понятие «документа» важно, поскольку документы являются частью информационных ресурсов и имеют юридическую значимость.
Перечисленные понятия особенно важны, поскольку информация и информационные ресурсы, будучи предметом купли и продажи, являются основными объектами защиты в автоматизированных системах и системах телекоммуникации.
Следующими важными понятиями, относящимися к объекту защиты, являются свойства информации. Защите подлежат конфиденциальность (доступность содержания ограниченному кругу лиц), целостность (отсутствие умышленного искажения информации) и доступность (возможность доступа к информационным ресурсам АС, в рамках имеющихся полномочий) информации.
Эти и другие важные понятия, и их содержание определяются целым рядом законов Украины и других нормативных правил и актов, составляющих нормативно-правовое обеспечение организации и проведения мероприятий по защите информации.
Основой или составными частями практически любой сложной системы являются:
Нормативно-правовая и научная база;
Структура и задачи органов;
Организационные меры и методы;
Программно-технические способы и средства.
Построение СЗИ всегда начинают с определения объема той информации, которую необходимо защищать. Такая оценка принципиально необходима и должна быть по возможности точной, поскольку мероприятия направленные на ее защиту стоят очень дорого. Достаточно сказать, что ведущие фирмы в странах с высокоразвитой экономикой тратят на защиту своих производственных и коммерческих секретов до 20-ти процентов чистой прибыли.
До середины 70-х годов прошлого века проблема защиты информации решалась достаточно эффективно применением в основном организационных мер.
К их числу относились:
режимные мероприятия;
охрана;
средства сигнализации;
простейшие программные средства защиты информации.
Эффективность использования указанных средств достигалась за счет концентрации информации на автономных вычислительных центрах, как что способствовало обеспечению защиты относительно малыми средствами.
Появление в огромных количествах дешевых персональных компьютеров и построенных на их основе локальных и глобальных национальных и транснациональных сетей ЭВМ привело к рассосредоточению информации по местам ее хранения и обработки. В тоже время, появление спутниковых каналов связи, создание высокоэффективных систем разведки и добычи информации, обострило ситуацию с защитой информации.
Проблема обеспечения необходимого уровня защиты информации оказалась весьма сложной. Она требовала для своего решения осуществления научных, научно-технических и организационных мероприятий.
Координация работ по защите информации в государственном масштабе традиционно осуществлялась и осуществляется государственными органами, деятельность которых была направлена на противодействие иностранным техническим разведкам.
К настоящему времени произошло переосмысление сложившегося в прошлые годы положения дел в этой области и работы в этом направлении у нас в стране ведутся достаточно интенсивно.
Накоплен опыт показал, что весь период работ по защите информации в АС достаточно четко делится на три этапа, каждый из которых характеризуется своими особенностями в принципиальных подходах к защите информации.
Первый этап характерен упрощенным подходом к самой проблеме, порожденным убеждением, что уже сам факт представления информации в ЭВМ в закодированном виде и обработкой ее по специфическим алгоритмам уже является серьезным защитным средством.
На этом этапе считалось вполне достаточным включить в состав АС некоторые технические и программные средства, а также осуществить ряд организационных мероприятий.
Время показало ошибочность такого представления о проблеме. Поэтому, на втором этапе, был сделан вывод о необходимости создания для защиты информации вполне организованной системы со своим управляющим элементом. В последствие такой элемент получил название ядра защиты или ядра безопасности. При этом, все еще сохранялась надежда, что система защиты с ядром в дальнейшем будет обеспечивать надежную защиту во все время функционирования АС. Кроме того, на этом этапе существенно повысилось внимание к организационным мероприятиям.
С течением времени нарушения безопасности информации неуклонно росли и этот факт стал серьезным препятствием на пути внедрения вычислительной техники.
Усиленные поиски выхода из сложившейся кризисной ситуации привели к выводу, что защита информации в современных АС должна быть не одноразовой акцией, а непрерывным процессом, целенаправленно осуществляемым во все время создания и функционирования систем с комплексным применением всех имеющихся средств, методов и мероприятий. Этот вывод стал началом третьего этапа в развитии подходов к защите информации, который осуществляется и в настоящее время.
Таким образом, обобщением зарубежного и отечественного опыта защиты информации в АС может быть назван системно-концептуальный подход к защите информации в АС.
Под системностью как составной частью системно-концептуального подхода понимается:
во-первых, целевая системность, т.е. защищенность информации рассматривается как составная часть общего понятия качества информации;
во-вторых, пространственная системность, предполагающая взаимоувязанное решение всех вопросов защиты во всех компонентах отдельно взятой АС, во всех АС учреждения (заведения, ведомства), расположенных на некоторой территории;
в-третьих, временная системность, означающая непрерывность работ по защите информации, осуществляемых по взаимоувязанным планам;
в-четвертых, организационная системность, означающая единство организации всех работ по защите информации и управления их осуществлением. Она предопределяет объективную необходимость создания в общегосударственном масштабе стройной системы органов, профессионально ориентированных на защиту информации, несущих полную ответственность за оптимальную организацию надежной защиты информации во всех АС и обладающей для этого необходимыми полномочиями. Главной целью указанной системы органов должна быть реализация в общегосударственном масштабе принципов системно-концептуального подхода к защите информации как государственного, так и коммерческого характера.
Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также для целенаправленной организации всех работ по защите информации. Разработка такой концепции в настоящее время находится в стадии завершения и ее содержание охватывает все направления обеспечения надежной защиты информации.
Учитывая многообразие потенциальных угроз информации в АС, сложность их структуры и функций, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания системы защиты информации на основе комплексного подхода.
Комплексная система защиты информации (КСЗИ) является совокупностью методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации в АС.
Комплексность системы защиты информации достигается охватом всех возможных угроз и согласованием между собой разнородных методов и средств, обеспечивающих защиту всех элементов АС.
Основные требования к комплексной системе защиты информации:
система защиты информации должна обеспечивать выполнение АС своих основных функций без существенного ухудшения ее характеристик;
она должна быть экономически целесообразной, так как стоимость системы защиты информации включается в стоимость АС;
защита информации в АС должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;
в систему защиты информации должны быть заложены возможности ее совершенствования и развития в соответствии с условиями эксплуатации и конфигурации АС;
система защиты информации, в соответствии с установленными правилами, должна обеспечивать разграничение доступа к конфиденциальной информации;
при взаимодействии защищаемой АС с незащищенными АС система защиты также должна обеспечивать соблюдение установленных правил разграничения доступа;
система защиты должна позволять проводить документированный случаев нарушения безопасности информации в АС;
система защиты не должна быть сложной для пользователя и не должна вызывать психологического противодействия и желания обойтись без нее.