Информационная безопасность

Информационная безопасность

Введение 

Примечательная особенность  нынешнего периода - переход от индустриального  общества к информационному, в котором  информация становится более важным ресурсом, чем материальные или энергические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество и  которое при необходимости могут  быть использованы для достижения конкретной цели хозяйственной деятельности. Давно  стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный  оборот, и их назначение понятно  каждому. Но вот появилось понятие "информационные ресурсы", и хотя оно узаконено, но осознано пока еще  недостаточно. Информационные ресурсы - отдельные документы и отдельные  массивы, документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Информационные ресурсы  являются собственностью, находятся  в ведении соответствующих органов  и организаций, подлежат учету и  защите, так как информацию можно  использовать не только для товаров  и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще  хуже, уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко  получение (создание) такой информации - весьма трудоемкий и дорогостоящий  процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми  доходами.  

Особое место отводится  информационным ресурсам в условиях рыночной экономики.  

Важнейшим фактором рыночной экономики выступает конкуренция. Побеждает тот, кто лучше, качественнее, дешевле и оперативнее (ВРЕМЯ-ДЕНЬГИ!!!) производит и продает. В сущности это универсальное правило рынка. И в этих условиях основным выступает  правило: кто владеет информацией, тот владеет миром.  

В конкурентной борьбе широко распространены разнообразные  действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических  средств разведки. Установлено, что 47% охраняемых сведений добывается с  помощью технических средств  промышленного шпионажа.  

В этих условиях защите информации от неправомерного овладения  ею отводится весьма значительное место. При этом "целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа  к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения".  

Как видно из этого  определения целей защиты, информационная безопасность - довольно емкая и  многогранная проблема, охватывающая не только определение необходимости  защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.  

Основное внимание уделяется защите конфиденциальной информации, с которой большей  частью встречаются предприниматели  негосударственного сектора экономики.  

Люди осознают и  отдают себе отчет в сложности  проблемы защиты информации вообще, и  с помощью технических средств  в частности. Тем не менее взгляд на эту проблему излагается на этом Web-сайте, считается, что этим охватывается не все аспекты сложной проблемы, а лишь определенные ее части.

Концепция информационной безопасности 

1. Основные концептуальные  положения системы защиты информации 

2. Концептуальная  модель информационной безопасности 

3. Угрозы конфиденциальной  информации 

4. Действия, приводящие  к неправомерному овладению конфиденциальной  информацией  

"ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ - это состояние защищенности  информации среды общества, обеспечивающее  ее формирование, использование  и развитие в интересах граждан,  организаций, государств" (Закон  РФ "Об участии в международном  информационном обмене").  

Постулаты 

Информация - это  всеобщее свойство материи.  

Любое взаимодействие в природе и обществе основано на информации.  

Всякий процесс  совершения работы есть процесс информационного  взаимодействия.  

Информация - продукт  отражения действительности.  

Действительность  отражается в пространстве и времени.  

Ничего не происходит из ничего.  

Информация сохраняет  значение в неизменном виде до тех  пор, пока остается в неизменном виде носитель информации - ПАМЯТЬ.  

Ничто не исчезает просто так.  

Понятие "информация" сегодня употребляется весьма широко и разносторонне. Трудно найти такую  область знаний, где бы оно не использовалось. Огромные информационные потоки буквально захлестывают людей. Объем научных знаний, например, по оценке специалистов, удваивается, каждые пять лет. Такое положение  приводит к заключению, что XXI век  будет веком торжества теории и практики ИНФОРМАЦИИ - информационным веком.  

Правомерно задать вопрос: что же такое информация? В литературе дается такое определение: информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах  независимо от формы их представления. Известно, что информация может иметь  различную форму, включая данные, заложенные в компьютерах, "синьки", кальки, письма или памятные записки, досье, формулы, чертежи, диаграммы, модели продукции и прототипы, диссертации, судебные документы и др.  

Как и всякий продукт, информация имеет потребителей, нуждаю-щихся  в ней, и потому обладает определенными  потребительскими качествами, а также  имеет и своих обладателей  или производителей.  

С точки зрения потребителя  качество используемой информации позволяет  получать дополнительный экономический  или моральный эффект.  

С точки зрения обладателя - сохранение в тайне коммерчески  важной информации позволяет успешно  конкурировать на рынке производства, и сбыта товаров и услуг. Это, естественно, требует определенных действий, направленных на защиту конфиденциальной информации.  

Понимая под безопасностью  состояние защищенности жизненно важных интересов личности, предприятия, государства  от внутрен-них и внешних угроз, можно выделить и компоненты безопасности - такие, как персонал, материальные и финансовые средства и информацию.

1.1 Основные концептуальные  положения системы защиты информации.  

Анализ состояния  дел в сфере защиты информации показывает, что уже сложилась  вполне сформировавшаяся концепция  и структура защиты, основу которой  составляют: 

весьма развитый арсенал технических средств  защиты информации, производимых на промышленной основе;  

значительное число  фирм, специализирующихся на решении  вопросов защиты информации;  

достаточно четко  очерченная система взглядов на эту  проблему;  

наличие значительного  практического опыта и др.  

И, тем не менее, как  свидетельствует отечественная  и зарубежная печать, злоумышленные  действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно  участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.  

Опыт также показывает, что:  

обеспечение безопасности информации не может быть одноразовым  актом. Это непрерывный процесс, заключающийся в обосновании  и реализации наиболее рациональных методов, способов и путей совершенствования  и развития системы защиты, непрерывном  контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;  

безопасность информации может быть обеспечена лишь при комплексном  использовании всего арсенала имеющихся  средств защиты во всех структурных  элементах производственной системы  и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда  все используемые средства, методы и меры объединяются в единый целостный  механизм - систему защиты информации (СЗИ). При этом функционирование системы  должно контролироваться, обновляться  и дополняться в зависимости  от изменения внешних и внутренних условий;  

никакая СЗИ не может  обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими  всех установленных правил, направленных на ее защиту.  

С учетом накопленного опыта можно определить систему  защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз. 

С позиций системного подхода к защите информации предъявляются  определенные требования. Защита информации должна быть:  

непрерывной. Это  требование проистекает из того, что  злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;  

плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции  с учетом общей цели предприятия (организации);  

целенаправленной. Защищается то, что должно защищаться в интересах  конкретной цели, а не все подряд;  

конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых  может причинить организации  определенный ущерб;  

активной. Защищать информацию необходимо с достаточной  степенью настойчивости;  

надежной. Методы и  формы защиты должны надежно перекрывать  возможные пути неправомерного доступа  к охраняемым секретам, независимо от формы их представления, языка  выраже-ния и вида физического  носителя, на котором они закреплены;  

универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными  и достаточными средствами, независимо от характера, формы и вида информации;  

комплексной. Для  защиты информации во всем многообразии структурных элементов должны применяться  все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические  средства. 

Комплексный характер защиты проистекает из того, что  защита - это специфическое явление, представляющее собой сложную систему  неразрывно взаимосвязанных и взаимозависимых  процессов, каждый из которых в свою очередь имеет множество различных  взаимообусловливающих друг друга  сторон, свойств, тенденций.  

Зарубежный и отечественный  опыт показывает, что для обеспечения  выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям: 

охватывать весь технологический комплекс информационной деятельности;  

быть разнообразной  по используемым средствам, многоуровневой с иерархической последовательностью  доступа;  

быть открытой для  изменения и дополнения мер обеспечения  безопасности информации;  

быть нестандартной, разнообразной. При выборе средств  защиты нельзя рассчитывать на неосведомленность  злоумышленников относительно ее возможностей;  

быть простой для  технического обслуживания и удобной  для эксплуатации пользователями;  

быть надежной. Любые  поломки технических средств  являются причиной появления неконтролируемых каналов утечки информации;  

быть комплексной, обладать целостностью, означающей, что  ни одна ее часть не может быть изъята без ущерба для всей системы. К  системе безопасности информации предъявляются  также определенные требования:  

четкость определения  полномочии и прав пользователей  на доступ к определенным видам информации;  

предоставление пользователю минимальных полномочий, необходимых  ему для выполнения порученной работы;  

сведение к минимуму числа общих для нескольких пользователей  средств защиты;  

учет случаев и  попыток несанкционированного доступа  к конфиденциальной информации;