Введение.
Примечательная
особенность нынешнего периода -
переход от индустриального общества
к информационному, в котором
информация становится более важным
ресурсом, чем материальные или энергические
ресурсы. Ресурсами, как известно, называют
элементы экономического потенциала,
которыми располагает общество и
которое при необходимости могут
быть использованы для достижения конкретной
цели хозяйственной деятельности. Давно
стали привычными и общеупотребительными
такие категории, как материальные,
финансовые, трудовые, природные ресурсы,
которые вовлекаются в хозяйственный
оборот, и их назначение понятно
каждому. Но вот появилось понятие
"информационные ресурсы", и хотя
оно узаконено, но осознано пока еще
недостаточно. Информационные ресурсы
- отдельные документы и отдельные
массивы, документов в информационных
системах (библиотеках, архивах, фондах,
банках данных, других информационных
системах). Информационные ресурсы
являются собственностью, находятся
в ведении соответствующих органов
и организаций, подлежат учету и
защите, так как информацию можно
использовать не только для товаров
и услуг, но и превратить ее в наличность,
продав кому-нибудь, или, что еще
хуже, уничтожить. Собственная информация
для производителя представляет
значительную ценность, так как нередко
получение (создание) такой информации
- весьма трудоемкий и дорогостоящий
процесс. Очевидно, что ценность информации
(реальная или потенциальная) определяется
в первую очередь приносимыми
доходами.
Особое
место отводится информационным
ресурсам в условиях рыночной экономики.
Важнейшим
фактором рыночной экономики выступает
конкуренция. Побеждает тот, кто
лучше, качественнее, дешевле и оперативнее
производит и продает. В сущности
это универсальное правило рынка.
И в этих условиях основным выступает
правило: кто владеет информацией,
тот владеет миром.
В
конкурентной борьбе широко распространены
разнообразные действия, направленные
на получение (добывание, приобретение)
конфиденциальной информации самыми различными
способами, вплоть до прямого промышленного
шпионажа с использованием современных
технических средств разведки. Установлено,
что 47% охраняемых сведений добывается
с помощью технических средств
промышленного шпионажа.
В
этих условиях защите информации от неправомерного
овладения ею отводится весьма значительное
место. При этом "целями защиты информации
являются: предотвращение разглашения,
утечки и несанкционированного доступа
к охраняемым сведениям; предотвращение
противоправных действий по уничтожению,
модификации, искажению, копированию,
блокированию информации; предотвращение
других форм незаконного вмешательства
в информационные ресурсы и информационные
системы; обеспечение правового режима
документированной информации как объекта
собственности; защита конституционных
прав граждан на сохранение личной тайны
и конфиденциальности персональных данных,
имеющихся в информационных системах;
сохранение государственной тайны, конфиденциальности
документированной информации в соответствие
с законодательством; обеспечение прав
субъектов в информационных процессах
и при разработке, производстве и применении
информационных систем, технологии и средств
их обеспечения".
Как
видно из этого определения целей
защиты, информационная безопасность
- довольно емкая и многогранная
проблема, охватывающая не только определение
необходимости защиты информации, но
и то, как ее защищать, от чего защищать,
когда защищать, чем защищать и
какой должна быть эта защита.
Основное
внимание уделяется защите конфиденциальной
информации, с которой большей
частью встречаются предприниматели
негосударственного сектора экономики.
Люди
осознают и отдают себе отчет в
сложности проблемы защиты информации
вообще, и с помощью технических
средств в частности. Тем не менее
взгляд на эту проблему излагается
на этом Web-сайте, считается, что этим
охватывается не все аспекты сложной
проблемы, а лишь определенные ее части.
Концепция
информационной безопасности
1.
Основные концептуальные положения
системы защиты информации
2.
Концептуальная модель информационной
безопасности
3.
Угрозы конфиденциальной информации
4.
Действия, приводящие к неправомерному
овладению конфиденциальной информацией
"ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ - это состояние защищенности
информации среды общества, обеспечивающее
ее формирование, использование
и развитие в интересах граждан,
организаций, государств" (Закон
РФ "Об участии в международном
информационном обмене").
Постулаты:
- Информация
- это всеобщее свойство материи.
- Любое взаимодействие
в природе и обществе основано на информации.
- Всякий процесс
совершения работы есть процесс информационного
взаимодействия.
- Информация
- продукт отражения действительности.
- Действительность
отражается в пространстве и времени.
- Ничего не
происходит из ничего.
- Информация
сохраняет значение в неизменном виде
до тех пор, пока остается в неизменном
виде носитель информации - ПАМЯТЬ.
- Ничто не
исчезает просто так.
Понятие
"информация" сегодня употребляется
весьма широко и разносторонне. Трудно
найти такую область знаний, где
бы оно не использовалось. Огромные
информационные потоки буквально захлестывают
людей. Объем научных знаний, например,
по оценке специалистов, удваивается,
каждые пять лет. Такое положение
приводит к заключению, что XXI век
будет веком торжества теории
и практики ИНФОРМАЦИИ - информационным
веком.
Правомерно
задать вопрос: что же такое информация?
В литературе дается такое определение:
информация - сведения о лицах, предметах,
фактах, событиях, явлениях и процессах
независимо от формы их представления.
Известно, что информация может иметь
различную форму, включая данные,
заложенные в компьютерах, "синьки",
кальки, письма или памятные записки,
досье, формулы, чертежи, диаграммы, модели
продукции и прототипы, диссертации,
судебные документы и др.
Как
и всякий продукт, информация имеет
потребителей, нуждаю-щихся в ней,
и потому обладает определенными
потребительскими качествами, а также
имеет и своих обладателей
или производителей.
С
точки зрения потребителя качество
используемой информации позволяет
получать дополнительный экономический
или моральный эффект.
С
точки зрения обладателя - сохранение
в тайне коммерчески важной информации
позволяет успешно конкурировать
на рынке производства, и сбыта
товаров и услуг. Это, естественно,
требует определенных действий, направленных
на защиту конфиденциальной информации.
Понимая
под безопасностью состояние
защищенности жизненно важных интересов
личности, предприятия, государства
от внутрен-них и внешних угроз,
можно выделить и компоненты безопасности
- такие, как персонал, материальные
и финансовые средства и информацию.
1.1
Основные концептуальные
положения системы
защиты информации.
Анализ
состояния дел в сфере защиты
информации показывает, что уже сложилась
вполне сформировавшаяся концепция
и структура защиты, основу которой
составляют:
- весьма развитый
арсенал технических средств защиты информации,
производимых на промышленной основе;
- значительное
число фирм, специализирующихся на решении
вопросов защиты информации;
- достаточно
четко очерченная система взглядов на
эту проблему;
- наличие значительного
практического опыта и др.
И,
тем не менее, как свидетельствует
отечественная и зарубежная печать,
злоумышленные действия над информацией
не только не уменьшаются, но и имеют
достаточно устойчивую тенденцию к
росту. Опыт показывает, что для борьбы
с этой тенденцией необходима стройная
и целенаправленная организация
процесса защиты информационных ресурсов.
Причем в этом должны активно участвовать
профессиональные специалисты, администрация,
сотрудники и пользователи, что и
определяет повышенную значимость организационной
стороны вопроса.
Опыт
также показывает,
что:
- обеспечение
безопасности информации не может быть
одноразовым актом. Это непрерывный процесс,
заключающийся в обосновании и реализации
наиболее рациональных методов, способов
и путей совершенствования и развития
системы защиты, непрерывном контроле
ее состояния, выявлении ее узких и слабых
мест и противоправных действий;
- безопасность
информации может быть обеспечена лишь
при комплексном использовании всего
арсенала имеющихся средств защиты во
всех структурных элементах производственной
системы и на всех этапах технологического
цикла обработки информации. Наибольший
эффект достигается тогда, когда все используемые
средства, методы и меры объединяются
в единый целостный механизм - систему
защиты информации (СЗИ). При этом функционирование
системы должно контролироваться, обновляться
и дополняться в зависимости от изменения
внешних и внутренних условий;
- никакая СЗИ
не может обеспечить требуемого уровня
безопасности информации без надлежащей
подготовки пользователей и соблюдения
ими всех установленных правил, направленных
на ее защиту.
С
учетом накопленного опыта можно
определить систему защиты информации
как организованную совокупность специальных
органов, средств, методов и мероприятий,
обеспечивающих защиту информации от
внутренних и внешних угроз.
С
позиций системного подхода к
защите информации предъявляются определенные
требования. Защита
информации должна быть:
- непрерывной.
Это требование проистекает из того, что
злоумышленники только и ищут возможность,
как бы обойти защиту интересующей их
информации;
- плановой.
Планирование осуществляется путем разработки
каждой службой детальных планов защиты
информации в сфере ее компетенции с учетом
общей цели предприятия (организации);
- целенаправленной.
Защищается то, что должно защищаться
в интересах конкретной цели, а не все
подряд;
- конкретной.
Защите подлежат конкретные данные, объективно
подлежащие охране, утрата которых может
причинить организации определенный ущерб;
- активной.
Защищать информацию необходимо с достаточной
степенью настойчивости;
- надежной.
Методы и формы защиты должны надежно
перекрывать возможные пути неправомерного
доступа к охраняемым секретам, независимо
от формы их представления, языка выраже-ния
и вида физического носителя, на котором
они закреплены;
- универсальной.
Считается, что в зависимости от вида канала
утечки или способа несанкционированного
доступа его необходимо перекрывать, где
бы он ни проявился, разумными и достаточными
средствами, независимо от характера,
формы и вида информации;
- комплексной.
Для защиты информации во всем многообразии
структурных элементов должны применяться
все виды и формы защиты в полном объеме.
Недопустимо применять лишь отдельные
формы или технические средства.
Комплексный
характер защиты проистекает из того,
что защита - это специфическое
явление, представляющее собой сложную
систему неразрывно взаимосвязанных
и взаимозависимых процессов, каждый
из которых в свою очередь имеет
множество различных взаимообусловливающих
друг друга сторон, свойств, тенденций.
Зарубежный
и отечественный опыт показывает,
что для обеспечения выполнения
столь многогранных требований безопасности
система защиты информации должна удовлетворять
определенным условиям:
- охватывать
весь технологический комплекс информационной
деятельности;
- быть разнообразной
по используемым средствам, многоуровневой
с иерархической последовательностью
доступа;
- быть открытой
для изменения и дополнения мер обеспечения
безопасности информации;
- быть нестандартной,
разнообразной. При выборе средств защиты
нельзя рассчитывать на неосведомленность
злоумышленников относительно ее возможностей;
- быть простой
для технического обслуживания и удобной
для эксплуатации пользователями;
- быть надежной.
Любые поломки технических средств являются
причиной появления неконтролируемых
каналов утечки информации;
- быть комплексной,
обладать целостностью, означающей, что
ни одна ее часть не может быть изъята
без ущерба для всей системы. К системе
безопасности информации предъявляются
также определенные требования:
- четкость
определения полномочии и прав пользователей
на доступ к определенным видам информации;
- предоставление
пользователю минимальных полномочий,
необходимых ему для выполнения порученной
работы;
- сведение
к минимуму числа общих для нескольких
пользователей средств защиты;
- учет случаев
и попыток несанкционированного доступа
к конфиденциальной информации;
- обеспечение
оценки степени конфиденциальной информации;
- обеспечение
контроля целостности средств защиты
и немедленное реагирование на их
выход из строя. Система защиты информации
как любая система должна иметь
определенные виды собственного обеспечения,
опираясь на которые она будет
выполнять свою целевую функцию.
С учетом этого СЗИ может иметь:
- правовое
обеспечение. Сюда входят нормативные
документы, положения, инструкции, руководства,
требования которых являются обязательными
в рамках сферы их действий;
- организационное
обеспечение. Имеется в виду, что реализация
защиты информации осуществляется определенными
структурными единицами - такими, как служба
защиты документов; служба режима, допуска,
охраны; служба защиты информации техническими
средствами; информационно-аналитическая
деятельность и др.;
- аппаратное
обеспечение. Предполагается широкое
использование технических средств, как
для защиты информации, так и для обеспечения
деятельности собственно СЗИ;
- информационное
обеспечение. Оно включает в себя сведения,
данные, показатели, параметры, лежащие
в основе решения задач, обеспечивающих
функционирование системы. Сюда могут
входить как показатели доступа, учета,
хранения, так и системы информаци-онного
обеспечения расчетных задач различного
характера, связан-ных с деятельностью
службы обеспечения безопасности;
- программное
обеспечение. К нему относятся различные
информационные, учетные, статистические
и расчетные программы, обеспечивающие
оценку наличия и опасности различных
каналов утечки и путей несанкционированного
проникновения к источникам конфи-денциальной
информации;
- математическое
обеспечение. Предполагает использование
математических методов для различных
расчетов, связанных с оценкой опасности
технических средств злоумышленников,
зон и норм необходимой защиты;
- лингвистическое
обеспечение. Совокупность специальных
языковых средств общения специалистов
и пользователей в сфере защиты информации;
- нормативно-методическое
обеспечение. Сюда входят нормы и регламенты
деятельности органов, служб, средств,
реализующих функции защиты информации,
различного рода методики, обеспечивающие
деятельность пользователей при выполнении
своей работы в условиях жестких требований
защиты информации.