Необходимость и потребность в защите информации

Высокая степень автоматизации порождает риск снижения безопасности (личной, информационной, государственной, и т. п,). Доступность и широкое распространение информационных технологий, ЭВМ делает их чрезвычайно уязвимыми по отношению к деструктивным воздействиям. Тому есть много примеров. Так, каж­дые 20 секунд в США совершается преступление с использованием программных средств, 80% этих преступлений, расследуемых ФБР, происходит через сеть Internet. Потери от хищений или повреждений компьютерных сетей превышают 100 млн. долл. в год.

Субъекты производственно-хозяйственных отношений вступают друг с другом в информационные отношения (отношения по поводу получения, хранения, обработки, распределения и использования информации) для выполнения своих производственно-хозяйственных и экономическихзадач. Поэтому обеспечение информационной безо­пасности — это гарантия удовлетворения законных прав и интересен субъектов информационных отношений. В дальнейшем субъектами ин­формационных отношений будем называть государство (в целом или отдельные его органы и организации), общественные или коммерчес­кие организации (объединения) и предприятия (юридические лица), отдельных граждан (физические лица).

Различные субъекты по отношению к определенной информации могут выступать в качестве (возможно одновременно):

• источников (поставщиков) информации;

• пользователей (потребителей) информации;

• собственников (владельцев, распорядителей) информации;

• физических и юридических лиц, о которых собирается инфор­мация;

• владельцев систем сбора и обработки информации и участни­ков процессов обработки и передачи информации и т. д.

Для успешного осуществления деятельности по управлению объек­тами некоторой предметной области субъекты информационных от­ношений могут быть заинтересованы в обеспечении:

• своевременного доступа (за приемлемое для них время) к необходимой информации;

• конфиденциальности (сохранения в тайне) определенной мас­ти информации;

• достоверности (полноты, точности, адекватности, целостности) 'информации;

• защиты от навязывания ложной (недостоверной, искаженной) информации, т. е. от дезинформации;

• защиты части информации от незаконного ее тиражирования (зашита авторских прав, прав собственника информации и т. п.);

• разграничения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;

• контроля и управления процессами обработки и передачи ин­формации.

Будучи заинтересованными в обеспечении хотя бы одного из вы­шеназванных требований субъект информационных отношений яв­ляется уязвимым, т. е. потенциально подверженным нанесению ему ущерба (прямого или косвенного, материального или морального) посредством воздействия на критичную для него информацию и ее носители либо посредством неправомерного использования такой -информации. Поэтому все субъекты информационных отношений заинтересованы в обеспечении своей информационной безопасно­сти (конечно, в различной степени в зависимости от величины ущерба, который им может быть нанесен).

Известно следующее разделение информации по уровню важности:

1) жизненно важная, незаменимая информация, наличие кото­рой необходимо для функционирования организации;

2) важная информация — информация, которая может быть заме­нена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;

3) полезная информация — информация, которую трудно восста­новить, однако организация может функционировать и без нее;

4) несущественная информация — информация, которая больше не нужна организации.

Для удовлетворения законных прав и перечисленных выше инте­ресов субъектов (обеспечение их информационной безопасности) необходимо постоянно поддерживать следующие свойства информа­ции и систем ее обработки:

• доступность информации, т.е. свойство системы (среды, средств и технологий ее обработки), в которой циркулирует информация, характеризующаяся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующим их данным и готовностью соответствующих автоматизированных служб к вы­полнению поступающих от субъектов запросов;

• целостность информации, т. е. свойство информации, заклю­чающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному состоянию). Точнее го­воря, субъектов интересует обеспечение более широкого свойства -достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и целостности информации, т. е. ее неискаженности;

• конфиденциальность информации — субъективно определяемая (предписываемая) характеристика (свойство) информации, указыва­ющая на необходимость введения ограничений на круг субъектов, которые имеют доступ к данной информации, и обеспечиваемая спо­собностью системы (среды) сохранять указанную информацию втай­не от субъектов, не имеющих полномочий на доступ к ней. Объектив­ные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных ин­тересов других субъектов информационных отношений.

Основные понятия защиты информации

Дадим несколько определений. Защита информации — это сред­ства обеспечения безопасности информации. Безопасность инфор­мации — защита информации от утечки, модификации и утраты. По существу, сфера безопасности информации не защита информации, а защита прав собственности и интересов субъектов информационных отношений. Утечка информации — ознакомление посторон­него лица с содержанием секретной информации. Модификация информации — несанкционированное изменение информации, кор­ректное по форме и содержанию, но другое по смыслу. Утрата ин­формации — физическое уничтожение информации.

Цель защиты информации — противодействие угрозам безопас­ности информации. Угроза безопасности информации — действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов (т. е. к утечке, модификации и утрате), включая хранимую, пере­даваемую и обрабатываемую информацию, а также программные и аппаратные средства. Поэтому для обеспечения безопасности ин­формации необходима защита всех сопутствующих компонентов информационных отношений (т. е. компонентов информационных технологий и автоматизированных систем, используемых субъек­тами информационных отношений):

• оборудования (технических средств);

• программ (программных средств);

• данных (информации);

• персонала.

С этой целью в соответствующих организациях и на соответствую­щих объектах строится система защиты. Система защиты — это сово­купность (комплекс) специальных мер правового (законодательного) и административного характера, организационных мероприятий, фи­зических и технических (программно-аппаратных) средств защиты, а также специального персонала, предназначенных для обеспечения безопасности информации, информационных технологий и автома­тизированной системы в целом. Для построения эффективной сис­темы защиты необходимо провести следующие работы:

1) определить угрозы безопасности информации;

2) выявить возможные каналы утечки информации и несанкцио­нированного доступа (НСД) к защищаемым данным;

3) построить модель потенциального нарушителя;

4) выбрать соответствующие меры, методы, механизмы и сред­ства защиты;

5) построить замкнутую, комплексную, эффективную систему защиты, проектирование которой начинается с проектирования са­мих автоматизированных систем и технологий.

При проектировании существенное значение придается предпроектному обследованию объекта. На этой стадии:

• устанавливается наличие секретной (конфиденциальной) ин­формации в разрабатываемой АИТУ, оценивается уровень ее конфи­денциальности и объем;

• определяются режимы обработки информации (диалоговый, телеобработка и режим реального времени), состав комплекса тех­нических средств и т. д.;

• анализируется возможность использования имеющихся нарын-ке сертифицированных средств защиты информации;

• определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта авто­матизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;

• определяются мероприятия по обеспечению режима секретно­сти на стадии разработки.

Для создания эффективной системы защиты разработан ряд стандартов. Главная задача стандартов информационной безопаснос­ти — создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов инфор­мационных технологий. Каждая из этих групп имеет свои интересы и взгляды на проблему информационной безопасности.

Наиболее значимыми стандартами информационной безопас­ности являются (в хронологическом порядке): Критерии безопас­ности компьютерных систем Министерства обороны США («Оран­жевая книга»), Руководящие документы Гостехкомиссии России, Европейские критерии безопасности информационных технологий, Федеральные критерии безопасности информационных технологий США, Канадские критерии безопасности компьютерных систем и Единые критерии безопасности информационных технологий.