Тема Актуальность проблемы обеспечения безопасности
Скачать 134.63 Kb.
|
РАЗДЕЛ 1. КОМПЛЕКСНЫЙ ПОДХОД К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Тема 1.1. Актуальность проблемы обеспечения безопасности Понятие информационной безопасности Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства. В Законе РФ "Об участии в международном информационном обмене" информационная безопасность определяется аналогичным образом - как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности. Правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности - это оборотная сторона использования информационных технологий. Из этого положения можно вывести два важных следствия: 1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором - "да нет у нас никаких секретов, лишь бы все работало". 2. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/ или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте. Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций. Основные составляющие информационной безопасности Информационная безопасность - многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход. Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры. Поясним понятия доступности, целостности и конфиденциальности. Доступность - это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения; состояние данных, при котором они в точности соответствуют данным в исходных документах и при этом не могут быть подвержены неумышленным или умышленным искажениям или разрушениям. Конфиденциальность - это защита от несанкционированного доступа к информации. Особенно ярко ведущая роль доступности проявляется в разного рода системах управления - производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия - и материальные, и моральные - может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.). Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений. Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли). Задачи в сфере обеспечения информационной безопасности К основным задачам в сфере обеспечения информационной безопасности относятся: - формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализации конституционных прав и свобод граждан на информационную деятельность; - совершенствование законодательства Российской Федерации в сфере обеспечения информационной безопасности; - определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации и органов местного самоуправления в сфере обеспечения информационной безопасности; - координация деятельности органов государственной власти по обеспечению информационной безопасности; - создание условий для успешного развития негосударственного компонента в сфере обеспечения информационной безопасности, осуществления эффективного гражданского контроля за деятельностью органов государственной власти; - совершенствование и защита отечественной информационной инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру; - развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение для всех видов информационных систем; - развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке; - зашита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на предприятиях оборонного комплекса; - духовное возрождение России; обеспечение сохранности и защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историкокультурных объектов); - сохранение традиционных духовных ценностей при важнейшей роли Русской православной церкви и церквей других конфессий; - пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных, исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности; - повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств - участников СНГ; - создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры; - противодействие угрозе развязывания противоборства в информационной сфере; - организация международного сотрудничества по обеспечению информационной безопасности при интеграции России в мировое информационное пространство. Предметные направления ЗИ Основные предметные направления ЗИ - охрана государственной, коммерческой, служебной, банковской тайн, персональных данных и интеллектуальной собственности. Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативнорозыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Коммерческая тайна исстари охранялась при содействии государства. В России к коммерческой тайне относили промысловую тайну, но затем она была ликвидирована как правовой институт в начале 30-х годов и в связи с огосударствлением отраслей экономики защищалась как государственная и служебная тайна. Обладатели коммерческой тайны - физические (независимо от гражданства) и юридические (коммерческие и некоммерческие организации) лица, занимающиеся предпринимательской деятельностью и имеющие монопольное право на информацию, составляющую для них коммерческую тайну. При этом под предпринимательством понимается «самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке» (статья 2 Гражданского кодекса Российской Федерации). Банковская тайна - защищаемые банками и иными кредитными организациями сведения о банковских операциях по счетам и сделкам в интересах клиентов, счетах и вкладах своих клиентов и корреспондентов, а также сведения о клиентах и корреспондентах, разглашение которых может нарушить право последних на неприкосновенность частной жизни. К основным объектам банковской тайны относятся следующие: 1. Тайна банковского счета 2. Тайна операций по банковскому счету 3. Тайна банковского вклада 4. Тайна частной жизни клиента или корреспондента. Профессиональная тайна - защищаемая по закону информация, доверенная или ставшая известной лицу (держателю) исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, распространение которой может нанести ущерб правам и законным интересам другого лица (доверителя), доверившего эти сведения, и не являющаяся государственной или коммерческой тайной. 1. Врачебная тайна - информация, содержащая: - результаты обследования лица, вступающего в брак; - сведения о факте обращения за медицинской помощью, о состоянии здоровья, диагнозе заболевания и иные сведения, полученные при обследовании и лечении гражданина; - сведения о проведенных искусственном оплодотворении и имплантации эмбриона, а также о личности донора; - сведения о доноре и реципиенте при трансплантации органов и (или) тканей человека;. - сведения о наличии психического расстройства, фактах обращения за психиатрической помощью и лечении в учреждении, оказывающем такую помощь, а также иные сведения о состоянии психического здоровья гражданина; - иные сведения в медицинских документах гражданина. 2. Тайна связи - тайна переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. 3. Нотариальная тайна - сведения, доверенные нотариусу в связи с совершением нотариальных действий. 4. Адвокатская тайна - сведения, сообщенные адвокату гражданином в связи с оказанием ему юридической помощи. 5. Тайна усыновления - сведения об усыновлении ребенка, доверенные на законном основании иным лицам, кроме судей, вынесших решение об усыновлении, и должностных лиц, осуществляющих государственную регистрацию этого усыновления. 6. Тайна страхования - сведения о страхователе, застрахованном лице и выгодоприобретателей, состоянии их здоровья, а также об имущественном положении этих лиц, полученные страховщиком в результате своей профессиональной деятельности. 7. Тайна исповеди - сведения, доверенные гражданином священнослужителю на исповеди. Служебная тайна - защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости. Служебная тайна является видом конфиденциальной информации, и право на служебную тайну выступает самостоятельным объектом права. Для осуществления ее правовой охраны и защиты необходим специальный Федеральный закон «О служебной тайне». Угрозы информационной безопасности. Классификация угроз. Основные понятия Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы. Показатель, характеризующий безопасность информации при воздействии различных факторов опасности, - это критерий безопасности. Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении). Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС. Если речь идет об ошибках в программном обеспечении, то окно опасности "открывается" с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих. Для большинства уязвимых мест окно опасности существует сравнительно долго, поскольку за это время должны произойти следующие события: - должно стать известно о средствах использования пробела в защите; - должны быть выпущены соответствующие заплаты; - заплаты должны быть установлены в защищаемой ИС. Новые уязвимые места и средства их использования появляются постоянно; это значит, во-первых, что почти всегда существуют окна опасности и, во-вторых, что отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат - как можно более оперативно. Некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания. Виды угроз Выделяют следующие виды угроз 1 .Прерывание - компоненты системы выходят из строя, становятся недоступными или непригодными. Эта атака, целью которой является нарушение доступности. 2.Перехват - это атака, целью которой является нарушение конфиденциальности, в результате чего доступ к компонентам системы получают несанкционированные стороны. В роли несанкционированной стороны может выступать лицо, программа компьютер. В качестве примеров можно привести перехват передаваемых по сети сообщений или незаконное копирование файлов или программ 3. Изменение - несанкционированная сторона не только получает доступ к системе, но и вмешивается в работу ее компонентов. Целью этой атаки является нарушение целостности. В качестве примеров можно привести замену значений в файле данных, изменение программы т.о., что она будет работать подругому, а также изменение содержимого передаваемых по сети сообщений. 4. Подделка - несанкционированная сторона помещает в систему поддельные объекты. Целью этой атаки является нарушение аутентичности (компьютерная система должна иметь возможность проверять идентичность пользователя). В качестве примеров можно привести помещение в сеть поддельных сообщений или добавление записей в файл. Классификация угроз Угрозы можно классифицировать по нескольким критериям: - по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь; - по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); - по способу осуществления (случайные/преднамеренные действия природного/ техногенного характера); - по расположению источника угроз (внутри/вне рассматриваемой ИС). Примеры угроз Основные угрозы доступности Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки и являются собственно угрозами, иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники. Другие угрозы доступности классифицируем по компонентам ИС, на которые нацелены угрозы: 1. отказ пользователей - нежелание работать с информационной системой, невозможность работать с системой в силу отсутствия соответствующей подготовки, невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п); 2. внутренний отказ информационной системы - отступление (случайное или умышленное) от установленных правил эксплуатации, выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.), ошибки при (пере) конфигурировании системы, отказы программного и аппаратного обеспечения, разрушение данных, разрушение или повреждение аппаратуры; 3. отказ поддерживающей инфраструктуры - нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования, разрушение или повреждение помещений, невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои. Весьма опасны так называемые "обиженные" сотрудники - нынешние и бывшие. Как правило, они стремятся нанести вред «организации-обидчику», например: испортить оборудование; встроить логическую бомбу, которая со временем разрушит программы и/или данные; удалить данные. Основные угрозы целостности С целью нарушения статической целостности злоумышленник (как правило, штатный сотрудник) может: 1. ввести неверные данные; 2. изменить данные. Потенциально уязвимы с точки зрения нарушения целостности не только данные, но и программы. Внедрение вредоносного ПО - пример подобного нарушения. Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием. Основные угрозы конфиденциальности Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер. Многим людям приходится выступать в качестве пользователей не одной, а целого ряда систем. Если для доступа к таким системам используются многоразовые пароли или иная конфиденциальная информация, то наверняка эти данные будут храниться не только в голове, но и в записной книжке или на листках бумаги, которые пользователь часто оставляет на рабочем столе, а то и попросту теряет. Невозможно помнить много разных паролей; рекомендации по их регулярной смене только усугубляют положение, заставляя применять несложные схемы чередования или вообще стараться свести дело к двум трем легко запоминаемым (и столь же легко угадываемым) паролям. Помимо паролей, хранящихся в записных книжках пользователей, в этот класс попадает передача конфиденциальных данных в открытом виде (в разговоре, в письме, по сети), которая делает возможным перехват данных. Для атаки могут использоваться разные технические средства, но идея одна - осуществить доступ к данным в тот момент, когда они наименее защищены. Еще один пример изменения, о котором часто забывают, хранение данных на резервных носителях. Для защиты данных на основных носителях применяются развитые системы управления доступом; копии же нередко просто лежат в шкафах и получить доступ к ним могут многие. Опасной нетехнической угрозой конфиденциальности являются методы морально-психологического воздействия, такие как маскарад - выполнение действий под видом лица, обладающего полномочиями для доступа к данным. |