Информационная безопасность и защита информации - StudentLib. Введение в информационную безопасность Информационная сфера (среда)
Скачать 416.21 Kb.
|
Введение в информационную безопасность Информационная сфера (среда) - это сфера деятельности, связанная с созданием, распространением, преобразованием и потреблением информации. Любая система защиты информации имеет свои особенности и в то же время должна отвечать общим требованиям. Общими требованиями к системе защиты информации являются следующие: 1. Система защиты информации должна быть представлена как нечто целое. Целостность системы будет выражаться в наличии единой цели ее функционирования, информационных связей между ее элементами, иерархичности построения подсистемы управления системой защиты информации. 2. Система защиты информации должна обеспечивать безопасность информации, средств информации и защиту интересов участников информационных отношений. . Система защиты информации в целом, методы и средства защиты должны быть по возможности «прозрачными» для пользователя, не создавать ему больших дополнительных неудобств, связанных с процедурами доступа к информации и в то же время быть непреодолимыми для несанкционированного доступа злоумышленника к защищаемой информации. 4. Система защиты информации должна обеспечивать информационные связи внутри системы между ее элементами для согласованного их функционирования и связи с внешней средой, перед которой система проявляет свою целостность и поступает как единое целое. Таким образом, обеспечение безопасности информации, в том числе в компьютерных системах, требует сохранения следующих ее свойств: 1. Целостность. Целостность информации заключается в ее существовании в неискаженном виде, не измененном по отношению к некоторому ее исходному состоянию. 2. Доступность. Это свойство, характеризующее способность обеспечивать своевременный и беспрепятственный доступ пользователей к интересующим их данным. 3. Конфиденциальность. Это свойство, указывающее на необходимость введения ограничений на доступ к ней определенного круга пользователей. Под угрозой безопасности понимается возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику или пользователю, проявляющегося в опасности искажения, раскрытия или потери информации. Реализация той или иной угрозы безопасности может производиться с целью нарушения свойств, обеспечивающих безопасность информации. Основные принципы обеспечения информационной безопасности Построение системы защиты должно основываться на следующих основных принципах: 1. Системность подхода 2. Комплексность подхода . Разумная достаточность средств защиты . Разумная избыточность средств защиты . Гибкость управления и применения . Открытость алгоритмов и механизмов защиты . Простота применения защиты, средств и мер . Унификация средств защиты Системность подхода Защита информации предполагает необходимость учета всех взаимосвязанных и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания решения проблемы обеспечения информационной безопасности. При создании системы защиты необходимо учитывать все слабые и наиболее уязвимые места системой обработки информации, а также характер возможных объектов нарушения и атак на системы со стороны нарушителя, пути проникновения в систему для несанкционированного доступа к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения, но и с учетом возможности появления преимущественно новых путей реализации угроз безопасности. Системный подход также предполагает непротиворечивость применяемых средств защиты. Различаются следующие виды системностей: 1. Системность целевая Защищенность информации рассматривается как составная часть общего понятия качества информации. 2. Системность пространственная Может практиковаться как увязка вопросов защиты информации 2.1. По вертикали государство (правительственные органы) министерство корпоративные государственные учреждения частные предприятия вычислительные системы 2.2. По горизонтали Предполагается увязка вопроса защиты информации в локальных узлах и территориях распределения элементов автоматизированных систем обработки данных. 3. Системность временная (принцип непрерывности функционирования системы защиты) Защита информации - не разовое мероприятие, а непрерывный целенаправленный процесс, предполагаемый принятие соответствующих мер на всех этапах жизненного цикла защиты системы. Разработка системы защиты должна начинаться с момента проектирования системы, а ее адаптация и доработка - на протяжении всего времени функционирования системы. 4. Системность организационная Единство организации всех работ по защите информации и их управления. Комплексность подхода Комплексное использование широкого спектра мер, методов и средств защиты информационных систем предполагает согласованное применение разнородных средств защиты при обеспечении информационной безопасности. Данный принцип предполагает учет всей совокупности возможных угроз при реализации систем защиты. Принцип разумной достаточности Создать абсолютно непреодолимую системы защиты принципиально невозможно. Поэтому при проектировании системы безопасности имеет смысл вести речь о некотором ее приемлемом уровне. При этом необходимо понимать, что высокоэффективная система защиты дорого стоит, может существенно снижать производительность защищаемого объекта и создавать ощутимые неудобства для пользователя. Важно правильно выбрать тот уровень защиты, при котором затраты, риск взлома и размер возможного ущерба были бы приемлемыми. Принцип разумной избыточности Особенностью функционирования системы защиты является уровень защищенности непрерывно снижается в процессе функционирования системы. Это вызвано тем, что любая атака на систему (как успешная, так и нет) дает информацию злоумышленнику. Накопление информации приводит к успешной атаке. Данное утверждение находятся в противоречии с принципом разумной достаточности. Выход в компромиссе: на этапе разработки системы защиты в нее должна закладываться некая избыточность, которая позволила бы увеличить срок ее жизнеспособности. Принцип гибкости управления и применения (адаптивность) Как правило, система защиты проектируется в условиях большой неопределенности. Поэтому устанавливаемые средства защиты могут обеспечивать как чрезмерный, так и достаточный уровень защищенности. В связи с этим должны быть реализованы принципы гибкости управления, обеспечивающие возможность настройки механизмов в процессе функционирования системы. Открытость алгоритмов и механизмов защиты Суть состоит в том, что защита не должна обеспечиваться только за счет секретности структурной безопасности и алгоритмов функционирования ее подсистемы. Знание алгоритмов работы системы защиты не должно давать возможность преодоления этой системы. Простота применения защиты, средств и мер Механизмы защиты должны быть интуитивно понятны и просты в использовании. Они должны обладать интуитивно понятным интерфейсом, автоматической и автоматизированной настройкой. Система защиты должна по возможности минимально мешать работе пользователей, поэтому должна функционировать в «фоновом» режиме, быть незаметной и ненавязчивой. Унификация средств защиты Современные системы защиты отличаются высоким уровнем сложности, что требует высокой квалификации обслуживающего персонала. С целью упрощения администрирования систем безопасности целесообразно стремиться к их унификации по крайней мере в пределах предприятия. Понятие защищенности в автоматизированных системах Защищенность является одним из важнейших показателей эффективности функционирования автоматизированных систем обработки данных (АСОД) наряду с такими показателями как производительность, надежность, отказоустойчивость и т.п. Под защищенностью АСОД будем понимать степень адекватности реализованных в ней механизмов защиты информации, существующей в данной среде функционирования, связанной с осуществлением угроз безопасности информации. На практике всегда существует большое количество не поддающихся точной оценке возможных путей осуществления угроз безопасности в отношении ресурсов АСОД. В идеале каждый путь осуществления угрозы должен быть перекрыт соответствующим механизмом защиты. Данное условие является первым фактором, определяющим защищенность АСОД. Вторым фактором является прочность существующего механизма защиты, характеризующаяся степенью сопротивляемости этих механизмов попыткам их обхода или преодоления. Третий фактор - величина ущерба, наносимого владельцу АСОД в случае успешного осуществления угроз безопасности. Меры и средства защиты информации На настоящий момент меры защиты информации можно разделить на следующие виды: 1. Правовые (законодательные). Определяются законодательными актами страны, которыми регламентируется правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Применительно к России: Конституция, доктрина информационной безопасности, кодексы, законы, указы президента, постановления правительства, ГОСТы в области защиты информации. 2. Морально-этические. К ним относятся нормы поведения, которые традиционно сложились по мере распространения сетевых и информационных технологий. 3. Организационные (административные). Представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации аппаратуры телекоммуникаций для обеспечения защиты информации. 4. Технические. Реализуются в виде механических, электрических и электронных устройств, предназначенных для препятствования проникновению и доступу потенциального нарушителя к компонентам защиты. 5. Программные. Представляют из себя программное обеспечение, предназначенное для выполнения функций защиты информации. Правовое обеспечение информационной безопасности Как сфера правового регулирования информационная сфера представляет собой совокупность субъектов, осуществляющих информационную деятельность, объектов права, по отношению к которым или в связи с которыми эта деятельность осуществляется и социальных отношений, регулируемых правом или подлежащих правовому регулированию. Правовые аспекты обеспечения защиты информации направлены на достижение следующих целей: 1. Формирование правосознания граждан по обязательному соблюдению правил защиты конфиденциальной информации. 2. Определение мер ответственности за нарушение правил защиты информации. . Придание юридической силы технико-математическим решениям в вопросах организационно-правового обеспечения защиты информации. . Придание юридической силы процессуальным процедурам разрешения ситуаций, складывающихся в процессе функционирования системы защиты. К правовым мерам относят нормы законодательства, касающиеся вопросов обеспечения безопасности информации. В отрасль законодательства, регулирующую информационные отношения, включаются: 1. Законодательство об интеллектуальной собственности. 2. Законодательство о средствах массовой информации. . Законодательство о формировании информационных ресурсов и предоставлении информации из них . Законодательство о реализации права на поиск, получение и использование информации. . Законодательство о создании и применении информационных технологий и средств их обеспечения. В отрасли права, акты которых включают информационно-правовые нормы, входят конституционного право, административное право, гражданское право, уголовное право и предпринимательское право. В соответствии с действующим законодательством информационные правоотношения - это отношения, возникающие при: 1. При формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации. 2. При создании и использовании информационных технологий и средств их обеспечения. . При защите информации и прав субъектов, участвующих в информационных процессах и информатизации. Основы законодательства РФ в области информационной безопасности и защиты информации Федеральный закон «Об информации, информационных технологиях и о защите информации» классифицирует информацию в зависимости от категорий доступа к ней и от порядке ее предоставления или распространения. В соответствии с ней по порядку предоставления или распространения информация подразделяется на: 1. Свободно распространяемую. 2. Предоставляемую по соглашению лиц, участвующих в соответствующих отношениях. . Подлежащую предоставлению или распространению в соответствии с федеральными законами (например, сведения об имущественном положении кандидата в депутаты). . Ограничиваемую или запрещаемую к распространению в Российской Федерации. По категориям доступа информация подразделяется на общедоступную информацию и информацию ограниченного доступа, т.е. такую информацию, доступ к которой ограничен федеральными законами. Информация ограниченного доступа подразделяется на сведения, представляющие собой: . Государственную тайну 2. Коммерческую тайну . Служебную тайну . Профессиональную тайну . Персональные данные граждан (физических лиц) Упомянутый федеральный закон также определяет перечень сведений, доступ к которым не может быть ограничен: 1. Нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, а также устанавливающие правовое положение организаций и полномочия государственных органов, а также органов местного самоуправления. 2. Информацию о состоянии окружающей среды . Информацию о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств за исключением сведений, составляющих государственную или служебную тайну. . Информацию, накапливаемую в открытых фондах библиотек, музеях и архивах, а также в государственных муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан и организаций такой информацией. . Иную информацию, недопустимость ограничения доступа к которой установлена федеральными законами. Важным элементом информационных ресурсов является государственная тайна, отнесенная по условиям правового режима к документированной информации ограниченного распространения. Термин «документальная информация» означает зафиксированную на материальном носителе путем документирования информацию с реквизитами, позволяющими определить такую информацию или в установленных законодательством РФ случаях ее материальный носитель. Понятие «документированная информация» основано на двуединстве информации, т.е. сведений и материального носителя, на котором она отражена в виде символов, знаков, букв, волн или других способов отображения. По сути, документированная информация представляет собой обыкновенные данные, а подход, отождествляющий информацию и данные, носит название «техноцентрический». Государственная тайна в соответствии с законом РФ «О государственной тайне» это защищаемые государством сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ. Режим защиты государственной тайны - важнейший элемент системы государственного управления. Правовой институт государственной тайны - это признанный всеми странами институт регулирования информационных и общественных отношений. Последний имеет три составляющие: 1. Сведения, относимые к определенному типу данных, а также принципы и критерии, по которым сведения классифицируются как тайна. 2. Режим секретности (конфиденциальности). Это механизм ограничения доступа к указанным сведениям, т.е. механизм защиты. . Санкции за неправомерное получение и/или распространения этих сведений. Модель определения государственных секретов обычно включает в себя следующие существенные признаки: . Предметы, явления, события, области деятельности, составляющие государственную тайну 2. Противник (данный или потенциальный), от которого в основном осуществляется защита государственной тайны . Указания в законе перечня инструкций и сведений, составляющих государственную тайну . Наносимый ущерб обороне, внешней политике, экономике, научно-техническому прогрессу страны и т.п. в случае разглашения или утечки сведений, составляющих государственную тайну. Важным признаком государственной тайны является степень секретности сведений, составляющих государственную тайну. Принята следующая система обозначения сведений: «Особой важности», «Совершенно секретно», «Секретно». Содержащиеся под этими грифами сведения являются государственной тайной. К сведениям особой важности следует относить такие сведения, распространение которых может нанести ущерб интересам РФ в одной или нескольких областях деятельности. К совершенно секретным сведениям следует относить такие сведения, распространение которых может нанести ущерб интересам министерства, ведомства или отраслям экономики РФ в одной или нескольких областях деятельности. К секретным сведениям следует относить все иные из числа сведений, составляющих государственную тайну. В данном случае ущерб может быть нанесен интересам предприятия, учреждения или организации. Понятие «режим секретности» тесно связано с понятием защиты информации и является реализацией системы защиты информации для конкретного объекта или одного из его структурных подразделений или конкретной работы. Под системой защиты государственной тайны понимается совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну и их носителей, а также мероприятий, проводимых в этих целях. |