Автор работы: Пользователь скрыл имя, 01 Октября 2013 в 10:47, доклад
Словосочетание " информационная безопасность " в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин " информационная безопасность " используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
Понятие об информационной безопасности
Словосочетание " информационная
безопасность " в разных контекстах
может иметь различный смысл. В Доктрине
информационной безопасности
Российской Федерации термин " информационная
безопасность " используется
в широком смысле. Имеется в виду состояние
защищенности национальных интересов
в информационной сфере, определяемых
совокупностью сбалансированных интересов
личности, общества и государства.
В Законе РФ "Об участии в международном
информационном обмене" (закон
утратил силу, в настоящее время действует
"Об информации, информационных
технологиях и о защите информации")
информационная безопасность
определяется аналогичным образом – как
состояние защищенности информационной
среды общества, обеспечивающее ее формирование,
использование и развитие в интересах
граждан, организаций, государства.
Наше внимание будет сосредоточено на
хранении, обработке и передаче информации
вне зависимости от того, на каком языке
(русском или каком-либо ином) она закодирована,
кто или что является ее источником и какое
психологическое воздействие она оказывает
на людей. Поэтому термин " информационная
безопасность " будет использоваться
в узком смысле, так, как это принято, например,
в англоязычной литературе.
Под информационной
безопасностью мы будем понимать
защищенность информации и поддерживающей
инфраструктуры от случайных или преднамеренных
воздействий естественного или искусственного
характера, которые могут нанести неприемлемый
ущерб субъектам информационных
отношений, в том числе владельцам и пользователям
информации и поддерживающей инфраструктуры.
(Чуть дальше мы поясним, что следует понимать
под поддерживающей инфраструктурой.)
Защита
информации – это комплекс мероприятий,
направленных на обеспечение информационной
безопасности .
Таким образом, правильный с методологической
точки зрения подход к проблемам информационной
безопасности начинается с выявления
субъектов информационных отношений
и интересов этих субъектов, связанных
с использованием информационных систем
(ИС). Угрозы информационной безопасности
– это оборотная сторона использования
информационных технологий.
Из этого положения можно вывести два
важных следствия:
Возвращаясь к вопросам терминологии,
отметим, что термин "компьютерная
безопасность" (как эквивалент или
заменитель ИБ) представляется нам
слишком узким. Компьютеры – только
одна из составляющих информационных
систем, и хотя наше внимание будет сосредоточено
в первую очередь на информации, которая
хранится, обрабатывается и передается
с помощью компьютеров, ее безопасность
определяется всей совокупностью составляющих
и, в первую очередь, самым слабым звеном,
которым в подавляющем большинстве случаев
оказывается человек (записавший, например,
свой пароль на "горчичнике", прилепленном
к монитору).
Согласно определению информационной
безопасности , она зависит не
только от компьютеров, но и от поддерживающей
инфраструктуры, к которой можно отнести
системы электро-, водо- и теплоснабжения,
кондиционеры, средства коммуникаций
и, конечно, обслуживающий персонал. Эта
инфраструктура имеет самостоятельную
ценность, но нас будет интересовать лишь
то, как она влияет на выполнение информационной
системой предписанных ей функций.
Обратим внимание, что в определении ИБ
перед существительным "ущерб" стоит
прилагательное "неприемлемый". Очевидно,
застраховаться от всех видов ущерба невозможно,
тем более невозможно сделать это экономически
целесообразным способом, когда стоимость
защитных средств и мероприятий не превышает
размер ожидаемого ущерба. Значит, с чем-то
приходится мириться и защищаться следует
только от того, с чем смириться никак
нельзя. Иногда таким недопустимым ущербом
является нанесение вреда здоровью людей
или состоянию окружающей среды, но чаще
порог неприемлемости имеет материальное
(денежное) выражение, а целью защиты информации
становится уменьшение размеров ущерба
до допустимых значений.
Основные составляющие информационной безопасности
Информационная безопасность
– многогранная, можно даже сказать, многомерная
область деятельности, в которой успех
может принести только системный, комплексный
подход.
Спектр интересов субъектов, связанных
с использованием информационных систем,
можно разделить на следующие категории:
обеспечение доступности, целостности и конфиденциальности информационных
ресурсов и поддерживающей инфраструктуры.
Иногда в число основных составляющих
ИБ включают защиту от несанкционированного
копирования информации, но, на наш взгляд,
это слишком специфический аспект с сомнительными
шансами на успех, поэтому мы не станем
его выделять.
Поясним
понятия доступности, целостности и конфиденциальности.
Доступность
– это возможность за приемлемое время
получить требуемую информационную услугу.
Под целостностью
подразумевается актуальность и непротиворечивость
информации, ее защищенность от разрушения
и несанкционированного изменения.
Наконец,
конфиденциальность – это защита
от несанкционированного доступа к информации.
Информационные системы создаются (приобретаются)
для получения определенных информационных
услуг. Если по тем или иным причинам предоставить
эти услуги пользователям становится
невозможно, это, очевидно, наносит ущерб
всем субъектам информационных отношений.
Поэтому, не противопоставляя доступность
остальным аспектам, мы выделяем ее как
важнейший элемент информационной
безопасности .
Особенно ярко ведущая роль доступности
проявляется в разного рода системах управления
– производством, транспортом и т.п. Внешне
менее драматичные, но также весьма неприятные
последствия – и материальные, и моральные
– может иметь длительная недоступность
информационных услуг, которыми пользуется
большое количество людей (продажа железнодорожных
и авиабилетов, банковские услуги и т.п.).
Целостность можно подразделить на статическую
(понимаемую как неизменность информационных
объектов) и динамическую (относящуюся
к корректному выполнению сложных действий
(транзакций)). Средства контроля динамической
целостности применяются, в частности,
при анализе потока финансовых сообщений
с целью выявления кражи, переупорядочения
или дублирования отдельных сообщений.
Целостность оказывается важнейшим аспектом
ИБ в тех случаях, когда информация служит
"руководством к действию". Рецептура
лекарств, предписанные медицинские процедуры,
набор и характеристики комплектующих
изделий, ход технологического процесса
– все это примеры информации, нарушение
целостности которой может оказаться
в буквальном смысле смертельным. Неприятно
и искажение официальной информации, будь
то текст закона или страница Web-сервера
какой-либо правительственной организации.
Конфиденциальность – самый проработанный
у нас в стране аспект информационной
безопасности . К сожалению, практическая
реализация мер по обеспечению конфиденциальности
современных информационных систем наталкивается
в России на серьезные трудности. Во-первых,
сведения о технических каналах утечки
информации являются закрытыми, так что
большинство пользователей лишено возможности
составить представление о потенциальных
рисках. Во-вторых, на пути пользовательской
криптографии как основного средства
обеспечения конфиденциальности стоят
многочисленные законодательные препоны
и технические проблемы.
Если вернуться к анализу интересов различных
категорий субъектов информационных отношений,
то почти для всех, кто реально использует
ИС, на первом месте стоит доступность.
Практически не уступает ей по важности
целостность – какой смысл в информационной
услуге, если она содержит искаженные
сведения?
Наконец, конфиденциальные моменты есть
также у многих организаций (даже в упоминавшихся
выше учебных институтах стараются не
разглашать сведения о зарплате сотрудников)
и отдельных пользователей (например,
пароли).
Выделяют
и другие не всегда обязательные категории
модели безопасности:
Важность
и сложность проблемы информационной
безопасности
Информационная безопасность
является одним из важнейших аспектов
интегральной безопасности, на каком бы
уровне мы ни рассматривали последнюю
– национальном, отраслевом, корпоративном
или персональном.
Для иллюстрации этого положения ограничимся
несколькими примерами.
Понятно, что подобных примеров множество,
можно вспомнить и другие случаи
– недостатка в нарушениях ИБ нет
и не предвидится.
При анализе проблематики, связанной с
информационной безопасностью ,
необходимо учитывать специфику данного
аспекта безопасности , состоящую
в том, что информационная безопасность
есть составная часть информационных
технологий – области, развивающейся
беспрецедентно высокими темпами. Здесь
важны не столько отдельные решения (законы,
учебные курсы, программно-технические
изделия), находящиеся на современном
уровне, сколько механизмы генерации новых
решений, позволяющие жить в темпе технического
прогресса.
К сожалению, современная технология программирования
не позволяет создавать безошибочные
программы, что не способствует быстрому
развитию средств обеспечения ИБ. Следует
исходить из того, что необходимо конструировать
надежные системы ( информационной
безопасности ) с привлечением
ненадежных компонентов (программ). В принципе,
это возможно, но требует соблюдения определенных
архитектурных принципов и контроля состояния
защищенности на всем протяжении жизненного
цикла ИС.
Приведем еще несколько цифр. В марте 1999
года был опубликован очередной, четвертый
по счету, годовой отчет "Компьютерная
преступность и безопасность-1999: проблемы
и тенденции" (Issues and Trends: 1999 CSI/FBI Computer
Crime and Security Survey). В отчете отмечается резкий
рост числа обращений в правоохранительные
органы по поводу компьютерных преступлений
(32% из числа опрошенных); 30% респондентов
сообщили о том, что их информационные
системы были взломаны внешними злоумышленниками;
атакам через Internet подвергались 57% опрошенных;
в 55% случаях отмечались нарушения со стороны
собственных сотрудников. Примечательно,
что 33% респондентов на вопрос "были
ли взломаны ваши Web-серверы и системы
электронной коммерции за последние 12
месяцев?" ответили "не знаю".
В аналогичном отчете, опубликованном
в апреле 2002 года, цифры изменились, но
тенденция осталась прежней: 90% респондентов
(преимущественно из крупных компаний
и правительственных структур) сообщили,
что за последние 12 месяцев в их организациях
имели место нарушения информационной
безопасности ; 80% констатировали
финансовые потери от этих нарушений;
44% (223 респондента) смогли и/или захотели
оценить потери количественно, общая сумма
составила более 455 млн. долларов. Наибольший
ущерб нанесли кражи и подлоги (более 170
и 115 млн. долларов соответственно).
Столь же тревожные результаты содержатся
в обзоре InformationWeek, опубликованном 12 июля
1999 года. Лишь 22% респондентов заявили
об отсутствии нарушений информационной
безопасности . Наряду с распространением
вирусов отмечается резкий рост числа
внешних атак.
Увеличение числа атак – еще не самая
большая неприятность. Хуже то, что постоянно
обнаруживаются новые уязвимые места
в программном обеспечении (выше мы указывали
на ограниченность современной технологии
программирования) и, как следствие, появляются
новые виды атак.
Так, в информационном письме Национального
центра защиты инфраструктуры США (National
Infrastructure Protection Center, NIPC) от 21 июля 1999 года
сообщается, что за период с 3 по 16 июля
1999 года выявлено девять проблем с ПО,
риск использования которых оценивается
как средний или высокий (общее число обнаруженных
уязвимых мест равно 17). Среди "пострадавших"
операционных платформ – почти все разновидности
ОС Unix, Windows, MacOS, так что никто не может
чувствовать себя спокойно, поскольку
новые ошибки тут же начинают активно
использоваться злоумышленниками.
В таких условиях системы информационной
безопасности должны уметь противостоять
разнообразным атакам, как внешним, так
и внутренним, атакам автоматизированным
и скоординированным. Иногда нападение
длится доли секунды; порой прощупывание
уязвимых мест ведется медленно и растягивается
на часы, так что подозрительная активность
практически незаметна. Целью злоумышленников
может быть нарушение всех составляющих
ИБ – доступности, целостности или конфиденциальности.