Насколько важна любая информация, относящаяся к бизнесу понятно многим. Пользуясь собранной и обработанной информацией, можно успешно конкурировать на своем рынке и захватывать новые. Информация помогает в поиске партнеров и способствует четкому определению позиции по отношению к ним.
Говоря проще:
кто владеет достоверной и полной информацией — тот владеет
ситуацией, а кто владеет ситуацией — тот способен управлять
ею в своих интересах, а кто способен управлять — тот
способен побеждать. Вот простая формула успеха любой
деятельности.
Кроме
того, при переходе к рыночной экономике информация
становится товаром и должна поэтому подчиняться
специфическим законам товарно-рыночных отношений. В
этих условиях проблема защиты информации весьма
актуальна и для организаций любой формы
собственности.
Вопросы
безопасности — важная часть концепции внедрения
новых информационных технологий во все сферы жизни
общества. Широкомас штабное использование
вычислительной техники и телекоммуникацион ных
систем в рамках территориально-распределенной сети,
переход на этой основе к безбумажной технологии,
увеличение объемов обрабатыва емой информации и
расширение круга пользователей приводят к
качественно новым возможностям несанкционированного
доступа к ресурсам и данным информационной системы,
к их высокой уязвимости.
Информация — это товар...
Нет
необходимости объяснять, что целостность, достоверность и
доступность информации — важные составные успеха
деятельности любой организации. Под информацией можно
понимать: и Ваши конфиденци альные данные на бумаге,
находящиеся в кабинете на столе или в сейфе; и цифровые
данные, хранимые в компьютере, записанные на дискете или
передаваемые по каналам связи; и Ваши разговоры по телефону
или просто в помещении. Доступ в помещение тоже является
доступом к Вашей информации. В качестве информации могут
выступать и Ваши деньги, драгоценности, ценные бумаги. Даже
Вы сами являетесь объектом информации, иногда наиболее
ценной. И все это необходимо защищать. Защищать комплексно.
Эффективность механизмов защиты информации в
значительной степени зависит от реализации ряда
принципов. Во-первых, механизмы защиты следует
проектировать одновременно с разработкой
информационной системы, что позволяет обеспечить их
бесконфликтность, своевременную интеграцию в
вычислительную среду и сокращение затрат. Во-вторых,
вопросы защиты следует рассматривать комплексно в
рамках единой системы защиты информации (СЗИ).
Системный подход
обеспечивает адекватную многоуровневую защиту информации,
рассматриваемую как комплекс организационно-правовых и
технических мероприятий. Кроме того, при реализации
механизмов защиты должны использоваться передовые, научно
обоснованные технологии защиты, обеспечивающие требуемый
уровень безопасности, приемлемость для пользователей и
возможность наращивания и модификации СЗИ в дальнейшем.
Управление
безопасностью электронных документов охватывает широкий круг
вопросов, в число которых входит: обеспечение целостности,
конфиденциальности и аутентичности информации; разграничение
прав пользователей по доступу к ресурсам автоматизированной
системы; защита автоматизированной системы и ее элементов от
несанкционированного доступа; обеспечение юридической
значимости электронных документов.
К информации,
требующей защиты, можно отнести конфиденциальную,
управленческую, научно-техни ческую, торговую и прочую
информацию, представляющую ценность для предприятия в
достижении преимущества над конкурентами. Утечка такой
информации может нанести ущерб ее владельцам в виде прямых
убытков и других упущений.
Информация, как
совокупность знаний о фактических данных и зависимостях
между ними, стала стратегическим ресурсом; она — основа для
выработки любого решения. Поэтому защита информации, будучи
сложной, наукоемкой и многогранной проблемой по сути, в
условиях внедрения современных информационных технологий,
создания распределенных вычислительных систем и сетей связи,
приобретает особую остроту.
Существует
мнение, что компьютерные базы персональных данных создают
реальную угрозу для негласного вторжения в частную жизнь.
Такая озабоченность имеет под собой почву, поскольку
различные файлы данных заводятся на каждого гражданина и
ведутся на протяжении всей его жизни. Результаты медицинских
обследований; прохождение обучения в колледже и вузах;
аресты и приводы в полицию; суммы, взятые под залог;
купля-продажа товаров и имущества; списки книг, взятых в
библиотеке; членство или поддержка общественно
-политических, религиозных и других организаций — вот далеко
не полный перечень сведений, которые оседают в банках данных
различных организаций, служб и ведомств. Вся эта информация,
попав в чужие руки, в определенных условиях может быть
использована не по назначению.
Не секрет, что в
настоящее время одним из основных средств обеспечения
государством, фирмой либо другой организацией своих
интересов на международной арене становится завоевание им
информационного пространства путем развития информационных
технологий и создания на их основе информационных систем
(ИС), определяющих доступ к достижениям в различных областях
науки, техники, экономики и т.д. Причем информационные
системы более высокого уровня развития, как правило,
получают возможность управлять системами с относительно
низким уровнем информатизации, направляя их деятельность в
своих интересах и постоянно контролируя.
В ИС,
создаваемых в органах государственной власти и в
коммерческих структурах циркулирует информация, содержащая
секретные сведения о достигнутом потенциале в области
экономики, обороны, науки и техники, конфиденциальные
сведения об управленческой, хозяйственной, коммерческой,
финансовой и иной деятельности. Техническими средствами
освоения информационных ресурсов выступают вычислительные
системы с их разнообразным периферийным оборудованием и сети
связи.
Количество
абонентов, пользующихся услугами таких систем неуклонно
возрастает. Стало возможным взаимное сопряжение локальных
сетей при обмене информацией. Такие взаимосвязанные сети с
подключен ными к ним удаленными абонентскими терминальными
устройствами образуют сложные информационно -вычислительные
сети, распределенные на большой территории. Очевидно, что в
этих системах исключить несанкционированный доступ к
информации лишь организационными мерами практически
невозможно.
Современные
вычислительные системы могут работать в мультипрограммном
режиме (одновременно решается несколько задач), в
мультипроцессорном режиме (создаются условия для решения
программы задачи несколькими параллельно работающими
процессорами), а также в режиме разделения времени, когда к
информационным ресурсам одновременно может обращаться
большое количество абонентов. При таких режимах работы в
памяти компьютеров одновременно могут храниться программы и
массивы данных различных пользователей, с ПК или серверами
одновременно будет поддерживать связь значительное число
абонентов. В этом случае необходимо решение как проблем
физической защиты информации, так и защита ее от
пользователей несанкционированно вклинивающихся в
вычислительный процесс.
В то же время,
циркулирующая в территориально распределенных системах и
сетях информация становится уязвимой в связи с возрастанием
многообразия угроз несанкционированного ее получения и
использования.
С развитием
рыночных отношений, с появлением частных предприятий и
перестройкой общества в целом перед предпринимателем
возникли совершенно новые проблемы, связанные не только с
обеспечением личной безопасности, но и с безопасностью
информации. Тем более, что нет четкой границы между
информацией, доступной всем и коммерческой тайной.
Для обеспечения
информационной безопасности необходимо во-первых, понять,
насколько важна данная проблема, а во-вторых, выделить
основные направления и способы ее решения. Необходимо
помнить, что под защитой информации понимают защиту не
только компьютерной информации, но и множество других
аспектов, например: бухгалтерскую отчетность фирмы,
количество денег на счетах, деловые партнеры и поставщики,
реальные обороты фирмы, проведение переговоров и заключаемые
контракты и многое другое.
А если
посмотреть на эту проблему не с коммерческой, а с
государственной точки зрения, то становится очевидным, что
ни одна сфера жизни современного общества не может
функционировать без развитой информационной структуры.
Национальный информационный ресурс становится сегодня одной
из главных основ экономической и военной мощи любого
государства.
Информация,
проникающая во все сферы деятельности государства,
приобретает конкретные политичес кое, материальное и
стоимостное выражения. Проблема безопасности информации с
точки зрения государственных интересов в последнее время
приобрела особую актуальность и рассматривается как одна из
приоритетных государственных задач, как важный элемент
национальной безопасности.
Важнейший ресурс
современного общества — информация одновременно несет в себе
и огромную угрозу для него, связанную с внутренней
спецификой этого ресурса. Простота и большое число различных
способов доступа и модификации информации, значительное
количество квалифицированных специалистов, широкое
использование в общественном производстве специальных
технических средств позволяют злоумышленнику практи-чески в
любой момент и в любом месте осуществлять действия,
представляющие угрозу информаци онной безопасности как в
локальном, так и в глобальном масштабах.
Происходящее в
последнее время распространение децентрализации и
распределенной обработки данных выдвинуло проблемы
обеспечения безопасности информации в число важнейших для
национальной экономики. Решение проблемы обеспечения
информационной безопасности предполагает комплекс
мероприятий и в первую очередь такие действия государства,
как разработка системы классификации и документирования
информации и способов защиты, регулирование способов доступа
к данным и установление ответственнос ти за нарушения
информационной безопасности.
Острая
актуальность названной проблемы обусловлена также рядом
объективных факторов, играющих существенную роль в жизни
современного общества. Среди этих факторов особо следует
выделить: неуклонное повышение роли информации в обеспечении
жизнедеятельности общества и государства, все усиливающая ся
интенсификация процессов информатизации различных сфер
деятельности, приобретающая устойчивость тенденция
органического слияния традиционных (бумажных) и
автоматизированных (безбумажных) технологий обработки
информации, резкая децентрализация использования современных
средств электронно-вычислительной техники и др.
При общем
положитель ном влиянии, объективной целесообразности и
неизбежности перечисленные обстоятельства порождают и ряд
негативных явлений, одно из которых заключается в резком
повышении уязвимости накапливаемой, хранимой и
обрабатываемой информации. Причем указанные явления могут
носить как случайный, так и преднамеренный характер, в том
числе противоправные злоумышленные, диверсионные и другие
действия
Информационные системы становятся все более уязвимыми...
Вся
указанная совокупность характерных для информационных
процессов условий и факторов, создающих опасность жизненно
важным интересам личности, общества и государства
(выступающим в качестве собственников, владельцев или
пользователей информации) понимается как угрозы безопасности
информации.
Широкомасштабное
использование вычислительной техники и телекоммуникационных
систем в рамках территориально распределенной сети, переход
на этой основе к безбумажной технологии, увеличение объемов
обрабатываемой информации, расширение круга пользователей
приводят к качественно новым возможнос тям
несанкционированного доступа к ресурсам и данным
информационных систем, к их высокой уязвимости.
Управление
безопасностью электронных документов охватывает широкий круг
вопросов, в число которых входит: обеспечение целостности,
конфиденциальности и аутентичности информации, разграничение
прав пользователей по доступу к ресурсам автоматизированной
системы, защита автоматизированной системы и ее элементов от
несанкционированного доступа, обеспечение юридической
значимости электронных документов.
Прогресс в
области развития информационных технологий стимулировал
развитие средств обеспечения безопасности, что потребовало
пересмотра существующих подходов к проблемам создания систем
защиты информации.
В предлагаемой
книге автор пытается ответить на целый ряд вопросов,
связанных с обеспечением информационной безопасности, а
также стремится сформировать целостное представление о путях
создания защищенных информационных систем. Существующие
публикации на эту тему в основном ограничиваются
перечислением угроз и возможностей конкретных средств защиты
информации. В книге представлен полный спектр вопросов о
практическом создании защищенных информационных систем.
Построение таких
систем не ограничивается выбором тех или иных аппаратных и
программных средств защиты. Необходимо владеть определенными
теоретическими знаниями и практическими навыками. Для этого
необходимо, во-первых, понять, что представляет собой
защищенная система, какие к ней предъявляются требования,
рассмотреть существующий опыт создания подобных систем и
причины нарушения их безопасности и, во-вторых, определить,
какие функции защиты и каким образом должны быть
реализованы, и как они противодействуют угрозам и устраняют
причины нарушения безопасности. Разумеется, данная
публикация не претендует на окончательное разрешение всех
проблем информационной безопасности, но, как надеется ее
автор, прояснит ряд вопросов из этой области знаний и
позволит решить многие практические задачи.
В предлагаемых
материалах в обобщенном виде изложены причины нарушения
безопасности компьютер ных систем, приведен перечень моделей
безопасности, адекватных современному уровню развития
программных и аппаратных средств, а также рассмотрены методы
и средства внедрения механизмов защиты в существующие
системы с возможностью гибкого управления безопасностью в
зависимости от выдвигаемых требований, допустимого риска и
оптимального расхода ресурсов.
Нам сверху
видно все...
Как известно,
для того чтобы решить проблему надо быть выше нее и немного
в стороне.
Большой объем
имеющихся публикаций вряд ли может сформировать четкое
представление о том как же приступить к созданию комплексной
системы защиты информации для конкретных информационных
систем, с учетом присущих им особенностей и условий
функционирования.
Итак попробуем
взглянуть на проблему сверху и охватить все ее аспекты.
рис. 1. ОСНОВЫ
Известно, что
ОСНОВНОЙ или составными частями практически любой СИСТЕМЫ (в
том числе и системы защиты информации) являются:
Нормативно-правовая и научная база;
Структура и задачи органов;
Организационные меры и методы;
Программно-технические способы и средства.
Представим
ОСНОВЫ в виде куба, внутри которого и находятся все вопросы
защиты информации.
Далее,
руководствуясь принципом «разделяй и властвуй», выделим
основные НАПРАВЛЕНИЯ в общей проблеме обеспечения
безопасности информационных технологий (они представлены
ниже).
Напомним
их:
Защита объектов информационных систем;
Защита процессов, процедур и программ обработки
информации;
Защита каналов связи;
Подавление побочных электромагнитных излучений;
Управление системой защиты;
Но
поскольку каждое из этих направлений базируется на
перечисленных выше ОСНОВАХ, то грани куба составляют
ОСНОВЫ и НАПРАВЛЕНИЯ неразрывно связанные друг с
другом.
Но это
еще не все... Предложена МЕТОДИКА
(последовательность шагов) построения СЗИ (рисунок
4), которая в равной степени применима для всех
НАПРАВЛЕНИЙ и предполагает следующую последователь
ность действий:
Определение информации,
подлежащей защите;
Выявление полного множество
потенциально возможных угроз и каналов утечки
информации;
Проведение оценки уязвимости
и рисков информации при имеющемся множестве
угроз и каналов утечки;
Определение требований к
системе защиты;
Осуществление выбора средств
защиты информации и их характеристик;
Внедрение и организация
использования выбранных мер, способов и средств
защиты.
Осуществление контроля
целостности и управление системой защиты.
Указанная
последовательность действий осуществляется непрерывно по
замкнутому циклу, с проведени ем соответствующего анализа
состояния СЗИ и уточнением требований к ней после каждого
шага.
Непрерывный цикл создания СЗИ.(применение МЕТОДИКИ
для каждого из НАПРАВЛЕНИЙ с учетом общего
представления структуры СЗИ)
Будем
проще...
Рассмотрим еще
один способ представления процесса создания системы защиты
информации
Непрерывный
замкнутый цикл условно представлен в виде кольцевой железной
дороги. Четыре станции — это ОСНОВЫ системы защиты. На
переднем плане ключевой пункт — КОНТРОЛЬ, на котором
осуществляется анализ состояния СЗИ и уточнение требований к
ней.
Пять
железнодорожных составов подразумевают пять НАПРАВЛЕНИЙ
проблем обеспечения безопасности информаци онных технологий.
Вагоны представляют собой содержание МЕТОДИКИ построения СЗИ
для каждого из НАПРАВЛЕНИЙ.
Итак, в путь!
МЕТОДИКИ для
каждого из НАПРАВЛЕНИЙ последова тельно (вагон за вагоном —
шаг за шагом) проходят через станции — ОСНОВЫ и прибывают на
КОНТРОЛЬ для оценки эффективности проделанной работы. Высшее
руководство, находящееся на боевом посту в центре кольцевой
дороги, руководит процессом построения системы защиты.
После того как
составы пройдут соответствующего количество кругов, может
быть принято решение о завершении работ по созданию СЗИ.
Однако движение после этого не прекратит ся, поскольку
начнется процесс функционирования СЗИ, который потребует
выполнения тех же процессов, в той же последовательности,
только в более медленном ритме.
Исходя из безусловного права личности на собственную безопасность всем предоставляется
право свободного копирования, распространения
и издания этих материалов, как в полном объеме, так и по частям в любых комбинациях!