Защита информации. 8

Содержание

Введение

Проблема защиты информации уходит корнями в давние времена. Уже тогда люди начали разрабатывать  способы защиты информации. Например, в V—IV веках до нашей эры в Греции применялись шифрующие устройства. Такое устройство (по описанию древнегреческого историка Плутарха) состояло из двух палок  одинаковой толщины, которые назывались сциталами и находились у двух абонентов, желающих обмениваться секретными сообщениями. На сциталу по спирали наматывалась без зазоров узкая полоска папируса, и в таком состоянии наносились записи. Потом полоску папируса снимали и отправляли другому абоненту, который наматывал ее на свою сциталу и получал возможность прочесть сообщение. Элемент, обеспечивающий секретность в таком шифрующем устройстве - диаметр сциталы.

Но в то же время вместе с техническими методами защиты информации разрабатывались и методы ее обхода. Так древнегреческий философ  Аристотель предложил использовать длинный конус, на который наматывалась лента с зашифрованным сообщением. В каком-то месте начинали просматриваться  куски сообщения, что и позволяло  определить диаметр сциталы и, соответственно, расшифровать все сообщение.

Несомненно, что способы защиты информации со временем меняются, как  меняется наше общество и технологии. Появление компьютеров и их распространение  привело к тому, что большинство  людей и организаций стали  хранить информацию в электронном  виде. Следовательно, возникла потребность  в защите такой информации.

В настоящее время актуальность информационной защиты связана с  ростом возможностей вычислительной техники. Развитие глобальной сети Интернет и  сопутствующих технологий достигло такого высокого уровня, что сегодняшнюю  деятельность любого предприятия в  целом и каждого пользователя в отдельности, уже невозможно представить  без электронной почты, Web-рекламы, общения в режиме «он-лайн».

В современном обществе информация может быть не только помощником, но и оружием. Распространение компьютерных систем и объединение их в коммуникационные сети усиливает возможности электронного проникновения в них. Во всех странах  мира существует проблема компьютерной преступности, что вызывает необходимость  привлечения все большего внимания и сил для организации борьбы с данным видом преступлений. Особенно большой размах преступления получили в автоматизированных банковских системах и в электронной коммерции. По зарубежным данным, потери в банках в результате компьютерных преступлений ежегодно составляют многие миллиарды  долларов.

В связи с массовым внедрением компьютеров во все сферы деятельности человека объем информации, которая  хранится в электронном виде, вырос  в тысячи раз, а с появлением компьютерных сетей даже отсутствие физического  доступа к компьютеру не дает гарантии сохранности информационных ресурсов. Все больше появляется специализированных средств защиты информации, которые ориентированы на решение, как правило, только одной задачи обеспечения безопасности системы или в редких случаях, некоторого ограниченного набора задач. Так, организациям, чтобы оградить себя от "компьютерных" преступлений приходится реализовывать целый набор мер. Расширение применения современных информационных технологий делает возможным распространение различных злоупотреблений, связанных с использованием вычислительной техники.

Для уменьшения ущерба нужно  грамотно выбирать меры и средства обеспечения защиты информации от кражи, умышленного разрушения, несанкционированного доступа, порчи, чтения и копирования. Необходимо знание основных законодательных  положений в этой области, экономических, организационных и иных мер.

Защита информации: основные понятия и определения

Информация - сведения (сообщения, данные) независимо от формы их представления. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

В зависимости от порядка  ее предоставления или распространения  подразделяется на:

1) информацию, свободно распространяемую. К ней относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Такая информация может использоваться любыми лицами по их усмотрению, но при соблюдении установленных законом ограничений.  Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.

2) информацию, предоставляемую  по соглашению лиц, участвующих  в соответствующих отношениях;

3) информацию, которая в  соответствии с федеральными  законами подлежит предоставлению или распространению. Не может быть ограничен доступ к информации следующего характера:

• нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;
• информации о состоянии окружающей среды;
• информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
• информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
• иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

4) информацию, распространение  которой в Российской Федерации  ограничивается или запрещается.

Информационная  система (ИС) - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Под информационными технологиями (ИТ) понимают процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

ИС включают в себя:

• государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
• муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
• иные информационные системы.

Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. На территории Российской Федерации использование информационно-телекоммуникационных сетей осуществляется с соблюдением требований законодательства Российской Федерации в области связи и иных нормативных правовых актов Российской Федерации. Регулирование использования информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, осуществляется в Российской Федерации с учетом общепринятой международной практики деятельности саморегулируемых организаций в этой области. Порядок использования иных информационно-телекоммуникационных сетей определяется владельцами таких сетей с учетом требований, установленных настоящим Федеральным законом.

Так же стоит отметить еще  ряд понятий и определений, прямым образом относящихся к защите информации:

Обладатель  информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

Доступ  к информации - возможность получения информации и ее использования;

Конфиденциальность  информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Предоставление  информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.

Распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.

Электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети.

Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.

Электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.

Оператор  информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2. соблюдение конфиденциальности информации ограниченного доступа;
3. реализацию права на доступ к информации.

Важным для понимания  дальнейших определений являются такие  понятия, как объект, субъект, доступ. Объект - пассивный компонент системы, хранящий, принимающий или передающий информацию. Субъект - активный компонент  системы, обычно представленный в виде пользователя, процесса или устройства, которому может потребоваться обращение  к объекту или системе. Доступ - взаимодействие между субъектом  и объектом, обеспечивающее передачу информации между ними, или изменение  состояния системы. Доступ к информации - обеспечение субъекту возможности  ознакомления с информацией и  ее обработки, в частности, копирования, модификации или уничтожения  информации.

Идентификация - присвоение субъектам и объектам доступа  уникального идентификатора в виде номера, шифра, кода и т.п. с целью  получения доступа к информации.

Аутентификация - проверка подлинности  субъекта по предъявленному им идентификатору для принятия решения о предоставлении ему доступа к ресурсам системы.

Информационными технологиями (ИТ) - это процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Защищенная информационная технология - информационная технология, которая содержит все необходимые механизмы для обеспечения требуемого уровня защиты информации.

Риск - это вероятностная  оценка величины возможного ущерба, который  может понести владелец информационного  ресурса в результате успешно  проведенной атаки. Значение риска  тем выше, чем более уязвимой является существующая система безопасности и чем выше вероятность реализации атаки.

Угроза - любое действие, направленное на нарушение конфиденциальности, целостности и/или доступности  информации, а также на нелегальное  использование других ресурсов ИС.

Атака - реализованная угроза.

По видам угрозы безопасности информации делятся на естественные и искусственные.

Естественные:

• Стихийные бедствия, природные явления (пожары, землетрясения, наводнения, ураганы, смерчи, тайфуны, циклоны и т.п.);
• Самопроизвольное разрушение элементов, из которых состоит средство электронно-вычислительной техники, электросвязи и защиты информации.

Искусственные (деятельность человека):

• Умышленные (правонарушения):

1. Пассивный (бесконтактный) несанкционированный доступ к информации:

1. визуальное наблюдение за объектами информатизации (невооруженным глазом; с помощью оптических и оптико-электронных приборов и устройств);
2. перехват речевой информации (с помощью остро направленных микрофонов, электронных стетоскопов, лазерного луча, устройств дистанционного съема речевой информации с проводных линий электросвязи, радио микрофонных закладок, телефонных закладок, микрофонных закладок, мини магнитофонов и диктофонов);
3. электромагнитный перехват информации (в радиосетях связи, побочных электромагнитных излучений, побочных электромагнитных наводок, паразитных модуляций ВЧ сигналов, паразитных информативных токов и напряжений во вспомогательных сетях технических средств передачи информации.

2. Активный (контактный) несанкционированный доступ к информации:

1. с использованием физического доступа путем непосредственного воздействия на материальные носители, иные средства обработки и защиты информации;
2. с использованием штатных и специально разработанных (приспособленных, запрограммированных) средств для негласного получения, уничтожения, модификации и блокирования информации.

• Неумышленные (ошибки деятельности человека – непреодолимые факторы).

1. Ошибки при создании (изготовлении) средств электронно-вычислительной техники, электросвязи и защиты информации (ошибки проектирования, кодирования информации, изготовления элементов технических средств и систем);
2. Ошибки, возникающие в процессе работы (эксплуатации) средств электронно-вычислительной техники, электросвязи и защиты информации (неадекватность концепции обеспечения безопасности; ошибки управления системой защиты; ошибки персонала; сбои и отказы оборудования и программного обеспечения; ошибки при производстве пуско-наладочных и ремонтных работ.

Уровни информационной безопасности

В деле обеспечения информационной безопасности успех может принести только комплексный  подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

• законодательного;
• административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
• процедурного (меры безопасности, ориентированные на людей);
• программно-технического.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому что так поступать не принято.

Различают на законодательном уровне две группы мер:

• меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности);
• направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

На  практике обе группы мер важны в равной степени, но хотелось бы выделить аспект осознанного соблюдения норм и правил информационной безопасности. Это важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.

Самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.

В России ведется огромная работа в данном направлении. Вот небольшой перечень ныне действующих законов, регулирующих вопросы в области защиты информации:

Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об  информации, информационных технологиях и о защите информации»;

Закон РФ № 5485–1 от 21.07.1993 «О государственной тайне»;

Федеральный закон ФЗ № 126-ФЗ от 18.06.2003 «О связи»;

Федеральный закон РФ № 98-ФЗ от 29.07.2004 «О коммерческой тайне»;

Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;

Федеральный закон Российской Федерации от 6 марта 2006 г. N 35-ФЗ «О противодействии терроризму».

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.

Главная цель мер административного уровня - сформировать программу работ в  области информационной безопасности и обеспечить ее выполнение, выделяя  необходимые ресурсы и контролируя  состояние дел.

Основой программы является политика безопасности, отражающая подход организации к  защите своих информационных активов. Руководство каждой организации  должно осознать необходимость поддержания  режима безопасности и выделения  на эти цели значительных ресурсов.

Политика  безопасности строится на основе анализа  рисков, которые признаются реальными  для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Под политикой безопасности мы будем  понимать совокупность документированных  решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с  ней ресурсов. Данное понятие гораздо шире простого набора правил разграничения доступа (именно это означал термин "security policy"). С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации.

К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

• решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
• формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
• обеспечение базы для соблюдения законов и правил;
• формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели организации  в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание  критически важных баз данных, на первом плане может стоять уменьшение числа  потерь, повреждений или искажений  данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

На  верхний уровень выносится управление защитными ресурсами и координация  использования этих ресурсов, выделение  специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими  или контролирующими режим безопасности. В политике должны быть определены обязанности должностных лиц  по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика  верхнего уровня имеет дело с тремя  аспектами законопослушности и  исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку  программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно  выработать систему поощрений и  наказаний.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов - отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Политика  среднего уровня должна для каждого  аспекта освещать следующие темы:

Описание  аспекта. Например, если рассмотреть  применение пользователями неофициального программного обеспечения, последнее  можно определить как ПО, которое  не было одобрено и/или закуплено  на уровне организации.

Область применения. Следует определить, где, когда, как, по отношению к кому и  чему применяется данная политика безопасности. Например, касается ли политика, связанная  с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними  компьютерами и вынужденных переносить информацию на производственные машины?

Позиция организации по данному аспекту. Продолжая пример с неофициальным  программным обеспечением, можно  представить себе позиции полного  запрета, выработки процедуры приемки  подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться.

Роли  и обязанности. В "политический" документ необходимо включить информацию о должностных лицах, ответственных  за реализацию политики безопасности. Например, если для использования  неофициального программного обеспечения  сотрудникам требуется разрешение руководства, должно быть известно, у  кого и как его можно получить. Если неофициальное программное  обеспечение использовать нельзя, следует  знать, кто следит за выполнением  данного правила.

Законопослушность. Политика должна содержать общее  описание запрещенных действий и  наказаний за них.

Точки контакта. Должно быть известно, куда следует  обращаться за разъяснениями, помощью  и дополнительной информацией. Обычно "точкой контакта" служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.

Политика безопасности нижнего  уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

• кто имеет право доступа к объектам, поддерживаемым сервисом?
• при каких условиях можно читать и модифицировать данные?
• как организован удаленный доступ к сервису?

При формулировке целей политики нижнего  уровня можно исходить из соображений  целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе  расчета заработной платы, можно  поставить цель, чтобы только сотрудникам  отдела кадров и бухгалтерии позволялось  вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты  сервиса и действия с ними.

Из  целей выводятся правила безопасности, описывающие, кто, что и при каких  условиях может делать. Чем подробнее  правила, чем более формально  они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству предстоит найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.

Процедурный уровень информационной безопасности

Данный  раздел посвящен рассмотрению мер безопасности, которые ориентированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности, и они же оказываются главной угрозой, поэтому "человеческий фактор" заслуживает особого внимания.