Понятие безопасности информационных систем

Глава 10. ЗАЩИТА ИНФОРМАЦИИ

Понятие безопасности информационных систем

Развитие информационных систем и технологий приво­дит к их уязвимо­сти. Этому способствуют такие фак­торы, как постоянно возрастающие объ­емы обрабатывае­мых дан­ных, расширение круга пользователей, имею­щих дос­туп к информационным ресурсам, недостаточ­ный уро­вень защиты аппа­ратных и программных средств компью­теров, а также коммуни­кационных систем и др. Учитывая эти факты, безопасность информации в процессе ее сбора, хранения, обра­ботки и пере­дачи приобретает исключительно важное значе­ние.

Под безопасностью информации принято понимать ее способность со­хра­нять неизменность свойств при внешних воздействиях. Сюда от­носятся:

· доступность информации - т.е. способность обеспечивать своевременный и бес­препятственный доступ к ней;

· целостность информации - способность существовать в неискаженном виде (включает физи­ческую целостность данных, логическую структуру и содер­жа­ние);

· конфиденциальность информации - т.е. способность системы сохранять ин­формацию втайне от тех, кто не имеет полномочий на доступ к ней.

Нарушение безопасности информации может нанести ущерб тому или иному субъ­екту информационных отношений.

Создание всеобщего информационного пространства, породила необ­хо­димость решения комплексной про­блемы за­щиты информа­ции. Напомним, что инфор­мация может являться предметом собствен­но­сти, может составлять государственную, служебную или коммер­ческую тайну и подлежит защите в соответ­ствии с требованиями правовых доку­мен­тов или тре­бова­ниями, уста­навливае­мыми собственником информации. В РФ в основу ор­ганиза­ции ра­боты с ин­формацией положен «Федеральный за­кон об информации, ин­фор­матизации и защите информа­ции» от 10 января 2003 г. № 15-ФЗ. Защитить информацию - это значит:

· обеспечить физическую целостность информации, т.е. не до­пустить искаже­ний или уничтожения элементов информации;

· не допустить подмены (модификации) элементов информа­ции при сохране­нии ее целостности;

· не допустить несанкционированного получения информа­ции лицами или про­цес­сами, не имеющими на это соответствую­щих полномочий;

· быть уверенным в том, что передаваемые вла­дельцем инфор­мации ре­сурсы бу­дут использоваться только в со­ответствии с обговоренными сто­ронами усло­виями.

Статистика свидетельствует, что основными причинами на­рушений ин­фор­ма­ционной безопасности являются: стихийные бедствия и аварии, сбои и отказы оборудования, последствия ошибок проектирования, ошибки экс­плуатации, преднамеренные действия нарушителей и злоумышленни­ков.

Современные компьютерные системы и сети являются весьма сложны­ми объ­ектами (подверженными влиянию чрезвычайно большого числа фак­торов), поэтому формализовать задачу описания единого и полного множе­ства угроз не представля­ется возможным. В этой связи применяют разные базовые признаки классификации угроз безопасности. Например.

1. По природе возникновения (объективные природные явления, не зави­сящие от человека, и субъективные действия, вызванные дея­тельно­стью человека).

2. По степени преднамеренности (ошибки персонала и преднамеренное действие, для получения несанкционированного доступа к ин­фор­мации).

3. По степени воздействия на компьютерные системы (пассивные уг­розы - сбор и хищение информации, активные угрозы - внедрение программ­ных или аппаратных закладок и вирусов для модификации информации или дезорга­низации работы).

4. По способу доступа к ресурсам КС (получение паролей и прав дос­тупа, обход средств защиты, использование недокументи­рованных возмож­ностей операцион­ной системы и др.).

5. По текущему месту расположения информации в компьютерной сис­теме (внешние запоминающие устройства, оперативная память, мо­ни­тор или иное ото­бражающее устройство и т.д.).

Процессы по нарушению надежности информации можно подраз­делить на случайные и злоумышленные (преднамерен­ные). В первом слу­чае их ис­точни­ками являются ошибочные действия людей, технические сбои и др., во втором случае - зло­умышленные. Проблема за­щиты информации в системах электрон­ной об­ра­ботки воз­никла прак­тически одновременно с их созда­нием. Особенно широк размах компьютерных преступле­ний в системах обра­ботки финансово-банковской ин­фор­мации. Надо признать, что, не­смотря на разра­ботку сложней­ших средств защиты, колоссальные финансовые за­траты, лю­бая компь­ютерная сис­тема защиты пока еще не является полно­стью на­деж­ной от ее взлома.

Причинами случайных воздействий при функционировании компьютер­ных систем могут быть:

· отказы и сбои аппаратуры (особенно серверов хранения информации и эле­ментов, в кото­рых осу­ществляется преобразование данных);

· помехи в каналах и на линиях связи (от воздействия внешней среды);

· аварийные ситуации;

· схемные и системотехнические ошибки и просчеты разра­ботчиков и произ­во­дите­лей ПК;

· алгоритмические и программные ошибки;

· ошибки человека при работе с ПК.

Злоумышленные или преднамеренные угрозы - результат ак­тивного воз­дей­ст­вия человека на объекты и процессы по самым различным причинам (матери­альный интерес, желание навредить, развлечение и др.). Лиц, кото­рые используют свои знания для несанкционированного дос­тупа к инфор­ма­цион­ным ресурсам, к получению конфиденциальной и сек­ретной информа­ции, на­зывают хакерами.

Заметим, что любая система защиты увеличивает вре­мя доступа к ин­формации, поэтому по­строение защищенных компьютерных систем не ста­вит целью надежно защититься от всех классов угроз. Уровень системы за­щиты - это компромисс ме­жду понесен­ными убытками от потери конфиден­циальности информации, с одной стороны, и убытками от усложнения, удо­рожания компьютерной системы и увели­чения вре­мени доступа к ресурсам от введения систем защиты, с другой стороны.

Методы защиты информации

Для обеспечения безопасности информации в личных компьютерах и осо­бенно в офисных системах и компьютерных сетях проводятся различные меро­прия­тия, объединяемые понятием «система защиты информации».

Система защиты информации - это совокупность организационных (адми­ни­стративных) и технологических мер, программно-технических средств, пра­во­вых и морально-этических норм, направленных на противо­действие угро­зам нарушителей с целью сведения до минимума возможного ущерба пользова­те­лям и вла­дельцам системы.

Организационно-административные средства защиты сводят­ся к рег­ла­мен­тации доступа к информационным и вычислитель­ным ресурсам, функ­цио­наль­ным процессам систем обработки дан­ных, к регламентации дея­тель­ности пер­сонала и др. Их цель - в наибольшей степени затруднить или ис­ключить воз­можность реализа­ции угроз безопасности.

Наиболее типичные организацион­но-административные средства:

· создание контрольно-пропускного режима на территории, где располага­ются средства обработки информации;

· мероприятия по подбору персонала, связанного с обработ­кой данных;

· хранение носителей информации, пред­ставляющих тайну, в сейфах, не дос­тупных для посторонних лиц;

· организация защиты от установки прослушивающей аппа­ратуры в помеще­ниях, связанных с обработкой информации;

· организация учета использования и уничтожения докумен­тов (носителей) с кон­фиденциальной информацией;

· разработка должностных инструкций и правил по работе с компьютер­ными сред­ствами и информационными массивами и др.

Технические средства защиты призваны создать некоторую физически замк­нутую среду вокруг объекта и элементов защиты. В этом случае преду­смат­рива­ются:

· физическая защита элементов информаци­онных систем (кодовые зам­ки, ох­ранная сигнализация и др.);

· ограничение элек­тро­магнитного излуче­ния (путем эк­раниро­вания помеще­ний);

· автономные ис­точники электропита­ния; дуб­лирование информа­ции.

Программные средства и методы защиты активнее и шире других при­ме­ня­ются для защиты информации в персональных компьютерах и ком­пьютер­ных сетях, реализуя такие функции за­щиты:

· разграничение и контроль дос­тупа к ресурсам (при этом права доступа определяются руководителем организации и прописыва­ются системным администратором, а процедура проверки прав доступа включает авто­ризацию и аутентификацию: автори­зация предпола­гает проверку уровня дос­тупа к объекту, а аутентификация - проверку под­линности пользова­теля);

· регист­рация и анализ протекающих процессов, собы­тий, поль­зова­те­лей;

· предотвращение возможных разруши­тельных воздействий на ре­сурсы.

Технологические средства защиты информации - это комплекс меро­прия­тий, органично встраиваемых в технологические про­цессы преобразова­ния данных. Среди них:

· создание архивных копий носителей;

· ручное или авто­ма­тическое сохра­нение обрабатываемых файлов во внеш­ней памяти компью­тера;

· регист­рация поль­зователей компьютерных средств в журна­лах;

· авто­матическая ре­гистрация дос­тупа пользователей к тем или иным ресур­сам;

· разработка спе­циальных инструк­ций по выполнению всех технологиче­ских процедур и др.

К правовым мерам и средствам защиты относятся действующие в стране за­коны, нормативные акты, рег­ламентирующие правила обращения с информацией и ответствен­ность за их нарушение; нормы поведе­ния и др.

По содержанию различают преступления экономиче­ские, против общест­венных интересов и против частных интересов.

По спо­собу совершения компьютерных преступлений различают:

· несанкционированный доступ и перехват информации;

· изменение компьютерных данных;

· компьютерное мошенничество;

· незаконное копирование программ и баз данных;

· компьютерный саботаж.

Основным методом правового обеспечения является уголов­ная и администра­тивная ответственность.