ЗАЩИТА ИНФОРМАЦИИ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ 1. Общие положения по защите

информационных технологий в управлении на безбумажную основу значительно обострил проблему

обеспечения информационной безопасности.
Под информационной безопасностью понимается защищенность информации на любых носителях от случайных и преднамеренных воздействий естественного или искусственного свойства, направленных на уничтожение, видоизменение тех или иных данных, изменение степени доступности ценных сведений.
Субъекты производственно-хозяйственных отношений вступают друг с другом в информационные отношения (отношения по поводу получения, хранения, обработки, распределения и использования информации) для выполнения своих производственно-хозяйственных и экономических задач. Поэтому обеспечение информационной безопасности - это гарантия удовлетворения законных прав и интересов субъектов информационных отношений.

передачи защищаемой информации, при которых возможности несанкционированного доступа к ней

сводились бы к минимуму.
Принуждение - метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение - метод защиты, который побуждает пользователя и персонал системы не нарушать установленный порядок за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).
Рассмотренные методы обеспечения информационной безопасности реализуются на практике за счет применения различных средств защиты.

Вся совокупность технических средств делится на аппаратные и физические. Под

аппаратными средствами принято понимать технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Например, система опознания и разграничения доступа к информации (посредством паролей, записи кодов и другой информации на различные карточки). Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размешена аппаратура, решетки на окнах, источники бесперебойного питания, электромеханическое оборудование охранной сигнализации.
Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функции защиты информации. В такую группу средств входят:
 механизм шифрования (криптографии);

управления маршрутизацией;
механизмы арбитража,
антивирусные программы,
программы архивации,
защита при вводе и выводе информации

и т.д.
Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения зашиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы, монтаж и наладка оборудования, использование, эксплуатация).
Морально-этические средства защиты реализуются в виде невозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе

целостности) информации;
защиты от навязывания ложной (недостоверной, искаженной) информации, т. е.

от дезинформации;
защиты части информации от незаконного ее тиражирования (защита авторских прав, прав собственника информации и т. п.);
разграничения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;
контроля и управления процессами обработки и передачи информации.

(конечно, в различной степени и зависимости от величины ущерба, который

им может быть нанесен).
Для удовлетворения законных прав и интересов субъектов и обеспечения их информационной безопасности необходимо постоянно поддерживать доступность, целостность и конфиденциальность информации.
Цель защиты информации - противодействие угрозам безопасности информации.

к разрушению, искажению или несанкционированному использованию информационных ресурсов (т. е.

к утечке, модификации и утрате), включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Поэтому для обеспечения безопасности информации необходима защита всех сопутствующих компонентов информационных отношений (т.е. компонентов информационных технологий и автоматизированных систем, используемых субъектами информационных отношений): оборудования (технических средств); программ (программных средств); данных (информации); персонала.

утечки;
угроза модификации;
угроза утраты;
по нарушению свойств информации:
угроза нарушения конфиденциальности обрабатываемой информации;
угроза

нарушения целостности обрабатываемой информации;
угроза нарушения работоспособности системы (отказ в обслуживании), т. е. угроза доступности;
по природе возникновения:
естественные;
искусственные.

и ее элементы объективных физических процессов или стихийных природных явлений.

Естественные угрозы - это угрозы, вызванные воздействиями на информационную систему и ее элементы объективных физических процессов или стихийных природных явлений.
Искусственные угрозы - это угрозы информационной системе, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить: а) непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании, ошибками в программном обеспечении, ошибками в действиях персонала и т. п.; б) преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников). Источники угроз по отношению к информационной системе могут быть внешними или внутренними (компоненты самой информационной системы, ее аппаратура, программы, персонал).
Искусственные угрозы - это угрозы информационной системе, вызванные деятельностью человека.
Среди них, исходя из мотивации действий, можно выделить:
а) непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании, ошибками в программном обеспечении, ошибками в действиях персонала и т. п.; б) преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).
Источники угроз по отношению к информационной системе могут быть внешними или внутренними (компоненты самой информационной системы, ее аппаратура, программы, персонал).

наиболее распространенные каналы утечки и потери информации:
во-первых, ошибки пользователей

и администраторов систем;
во-вторых, хищения физических носителей информации, «бумажных» документов,
а также утечка через персонал;
в третьих, стихийные бедствия, пожары, аварии систем отопления, сбои электропитания;
в-четвертых, угроза похищения информации через общедоступные сети и Интернет.

и ЭВМ;
средствам отображения информации;
носителям информации;
информации при ремонте и профилактике аппаратуры;
внутреннему

монтажу аппаратуры;
линиям связи;
информации за счет побочного электромагнитного излучения информации;
информации за счет наводок на цепях электропитания и заземления;
информации за счет наводок на цепях вспомогательной и посторонней аппаратуры;
технологическим пультам;
корзине с отходами носителей информации.

в организациях и на соответствующих объектах строится система защиты.
Система защиты

- это совокупность (комплекс) специальных мер правового (законодательного) и административного характера, организационных мероприятий, физических и технических (программно-аппаратных) средств защиты, а также специального персонала, предназначенных для обеспечения безопасности информации, информационных технологий и автоматизированной системы в целом.

стандартов информационной безопасности - создать основу для взаимодействия между производителями,

потребителями и экспертами по информационным технологиям.
Каждая из этих групп имеет свои интересы и взгляды на проблему информационной безопасности.
Наиболее значимыми стандартами информационной безопасности являются:

Критерии безопасности компьютерных систем Министерства обороны США («Оранжевая книга»),
Руководящие документы Гостехкомиссии России,
Европейские критерии безопасности информационных технологии,
Федеральные критерии безопасности информационных технологий США,
Канадские критерии безопасности компьютерных систем,
Единые критерии безопасности информационных технологий.

системы (присвоение каждому объекту персонального идентификатора);
опознание (установление подлинности) объекта или

субъекта по предъявленному им идентификатору;
проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
разрешение и создание условий работы в пределах установленного регламента;
регистрацию (протоколирование) обращений к защищаемым ресурсам;
регистрацию (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

которая может приписывать себя к другим программам (т.е. "заражать" их),

а также выполнять, различные нежелательные действия на компьютере (например, портить файлы или таблицы размещения файлов на диске, «засорять» оперативную память и т. д.
Основным средством защиты от вирусов служит архивирование. Другие методы заменить его не могут, хотя и повышают общий уровень защиты. Архивирование необходимо делать ежедневно. Архивирование заключается в создании копий используемых файлов и систематическом обновлении изменяемых файлов. Это дает возможность не только экономить место на специальных архивных дисках, но и объединять группы совместно используемых файлов в один архивный файл, в результате чего гораздо легче разбираться в общем архиве файлов. Наиболее уязвимыми считаются таблицы размещения файлов, главного каталога и бутсектор. Файлы рекомендуется периодически копировать на специальную дискету. Их резервирование важно не только для защиты от вирусов, но и для страховки на случаи аварийных, в том числе собственных ошибок.

взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов,

существенно значимых для понимания и решения проблемы обеспечения безопасности информационной системы. Система защиты должна охватывать не только электронные информационные системы, но и весь управленческий комплекс организации в единстве ее реальных функциональных, структурных и традиционных документационных процессов. При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и несанкционированного доступа к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Соотношение перечисленных элементов и их содержание обеспечивают индивидуальность системы защиты информации организации и гарантируют ее неповторимость и трудность преодоления Их комплексное использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существующие каналы реализации угроз и не содержащей слабых мест на стыке отдельных ее компонентов. Защита должна строиться эшелонированно. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одной из наиболее укрепленных линий обороны призваны быть средства защиты, реализованные на уровне операционной системы в силу того, что операционная система - это как раз та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж обороны.
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудовых затрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций, например ввод нескольких паролей и имен и т. д.
В некрупных организациях с небольшим объемом информации, подлежащей защите, наиболее целесообразны и эффективны простейшие методы защиты. Например: назначение и обучение служащего, введение обязательств для сотрудников о неразглашении ценных сведений, контроль за посетителями, проведение простейших действий по защите ЭВМ. Как правило, применение простейших методов дает значительный эффект.
В крупных организациях со значительными объемами информации, подлежащей защите, формируются комплексные системы защиты. Однако эти систем не должны создавать для сотрудника серьезные неудобства в работе.
 

совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный

процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла информационной системы начиная с ранних стадий проектирования, а не только на этапе ее эксплуатации. Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и в конечном счете создать более эффективные (как по затратам ресурсов, так и по устойчивости) защищенные системы. Большинству физических и технических средств защиты для эффективного выполнения их функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т. п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.
Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом (разумно достаточном) уровне безопасности.

средств защиты необходимо осуществлять на работающую систему, не нарушая процесса

ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости избавит владельцев информационной системы от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Суть принципа открытости алгоритмов и механизмов защиты состоит и том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.

совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный

процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла информационной системы начиная с ранних стадий проектирования, а не только на этапе ее эксплуатации. Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и в конечном счете создать более эффективные (как по затратам ресурсов, так и по устойчивости) защищенные системы. Большинству физических и технических средств защиты для эффективного выполнения их функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т. п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.
Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом (разумно достаточном) уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям.

принятые меры и установленные средства защиты, особенно в начальный период

их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровней защищенности средства зашиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости избавит владельцев информационной системы от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Суть принципа открытости алгоритмов и механизмов защиты состоит и том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.