Инструкции 

Принцип обеспечения безопасности информационных систем. Основные принципы к обеспечению информационной безопасности. Наследование в объектно-ориентированном программировании

Организация информационной безопасности предполагает разработку определённых принципов её обеспечения. Одним из основных является принцип баланса интересов личности, общества и государства . Личность заинтересована в конфиденциальности информации об интимной жизни, доходах, социально значимых ошибках и т.д., а общество заинтересовано в получении сведений об антисоциальных проявлениях, коррупции, преступных доходах и т.д.

Принцип законности и правой обеспеченности . Рост значимости ИБ явно опережает развитие соответствующей сферы права, чем умело пользуются и политики, и преступники. Средства массовой информации (СМИ) не несут практически никакой ответственности за ложную информацию, направленную на массового потребителя этой информации (читателя, телезрителя).

Принцип интеграции с международными системами безопасности информации . Глобализация жизни на планете требует развития международных коммуникаций и их согласованности в обеспечении безопасности передачи информации.

Принцип экономической эффективности . Этот принцип говорит о том, что результаты от мер ИБ должны превышать совокупные затраты на них. Если этот принцип не соблюдается, то меры по обеспечению секретности информации не только не окупаются, но даже вредят прогрессу.

Принцип мобильности системы ИБ . Система ИБ должна не допускать неоправданных режимных ограничений, т.к. одновременно с этим государство утрачивает возможность защищать главное богатство своей страны - способность создавать и генерировать новые знания.

Принцип презумпции несекретности информации означает, что строгому нормированию подлежит конфиденциальность, а не гласность.

При разработке и проведении в жизнь политики информационной безопасности в какой-либо организации целесообразно руководствоваться следующими принципами:

Принцип невозможности миновать защитные средства говорит сам за себя и не требует дополнительных пояснений.

Принцип усиления самого слабого звена . Надежность любой обороны определяется самым слабым звеном. Злоумышленник не будет бороться против силы, он предпочтет легкую победу над слабостью. Часто самым слабым звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения ИБ приобретает нетехнический характер.

Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ.

Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей. Назначение этого принципа - уменьшить ущерб от случайных или умышленных некорректных действий пользователей и администраторов.

Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, чтобы один человек не мог нарушить критически важный для организации процесс или создать брешь в защите по заказу злоумышленников.

Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией - управление доступом и, как последний рубеж, протоколирование и аудит. Эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий.

Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками (например, умением преодолевать высокую ограду и знанием слабостей нескольких операционных систем).

Принцип простоты и управляемости информационной системы . Залогом информационной безопасности являются не сложность и скрытность, а, напротив, простота и апробированность. Только в простой и управляемой системе можно проверить согласованность конфигурации различных компонентов и осуществить централизованное администрирование.

Принцип обеспечения всеобщей поддержки мер безопасности носит нетехнический характер. Если пользователи и/или системные администраторы считают информационную безопасность чем-то излишним или даже враждебным, режим безопасности сформировать заведомо не удастся. Следует с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое.

Основные принципы информационной безопасности

Информатика, кибернетика и программирование

Основные принципы информационной безопасности Под безопасностью автоматизированной информационной системы организации (учреждения) понимается ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс функционирования, а та...


А также другие работы, которые могут Вас заинтересовать
79926. Ток-шоу «Твоє життя – твій вибір» 70 KB
Ведуча Вітаю всіх присутніх і зацікавлених в проблемі що обговорюватиметься сьогодні. В зеленому секторі їхні опоненти які вважають що алкоголь тютюн і наркотики неприємлимі в будьякій кількості за будьяких обставин ведуча представляє учасників та проблеми над якими вони працювали.
79927. Тренинг личностного роста «Я – реальный» и «Я - идеальный» 56 KB
Цель. Помочь участникам тренинга лучше узнать себя, осознать важность позитивного принятия своего «Я», свои сильные стороны, способствовать развитию чувства собственного достоинства, умений и навыков делать самоанализ, преодолевать психологические барьеры, мешающие полноценному самовыражению.
79928. Славу человеку создает труд 44 KB
Дом не построить без топора. Стену не покрасить без кисти. Дорогу в заснеженной тайге не проложить без могучего бульдозера. И всё-таки не одно дело не обходиться без умелых и крепких рабочих рук. Игла лишь тогда заскользит по шитью, когда она в руках мастерицы.
79929. Комбіновані роботи. Конструювання найпростіших виробів, іграшок за допомогою засвоєних раніше технологій аплікації. Практична робота: виготовлення аплікації «Великодній кошик» 37.5 KB
Мета. Розповісти про звичаї та обряди святкування Великодня, навчити виготовляти аплікацію з паперу на картоні, гармонійно підбирати кольори, розвивати уяву, фантазію, виховувати старанність, акуратність, любов і повагу до праці, до народних традицій.
79930. Робота з природним матеріалом. Аплікація із засушеного листя 34 KB
Мета: навчити милуватися красою довкілля, вміти образно уявляти листочок; розвивати художній смак, мислення, пробуджувати пізнавальні інтереси, сприяти розширенню кругозору дітей; виховувати почуття відповідальності, любов до природи.
79931. ОБЩИЕ ПОЛОЖЕНИЯ, СИСТЕМА И ВИДЫ ОБЯЗАТЕЛЬСТВ 85 KB
Обязательства представляют собой типичные относительные правоотношения. Поскольку обязательства оформляют процесс товарообмена они относятся к группе имущественных отношений неимущественного характера которые не могут обретать форму обязательств. Например невозможно существование обязательства по защите чести и достоинства гражданина или выдаче патента. Участники обязательства именуются кредитором или верителем crego верю и должником.
79932. Договор поставки и контрактации, поставка для государственных нужд 88.5 KB
Договор поставки и контрактации поставка для государственных нужд Действующим законодательством договор поставки отнесен к разновидностям куплипродажи и этот факт отдельные исследователи называют необоснованным поскольку единственное что объединяет поставку и куплюпродажу это их правовая цель т. Разберемся в сущности и особенностях договора поставки. В соответствии с действующим законодательством договор поставки гражданскоправовой договор по которому поставщик т. Ключевой особенностью договора поставки выступает тот факт...
79933. Торговые договоры 73.5 KB
Торговые договоры. Договор поручения По договору поручения поверенный обязуется совершать от имени и за счет доверителя определенные юридические действия ст. Помимо юридических действий поверенный совершает и фактические действия но они носят сопутствующий не основной характер поэтому не изменяют квалификацию договора. Права и обязанности поверенного определяются договором а также доверенностью которую доверитель обязан выдать поверенному ст.
79934. Внешнеторговая деятельность. Регулирование внешнеторговых отношений 60 KB
Под ней понимается предпринимательская деятельность в области международного обмена товарами работами услугами информацией результатами интеллектуальной деятельности. Существенные условия контракта: наименование товара его обозначение; количество товара или порядок его определения...

Опыт противодействия угрозам безопасности и построения систем управления информационными рисками, использование системного подхода к анализу защищенных информационных систем позволил сформулировать основные научно-практические принципы обеспечения информационной безопасности.

  1. Обеспечение информационнойбезопасностивыполняетсяв соответствии с политикой управления информационными рисками, разработка и реализация которой осуществляется под непосредственным руководством первых лиц предприятия, с привлечением менеджмента соответствующих служб и отделов.
  2. Архитектура системы управления информационными рисками (СУИР) обеспечивает оптимальный (рациональный) баланс затрат на управление информационными рисками и общего ущерба от информационных рисков.
  3. Система управления информационными рисками является централизованной и реализует единую политику управления.
  4. Безопасность информации достигается за счет комплексного использования нормативных, экономических и организационных мер, технических, программных и криптографических средств.
  5. Система управления должна быть многоуровневой (многорубежной) и равнозащищенной во всех звеньях.
  6. Непрерывность функционирования на всех жизненных циклах системы.
  7. Разграничение и ограничение доступа персонала к информации.
  8. Способность системы к развитию и адаптации к изменению условий функционирования.
  9. Наличие системы непрерывного мониторинга за выполнением всем персоналом установленных правил работы в информационной системе.
  10. Мониторинги аудит эффективности системы и своевременная ее модернизация.

Политика предприятия должна соответствовать требованиям российского законодательства. Политика управления информационными рисками отражается в официально принимаемой программе управления информационными рисками предприятия . Для государственных организаций безопасность информации обеспечивается в соответствии с требованиями национальных стандартов и других руководящих документов государственных организаций – регуляторов сферы информационной безопасности государства. На государственном уровне политика в области информационной безопасности изложена в "Доктрине информационной безопасности Российской Федерации", утвержденной Указом Президента Российской Федерации в 2000 году.

Второй принцип определяет сущность экономических методов управления информационными рисками, которая заключается в необходимости учета соотношения выделяемых денежных средств на обеспечение безопасности информации и ожидаемым общим ущербом от нарушения безопасности информации. Решение, близкое к оптимальному, получается в случае равенства затрат на управление информационными рисками величине соответствующего общего ущерба.

Система управления информационными рисками предприятия должна быть иерархической централизованной для обеспечения единой политики управления во всех подразделениях (в том числе и территориально разнесенных).

Не существует одного метода или средства, которые могли бы обеспечить 100% защиту от угроз безопасности информации. Для повышения эффективности системы необходимо комплексно использовать комбинации методов и средств защиты различной природы и принципов действия. При этом следует иметь ввиду, что основой для создания системы защиты является нормативная правовая база, а все средства защиты будут эффективны, если в системе налажено согласованное выполнение организационных мер, алгоритмов и действий всеми сотрудниками.

Высокая защищенность информационной системы достижима только при использовании многоуровневой системы защиты от угроз. В таких системах злоумышленнику потребуется преодолеть несколько барьеров на пути к информации.

Важно при построении СУИР исключить наличие слабых звеньев в системе защиты. Злоумышленник постарается найти наименее защищенный элемент системы защиты для выполнения своего замысла. Поэтому надежность всей системы защиты определяется надежностью самого слабого элемента. Это справедливо и для случайных угроз. Прорыв водозащитной дамбы, пробой электроизоляционных материалов, воспламенение горючих материалов имеют место в наименее защищенных местах.

В период эксплуатации информационной системы, независимо от режима работы и временных рамок, она должна быть соответствующим образом защищена от возможных угроз безопасности информации. Непрерывность защиты распространяется также на все этапы работы с информацией – ввод, хранение, обработка, выдача, передача.

Одним из основных принципов обеспечения информационной безопасности является ограничение и разграничение доступа персонала к важной информации. Каждому сотруднику должны делегироваться минимально возможные права по доступу к ресурсам системы в строгом соответствии с его функциональными обязанностями.

Принцип развития и адаптивности СУИР предусматривает возможность модернизации системы, а также способность системыа автоматическом или автоматизированном режиме приспосабливатьсяк изменяющимся условиям функционирования (появлению новых угроз, изменению режимов работы, расширению функциональности системы и т. д.).

Важно, чтобы все сотрудники знали, что их действия в информационной системе могут быть в любой момент времени проконтролированы, а часть наиболее ответственных действий и событий задокументированы. Наиболее ответственные операции должны выполняться под непосредственным контролем соответствующих должностных лиц или комиссий. Система мониторинга работы системы позволяет эффективно расследовать инциденты в информационной системе.

Руководство предприятием обязано организовать мониторинг и периодический аудит эффективности функционирования СУИР и, при необходимости, своевременно обеспечить модернизацию системы.

К основным понятиям в области обеспечения информационной безопасности относятся понятия «информация», «информационная сфера» и «информационная безопасность».

Приведем два подхода к определению понятия «информация».

Первый подход сводится к следующему. В философской литературе «информация» раскрывается как «одно из наиболее общих понятий науки, обозначающее некоторые сведения, совокупность каких-либо данных, знаний и т.п.» . При этом отмечается, что «само понятие информация» обычно предполагает наличие по крайней мере трех объектов: источник информации, потребитель информации и передающая среда.

Понятие «информация» включает два основных элемента: сведения и сообщения.

Сведения выполняют несколько основных функций .

1. Гносеологическая (познание окружающего мира), включающая формирование представлений о структуре окружающей среды, накопление знаний о закономерностях изменения объектов среды и протекающих в ней процессов, оценку состояния этих процессов.

2. Коммуникативная (социальная коммуникация), включающая формирование представлений о способах удовлетворения базовых и вторичных потребностей, формирование представлений о правилах поведения в обществе, взаимодействия с другими людьми, о нравственных ценностях, формирование личностных шкал ценности материальных и духовных благ, которые могут быть использованы для удовлетворения его потребностей, а также допустимы использования для овладения ими известных средств и т.д.

3. Прагматическая (удовлетворение потребностей), включающее целеполагание, т.е. формирование, оценку и выбор целей, достижение которых способствует удовлетворению базовых и вторичных потребностей человека, и целедостижение как управление своей деятельностью по достижению выбранных целей.

Все множество накопленных человеком сведений может быть представлено в виде некоторой «базы знаний», в которой располагаются образы, возникающие в результате осознания полученных сообщений, ощущения, вызванные этими образами, эмоциональные и прагматические оценки этих образов. Между «объектами» «базы» могут быть установлены определенные ассоциативные отношения. Совокупность сохраняющихся у человека образов, ощущений, оценок с установившимися ассоциативными отношениями между ними образует знания. Данная «база» составляет основное содержание информационной модели человека.

Мышление может быть представлено в виде процесса формирования на основе имеющихся у человека сведений и знаний новых ассоциативных связей между объектами, расположенными в «базе».

Объем информации, имеющейся у человека в форме сведений может быть измерен количеством накопленных им ощущений, образов, оценок и ассоциативных отношений между ними. Чем больше этих ощущений, образов и оценок, тем большим объемом информации располагает человек. Соответственно количество информации, поступающей к человеку посредством сообщения, может быть измерено количеством новых объектов «базы» (ощущений, образов, оценок, отношений между элементами «базы»), проявляющихся в результате осознания сообщения.

Информация, поступающая к человеку в форме сведений, обладает рядом свойств:

1. Идеальность – существование только в сознании человека и вследствие этого невозможностью восприятия органами чувств.

2. Субъективность – зависимость количества и ценности сведений от информационной модели субъекта, получающего сведения.

3. Информационная неуничтожаемость – невозможность уничтожения сведений другими сведениями, полученными человеком.

4. Динамичность – возможность изменения ценности имеющихся сведений и знаний под воздействием времени, других поступающих сведений.

5. Накапливаемость – возможность практически неограниченного накопления сведений в информационной модели человека.

Способность получать, накапливать и использовать для обеспечения жизнедеятельности информацию в форме сведений является свойством всех живых объектов, однако объем и содержание выполняемых с их использованием функций у различных классов этих объектов существенно отличаются. Так, можно предположить, что функцию целеполагания выполняет человек.

Понятие «сообщение» часто определяется как «кодированный эквивалент события, зафиксированный источником информации и выраженный с помощью последовательности условных физических символов (алфавита), образующих некоторую упорядоченность совокупность».

Информация в форме сообщения появляется, как реализация способности человека описывать сведения на некотором языке, представляющим собой совокупность лексики и грамматики.

Человек, формируя сообщение, выделяет часть своей информационной модели, которую хочет передать, устанавливает отношения между ее элементами и известными ему понятиями. С помощью языка в некотором алфавите он осуществляет кодирование понятий, получая в результате систематизированный набор знаков, который может быть передан другим людям, т.е. происходит объективизация содержательной стороны информации и соответствующие сведения как бы становятся доступны для восприятия органами чувств.

Воспринимая сообщение, человек устанавливает отношения между составляющим его набором букв и знаков и известными ему понятиями, а затем – образами, ощущениями, оценками, ассоциативными отношениями, т.е. преобразовывает представительную форму информации в ее содержательную форму.

Исходя из этого, сообщение может быть представлено как совокупность набора передаваемых сведений и порядка (алгоритмов) их кодирования в набор знаков сообщения и декодирования в сведения. Без алгоритма кодирования сообщение превращается просто в набор знаков.

Человек как источник информации может обмениваться с технической системой сообщениями только в том случае, если в ней заложен определенный алгоритм декодирования передаваемого набора знаков, их последующей обработки, а также алгоритм кодирования для передачи человеку-потребителю ответного сообщения.

Преобразование информации из сведений в сообщения и из сообщений в сведения составляет существо общего закона обращения информации.

Информация в форме сообщения обладает рядом свойств, к числу которых следует отнести:

1. Материальность – способность воздействовать на органы чувств.

2. Измеримость – возможность количественной оценки параметров сообщения (количество знаков, составляющих сообщение).

3. Сложность – наличие набора знаков и алгоритмов их кодирования и декодирования.

4. Проблемная ориентированность – содержание сведений, относящихся к одной из задач человеческой деятельности.

Информация в форме сообщений наиболее часто исследуется с технической, семантической и прагматической точек зрения.

С технической точки зрения сообщения представляют интерес как объект передачи данных по каналам связи. При этом изучаются вопросы надежности, устойчивости, оперативности, дальности, помехозащищенности передачи сообщений, в некоторых случаях – скрытности передачи, а также принципы и методы проектирования систем передачи сообщений, средств их защиты от несанкционированного доступа.

С семантической точки зрения сообщения представляют интерес как средство передачи сведений, т.е. совокупность набора знаков, полученного в результате кодирования и требующего декодирования для использования в практической деятельности. Данные свойства сообщения изучаются, например, в криптографии, искусствоведении и филологии.

С прагматической точки зрения сообщения исследуются как средство воздействия на информационную модель человека, детерминирования его поведения. Учитывая, что сообщение служит средством передачи сведений, ему могут быть приписаны те или иные свойства данных сведений, после чего сообщение может рассматриваться в качестве некоторого их аналога, обладающего ценностью, достоверностью, своевременностью и т.д. С этой точки зрения информация изучается в педагогике, юриспруденции, социологии, политологии, технических науках.

Второй подход к определению понятия «информация» состоит в следующем . Информационные процессы, целенаправленно формируемые человеком, уже сегодня во многом поддаются описанию в понятиях математической теории информации. Однако с первых шагов формирования этой области науки отмечалось противоречие между конкретным, весьма ограниченным предметом научного описания и исключительно широким общепринятым пониманием термина «информация».

Один из признанных основоположников современной теории информации – Р.В.Л. Хартли, определяя предмет своего исследования, отмечал в 1928 г.: «В обычном понимании термин «информация» слишком эластичен; необходимо прежде всего установить для него специфический смысл…» . Специфика смысла для Хартли определялась процессом передачи сигналов. При этом, подчеркивая необходимость исключения психологических факторов, он ни в коей мере не ставил под сомнение существование двух разумных операторов: формирующего и воспринимающего сигнал. В таком смысле термин «информация» получает совершенно конкретное узкое значение. Например, он не может быть применен для описания процесса наблюдения за пассивным объектом.

Роль информации в жизни человека была интуитивно осознана с древнейших времен. «Вначале было слово…» – мысль, пронизывающая сознание человека во все времена. Состояние науки в XIX веке давало основание полагать, что модель мира сведется к крайне ограниченному комплекту частиц вещества и не менее ограниченному количеству «законов». В середине XX века развитие теории и практики заставило изменить подход. Теоретическая физика пришла к осознанию несводимости модели мира к нескольким простейшим законам. С другой стороны, развитие автоматических систем уже в 50-е гг. привело к пониманию исключительной информационной сложности даже простейших самоуправляемых систем.

Становление кибернетики потребовало анализа с позиций точной науки процессов в самоуправляющихся системах, анализа процессов формирования модели внешнего мира, формирования знания. Возможно, из-за естественной связи кибернетики с математической теорией информации произошло распространение термина «информация» на приращение знания субъекта. По Винеру, «информация – это обозначение содержания, черпаемого нами из внешнего мира в процессе нашего приспособления к нему и приведения в соответствие с ним нашего мышления» .

Таким образом, можно выделить три направления применения термина «информация». Основная мысль заключается в том, что эти три направления соответствуют трем совершенно различным сущностям, между которыми существует связь; в конкретных случаях может быть установлено какое-то частное соотношение, но природа их различна, и не может быть речи о какой-либо эквивалентности, взаимном преобразовании или превращении.

Информация в «философском смысле» – автономная информация. Автономная – в смысле объективно существующая, независимо от какого-либо субъекта. Эта информация – особое проявление материи, противостоящее хаосу, – определяет процессы изменения материального мира, но в рамках представлений современной точной науки непосредственно человеком не воспринимается.

Информация «по Винеру» – информация воздействия. Это – приращение знания, изменение модели окружающего мира, возникающее в процессе взаимодействия самоуправляющей системы с окружающей средой.

Самоуправляющая система – субъект – всегда включает в себя в какой-то форме модель внешнего мира – «знание». Физические процессы воздействия внешней среды на самоуправляющуюся систему могут приводить к изменению модели – к приращению знания. Можно считать понятие «информация воздействия» как некоторую характеристику процесса формирования модели внешнего мира. Информация воздействия не может быть определена через отдельно взятые свойства внешней среды или физического процесса взаимодействия внешней среды и субъекта или свойства модели.

Информация воздействия – совокупная характеристика среды, процесса, взаимодействия, субъекта, статического и динамического состояния его модели мира.

Информация «по Хартли» – информация взаимодействия. Частным случаем воздействия является воздействие другого субъекта, имеющее целью согласование в некотором смысле моделей внешней среды двух субъектов или коллектива. При этом предполагается существование предварительно согласованных областей моделей – соглашение о языке общения.

Процесс взаимодействия внутренне достаточно сложен. Субъект, инициирующий воздействие, – передатчик – формирует на основе некоторой области своей модели физический процесс – сообщение. При этом привлекаемую часть модели субъекта-передатчика можно было бы характеризовать «информацией передатчика», а сообщение – «информацией сообщения». Сообщение, воздействуя с воспринимающего субъекта, может при условии его статической и динамической готовности сформировать некоторую информацию воздействия – «информацию приемника». В этом процессе наблюдаемым элементом является только сообщение и в этом смысле информация взаимодействия совпадает с информацией сообщения.

Таким образом, автономная информация существует независимо от наличия субъекта, в рамках современных представлений точной науки непосредственно не воспринимается. Информация воздействия может рассматриваться только в системе, включающей активного субъекта с учетом состояния его модели внешнего мира, другими субъектами непосредственно не воспринимается и может вероятностно оцениваться по предыдущему и последующему поведению субъекта, испытывающего воздействие. Информация взаимодействия существует в системе нескольких субъектов, связана с целенаправленно формируемым физическим процессом и в этом виде полностью воспринимается.

В то же время сам процесс взаимодействия включает три составляющие:

1. Информационная база передатчика, определяемая как часть знания, используемая при формировании сообщения.

2. Информация сообщения, определяемая как соглашение о языке общения, – собственно информацию взаимодействия.

3. Информация приемника, определяемая как информацию воздействия воспринимающего субъекта.

При получении сообщения группой приемников каждый из них воспринимает свою информацию воздействия, и эти информации приемников неэквивалентны по содержанию.

Информация сообщения характеризует физический процесс в плане соглашения о языке общения и может рассматриваться каждым субъектом, освоившим язык общения, изолированно от других субъектов-участ­ни­ков процесса общения и в отрыве от содержания.

Рассмотрим ситуацию с точки зрения информационной безопасности. Выделяют четыре компонента, в той или иной мере присутствующие во всех подходах к понятию информационной безопасности:

1. Обеспечение субъекта доступа к достаточно полной и достоверной информации, необходимой для реализации его прав и обязанностей в обществе.

2. Защита субъекта от деструктивных информационных воздействий.

3. Защита от несанкционированного воздействия на информацию, принадлежащую субъекту.

4. Защита информационной инфраструктуры группы субъектов (организации, государства) от разрушительных воздействий.

Первые три компонента связаны с безопасностью знаний, т.е. для защищаемого объекта значима именно информация воздействия.

Основным предметом информационного нападения, целью, всегда является информация воздействия, т.е. то, что воспринимает субъект-нападающая сторона в случае попытки несанкционированного получения информации или объект нападения в случае попытки дезинформации, искажения информации, введения отвлекающей информации.

В то же время непосредственному наблюдению, использованию в технической разработке, в юридической практике доступна только информация сообщений и физические действия субъектов.

Например, объектом защиты может быть только конкретный документ как физический объект, целями противодействия – конкретные физические действия нападающего субъекта, прогнозируемые моделью нападения, но никак не получаемая или вводимая им информация воздействия.

Таким образом, системная задача обеспечения информационной безопасности, с одной стороны, и конкретные задачи технической, юридической и других подсистем, с другой – имеют разные предметы действий.

Формирование системы, обеспечивающей информационную безопасность объекта, требует обычно решения ряда задач, связанных с формализованной информацией – информацией взаимодействия в форме документов или обменных сигналов технических систем. В этих случаях вполне применимы методы математической теории информации и удается сформировать весьма точные значения параметров, характеризующих защищенность системы на уровне информации взаимодействия. Однако для полной оценки защищенности эти параметры приходится сопоставлять с оценками для не поддающейся непосредственному доступу информации воздействия.

Например, можно достаточно достоверно оценить вероятность восстановления отдельного слова в перехваченном речевом сообщении (допустим 5 или 12%). После этого возникает вопрос какая вероятность допустима. Получить такую оценку можно только экспертным путем, попытки применить методы математической теории информации неэффективны, так как результат полностью определяется исходными допущениями, формируемыми фактически произвольно. Для различных ситуаций, различного содержания фраз, различного словарного состава экспертные оценки могут дать результаты, отличающиеся на порядок.

Назрела необходимость разработки корпоративных нормативов защищенности содержательной информации, соответствующих информационной специфике конкретных групп защищаемых объектов и конкретным информационным процессам, характерным для этих объектов. Одновременно необходима постановка задачи научного формирования перечня терминов, охватывающего не столько прикладные, сколько фундаментальные понятия в области информационных процессов.

Современный этап развития общества характеризуется возрастающей ролью информационной сферы. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений .

Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности РФ. Национальная безопасность РФ существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать .

Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства .

Государственная политика обеспечения информационной безопасности РФ основывается на следующих принципах :

1. Соблюдение Конституции РФ, законодательства РФ, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности РФ.

2. Открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов РФ и общественных объединений, предусматривающей информирование общества об их деятельности с учетом ограничений, установленных законодательством РФ.

3. Правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающемся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом.

4. Приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производстве технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов РФ.


Похожая информация.


Новые информационные технологии активно внедряются во все сферы народного хозяйства. Появление локальных и глобальных сетей передачи данных предоставило пользователям компьютеров новые возможности оперативного обмена информацией. Если до недавнего времени подобные сети создавались только в специфических и узконаправленных целях (академические сети, сети военных ведомств и т.д.), то развитие Интернета и аналогичных систем привело к использованию глобальных сетей передачи данных в повседневной жизни практически каждого человека. По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий.

Актуальность и важность проблемы обеспечения информационной безопасности обусловлена следующими факторами:

Современные уровни и темпы развития средств информационной безопасности значительно отстают от уровней и темпов развития информационных технологий.

Высокие темпы роста парка персональных компьютеров, применяемых в разнообразных сферах человеческой деятельности. Согласно данным исследований компании Gartner Dataquest в настоящее время в мире более миллиарда персональных компьютеров. А следующий миллиард будет достигнут уже в 2008 году.

Резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных; Доступность средств вычислительной техники, и, прежде всего персональных ЭВМ, привела к распространению компьютерной грамотности в широких слоях населения. Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственных и коммерческих систем, как со злым умыслом, так и из чисто «спортивного интереса». Многие из этих попыток имели успех и нанесли значительный урон владельцам информации и вычислительных систем. По неофициальным данным до 70% всех противонарушений, совершаемых так называемыми хакерами, приходится на долю script-kiddies, в дословном переводе - дети, играющиеся со скриптами. Детьми их называют, потому что они не являются специалистами в компьютерных технологиях, но умеют пользоваться готовыми программными средствами, которые достают на хакерских сайтах в Интернете, для осуществления деструктивных действий.

Значительное увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;

По оценкам специалистов в настоящее время около 70-90% интеллектуального капитала компании хранится в цифровом виде - текстовых файлах, таблицах, базах данных.

Многочисленные уязвимости в программных и сетевых платформах;

Стремительное развитие информационных технологий открыло новые возможности для бизнеса, однако привело и к появлению новых угроз. Современные программные продукты из-за конкуренции попадают в продажу с ошибками и недоработками.

Разработчики, включая в свои изделия всевозможные функции, не успевают выполнить качественную отладку создаваемых программных систем. Ошибки и недоработки, оставшиеся в этих системах, приводят к случайным и преднамеренным нарушениям информационной безопасности. Например, причинами большинства случайных потерь информации являются отказы в работе программно-аппаратных средств, а большинство атак на компьютерные системы основаны на найденных ошибках и недоработках в программном обеспечении. Так, например, за первые полгода после выпуска серверной операционной системы компании Microsoft Windows Server 2003 было обнаружено 14 уязвимостей, 6 из которых являются критически важными.

Несмотря на то, что со временем Microsoft разрабатывает пакеты обновления, устраняющие обнаруженные недоработки, пользователи уже успевают пострадать от нарушений информационной безопасности, случившихся по причине оставшихся ошибок. Такая же ситуация имеет место и с программными продуктами других фирм. Пока не будут решены эти многие другие проблемы, недостаточный уровень информационной безопасности будет серьезным тормозом в развитии информационных технологий.

Бурное развитие глобальной сети Интернет, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире. Подобная глобализация позволяет злоумышленникам практически из любой точки земного шара, где есть Интернет, за тысячи километров, осуществлять нападение на корпоративную сеть.

Современные методы накопления, обработки и передачи информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям.

Например, в настоящее время в банковской сфере свыше 90% всех преступлений связано с использованием автоматизированных систем обработки информации.

Под угрозой безопасности понимается возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику или пользователю, проявляющегося в опасности искажения, раскрытия или потери информации. Реализацию угрозы в дальнейшем будем называть атакой. Реализация той или иной угрозы безопасности может преследовать следующие цели:

нарушение конфиденциальности информации. Информация, хранимая и обрабатываемая в корпоративной сети, может иметь большую ценность для ее владельца. Ее использование другими лицами наносит значительный ущерб интересам владельца;

нарушение целостности информации. Потеря целостности информации (полная или частичная, компрометация, дезинформация) - угроза близкая к ее раскрытию. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности,

нарушение (частичное или полное) работоспособности корпоративной сети (нарушение доступности). Вывод из строя или некорректное изменение режимов работы компонентов КС, их модификация или подмена могут привести к получению неверных результатов, отказу КС от потока информации или отказам при обслуживании. Отказ от потока информации означает непризнание одной из взаимодействующих сторон факта передачи или приема сообщений. Имея в виду, что такие сообщения могут содержать важные донесения, заказы, финансовые согласования и т.п., ущерб в этом случае может быть весьма значительным.

Поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития информационных технологий.

Корпоративная информационная система (сеть) - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы (из закона об Электронно-цифровой подписи).

Корпоративные сети (КС) относятся к распределенным компьютерным системам, осуществляющим автоматизированную обработку информации. Проблема обеспечения информационной безопасности является центральной для таких компьютерных систем. Обеспечение безопасности КС предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования КС, а также попыткам модификации, хищения, вывода из строя или разрушения ее компонентов, то есть защиту всех компонентов КС аппаратных средств, программного обеспечения, данных и персонала.

Рассмотрим, как в настоящее время обстоит вопрос обеспечения ИБ на предприятии. Исследовательская компания Gartner Group выделяет 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности (ИБ):

  • 0 уровень: ИБ в компании никто не занимается, руководство компании не осознает важности проблем ИБ; Финансирование отсутствует; ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам). Наиболее типичным примером здесь является компания с небольшим штатом сотрудников, занимающаяся, например, куплей/продажей товаров. Все технические вопросы находятся в сфере ответственности сетевого администратора, которым часто является студент. Здесь главное, чтобы все работало.
  • 1 уровень: ИБ рассматривается руководством как чисто "техническая" проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании; Финансирование ведется в рамках общего ИТ-бюджета; ИБ реализуется средствами нулевого уровня + средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (традиционные средства защиты).
  • 2 и 3 уровни: ИБ рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности ИБ для производственных процессов, есть утвержденная руководством программа развития СОИБ компании; Финансирование ведется в рамках отдельного бюджета; ИБ реализуется средствами первого уровня + средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).
  • 3 уровень отличается от 2-го следующим: ИБ является частью корпоративной культуры, назначен CISA (старший офицер по вопросам обеспечения ИБ); Финансирование ведется в рамках отдельного бюджета, который согласно результатам исследований аналитической компании Datamonitor в большинстве случаев составляет не более 5% ИТ- бюджета; ИБ реализуется средствами второго уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса). Таким образом, серьезный подход к вопросам обеспечения ИБ появляется только на 2-м и 3-м уровнях. А на 1-м и частично 0-м уровне зрелости согласно данной классификации имеет место так называемый «фрагментарный» подход к обеспечению ИБ. «Фрагментарный» подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.п. Достоинство этого подхода заключается в высокой избирательности к конкретной угрозе. Существенным недостатком подхода является отсутствие единой защищенной среды обработки информации.

Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов КС только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.

Таких компаний по статистике Gartner - 85%.(0 - 30 %, 1 - 55%) по состоянию на 2001. Более серьезные организации, соответствующие 2-му и 3-му уровням зрелости классификации Gartner, применяют «комплексный» подход к обеспечению ИБ. Этот же подход предлагают и крупные компании, профессионально занимающиеся защитой информации. Комплексный подход основывается на решении комплекса частных задач по единой программе. Этот подход в настоящее время является основным для создания защищенной среды обработки информации в корпоративных системах, сводящей воедино разнородные меры противодействия угрозам. Сюда относятся правовые, морально-этические, организационные, программные и технические способы обеспечения информационной безопасности.

Комплексный подход позволил объединить целый ряд автономных систем путем их интеграции в так называемые интегрированные системы безопасности. Методы решения задач обеспечения безопасности очень тесно связаны с уровнем развития науки и техники и, особенно, с уровнем технологического обеспечения. А характерной тенденцией развития современных технологий является процесс тотальной интеграции. Этой тенденцией охвачены микроэлектроника и техника связи, сигналы и каналы, системы и сети. В качестве примеров можно привести сверхбольшие интегральные схемы, интегральные сети передачи данных, многофункциональные устройства связи и т. п. Дальнейшим развитием комплексного подхода или его максимальной формой является интегральный подход, основанный на интеграции различных подсистем обеспечения безопасности, подсистем связи в единую интегральную систему с общими техническими средствами. Каналами связи, программным обеспечением и базами данных.

К основным способам обеспечения информационной безопасности относят:

законодательные (правовые)

морально-этические

организационные (административные)

технические

программные

Законодательные меры защиты определяются законодательными актами страны, которыми регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Действительно, большинство людей не совершают противоправных действий вовсе не потому, что это технически сложно, а потому, что это осуждается и/или наказывается обществом, а также потому, что так поступать не принято. К морально-этическим мерам противодействиям относятся нормы поведения, которые традиционно сложились или складываются по мере распространения сетевых и информационных технологий. Эти нормы большей частью не являются обязательными, как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета и престижа человека. Данные нормы могут быть оформлены в некоторый свод правил и предписаний. Так, например, морально-этические принципы врачебной деятельности получили название клятвы Гиппократа. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США. А на кафедре Безопасные Информационные Технологии сложилась традиция - все первокурсники принимают клятву защитника информации. В данной клятве сформулированы принципы, которым должны следовать обучающиеся по данной специальности.

Организационные (административные) средства защиты представляют собой организационно-технические и организационно- правовые мероприятия, осуществляемые в процессе создания и эксплуатации аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и эксплуатация). Технические средства реализуются в виде механических, электрических, электромеханических и электронных устройств, предназначенных для препятствования на возможных путях проникновения и доступа потенциального нарушителя к компонентам защиты. Вся совокупность технических средств делится на аппаратные и физические.

Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в телекоммуникационную аппаратуру, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Например, в системе защиты рабочей станции Secret Net реализована добавочная аппаратная поддержка для идентификации пользователей по специальному электронному ключу. Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.

Компоненты, из которых состоят современные комплексы защиты территории охраняемых объектов, включают:

Механическая система защиты Реальное физическое препятствие, характеризующиеся временем сопротивления и включающее в себя датчики оповещения.

Система оповещения Повышение вероятности обнаружения нарушителя системой оповещения обязательно сопровождается увеличением числа ложных срабатываний. Таким образом, разработка систем оповещения связана, прежде всего, с поиском рационального компромисса относительно соотношения величин названых показателей. Дальнейшее совершенствование систем оповещения должно обеспечить, прежде всего, повышение вероятности обнаружения и снижения интенсивности ложных срабатываний путем использования нескольких систем оповещения различного принципа действия в одном комплексе.

Системы опознавания. Одно из условий надежного функционирования - анализ поступающих сообщений о проникновении для точного определения их типа. Самый распространенный способ - телевизионные установки дистанционного наблюдения. Вся контролируемая системой оповещения зона делится на участки, на каждом из которых устанавливается 1 камера. При срабатывании датчиков оповещения, изображение, передаваемое телекамерой, выводится на экран монитора на центральном посту. Фактические причины срабатывания системы устанавливаются при условии высокой оперативности дежурного охранника. Телевизионные системы могут применяться и для контроля действий персонала внутри объектов.

Оборонительные системы Используются для предотвращения развития вторжения на охраняемую территорию - обычно это осветительные или звуковые установки.

Центральный пост и персонал охраны Работа всех технических установок постоянно контролируется и управляется с центрального поста охраны, к центральным устройствам комплексов защиты предъявляются особые требования. На данный момент из систем безопасности наиболее динамично развиваются системы контроля доступа (СКД), которые обеспечивают безопасность персонала и посетителей, сохранность материальных ценностей и информации и круглосуточно держат ситуацию на фирме под контролем.

Механические замки остаются более приемлемыми для небольших предприятий, несмотря на появление новейших СКД. Существует масса разнообразных замков повышенной секретности, как внутренних, так и наружных, которые могут использоваться для установки в местах, требующих специальной защиты. Производители продолжают рассматривать механические замки повышенной секретности в качестве гибкого, эффективного и недорогого средства обеспечения потребностей в защите собственности и наращивают объем их выпуска. Поэтому наличие механического ключа все еще остается простейшим идентификационным признаком при контроле доступа. Еше одна группа средств идентификации это - удостоверения с фотографией владельца и жетоны.

Удостоверения выдаются служащим фирмы, а жетоны - посетителям. Удостоверения и жетоны могут применяться вместе со средствами контроля доступа по карточкам, тем самым превращаясь в машиночитаемые пропуска. Для усиления защиты карточки с фотографией могут дополняться устройствами считывания и набором персонального кода.

Считается, что карточки-жетоны целесообразно использовать для прохода в контролируемые области на крупных предприятиях. Существует широкий набор электронных СКД, среди которых большее место занимает аппаратура с применением микропроцессоров и компьютеров. Одним из достоинством подобного рода средств защиты является возможность анализа ситуации и ведения отчета. К разряду электронных систем контроля доступа относятся системы с цифровой клавиатурой (кнопочные), с карточками и с электронными ключами. Клавиатура совместно с электрозамком в системах повышенной защищенности дополнены системой считывания карточек. В системах контроля доступа по карточкам ключом является специальным образом закодированная карта, которая выполняет функцию удостоверения личности служащего. Программные средства представляют из себя программное обеспечение, специально предназначенное для выполнения функций защиты информации.

Программные средства и составляли основу механизмов защиты на первой фазе развития технологии обеспечения безопасности связи в каналах телекоммуникаций. При этом считалось, что основными средствами защиты являются программные. Первоначально программные механизмы защиты включались, как правило, в состав операционных систем управляющих ЭВМ или систем управления базами данных. Практика показала, что надежность подобных механизмов защиты является явно недостаточной. Особенно слабым звеном оказалась защита по паролю. Поэтому в дальнейшем механизмы защиты становились все более сложными, с привлечением других средств обеспечения безопасности. К данному классу средств защиты относятся: антивирусные, криптографические средства, системы разграничения доступа, межсетевые экраны, системы обнаружения вторжений и т.п.

Построение системы защиты должно основываться на следующих основных принципах:

Системность подхода.

Комплексности решений.

Разумная достаточность средств защиты.

Разумная избыточность средств защиты.

Гибкость управления и применения.

Открытость алгоритмов и механизмов защиты.

Простота применения защиты, средств и мер.

Унификация средств защиты.

Защита информации предполагает необходимость учета всех взаимосвязанных и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения информационной безопасности.

При создании системы защиты необходимо учитывать все слабые и наиболее уязвимые места системы обработки информации, а также характер возможных объектов и нарушения атак на систему со стороны нарушителя, пути проникновения в систему для НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения, но и с учетом возможности появления преимущественно новых путей реализации угроз безопасности. Системный подход также предполагает непротиворечивость применяемых средств защиты. Различают следующие виды системности: Пространственная системность может практиковаться как увязка вопросов защиты информации по вертикали: государство (правительственные органы) министерство корпоративные государственные учреждения частные предприятия автоматизированные системы обработки данных, вычислительные системы по горизонтали пространственная системность предполагает увязку вопросов ЗИ в локальных узлах и территориях распределения элементов АСОД. Временная системность (принцип непрерывности функционирования системы защиты):

Защита информации это не разовые мероприятия, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла защиты системы. Разработка системы защиты должна начинаться с момента проектирования системы защиты, а ее u1072 адаптация и доработка должна осуществляться на протяжении всего времени функционирования системы.

В частности по времени суток система защиты должна функционировать круглосуточно. Действительно, большинству средств защиты для выполнения своих функций необходима поддержка (администрирование), в частности для назначения и смены паролей, назначения секретных ключей, реакции на факты НСД и т.д. Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа защищаемых систем и СЗИ (средств защиты информации). Такие. перерывы в работе СЗИ могут использоваться для внесения закладок, совершения НСД и т.д.



Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить