Изучение любой дисциплины необходимо начинать с освоения понятийного аппарата ее предметной области. Раскрытие значений некоторых ключевых терминов позволяет сформировать начальные представления о целях и задачах защиты информации. Терминология в области защиты информации изложена в федеральных законах, указах Президента, постановлениях Правительства, государственных и отраслевых стандартах, руководящих документах ФСТЭК России.
Прежде всего, определимся с объектом зашиты. Согласно [22], под информацией понимается:
1) сообщение, осведомление о положении дел, сведения о чем-либо, передаваемые людьми;
2)[в теории вероятности] уменьшаемая, снимаемая неопределенность в результате получения сообщений;
3)[с точки зрения математических подходов] сообщение, неразрывно связанное с управлением, сигналы в единстве синтаксических, семантических и прагматических характеристик;
4)передача, отражение разнообразия в любых объектах и процессах (неживой и живой природы).
|
|
Трудно переоценить роль информации в современном мире. По мнению многих ученых, именно информация является решающим фактором в конкурентной борьбе государств. Так, на Западе пользуется популярностью классификация, в соответствии с которой все страны делятся по уровню их развития следующим образом [1]:
• страны, способные производить и продавать информационные услуги;
• страны, не производящие информационных услуг на продажу, но создающие и продающие промышленные товары;
• страны, не производящие ни информационных услуг, ни товаров и являющиеся поставщиками сырья и рабочей силы в страны первых двух классов.
Важность информации как локомотива развития отчетливо видна на примере Индии. Да и в США более 50 % национального дохода обеспечивает продажа информационных услуг. Владение информацией необходимого качества в нужное время и в нужном месте является залогом успеха в любом виде хозяйственной деятельности. Монопольное обладание определенной информацией оказывается зачастую решающим преимуществом в конкурентной борьбе, именно поэтому собственнику необходимо ее защищать.
Выделяются два вида собственной информации у предпринимателя [42]: техническая (технологическая) и деловая информация. К первому типу относятся, например, методы производства продукции, программное обеспечение, рецепты лекарств и т.п. Ко второму типу относятся, например, бизнес-планы предприятия, списки клиентов, материалы различных заказных исследований.
Уточним, что понимается под безопасностью информации. Определение понятия «безопасность» наиболее полно выражено в Федеральном законе от 5 марта 1992г. «О безопасности». В трактовке закона безопасность — это «состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз». Понятие защищенности указывает на способность (степень, уровень) противостояния конкретным, четко сформулированным угрозам.
|
|
В прикладном аспекте, на более низком уровне, чем государство и общество в целом, безопасность определяется как состояние защищенности жизненно важных интересов человека, общества, государства и субъекта зашиты в определенной сфере отношений при соблюдении баланса интересов между ними.
Анализ отечественных и зарубежных источников показывает, что в основном все определения понятия безопасности включают следующие основные положения: наличие внутренних и внешних угроз, наличие жизненно важных интересов и соблюдение баланса интересов. Первичным в определениях безопасности является наличие угроз и опасностей, наличие жизненно важных интересов вторично.
Под безопасностью информации понимается такое ее состояние, при котором исключается возможность ознакомления с этой информацией, ее изменения или уничтожения лицами, не имеющими на это права, а также утечки за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники [30].
Защита информации подразумевает совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей [13]. Более того, далее мы увидим, что защита информации — это целенаправленный, непрерывно продолжающийся процесс.
Приведем определения конечных целей защиты информации.
Конфиденциальность — свойство, позволяющее не давать права 1Ш доступ к информации или не раскрывать ее неполномочным лицам, логическим объектам или процессам [16].
Целостность — свойство, при выполнении которого информация сохраняет заранее определенные вид и качество. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Практически все нормативные документы и отечественные разработки относятся к статической целостности, хотя динамический аспект не менее важен. Статическую целостность можно разделить на понятия целостности данных и целостности информации. Целостность данных — способность данных не подвергаться изменению или аннулированию в результате несанкционированного доступа. Целостность информации — способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
Доступность — такое состояние информации, когда она находится в виде и месте, необходимом пользователю, и в то время, когда она ему необходима.
Защита информации осуществляется на объекте, которым может быть как все предприятие, так и некоторая его часть. Объект информатизации — это (1) совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или (2) помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Большое значение имеет понятие контролируемой зоны. Контролируемая зона — это пространство, в котором исключено неконтролируемое пребывание лип, не имеющих постоянного или разового допуска, и посторонних транспортных средств. Границей контролируемой зоны могут являться: периметр охраняемой территории предприятия (учреждения); ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения. В отдельных случаях на период обработки техническими средствами секретной информации (проведения закрытого мероприятия) контролируемая зона временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и техни ческие меры, исключающие или существенно затрудняющие возможность перехвата информации в этой зоне.
|
|
Главным критерием в выборе средств защиты информации следует считать ее ценность (реальную или потенциальную). Иногда легко определить ценность информации в денежном выражении. Так, утечка копии снятого фильма приведет к его распространению на пиратских дисках, следовательно, в кинотеатрах не досчитаются зрителей, а фирма-производитель недополучит прибыль. В других случаях стоимость информации определить сложно. Например, сколько стоит информация о кодах блокировки ядерных ракет? Поэтому для определения ценности информации в таких случаях вводят систему грифов секретности информации, предусматривая для различных грифов различные меры обеспечения безопасности. Ценность информации позволяет установить возможный ущерб от овладения информацией конкурентами или ее искажения.
Для обеспечения эффективной защиты информации кроме оценки ценности необходимо провести анализ ее уязвимости. Уязвимость — это некая слабость, которая дает возможность выявить характерные особенности и недостатки объекта зашиты, облегчающие проникновение злоумышленника к охраняемым сведениям. Главный результат анализа уязвимостей — выявление источников информации и возможных каналов ее утечки или других нежелательных воздействий на нее. Эти воздействия (атаки) являются реализацией угроз безопасности, которые носят потенциальный характер.
|
|
При построении и эксплуатации систем безопасности большое значение имеют методы оценки риска, под которым обычно понимается произведение вероятности реализации угрозы и наступившего в результате ущерба.