Основные составляющие информационной безопасности

Лекция 10. Понятие информационной безопасности. Основные составляющие.

 

       Словосочетание «информационная безопасность» в разных контекстах может иметь различный смысл.

 

       В доктрине информационной безопасности Российской Федерации термин «информационная безопасность» используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества государства.

 

       В законе РФ «Об участии в международном информационном обмене» информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование развитие в интересах граждан, организаций, государства.

 

       Под «информационной безопасностью» мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести существенный вред субъектам информационных отношений.

 

       Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

 

       Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.

 

       Из этого можно вывести два важных следствия:

1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить государственные организации и учебные институты. В первом случае «пусть лучше все сломается, чем враг узнает хотя бы один секретный бит», во втором – «да нет у нас никаких секретов, лишь бы все работало».
2. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может понести ущерб не только от несанкционированного доступа, но и от поломки системы, вызывающий перерыв в работе.

 

Следует так же заметить, что термин «компьютерная безопасность» как заменитель «информационной безопасности» представляется слишком узким. Компьютеры – только одна из составляющих информационных систем. Самым же слабым звеном в информационной системе как правило оказывается человек (Пример: Пароль на мониторе.)

 

Обратите внимание, что в определении информационной безопасности перед существительным «ущерб» стоит прилагательное «существенный». Очевидно, что застраховаться от всех видов ущерба невозможно, тем более не возможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Следовательно, с чем то приходиться мириться и защищаться следует от того, с чем смириться нельзя.

Основные составляющие информационной безопасности

       Быстро развивающиеся компьютерные информационные технологии вносят заметные изменения в нашу жизнь. Информация стала товаром, который можно приобрести, продать, обменять. При этом стоимость информации часто в сотни раз превосходит стоимость компьютерной системы, в которой она хранится.

       Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.

 

     

На практике важнейшими являются три аспекта информационной безопасности: доступность (возможность за разумное время получить требуемую информационную услугу); целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения); конфиденциальность (защита от несанкционированного прочтения).

     

       Информационную безопасность нельзя купить, ее приходится каждодневно поддерживать, взаимодействуя при этом не только и не столько с компьютерами, сколько с людьми.

       Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становиться невозможным, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.

       Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.д. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг., которыми пользуется большое количество людей (продажа билетов, банковские услуги и пр.).

       Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

       Целостность оказывается важнейшим аспектом информационной безопасности в том случае, если информация служит «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница WEB – сервера какой-либо правительственной организации.

       Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

       Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально пользуется информационными системами, на первом месте стоит – доступность. Практически не уступает ей по значимости целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?

       Наконец, конфиденциальные моменты есть также у многих организаций (например зарплата сотрудников) и отдельных пользователей (например, пароли).

    Важность и сложность проблемы информационной безопасности

 

       Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю – национальном, корпоративном или персональном.

           

       Приведем несколько примеров:

 

• В Доктрине информационной безопасности РФ защита от несанкционированного доступа к информационным ресурсам, обеспечение информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационном сфере.
• По распоряжению президента США Клинтона была создана Комиссия по защите критически важной инфраструктуры как от физических нападений, так и от атак, предпринятых с помощью оружия. В 1997 году при подготовке доклада президенту глава комиссии Роберт Марш заявил, что в настоящее время ни правительство, ни частный сектор не располагают средствами защиты от компьютерных атак, способных вывести из строя коммуникационные сети и сети энергоснабжения.
• Американский крейсер «Иорктаун» был вынужден вернуться в порт из-за многочисленных проблем с программным обеспечением, функционировавшим на платформе Windows NT 4.0. Таким оказался побочный эффект программы ВМФ США по максимальному широкому использованию коммерческого программного обеспечения с целью снижения стоимости военной техники.
• Заместитель начальника управления по экономическим преступлениям Министерства внутренних дел России сообщил, что российские хакеры с 1994 по 1996 год предприняли почти 500 попыток проникновения в компьютерную сеть Центрального банка России. В 1995 году ими было похищено 250 000 000 000 рублей.
• Согласно результатам совместного исследования Института информационной безопасности и ФБР, в 1997 году ущерб от компьютерных преступлений достиг 136 000 000 $, что на 36% больше, чем в 1996 году. Каждое компьютерное преступление наносит ущерб примерно в 200 000 $.

 

Понятно, что подобных примеров можно привести множество.

 

При анализе проблематике, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий – области, развивающейся беспрецедентно высокими темпами.

     

К сожалению, современная технология программирования не позволяет создавать безошибочные программы, что не способствует быстрому развитию средств ИБ. Следует исходить из того, что необходимо конструировать надежные системы (информационной безопасности) с привлечением ненадежных компонентов (программ). В принципе это возможно, но требует соблюдения определенных архитектурных принципов и контроля состояния защищенности на всем протяжении жизненного цикла ИС.

     

Огромное число систем, а точнее администраторов этих систем даже не подозревают о том, что их системы были атакованы. И цифры в данном случае неутешительны. Даже не большие организации вынуждены обеспечивать свою информационную безопасность. Не удивительно, что по данной проблеме стали появляться специалисты, открыты новые специальности. Расширены курсы защиты информации у смежных специальностей.

 

Увеличение числа атак – еще не самая большая неприятность. Хуже то, что постоянно обнаруживаются новые уязвимые места в программном обеспечении и, как следствие, появляются новые виды атак.

     

Так, в информационном письме Национального центра защиты инфраструктуры США от 21 июля 1999 года сообщается, что за период с 3 по 16 июля 1999 года выявлено девять проблем с ПО, риск использования которых оценивается как средний или высокий (общее число уязвимых мест равно 17). Среди «пострадавших» операционных платформ – почти все разновидности ОС Unix, Windows, MacOs, так что никто не может чувствовать себя спокойно, поскольку новые ошибки тут же начинают активно использоваться злоумышленниками.

     

В таких условиях системы информационной безопасности должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным. Иногда нападение длится доли секунды; порой прощупывание уязвимых мест ведется медленно и растягивается на часы, так что подозрительная активность практически незаметна. Целью злоумышленника может быть нарушение всех составляющих ИБ – доступности, целостности или конфиденциальности.