Понятийный аппарат в области обеспечения безопасности информации

Сущность и задачи комплексной защиты информации

Гл а в а 1

Изучение любой дисциплины необходимо начинать с освое­ния понятийного аппарата ее предметной области. Раскрытие зна­чений некоторых ключевых терминов позволяет сформировать начальные представления о целях и задачах защиты информации. Терминология в области защиты информации изложена в феде­ральных законах, указах Президента, постановлениях Правитель­ства, государственных и отраслевых стандартах, руководящих до­кументах ФСТЭК России.

Прежде всего определимся с объектом защиты. Согласно [22], под информацией понимается:

1) сообщение, осведомление о положении дел, сведения о чем-либо, передаваемые людьми;

2) в теории вероятности уменьшаемая, снимаемая неопреде­ленность в результате получения сообщений;

3) с точки зрения математических подходов сообщение, не­разрывно связанное с управлением, сигналы в единстве синтак­сических, семантических и прагматических характеристик;

4) передача, отражение разнообразия в любых объектах и про­цессах (неживой и живой природы).

Трудно переоценить роль информации в современном мире. По мнению многих ученых, именно информация является реша­ющим фактором в конкурентной борьбе государств. Так, на Запа­де пользуется популярностью классификация, в соответствии с которой все страны делятся по уровню их развития следующим образом:

• страны, способные производить и продавать информацион­ные услуги;

• страны, не производящие информационных услуг на прода­жу, но создающие и продающие промышленные товары;

• страны, не производящие ни информационных услуг, ни то­варов и являющиеся поставщиками сырья и рабочей силы в стра­ны первых двух классов.

Важность информации как локомотива развития отчетлива видна на примере Индии. Да и в США более 50 % национального дохода обеспечивает продажа информационных услуг. Владение информацией необходимого качества в нужное время и в нужном месте является залогом успеха в любом виде хозяйственной дея­тельности. Монопольное обладание определенной информацией оказывается зачастую решающим преимуществом в конкурент­ной борьбе, именно поэтому собственнику необходимо ее защи­щать.

Выделяются два вида собственной информации у предприни­мателя [42]: техническая (технологическая) и деловая информа­ция. К первому типу относятся, например, методы производства продукции, программное обеспечение, рецепты лекарств и т.п. Ко второму типу относятся, например, бизнес-планы предприя­тия, списки клиентов, материалы различных заказных исследова­ний.

Уточним, что понимается под безопасностью информации. Определение понятия «безопасность» наиболее полно выражено в Федеральном законе от 5 марта 1992 г. «О безопасности». В трактовке закона безопасность — это «состояние защищеннос­ти жизненно важных интересов личности, общества и государства от внутренних и внешних угроз». Понятие защищенности указы­вает на способность (степень, уровень) противостояния конкрет­ным, четко сформулированным угрозам.

В прикладном аспекте, на более низком уровне, чем государ­ство и общество в целом, безопасность определяется как состоя­ние защищенности жизненно важных интересов человека, обще­ства, государства и субъекта защиты в определенной сфере отно­шений при соблюдении баланса интересов между ними.

Анализ отечественных и зарубежных источников показывает, что в основном все определения понятия безопасности включают следующие основные положения: наличие внутренних и внешних угроз, наличие жизненно важных интересов и соблюдение балан­са интересов. Первичным в определениях безопасности является наличие угроз и опасностей, наличие жизненно важных интере­сов вторично.

Под безопасностью информации понимается такое ее состоя­ние, при котором исключается возможность ознакомления с этой информацией, ее изменения или уничтожения лицами, не имею­щими на это права, а также утечки за счет побочных электромаг­нитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники |30|.

Защита информации подразумевает совокупность мероприя­тий, направленных на обеспечение конфиденциальности и цело­стности обрабатываемой информации, а также доступности информации для пользователей [13]. Более того, далее мы увидим, ЧТО йщита информации — это целенаправленный, непрерывно Продолжающийся процесс.

Приведем определения конечных целей зашиты информации.

Конфиденциальность — свойство, позволяющее не давать права mi юступ к информации или не раскрывать ее неполномочным iiiiuiM. логическим объектам или процессам [16].

Целостность — свойство, при выполнении которого инфор­мация сохраняет заранее определенные вид и качество. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (отно-Мшуюся к корректному выполнению сложных действий (трансакций)). Практически все нормативные документы и отечествен­ные разработки относятся к статической целостности, хотя дина­мический аспект не менее важен. Статическую целостность мож­но разделить на понятия целостности данных и целостности ин­формации. Целостность данных — способность данных не подвергаться изменению или аннулированию в результате несанкционированного доступа. Целостность информации — способность |редства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения) [3].

Доступность — такое состояние информации, когда она находится в виде и месте, необходимом пользователю, и в то время, когда она ему необходима [16].

Защита информации осуществляется на объекте, которым может быть как все предприятие, так и некоторая его частв. Объект информатизации — это (1) совокупность информационных ресурсов, средств и систем обработки информации, используемых в гоошетствии с заданной информационной технологией, средств Обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они уста­новлены, или (2) помещения и объекты, предназначены для ведения конфиденциальных переговоров [14].

Большое значение имеет понятие контролируемой зоны. Конруемая зона — это пространство, в котором исключено не­нии филируемое пребывание лиц, не имеющих постоянного или ри юного допуска, и посторонних транспортных средств. Грани­цей контролируемой зоны могут являться: периметр охраняемой периметр предприятия (учреждения); ограждающие конструк­ции охраняемого здания, охраняемой части здания, выделенного помещения. В отдельных случаях на период обработки техниче­скими средствами секретной информации (проведения закрытого Мероприятия) контролируемая зона временно может устанавливается большей, чем охраняемая территория предприятия. При этом полжны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие воз­можность перехвата информации в этой зоне [15].

Главным критерием в выборе средств защиты информации сле­дует считать ее ценность (реальную или потенциальную). Иногда легко определить ценность информации в денежном выражении. Так, утечка копии снятого фильма приведет к его распростране­нию на пиратских дисках, следовательно, в кинотеатрах не досчи­таются зрителей, а фирма-производитель недополучит прибыль. В других случаях стоимость информации определить сложно. На­пример, сколько стоит информация о кодах блокировки ядерных ракет? Поэтому для определения ценности информации в таких случаях вводят систему грифов секретности информации, преду­сматривая для различных грифов различные меры обеспечения безопасности. Ценность информации позволяет установить воз­можный ущерб от овладения информацией конкурентами или ее искажения.

Для обеспечения эффективной защиты информации кроме оценки ценности необходимо провести анализ ее уязвимости. Уязвимость — это некая слабость, которая дает возможность вы­явить характерные особенности и недостатки объекта зашиты, об­легчающие проникновение злоумышленника к охраняемым све­дениям. Главный результат анализа уязвимостей — выявление источников информации и возможных каналов ее утечки или дру­гих нежелательных воздействий на нее. Эти воздействия (атаки) являются реализацией угроз безопасности, которые носят потен­циальный характер.

При построении и эксплуатации систем безопасности большое значение имеют методы оценки риска, под которым обычно по­нимается произведение вероятности реализации угрозы и насту­пившего в результате ущерба.