Современная постановка задачи защиты информации

1. Система защиты информации должна быть представлена как нечто целое. Целостность системы будет выражаться в наличии единой цели ее функционирования, информационных связей между элементами системы, иерархичности построения подсистемы управления системой защиты информации.

2. Система защиты информации должна обеспечивать безопасность информации, средств информации, защиту интересов участников информационных отношений и невозможность несанкционированного доступа злоумышленника к защищаемой информации.

3. Система защиты информации в целом, применяемые методы и средства защиты должны быть по возможности прозрачными для законного пользователя, не создавать ему больших дополнительных неудобств, связанных с процедурами доступа к информации.

Система защиты информации должна обеспечивать оценку угроз внешних дестабилизирующих факторов и защиту от них.

Под информационной безопасностью (или безопасностью информационных технологий) подразумевается защищенность информации, обрабатываемой в информационно-вычислительной системе, от случайных или преднамеренных воздействий внутреннего или внешнего характера, чреватых нанесением ущерба владельцам информационных ресурсов или пользователям информации.

С целью систематизации знаний и наглядности вопрос обеспечения безопасности информации можно представить схемой, представленной на рисунке 4.1

Рисунок 4.1 – Принципиальная схема обеспечения ИБ


Доступность информации - возможность за приемлемое время получить требуемую информационную услугу, а также предотвращение несанкционированного отказа в получении информации.

Обеспечение доступности происходит в основном по средством технических и организационных мер.

Среди них – дублирование оборудования, увеличение производительности средств обработки, аутентификация, авторизация (ААА), средства контроля и разграничения доступа и др.

Доступность информации является ведущим аспектом информационной безопасности.

Целостность информации - предотвращение несанкционированной изменения (модификации) или разрушения информации.

Под целостностью может пониматься полнота и неизменность исходного вида информации.

Обеспечение целостности происходит по средством: технических, организационных, правовых мер, а именно осуществление контроля над процессами, вязанными с жизненным циклом информации.

Примерами нарушения целостности могут служить различные, совершенные при помощи вычислительных систем, помехи в каналах связи, подделка кредитных карточек, изменения информации в различных информационных системах, манипуляция СМИ общественным мнением.

Конфиденциальность информации – предотвращение несанкционированного ознакомления с информацией/утечки информации/разглашения.

Осуществляется путем реализации технических, организационных мер, обязательно правовых.

Основные меры – использование криптографии, контроль доступа и др.

Аспект конфиденциальности информации является самым проработанным и обширно представленным во всех измерениях. На ее страже стоят законы, нормативные акты, технические средства и многолетний опыт различных государственных структур. Однако обеспечение конфиденциальности информации - один из самых сложных в практической реализации аспект информационной безопасности.


Конфиденциальная информация — информация, доступ к которой ограничивается в соответствии с законодательством РФ и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.


Концептуально-политический уровень

Документы, в которых определяются направления государственной политики ИБ, формулируются цели и задачи обеспечения ИБ всех субъектов государства и намечаются пути и средства достижения поставленных целей и решения задач. Примером такого документа является Доктрина информационной безопасности РФ.


Законодательный уровень

Создается и поддерживается комплекс мер, направленных на правовое регулирование обеспечения ИБ, отражаемых в законах и других правовых актах (указы Президента, постановления Правительства и др.).

Одной из важных задач этого уровня является создание механизма, позволяющего согласовать процесс разработки законов с прогрессом ИТ.

Естественно, законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к общему снижению уровня ИБ.


Нормативно-технический уровень

Уровень стандартов, руководящих материалов, методических материалов и других документов, регламентирующие процессы разработки, внедрения и эксплуатации средств обеспечения информационной безопасности.

Важной задачей этого уровня в настоящее время является, в частности, приведение российских стандартов в соответствие с международным уровнем информационных технологий вообще и ИБ в частности. Одна из них - необходимость взаимодействия с зарубежными компаниями и зарубежными филиалами российских компаний. Сейчас эта проблема решается по существу в обход действующего законодательства, путем получения разовых разрешений.

 

Уровень предприятия

Осуществляются конкретные меры по обеспечению ИБ трудовой деятельности. Их конкретный состав и содержание во многом определяется особенностями конкретного предприятия или организации.

Здесь можно выделить два уровня:

  • административный;
  • программно-технический.

На административном уровне руководство организации реализует меры общего характера и конкретные меры обеспечения ИБ.

Политика безопасности — это организационно-правовой и технический документ одновременно, содержащий в себе руководство и отчетность по обеспечению ИБ на объекте. При ее составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла.

Политика безопасности определяет стратегию организации в области ИБ, а также количество ресурсов, которые руководство считает целесообразным выделить.

Она строится на основе анализа рисков, которые признаются реальными для ИС организации.

Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить ИБ.

Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Принцип разумной достаточности означает, что затраты на обеспечение безопасности информации должны быть никак не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать эти риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Если в качестве ограничений выступает суммарный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как условную задачу динамического программирования.

Особое внимание в политике безопасности надо уделить разграничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь "творческими" личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность CEO по информационной безопасности, которому бы подчинялись обе службы.

В политике безопасности не надо детализировать должностные обязанности каких бы то ни было сотрудников (хотя приходилось видеть и такое). Эти обязанности должны разрабатываться на основе политики, но не внутри нее.

В политику безопасности должно входить:

  • ответственные лица за безопасность функционирования фирмы;
  • полномочия и ответственность отделов и служб в отношении безопасности;
  • организация допуска новых сотрудников и их увольнения;
  • правила разграничения доступа сотрудников к информационным ресурсам;
  • организация пропускного режима, регистрации сотрудников и посетителей;
  • использование программно-технических средств защиты;
  • другие требования общего характера.

Меры по обеспечению информационной безопасности:

  • управление персоналом;
  • физическая защита;
  • поддержание работоспособности;
  • реагирование на нарушения режима безопасности;
  • планирование восстановительных работ.

На программно-техническом уровне согласно современным представлениям должны быть доступны следующие механизмы безопасности:

  1. идентификация и проверка подлинности пользователей (аутентификация);
  2. управление доступом;
  3. протоколирование и аудит;
  4. криптография;
  5. экранирование;
  6. обеспечение высокой доступности.

Уровень личности

На сегодняшний день отдельные граждане в правовом отношении защищены через действие законов «О праве на информацию» и «О персональных данных».

Основная сложность состоит в неосведомленности пользователей о проблемах ИБ. Кроме того, в России пока не развит рынок индивидуальных средств защиты информации, исключение антивирусные средства.


Стратегии защиты информации

Стратегия - это общая, рассчитанная на перспективу руководящая установка при организации и обеспечении соответствующего вида деятельности, направленная на то, чтобы наиболее важные цели этой деятельности достигались при наиболее рациональном расходовании имеющихся ресурсов.

Организация защиты информации в самом общем виде может быть определена как поиск оптимального компромисса между потребностями в защите и необходимыми для этих целей ресурсами.

Потребности в защите обусловливаются, прежде всего, важностью и объемами защищаемой информации, а также условиями ее хранения, обработки и использования. Эти условия определяются уровнем (качеством) структурно-организационного построения объекта обработки информации, уровнем организации технологических схем обработки, местом и условиями расположения объекта и его компонентов и другими параметрами.

Размер ресурсов на защиту информации может быть ограничен определенным пределом либо определяется условием обязательного достижения требуемого уровня защиты. В первом случае защита должна быть организована так, чтобы при выделенных ресурсах обеспечивался максимально возможный уровень защиты, а во втором - чтобы требуемый уровень защиты обеспечивался при минимальном расходовании ресурсов.

Сформулированные задачи есть не что иное, как прямая и обратная постановка оптимизационных задач. Существует две проблемы, затрудняющие формальное решение.

Первая - процессы защиты информации находятся в значительной зависимости от большого числа случайных и труднопредсказуемых факторов, таких, как поведение злоумышленника, воздействие природных явлений, сбои и ошибки в процессе функционирования элементов системы обработки информации и др.

Вторая - среди средств защиты весьма заметное место занимают организационные меры, связанные с действием человека.

Обоснование числа и содержания необходимых стратегий будем осуществлять по двум критериям: требуемому уровню защиты и степени свободы действий при организации защиты. Значения первого критерия лучше всего выразить множеством тех угроз, относительно которых должна быть обеспечена защита:

1) от наиболее опасных из известных (ранее появившихся) угроз;

2) ото всех известных угроз;

3) ото всех потенциально возможных угроз.

Второй критерий выбора стратегий защиты сводится к тому, что организаторы и исполнители процессов защиты имеют относительно полную свободу распоряжения методами и средствами защиты и некоторую степень свободы вмешательства в архитектурное построение системы обработки информации, а также в организацию и обеспечение технологии ее функционирования. По этому аспекту удобно выделить три различные степени свободы.

1. Никакое вмешательство в систему обработки информации не допускается. Такое требование может быть предъявлено к уже функционирующим системам обработки информации, и нарушение процесса их функционирования для установки механизмов защиты не разрешается.

2. К архитектурному построению системы обработки информации и технологии ее функционирования допускается предъявлять требования неконцептуального характера. Другими словами, допускается приостановка процесса функционирования системы обработки информации для установки некоторых механизмов защиты.

3. Требования любого уровня, обусловленные потребностями защиты информации, принимаются в качестве обязательных условий при построении системы обработки информации, организации и обеспечении их функционирования.