- •Утверждаю
- •1. Введение
- •2. Основные понятия и определения
- •3. Концептуальная модель информационной безопасности
- •4. Общие положения концепции обеспечения безопасности информационных систем (ис)
- •Структура концепции обеспечения информационной безопасности.
- •5. Заключение
- •Литература Основная литература
- •Дополнительная литература
2. Основные понятия и определения
Основой существующих понятий информационной безопасности является известное понятие безопасности, приведенное в Законе РФ "О безопасности". Президент России, председатель Совета безопасности (СБ) РФ Дмитрий Медведев 12 мая 2009 г.подписал указ "О Cтратегии национальной безопасности Российской Федерации до 2020г.".
В Стратегии используются следующие основные понятия:
"национальная безопасность" - состояние защищенности личности, общества и государства от внутренних и внешних угроз, которое позволяет обеспечить конституционные права, свободы, достойные качество и уровень жизни граждан, суверенитет, территориальную целостность и устойчивое развитие Российской Федерации, оборону и безопасность государства;
"национальные интересы Российской Федерации" - совокупность внутренних и внешних потребностей государства в обеспечении защищенности и устойчивого развития личности, общества и государства;
"угроза национальной безопасности" - прямая или косвенная возможность нанесения ущерба конституционным правам, свободам, достойному качеству и уровню жизни граждан, суверенитету и территориальной целостности, устойчивому развитию Российской Федерации, обороне и безопасности государства;
"стратегические национальные приоритеты" - важнейшие направления обеспечения национальной безопасности, по которым реализуются конституционные права и свободы граждан Российской Федерации, осуществляются устойчивое социально-экономическое развитие и охрана суверенитета страны, ее независимости и территориальной целостности;
"система обеспечения национальной безопасности" - силы и средства обеспечения национальной безопасности;
"силы обеспечения национальной безопасности" - Вооруженные Силы Российской Федерации, другие войска, воинские формирования и органы, в которых федеральным законодательством предусмотрена военная и (или) правоохранительная служба, а также федеральные органы государственной власти, принимающие участие в обеспечении национальной безопасности государства на основании законодательства Российской Федерации;
"средства обеспечения национальной безопасности" - технологии, а также технические, программные, лингвистические, правовые, организационные средства, включая телекоммуникационные каналы, используемые в системе обеспечения национальной безопасности для сбора, формирования, обработки, передачи или приема информации о состоянии национальной безопасности и мерах по ее укреплению.
7. Силы и средства обеспечения национальной безопасности сосредоточивают свои усилия и ресурсы на обеспечении национальной безопасности во внутриполитической, экономической, социальной сферах, в сфере науки и образования, в международной, духовной, информационной, военной, оборонно-промышленной и экологической сферах, а также в сфере общественной безопасности.
107. Информационная и информационно-аналитическая поддержка реализации настоящей Стратегии осуществляется при координирующей роли Совета Безопасности Российской Федерации за счет привлечения информационных ресурсов заинтересованных органов государственной власти и государственных научных учреждений с использованием системы распределенных ситуационных центров, работающих по единому регламенту взаимодействия.
108. Для развития системы распределенных ситуационных центров в среднесрочной перспективе потребуется преодолеть технологическое отставание в важнейших областях информатизации, телекоммуникаций и связи, определяющих состояние национальной безопасности, разработать и внедрить технологии информационной безопасности в системах государственного и военного управления, системах управления экологически опасными производствами и критически важными объектами, а также обеспечить условия для гармонизации национальной информационной инфраструктуры с глобальными информационными сетями и системами.
109. Угрозы информационной безопасности в ходе реализации настоящей Стратегии предотвращаются за счет совершенствования безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации, повышения уровня защищенности корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности.
Основными объектами безопасности в соответствии с Законом РФ "О безопасности" являются права и свободы личности, духовные материальные ценности общества, конституционный строй, суверенитет и территориальная целостность государства.
В силу этого обеспечение безопасности связано с системой мер различного характера, адекватных угрозам жизненно важным интересам личности, общества, государства, направленных на выявление и предупреждение угроз.
Угроза безопасности понимается как совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.
С учетом этого общего понятия безопасности, а также рассмотренных ранее определения безопасности и целей защиты информации можно считать, что наиболее полным будет определение информационной безопасности, приведенное в Доктрине информационной безопасности Российской Федерации (Утверждена Указом Президента РФ от 9 сентября 2000 года № Пр-1895).
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Содержания определения безопасности рассматривает состояние защищенности интересов личности, общества и государства в информационной сфере от воздействия внутренних и внешних угроз. Вполне очевидно, что и состояние защищенности информационной среды различных сфер деятельности, личности общества и государства также зависит от угроз, источником которых могут быть информация, информационные процессы, технологии и системы. Информация, информационные процессы, технологии и системы, в то же время являются и объектами защиты, как составляющие информационной среды.
Угроза информации (дестабилизирующий фактор) – явление (событие, случай), которое может произойти в интересующем интервале времени и следствием которого может быть существенное (имеющее значение) нежелательное воздействие на защищаемую информацию по одному или нескольким аспектам статуса защищенности.
Уязвимость информации – свойство информации, находящейся в системе ее обработки, подвергаться воздействию внутренних или внешних угроз с точки зрения одного или нескольких атрибутов статуса защищенности.
Показатель защищенности информации – характеристика, имеющая однозначно интерпретируемое содержание, по значению которой можно судить об уровне защищенности информации.
Уровень защищенности информации – значения представляющих интерес показателей защищенности, обеспечиваемые в конкретном состоянии системы ее обработки используемыми методами и средствами защиты.
Система защиты информации – организованная совокупность методов, средств и мероприятий; создаваемая в системе обработки данных для защиты информации.
Современный этап развития общества характеризуется возрастающей ролью информационной сферы, которая образована совокупностью информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений.
Сегодня влияние информации, под которой понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления, на все стороны жизни индивидуума и социума исключительно велики.
Напомню Вам, что информация может иметь различную форму, включая данные, заложенные в компьютерах, "синьки", кальки, письма или памятные записки, досье, формулы, чертежи, диаграммы, модели продукции и прототипы, диссертации, судебные документы и другое.
Незащищенность интересов граждан, общества и государства в информационной сфере является самостоятельной угрозой безопасности Российской Федерации. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Более того, национальная безопасность страны существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.
Постулаты:
1. Информация – это всеобщее свойство материи.
2. Любое взаимодействие в природе и обществе основано на информации.
3. Всякий процесс совершения работы есть процесс информационного взаимодействия.
4. Информация – продукт отражения действительности.
5. Действительность отражается в пространстве и времени.
6. Ничего не происходит из ничего.
7. Информация сохраняет свое значение в неизменном виде до тех пор, пока остается в неизменном виде носитель информации – ПАМЯТЬ.
8. Ничто не исчезает просто так.
Как и всякий продукт, информация имеет потребителей, нуждающихся в ней, и потому обладает определенными потребительскими качествами, а также имеет и своих обладателей или производителей.
С точки зрения потребителя, качество используемой информации позволяет получать дополнительный экономический или моральный эффект, а также реализовать решение возложенных задач, например правоохранительным органам.
С точки зрения обладателя – сохранение в тайне коммерчески важной информации позволяет успешно конкурировать на рынке производства и сбыта товаров и услуг, а также выполнять возложенные функции. Это, естественно, требует определенных действий, направленных на защиту конфиденциальной информации.
Под информационной безопасностью (ИБ) понимается состояние защищенности интересов, будь-то личности, общества, предприятия или даже государства в информационной сфере, определяющихся совокупностью сбалансированных интересов.
Таким образом, понимая под безопасностью состояние защищенности жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз, можно выделить и компоненты безопасности – такие, как персонал, материальные и финансовые средства и информацию.
Как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту.
Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса. Более того, можно говорить о весьма значимом "человеческом" факторе.
Таким образом, возникает необходимость введения еще одного термина – безопасность информации.
Обычно под безопасностью информации понимается такое ее состояние, при котором сохраняются целостность защищаемой информации – то есть отсутствие утраты или модификации информации – и установленный режим доступа – то есть отсутствие несанкционированного ознакомления или копирования информации. Иногда "формула" безопасности информации дополняется третьим "слагаемым" – сохранностью доступности информации, которая может быть утрачена в результате неправомерных или ошибочных действий, сбоев в работе технических средств (так, например, повреждение таблицы размещения файлов – FAT, делает невозможным доступ к сведениям, расположенным на компьютерном носителе, с помощью стандартных программных средств). Государственный отраслевой стандарт Российской Федерации1 постулирует следующие основные угрозы безопасности информации: утечка, преднамеренные неправомерные воздействия на защищаемую информацию или технические средства и непреднамеренные воздействия (стихийные бедствия, техногенные катастрофы, аварии, отказы технических средств).
Опыт также показывает, что:
– обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;
– безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм – систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий;
– никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту (рис. 1).
С учетом накопленного опыта можно говорить о возникновении систем защиты информации.
Дадим определение этому понятию: система защиты информации – есть не что иное, как сознательное создание совокупности специальных методов и средств, мероприятий и органов, обеспечивающих защиту информации от внутренних и внешних угроз.
С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:
– непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;
– плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);
– целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;
– конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;
– активной. Защищать информацию необходимо с достаточной степенью настойчивости;
– надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;
– универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;
– комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита – это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообусловливающих друг друга сторон, свойств, тенденций.
Теперь дадим определение понятию "защита информации". Итак, защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. В последующих лекциях дадим определение именно защищаемой информации.
Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:
– охватывать весь технологический комплекс информационной деятельности;
– быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;
– быть открытой для изменения и дополнения мер обеспечения безопасности информации;
– быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;
– быть простой для технического обслуживания и удобной для эксплуатации пользователями;
– быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;
– быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы.
К системе безопасности информации предъявляются также определенные требования:
– четкость определения полномочий и прав пользователей на доступ к определенным видам информации;
– предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;
– сведение к минимуму числа общих для нескольких пользователей средств защиты;
– учет случаев и попыток несанкционированного доступа к конфиденциальной информации;
– обеспечение оценки степени конфиденциальной информации;
– обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.
Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого СЗИ может иметь:
– правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия;
– организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и другими;
– аппаратное обеспечение. Предполагается широкое использование технических средств как для защиты информации, так и для обеспечения деятельности собственно СЗИ;
– информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;
– программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;
– математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;
– лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;
– нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.
Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.
Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий.
Удовлетворить современные требования по обеспечению безопасности предприятия и защиты его конфиденциальной информации может только комплексная система безопасности.