- •Базовые понятия и практические аспекты информационной безопасности План лекции
- •1. Что такое информационная безопасность
- •1.1.Значение информации и её защита. Роль информации в современном мире
- •Значение защиты информации
- •Аспекты защиты
- •1.2. Понятие информационной безопасности в широком смысле
- •1.3. Основные составляющие информационной безопасности (для информации в широком смысле)
- •1.3.1. Категории информационной безопасности.
- •1.3.2. Информационные ресурсы
- •1.3.3.Каналы распространения информации
- •1.3.4. Ценность информации
- •1.3.5. Основные определения и критерии классификации угроз информационной безопасности.
- •Наиболее распространенные угрозы доступности
- •2. Информационные технологии и информационная безопасность
- •2.1. Основные термины и определения
- •Информационная безопасность
- •2.2. Аспекты информационной безопасности
- •3. Исторические аспекты возникновения и развития проблемы защиты информации
- •3.1. Периоды развития средств и методов защиты информации
- •Первый период (с древнейших времён до 20-х годов хiх века)
- •Второй период (с двадцатых годов XIX века до тридцатых годов хх века)
- •Третий период (с тридцатых годов хх века по настоящее время)
- •3.2. Развития системы защиты информации в настоящее время
- •3.3. Структура систем защиты информации, применяемых в общемировой практике обеспечения информационной безопасности
- •Организационная защита информации
- •Программно-аппаратная защита
- •Технические средства
- •Программные средства
- •Криптографические средства
- •Компьютерная вирусология
- •4. Теоретико-концептуальный подход к проблеме защиты информации
- •5. Современная постановка задачи защиты информации
- •5.1. Повышение значимости информации как общественного ресурса.
- •5.2. Существенные изменения в организации информационных технологий.
- •1)Интегральное представление понятия комплексности защиты информации.
- •2)Расширение рамок защиты информации.
- •6. Комплексное организационное построение систем защиты информации.
- •7. Организация защиты от информации.
- •7.1. Живучесть информационных систем
Информационная безопасность
Задачи Уровни обеспечения
- Доступность Государство:
- Целостность - Концептуально-политический
- Конфиденциальность - Законодательный
- Нормативно-технический
Предприятие:
- Административный
- Программно-технический
Отдельные граждане
Рис.1. Задачи и уровни обеспечения Информационной безопасности
Задачи информационной безопасности как обеспечения, комбинации доступности, целостности и конфиденциальности информации определяются в ряде международных и российских руководящих документов. В целом под этими терминами подразумевается соответственно :
- доступность информации - возможность за приемлемое время получить требуемую информационную услугу, а также предотвращение несанкционированного отказа в получении информации;
- целостность информации - предотвращение несанкционированной модификации или разрушения информации;
- конфиденциальность - предотвращение несанкционированного ознакомления с информацией.
Доступность информации является ведущим аспектом информационной безопасности.
Информационные системы создаются или приобретаются прежде всего для получения определенных информационных услуг. Если получение этих услуг становится невозможным, это наносит ущерб всем субъектам информационных отношений. Особенно ярко важность доступности как аспекта информационной безопасности проявляется в разного рода системах управления производством, транспортом. Менее критичными к отказам в доступе являются различные справочно-информационные услуги, которыми пользуется большое количество людей: продажа билетов, банковские операции, различного рода справки. Однако длительная недоступность ресурсов подобного рода может повлечь весьма не приятные последствия как в моральном, так и в материальном плане.
Целостность информации — также немаловажный аспект информационной безопасности, обеспечивающий предотвращение несанкционированных изменений и разрушений информации.
Примерами нарушения целостности могут служить различные, совершенные при помощи вычислительных систем, кражи в банках, подделка кредитных карточек, изменения информации в различных информационных системах.
2.2. Аспекты информационной безопасности
Самым проработанным и обширно представленным во всех измерениях является аспект конфиденциальности информации. На ее страже стоят законы, нормативные акты, технические средства и многолетний опыт различных государственных структур.
Однако обеспечение конфиденциальности информации — один из самых сложных в практической реализации аспект информационной безопасности.
В обеспечении информационной безопасности нуждаются четыре существенно разные категории субъектов:
- государство в целом;
- государственные организации;
- коммерческие структуры;
- отдельные граждане.
Рассмотрим особенности мер по обеспечению информационной безопасности на различных уровнях ее обеспечения в соответствии с рис.1
На концептуально-политическом уровне принимаются документы, в которых:
- определяются направления государственной политики информационной безопасности,
- формулируются цели и задачи обеспечения информационной безопасности всех перечисленных выше субъектов;
- намечаются пути и средства достижения поставленных целей и решения задач.
Примером такого документа является Доктрина информационной безопасности РФ.
На законодательном уровне создается и поддерживается комплекс мер, направленных на правовое регулирование обеспечения информационной безопасности, отражаемых в законах и других правовых актах (указы Президента, постановления Правительства и др.).
Одной из важных задач этого уровня является создание механизма, позволяющего согласовать процесс разработки законов с прогрессом информационных технологий. Естественно, законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к общему снижению информационной безопасности.
На нормативно-техническом уровне разрабатываются: стандарты, руководящие материалы, методические материалы и другие документы, регламентирующие процессы разработки, внедрения и эксплуатации средств обеспечения информационной безопасности.
Важной задачей этого уровня в настоящее время является, в частности, приведение российских стандартов в соответствие с международным уровнем информационных технологий вообще и информационной безопасности в частности.
Есть много причин, по которым это должно быть сделано. Одна из них — необходимость взаимодействия с зарубежными компаниями и зарубежными филиалами российских компаний. Сейчас эта проблема решается по существу в обход действующего законодательства, путем получения разовых разрешений.
На уровне предприятия осуществляются конкретные меры по обеспечению информационной безопасности деловой деятельности.
Их конкретный состав и содержание во многом определяется особенностями конкретного предприятия или организации. Например, даже из самых общих соображений понятно, что бессмысленно переносить практику режимных государственных организаций на коммерческие структуры, учебные заведения или персональные компьютерные системы. Тем не менее, здесь, как это и показано на рис. 1., можно выделить два характерных уровня обеспечения информационной безопасности — административный и программно-технический.
На административном уровне руководство организации реализует меры общего характера и конкретные меры обеспечения информационной безопасности.
Основой мер общего характера служит так называемая политика безопасности.
Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
Политика безопасности определяет :
- стратегию организации в области информационной безопасности,
- а также количество ресурсов, которые руководство считает целесообразным выделить.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п. В составе конкретных мер по обеспечению информационной безопасности можно выделить:
- управление персоналом;
- физическая защита;
- поддержание работоспособности;
- реагирование на нарушения режима безопасности;
- планирование восстановительных работ.
В целом ряде отечественных организаций накоплен богатый опыт составления перечня и реализации подобных мер, процедурных (организационных) мер, однако проблема состоит в том, что они или пришли из докомпьютерного прошлого, поэтому нуждаются в существенном пересмотре, или просто не поспевают за стремительным развитием информационных технологий.
На программно-техническом уровне согласно современным представлениям должны быть доступны по крайней мере следующие механизмы безопасности:
- идентификация и проверка подлинности пользователей;
- управление доступностью;
- протоколирование и аудит;
- криптография;
- экранирование;
- обеспечение высокой доступности.
В принципе здесь сегодня (если иметь в виду зарубежные продукты), доступен полный спектр решений. Если же рассмотреть практическую ситуацию, осложненную разного рода законодательными ограничениями, то окажется, что обеспечение информационной безопасности на программно-техническом уровне является весьма непростой задачей.