>

Три аспекта системы информационной безопасности. Три аспекта информационной безопасности: доступность, целостность, конфиденциальность. Три вида возможных нарушений информационной системы. Системы аутентификации электронных данных

Аннотация: В лекции рассмотрены основные понятия информационной безопасности. Ознакомление с ФЗ " Об информации, информационных технологиях и о защите информации".

ГОСТ " Защита информации . Основные термины и определения" вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ее конфиденциальность , доступность и целостность .

  • Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.
  • Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
  • Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [ , ]. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, - злоумышленником . Потенциальные злоумышленники называются источниками угрозы .

Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.

Угрозы можно классифицировать по нескольким критериям:

  • по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;
  • по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура );
  • по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);
  • по расположению источника угроз (внутри/вне рассматриваемой ИС).

Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход . Выделяют следующие уровни защиты информации:

  1. законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества;
  2. административный – комплекс мер, предпринимаемых локально руководством организации;
  3. процедурный уровень – меры безопасности, реализуемые людьми;
  4. программно-технический уровень – непосредственно средства защиты информации.

Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность .

1.2. ФЗ "Об информации, информационных технологиях и о защите информации"

В российском законодательстве базовым законом в области защиты информации является ФЗ "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года номер 149-ФЗ. Поэтому основные понятия и решения, закрепленные в законе, требуют пристального рассмотрения.

Закон регулирует отношения, возникающие при:

  • осуществлении права на поиск, получение, передачу, производство и распространение информации;
  • применении информационных технологий;
  • обеспечении защиты информации.

Закон дает основные определения в области защиты информации. Приведем некоторые из них:

  • информация - сведения (сообщения, данные) независимо от формы их представления;
  • информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
  • информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
  • обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
  • оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
  • конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя .

В статье 4 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:

  1. свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
  2. установление ограничений доступа к информации только федеральными законами;
  3. открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
  4. равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
  5. обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
  6. достоверность информации и своевременность ее предоставления;
  7. неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
  8. недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Вся информация делится на общедоступную и ограниченного доступа . К общедоступной информации относятся общеизвестные сведения и иная информация , доступ к которой не ограничен. В законе, определяется информация , к которой нельзя ограничить доступ , например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

  1. информацию, свободно распространяемую;
  2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
  3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
  4. информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Закон устанавливает равнозначность электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи, и документа, подписанного собственноручно.

Дается следующее определение защите информации - представляет собой принятие правовых, организационных и технических мер, направленных на:

  1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  2. соблюдение конфиденциальности информации ограниченного доступа;
  3. реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

  1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
  2. своевременное обнаружение фактов несанкционированного доступа к информации;
  3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
  4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
  5. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
  6. постоянный контроль за обеспечением уровня защищенности информации.

Таким образом, ФЗ "Об информации, информационных технологиях и о защите информации" создает правовую основу информационного обмена в РФ и определяет права и обязанности его субъектов.

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.

Цель информационной безопасности - обезопасить ценности системы, защитить и гарантировать точность и целостность информации и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена.

На практике важнейшими являются три аспекта информационной безопасности:

1. Доступность (возможность за разумное время получить требуемую информационную услугу);

2. Целостность (ее защищенность от разрушения и несанкционированного изменения);

3. Конфиденциальность (защита от несанкционированного прочтения).

Способы (методы) защиты информации:

· Препятствие - создание на пути угрозы преграды, преодоление которой сопряжено с возникновением сложностей для злоумышленника или дестабилизирующего фактора.

· Управление - оказание управляющих воздействий на элементы защищаемой системы.

· Маскировка - действия над защищаемой системой или информацией, приводящие к такому их преобразованию, которое делает их недоступными для злоумышленника. (Сюда можно, в частности, отнести криптографические методы защиты).

· Регламентация - разработка и реализация комплекса мероприятий, создающих такие условия обработки информации, которые существенно затрудняют реализацию атак злоумышленника или воздействия других дестабилизирующих факторов.

· Принуждение - метод заключается в создании условий, при которых пользователи и персонал вынуждены соблюдать условия обработки информации под угрозой ответственности (материальной, уголовной, административной)

· Побуждение - метод заключается в создании условий, при которых пользователи и персонал соблюдают условия обработки информации по морально-этическим и психологическим соображениям.

Средства защиты информации:

· Физические средства - механические, электрические, электромеханические, электронные, электронно-механические и т. п. устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

· Аппаратные средства - различные электронные и электронно-механические и т.п. устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач защиты информации.

· Программные средства - специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения с целью решения задач защиты информации.

· Организационные средства - организационно-технические мероприятия, специально предусматриваемые в технологии функционирования системы с целью решения задач защиты информации.

· Законодательные средства - нормативно-правовые акты, с помощью которых регламентируются права и обязанности, а также устанавливается ответственность всех лиц и подразделений, имеющих отношение к функционированию системы, за нарушение правил обработки информации, следствием чего может быть нарушение ее защищенности.

· Психологические (морально-этические средства) - сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.

Методы и средства защиты информации

Методы обеспечения безопасности информации в ИС:

· препятствие;

· управление доступом;

· механизмы шифрования;

· противодействие атакам вредоносныхпрограмм;

· регламентация;

· принуждение;

· побуждение.

Препятствие – метод физического преграждения пути злоумышленнику к

защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом – методы защиты информации регулированием

использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем

возможным путям несанкционированного доступа к информации.

Управление доступом включает следующие функции зашиты:

· идентификацию пользователей, персонала и ресурсов системы (присвоение

каждому объекту персонального идентификатора);

· опознание (установление подлинности) объекта или субъекта по

предъявленному им идентификатору;

· проверку полномочий (проверка соответствия дня недели, времени суток,

запрашиваемыхресурсов и процедур установленному регламенту);

· разрешение и создание условий работы в пределахустановленного регламента;

· регистрацию (протоколирование) обращений к защищаемым ресурсам;

· реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.)

при попыткахнесанкционированныхдействий.

Механизмы шифрования – криптографическое закрытие информации. Эти

методы защиты все шире применяются как при обработке, так и при хранении

информации на магнитных носителях. При передаче информации по каналам связи

большой протяженности этот метод является единственно надежным.

Противодействие атакам вредоносных программ предполагает комплекс

разнообразных мер организационного характера и использование антивирусных

программ. Цели принимаемых мер – это уменьшение вероятности инфицирования

АИС, выявление фактов заражения системы; уменьшение последствий

информационных инфекций, локализация или уничтожение вирусов; восстановление

информации в ИС. Овладение этим комплексом мер и средств требует знакомства со

специальной литературой.

Регламентация – создание таких условий автоматизированной обработки,

хранения и передачи защищаемой информации, при которых нормы и стандарты по

защите выполняются в наибольшей степени

Принуждение – метод защиты, при котором пользователи и персонал ИС

вынуждены соблюдать правила обработки, передачи и использования защищаемой

информации под угрозой материальной, административной или уголовной

ответственности.

Побуждение – метод защиты, побуждающий пользователей и персонал ИС не

нарушать установленные порядки за счет соблюдения сложившихся моральных и

этическихнорм.

Вся совокупность технических средств подразделяется на аппаратные и

физические.

Аппаратные средства – устройства, встраиваемые непосредственно в

вычислительную технику, или устройства, которые сопрягаются с ней по стандартному

интерфейсу.

Физические средства включают различные инженерные устройства и

сооружения, препятствующие физическому проникновению злоумышленников на

объекты защиты и осуществляющие защиту персонала (личные средства

безопасности), материальных средств и финансов, информации от противоправных

действий. Примеры физических средств: замки на дверях, решетки на окнах, средства

электронной охранной сигнализации и т.п.

Программные средства – это специальные программы и программные

комплексы, предназначенные для защиты информации в ИС. Как отмечалось, многие

из нихслиты с ПО самой ИС.

Из средств ПО системы защиты выделим еще программные средства,

реализующие механизмы шифрования (криптографии). Криптография – это наука об

обеспечении секретности и/или аутентичности (подлинности) передаваемых

сообщений.

Организационные средства осуществляют своим комплексом регламентацию

производственной деятельности в ИС и взаимоотношений исполнителей на

нормативно-правовой основе таким образом, что разглашение, утечка и

несанкционированный доступ к конфиденциальной информации становится

невозможным или существенно затрудняется за счет проведения организационных

мероприятий. Комплекс этих мер реализуется группой информационной

безопасности, но должен находиться под контролем первого руководителя.

Законодательные средства защиты определяются законодательными актами

страны, которыми регламентируются правила пользования, обработки и передачи

информации ограниченного доступа и устанавливаются меры ответственности за

нарушение этихправил.

Морально-этические средства защиты включают всевозможные нормы

поведения (которые традиционно сложились ранее), складываются по мере

распространения ИС и ИТ в стране и в мире или специально разрабатываются.

Морально-этические нормы могут быть неписаные (например честность) либо

оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило,

не являются законодательно утвержденными, но поскольку ихнесоблюдение приводит

к падению престижа организации, они считаются обязательными для исполнения.

Характерным примером таких предписаний является Кодекс профессионального

поведения членов Ассоциации пользователей ЭВМ США.

9.3. Технологии обеспечения безопасности

При использовании любой информационной технологии следует обращать

внимание на наличие средств защиты данных, программ, компьютерныхсистем.

Безопасность данных включает обеспечение достоверности данных и защиту

данныхи программ от несанкционированного доступа, копирования, изменения.

Достоверность данных контролируется на всех этапах технологического процесса

эксплуатации ЭИС. Различают визуальные и программные методы контроля.

Визуальный контроль выполняется на домашинном и заключительном этапах.

Программный – на внутримашинном этапе. При этом обязателен контроль при вводе

данных, их корректировке, т.е. везде, где есть вмешательство пользователя в

вычислительный процесс. Контролируются отдельные реквизиты, записи, группы

записей, файлы. Программные средства контроля достоверности данных

закладываются на стадии рабочего проектирования.

Защита данных и программ от несанкционированного доступа, копирования,Информационные тех0н3о.л0о1г.и1и3в экономике: 9.2. Методы и средства защиты информации »

abc.v v su.ru/Books/inform_tehnolog/page0025.asp 3/4

изменения реализуется программно-аппаратными методами и технологическими

приемами. К программно-аппаратным средствам защиты относят пароли, электронные

ключи, электронные идентификаторы, электронную подпись, средства кодирования,

декодирования данных. Для кодирования, декодирования данных, программ и

электронной подписи используются криптографические методы. Например, в США

применяется криптографический стандарт, разработанный группой IETF. Экспорту он

не подлежит. Разработаны в том числе и отечественные электронные ключи, например,

NovexKey для защиты программ и данных в системах Windows, DOS, Netware.

Средства защиты аналогичны, по словам специалистов, дверному замку. Замки

взламываются, но никто не убирает ихс двери, оставив квартиру открытой.

Технологический контроль заключается в организации многоуровневой

системы защиты программ и данных как средствами проверки паролей, электронных

подписей, электронных ключей, скрытых меток файла, использованием программных

продуктов, удовлетворяющих требованиям компьютерной безопасности, так и

методами визуального и программного контроля достоверности, целостности, полноты

Безопасность обработки данных зависит от безопасности использования

компьютерных систем. Компьютерной системой называется совокупность

аппаратных и программных средств, различного рода физических носителей

информации, собственно данных, а также персонала, обслуживающего перечисленные

компоненты.

В настоящее время в США разработан стандарт оценок безопасности

компьютерных систем – критерии оценок пригодности. В нем учитываются четыре

типа требований к компьютерным системам:

· требования к проведению политики безопасности – securitypolicy;

· ведение учета использования компьютерныхсистем – accounts;

· доверие к компьютерным системам;

· требования к документации.

Требования к проведению последовательной политики безопасности и ведение

учета использования компьютерных систем зависят друг от друга и обеспечиваются

средствами, заложенными в систему, т.е. решение вопросов безопасности включается

в программные и аппаратные средства на стадии проектирования.

Нарушение доверия к компьютерным системам, как правило, бывает вызвано

нарушением культуры разработки программ: отказом от структурного

программирования, неисключением заглушек, неопределенным вводом и т.д. Для

тестирования на доверие нужно знать архитектуру приложения, правила устойчивости

его поддержания, тестовый пример.

Требования к документации означают, что пользователь должен иметь

исчерпывающую информацию по всем вопросам. При этом документация должна

быть лаконичной и понятной.

Только после оценки безопасности компьютерной системы она может поступить

на рынок.

Во время эксплуатации ИС наибольший вред и убытки приносят вирусы. Защиту

от вирусов можно организовать так же, как и защиту от несанкционированного

доступа. Технология защиты является многоуровневой и содержит следующие этапы:

1. Входной контроль нового программного обеспечения или дискеты, который

осуществляется группой специально подобранных детекторов, ревизоров и фильтров.

Например, в состав группы можно включить Scan, Aidstest, TPU8CLS. Можно

провести карантинный режим. Для этого создается ускоренный компьютерный

календарь. При каждом следующем эксперименте вводится новая дата и наблюдается

отклонение в старом программном обеспечении. Если отклонения нет, то вирус не

обнаружен.

2. Сегментация жесткого диска. При этом отдельным разделам диска

присваивается атрибут ReadOnly. Для сегментации можно использовать, например,

программу Manager и др.

3. Систематическое использование резидентных, программ-ревизоров и фильтров

для контроля целостности информации, например Check21, SBM, Antivirus2 и т.д.

4. Архивирование. Ему подлежат и системные, и прикладные программы. Если

один компьютер используется несколькими пользователями, то желательно

ежедневное архивирование. Для архивирования можно использовать PKZIP и др.Эффективность программных средств защиты зависит от правильности действий

пользователя, которые могут быть выполнены ошибочно или со злым умыслом.

Поэтому следует предпринять следующие организационные меры защиты:

· общее регулирование доступа, включающее систему паролей и сегментацию

винчестера;

· обучение персонала технологии защиты;

· обеспечение физической безопасности компьютера и магнитныхносителей;

· выработка правил архивирования;

· хранение отдельныхфайлов в шифрованном виде;

· создание плана восстановления винчестера и испорченной информации.

Для шифровки файлов и защиты от несанкционированного копирования

разработано много программ, например Catcher, Exeb и др. Одним из методов защиты

является скрытая метка файла: метка (пароль) записывается в сектор на диске,

который не считывается вместе с файлом, а сам файл размещается с другого сектора,

тем самым файл не удается открыть без знания метки.

Восстановление информации на винчестере – трудная задача, доступная

системным программистам с высокой квалификацией. Поэтому желательно иметь

несколько комплектов дискет для архива винчестера и вести циклическую запись на эти

комплекты. Например, для записи на трех комплектах дискет можно использовать

принцип «неделя-месяц-год». Периодически следует оптимизировать расположение

файлов на винчестере с помощью утилиты SpeedDisk и т.п., что существенно

облегчает их восстановление.

Аннотация: Понятия экономической и информационной безопасности. Ключевые вопросы ИБ. Виды угроз информационной безопасности и классификация источников угроз. Основные виды защищаемой информации. Правовое обеспечение информационной безопасности. Основные аспекты построения системы информационной безопасности.

Понятия экономической и информационной безопасности. Ключевые вопросы ИБ

Информация давно перестала быть просто необходимым для производства материальных ценностей вспомогательным ресурсом - она приобрела ощутимый стоимостный вес , который четко определяется реальной прибылью, получаемой при её использовании, или размерами ущерба, наносимого владельцу информации. Создание технологий и индустрии сбора, переработки, анализа информации и её доставки конечному пользователю порождает ряд сложных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса информации (актуальности, полноты, непротиворечивости, конфиденциальности), циркулирующей и обрабатываемой в информационно-вычислительных системах и сетях, а также безопасность самих систем и технологий.

Современное развитие информационных технологий и, в частности, технологий Internet /Intranet, приводит к необходимости защиты информации, передаваемой в рамках распределенной корпоративной сети, использующей сети открытого доступа. При использовании своих собственных закрытых физических каналов доступа эта проблема так остро не стоит, так как в эту сеть закрыт доступ посторонним. Однако выделенные каналы может себе позволить далеко не любая компания. Поэтому приходится довольствоваться тем, что есть в распоряжении компании. А есть чаще всего Internet . Поэтому приходиться изобретать способы защиты конфиденциальных данных, передаваемых по фактически незащищенной сети.

Безопасность информационных технологий (ИТ) и систем (ИС) является одной из важнейших составляющих проблемы обеспечения экономической безопасности организации. Переход к новым формам государственного и хозяйственного управления экономикой в России в условиях дефицита и противоречивости правовой базы породил целый комплекс проблем в области защиты данных, информации, знаний и самих ИКТ. Это и своеобразие становления рыночных отношений, и отсутствие обоснованных концепций реформ, и отставание в области применения современных информационных технологий в управлении и производстве. Обострение этих проблем выдвинули на первый план вопросы обеспечения национальной, социальной и корпоративной безопасности, в том числе и в информационной сфере.

В 1983 году министерство обороны США выпустило "Оранжевую книгу" - "Критерии оценки надежных компьютерных систем" ["Trusted Computer System Evaluation Criteria ( TCSEC )". - USA, Department of Defense, 5200.28-STD, 1993], положив тем самым начало систематическому формированию знаний об информационной безопасности (ИБ) за пределами правительственных ведомств.

Во второй половине 1980-х годов аналогичные по назначению документы были изданы в ряде европейских стран [ Information Technology Security Evaluation Criteria ( ITSEC ). Harmonised Criteria of France-Germany-Netherlands-United Kingdom. - Department of Trade and Industry , London, 1991].

В 1992 году в России Государственная техническая комиссия при Президенте РФ (Гостехкомиссия РФ) издала серию документов, посвященных проблеме защиты от несанкционированного доступа.

" Оранжевая книга " и последующие подобные издания были ориентированы в первую очередь на корпоративных разработчиков программного обеспечения и информационных систем, а не на пользователей или системных администраторов. Динамичное развитие вычислительной техники, компьютерных технологий и широкое применение их в бизнесе показало, что информационная безопасность является одним из важнейших аспектов интегральной безопасности на всех уровнях - национальном, корпоративном или персональном. Для иллюстрации можно привести несколько примеров.

В 2012 году в США был опубликован годовой отчет "Компьютерная преступность и безопасность : проблемы и тенденции" ("Issues and Trends: 2012 CSI/FBI Computer Crime and Security Survey"). В отчете отмечается увеличивающийся рост числа компьютерных преступлений (39% из числа опрошенных). Информационные системы 28% респондентов были взломаны внешними злоумышленниками. Атакам через Internet подвергались 77%, в 59% случаев отмечались нарушения со стороны собственных сотрудников. В большом числе компаний (31%) вообще не следили за состоянием безопасности своих компьютерных и сетевых систем, полагаясь на защитные модули компьютерных программ и приложений. В аналогичном отчете, опубликованном в апреле 2013 года, тенденция осталась прежней:

  • 90% опрошенных (преимущественно из крупных компаний и правительственных структур) сообщили, что за последние 12 месяцев в их организациях имели место нарушения информационной безопасности;
  • 78% констатировали значительные финансовые потери от этих нарушений;
  • 49% оценили потери количественно - их общая сумма составила более 640 млн. долларов.

Согласно результатам совместного исследования Института информационной безопасности США и ФБР, в 2012 году ущерб от компьютерных преступлений достиг более 900 миллионов долларов, что на 34% больше, чем в 2011 году. Каждое компьютерное преступление наносит ущерб примерно в 200-300 тысяч долларов. Потери крупнейших компаний, вызванные компьютерными вторжениями, продолжают увеличиваться, несмотря на рост затрат на средства обеспечения безопасности (" Internet Week", 2013 г.).

Наибольший ущерб , по исследованиям Gartner Group , нанесло манипулирование доступом во внутреннее информационное пространство : кражи данных и информации из корпоративных сетей и баз данных, подмена информации, подлоги документов в электронном виде, промышленный шпионаж. Наряду с возрастанием числа внешних атак в последние годы отмечается резкий рост распространения вирусов через Интернет .

Однако, увеличение числа атак и распространение вирусов еще не самая большая неприятность - постоянно обнаруживаются новые уязвимые места в программном обеспечении. В информационных письмах Национального центра защиты инфраструктуры США (National Infrastructure Protection Center USA - NIPC ) сообщается, что за период с 2000 по 2012 годы выявлено несколько десятков существенных проблем с программным обеспечением, риск использования которых оценивается как средний или высокий. Среди "пострадавших" операционных платформ - почти все разновидности ОС Unix, Windows , Mac OS, . NET . В таких условиях специалисты и системы информационной безопасности должны уметь противостоять внешним и внутренним угрозам, выявлять проблемы в системах защиты программного обеспечения и на основе соответствующей политики вырабатывать адекватные меры по компенсации угроз и уменьшению рисков.

При анализе проблематики, связанной с информационной безопасностью (ИБ), необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть разработки, внедрения и эксплуатации информационных систем и технологий - области, развивающейся беспрецедентно высокими темпами.

К сожалению, современная технология программирования не позволяет создавать полностью безошибочные и безопасные программы. Поэтому следует исходить из того, что необходимо создавать надежные системы ИБ с привлечением не стопроцентно надежных программных компонентов (программ)!

В принципе, это возможно, но требует соблюдения определенных принципов архитектурного построения программных комплексов и контроля состояния защищенности программно-аппаратного обеспечения, телекоммуникационных устройств и сетей на всем протяжении жизненного цикла ИС.

Экономическая и информационная безопасность. Составляющие информационной безопасности

Для чего необходимы знания по основам информационной безопасности? Как строить безопасные, надежные системы и сети? Как поддерживать режим безопасности информации в системах и сетях? Бурное развитие техники, новейших компьютерных технологий и широкое применение их в бизнесе показало, что информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне ни рассматривать эту проблему - национальном, корпоративном или персональном.

Необходимость реализации, сопровождения и развития систем ИБ - это оборотная сторона широкого использования информационных технологий, так как наступление нового этапа развития ИТ закономерно приводит к быстрому падению уровня информационной безопасности (рис. 1.1).


Рис. 1.1.

Отметим ещё одну существенную - можно сказать парадоксальную - особенность развития информационных технологий: технологии постоянно усложняются, однако квалификация нарушителей и злоумышленников понижается (рис. 1.2). Это происходит оттого, что новые средства создания программного кода и сетевые технологии изначально строятся так, чтобы они были доступны пользователям, не обладающим высокой профессиональной подготовкой.


Рис. 1.2.

В "Доктрине информационной безопасности Российской Федерации" защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере. К настоящему времени сложилась общепринятая точка зрения на концептуальные основы ИБ. Суть ее заключается в том, что подход к обеспечению ИБ должен быть комплексным, сочетающим меры следующих уровней:

  • законодательного - федеральные и региональные законы, подзаконные и нормативные акты, международные, отраслевые и корпоративные стандарты;
  • административного - действия общего и специального характера, предпринимаемые руководством организации;
  • процедурного - меры безопасности, закрепленные в соответствующих методологиях и реализуемые ответственными менеджерами и персоналом предприятия;
  • научно-технического - конкретные методики, программно-аппаратные, технологические и технические меры.

Главными принципами обеспечения безопасности в соответствии с законом РФ "О безопасности" являются: законность, соблюдение баланса жизненно важных интересов личности, общества и государства, взаимная ответственность перечисленных субъектов, интеграция системы безопасности в рамках компании, общества, государства, взаимодействие с международными системами безопасности.

Экономическая безопасность предпринимательской деятельности и хозяйствующего субъекта можно определить как "защищенность жизненно важных интересов государственного или коммерческого предприятия от внутренних и внешних угроз, защиту кадрового и интеллектуального потенциала, технологий, данных и информации, капитала и прибыли, которая обеспечивается системой мер правового, экономического, организационного, информационного, инженерно-технического и социального характера" [Грунин О. А., Грунин С. О., 2002].

Стратегия обеспечения экономической безопасности Российской Федерации строится на основании официально действующих правовых и нормативных актов, основными из которых являются:

  • Конституция Российской Федерации;
  • Закон "О безопасности" от 5 марта 1992 г. с изменениями и дополнениями от 25 декабря 1992 г.;
  • Государственная стратегия экономической безопасности РФ (Основные положения), одобренная Указом Президента РФ № 608 от 29 апреля 1996 г.;
  • Концепция национальной безопасности Российской Федерации, введенная Указом Президента РФ № 24 от 10 января 2000 г.

Исходя из необходимости достижения целей обеспечения экономической безопасности предпринимательской деятельности, можно выделить следующие основные проблемные направления:

  • организацию эффективной защиты материальной, финансовой и интеллектуальной собственности,
  • защиту информационных ресурсов предприятия,
  • эффективное управление ресурсами и персоналом.

В современных условиях коммерческий успех любого предприятия в большой степени зависит от оперативности и мобильности бизнеса, от своевременности и быстроты принятия эффективных управленческих решений. А это невозможно без надежного и качественного информационного взаимодействия между различными участниками бизнес-процессов. Сегодня предприятия в качестве среды для информационного обмена все чаще используют открытые каналы связи сетей общего доступа (Internet) и внутреннее информационное пространство предприятия (Intranet). Открытые каналы Internet/Intranet намного дешевле по сравнению с выделенными каналами. Однако сети общего пользования имеют существенный недостаток - открытость и доступность информационной среды. Компании не могут полностью контролировать передачу и приём данных по открытым каналам и при этом гарантировать их целостность и конфиденциальность. Злоумышленникам не составляет особого труда перехватить деловую информацию с целью ознакомления, искажения, кражи и т. п.рис. 1.3

  • конфиденциальность - засекреченная информация должна быть доступна только тому, кому она предназначена: такую информацию невозможно получить, прочитать, изменить, передать, если на это нет соответствующих прав доступа;
  • доступность (готовность) - это возможность за приемлемое время получить требуемую информационную услугу: данные, информация и соответствующие службы, автоматизированные сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда в них возникает необходимость.

    • Деятельность по обеспечению информационной безопасности направлена на то, чтобы не допустить, предотвратить или нейтрализовать:

    • несанкционированный доступ к информационным ресурсам (НСД, Unauthorized Access - UAA);
    • искажение, частичную или полную утрату конфиденциальной информации;
    • целенаправленные действия (атаки) по разрушению целостности программных комплексов, систем данных и информационных структур;
    • отказы и сбои в работе программно-аппаратного и телекоммуникационного обеспечения.

    Для большинства государственных и коммерческих организаций вопросы защиты от несанкционированного доступа и сохранности данных и информации имеют более высокий приоритет, чем проблемы локальных неисправностей компьютерного и сетевого оборудования. Напротив, для многих открытых организаций (общественных, учебных) защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте. Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем (ИТ/ИС).

    Доступность – возможность получения информации за приемлемое время лицами, процессами или системами, имеющими на это право.

    Считается, что доступность информации является важнейшим элементом информационной безопасности: информационные системы (ИС) создаются для получения информационных услуг, а если предоставить услуги пользователям становится невозможно, это наносит ущерб всем субъектам информационных отношений.

    Целостность – актуальность и непротиворечивость информации, защищенность от разрушения и несанкционированного изменения.

    Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций). Средства контроля динамической целостности применяются при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

    Конфиденциальность – защищенность от несанкционированного доступа к информации.

    Аспект конфиденциальность считается наиболее проработанным в РФ

    Существует 3 вида возможных нарушений ИС: нарушение целостности, доступности и конфиденциальности информации.

    Нарушения доступности информации могут быть связаны со следующими факторами: отказы пользователей, внутренние отказы, отказ поддерживающей инфраструктуры. К отказам пользователей относятся: нежелание работать в силу несоответствия запросов пользователей с фактическими характеристиками системы и по др. причинам, невозможность работать в силу отсутствия соответствующей подготовки или отсутствия технической поддержки. Основными источниками внутренних отказов являются: случайное или умышленное отступление от правил эксплуатации, ошибки при (пере) конфигурировании системы, отказы программного и аппаратного обеспечения, разрушение данных, разрушение или повреждение аппаратуры. Отказы поддерживающей инфраструктуры предполагают случайное или умышленное нарушение работы систем связи, электропитания, тепло- и водоснабжения; разрушение или повреждение помещений и т.п.

    Нарушения целостности информации предполагают нарушение статической и динамической целостности. Статическая целостность может быть нарушена путем ввода неверных данных или изменения данных. Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочивание, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

    Конфиденциальность данных может быть нарушена путем перехвата данных (передаваемых в разговоре, в письме, по сети), атак (в т.ч. подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), методы морально-психологического воздействия (напр., маскарад – выполнение действий под видом лица, обладающего полномочиями, для доступа к данным). Также, конфиденциальность информации может быть нарушена в результате злоупотребления полномочиями (напр., системный администратор способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д.).

    Проблема обеспечения информационной безопасности носит комплексный характер. 11о нашему мнению, для того чтобы более полно и системно изложить международно-правовые вопросы в сфере обеспечения информационной безопасности государства и предложить пути их решения, необходимо начать рассмотрение этой проблемы с определения основных аспектов информационной безопасности.

    В проблеме информационной безопасности можно выделить два основных аспекта. Первый аспект включает в себя спектр вопросов, относящихся к информации и к ее содержанию. Это прежде всего вопросы характера распространяемых сведений, их соответствия определенным правилам, и прежде всею принципам международного права, вопросы получения информации различными способами и т.д.

    Второй аспект включает в себя круг вопросов, относящихся к средствам сбора, накопления, обработки, хранения и передачи информации. К этим средствам относятся прежде всего вычислительная техника (компьютеры), информационно-телекоммуникационные сети, другие технические средства, обеспечивающие сбор, накопление, обработку, хранение и передачу информации. Проблема обеспечения функционирования указанных средств в современном мире перестает быть исключительно технической проблемой. В настоящее время общепризнано, что быстрое и устойчивое развитие государства невозможно без широкого использования информационных технологий и средств обработки информации. Объективной реальностью в современном мире стало то, что критически важные для функционирования государства структуры, такие как транспорт, энергоснабжение, кредитно-финансовая сфера, связь, система обороны, правоохранительные органы, все более полагаются в своей деятельности на информационные технологии и средства обработки информации, которые должны обеспечивать такие свойства обрабатываемой ими информации.

    Как целостность, объективность. доступность и, в необходимых случаях, конфиденциальность. Таким образом, обеспечение надлежащего функционирования указанных средств становится проблемой социальной, а следовательно требующей соответствующего правового регулирования.

    Два обозначенных выше аспекта информационной безопасности можно обнаружить во всех проблемах обеспечения информационной безопасности. Выделение этих аспектов необходимо потому, что они отражают две различные сферы общественных отношений, которые требуют установления различных правовых режимов. Смешение этих аспектов приводит к тому, что возникают затруднения в определении понятий, в их разграничении, в разработке предложений по правовому регулированию проблем обеспечения информационной безопасности.

    Разумеется, что информационная безопасность имеет еще очень много аспектов, так как безопасность сама по себе явление системное, многоуровневое и в тоже время целостное . Но, на наш взгляд, большинство проблем в сфере информационной безопасности включается в указанные два аспекта, а в случае рассмотрения вопроса международно­правового регулирования, выделение этих аспектов еще более оправдано, так как. и это будет показано далее, исторически обусловлено развитием международного права в сфере информационных отношений.

    Еще по теме /./. Основные аспекты информационной безопасности.:

    1. 5.1. Структура и основные направления развития законодательной базы в области информационной безопасности
    2. 5.2. Содержание основных законов Российской Федерации в области информационной безопасности
    3. 5.3. Основные руководящие нормативно-технические, методические и организационные документы в области информационной безопасности
    4. Глава вторая Проблемы решения вопросов информационной безопасности действующим международным правом. Информационная безопасность и международные организации
    5. 2.2. Вопросы информационной безопасности и информационных отношений и деятельность международных организаций на современном этапе.
    6. 1.3. Эволюция международно-правового регулирования информационных отношений с точки зрения обеспечения информационной безопасности.