Анализ способов нарушений информационной безопасности
Рассмотрим взаимосвязь между таксономией причин возникновения изъянов защиты и классификацией источников их появления и этапов внедрения.
Источником появления наибольшего количества категорий ИЗ является неправильное внедрение модели безопасности и ошибки в ходе программной реализации. Это означает, что эти причины являются более значимыми и должны быть устранены в первую очередь.
Появление основных причин нарушения безопасности закладывается на этапе разработки, причем в основном на стадии задания спецификаций. Это вполне ожидаемый результат, так как именно этап составления спецификаций является одним из самых трудоемких, а последствия ошибок в спецификациях сказываются на всех дальнейших этапах разработки и распространяются на все взаимосвязанные компоненты системы.
Перекрестный анализ таксономии причин нарушений безопасности и классификаций ИЗ по источнику появления и этапу внесения показывает, что наиболее значимые причины (неправильное внедрение модели безопасности и ошибки программной реализации) действуют в ходе процесса разработки и реализации. Следовательно, именно на этих этапах должны быть сосредоточены основные усилия при создании защищенных систем.
4.3 Использование защищённых компьютерных систем
4.3.1 Понятие «защищенность». Концепция «Защищенные информационные системы»
В то время как многие технологии, в которых используется вычислительная техника, продемонстрировали свою необычайную надежность и защищенность – компьютеры помогли людям долететь до Луны и вернуться обратно, они управляют важнейшими системами авиаперевозок с миллионами рейсов в год и ежедневно переводят триллионы долларов по всему земному шару – в общем и целом компьютеры не достигли того уровня, чтобы люди были готовы явным или неявным образом доверить им свою жизнь. Многие не хотят доверять сегодняшним компьютерным системам свою личную информацию, например, финансового или медицинского характера, поскольку их все сильнее беспокоит уровень защищенности и надежности этих систем, которые, по их мнению, представляют собой существенный риск для общества. Если использование компьютеров действительно распространится на все стороны жизни – и тем самым реализуется беспредельный потенциал информационных технологий – то нам придется сделать компьютерную экосистему1 достаточно защищенной, чтобы люди не волновались из-за ошибок и неустойчивости в ее работе, как это происходит сегодня.
Защищенность – широкое понятие, и, чтобы сделать что-то защищенным, помимо основательной работы инженеров нужна и социальная инфраструктура. Все системы отказывают время от времени, но юридическая и коммерческая практика, в рамках которой они существуют, могут компенсировать тот факт, что ни одна технология никогда не будет безупречной.
Таким образом, это не только борьба за то, чтобы сделать программное обеспечение защищенным. Поскольку компьютеры в какой-то степени уже утратили доверие людей, нам предстоит преодолеть существующее положение дел, когда нередко случаются отказы и сбои машин, программ и систем. Нам необходимо будет убедить людей, что системы, программы, службы, люди и компании вместе взятые вышли на новый уровень готовности к работе, надежности и конфиденциальности. Нам придется преодолеть ощущение незащищенности, которое люди сейчас испытывают по отношению компьютерам.
Концепция «Защищенные информационные системы» включает целый ряд действий, которые необходимо предпринять для того, чтобы люди, используя устройства на базе компьютеров и программного обеспечения, чувствовали себя так же комфортно, как сегодня при использовании устройств, питающихся от электрической сети. Этот процесс может занять 10-15 лет – как для ИТ-индустрии, так и для всего общества.
Это подразумевает коренные перемены не только в том, каким образом мы пишем и распространяем программы, но и в том, как наше общество видит использование компьютеров в целом. Есть текущие проблемы, требующие решения, и есть фундаментальные вопросы для исследований. Есть шаги, которые могут и должны предпринимать отдельные люди и компании, но есть и проблемы, которые могут быть решены только совместными усилиями консорциумов, исследовательских сообществ, государств и всего мира в целом.
Ситуация