Защита информации 1 страница
Концепция информационной безопасности Российской Федерации
Совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации представлена в Доктрине информационной безопасности РФ.
На основе анализа положений, содержащихся в доктринальных и нормативных правовых документах, можно выделить следующие жизненно важные интересы в информационной сфер:
· для личности:
- соблюдение и реализация конституционных прав и свобод человека и гражданина на поиск, получение, передачу, производство и распространение объективной информации;
- реализация права граждан на неприкосновенность частной жизни, защита информации, обеспечивающей личную безопасность;
- использование информации в интересах не запрещенной законом деятельности, физического, духовного и интеллектуального развития;
- защита права на объекты интеллектуальной собственности;
- обеспечение права граждан на защиту своего здоровья от неосознаваемой человеком вредной информации;
· для общества:
- обеспечение интересов личности в информационной сфере;
- построение правового социального государства;
- упрочение демократии, построение информационного общества;
- духовное обновление общества, сохранение его нравственных ценностей, утверждение в обществе идеалов высокой нравственности, патриотизма и гуманизма, развитие многовековых духовных традиций Отечества, пропаганда национального культурного наследия, норм морали и общественной нравственности;
- достижение и поддержание общественного согласия;
- предотвращение манипулирования массовым сознанием;
- приоритетное развитие современных телекоммуникационных технологий, сохранение и развитие отечественного научного и производственного потенциала;
· для государства:
- создание условий для реализации интересов личности и общества в информационной сфере и их защита;
- формирование институтов общественного контроля за органами государственной власти;
- безусловное обеспечение законности и правопорядка;
- создание условий для гармоничного развития российской информационной инфраструктуры;
- формирование системы подготовки, принятия и реализации решений органами государственной власти, обеспечивающей баланс интересов личности, общества и государства;
- защита государственных информационных систем и государственных информационных ресурсов, в том числе государственной тайны;
- защита единого информационного пространства страны;
- развитие равноправного и взаимовыгодного международного сотрудничества.
К основным задачамв области обеспечения информационной безопасности относятся:
· формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализации конституционных прав и свобод граждан в сфере информационной деятельности;
· разработка и создание механизмов формирования и реализации государственной информационной политики России, в том числе разработка методов повышения эффективности участия
· государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
· совершенствование законодательства Российской Федерации в области обеспечения информационной безопасности;
· определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации, органов местного самоуправления и ответственности их должностных лиц, юридических лиц и граждан в области обеспечения информационной безопасности;
· развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;
· координация деятельности органов государственной власти по обеспечению информационной безопасности;
· совершенствование и защита отечественной информационной инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;
· проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации; разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств; развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение для всех видов информационных систем;
· обеспечение технологической независимости Российской Федерации, развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;
· развитие научно-практических основ обеспечения информационной безопасности Российской Федерации с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения «информационного оружия»;
· разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, прежде всего, используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами;
· создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;
· защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на предприятиях оборонного комплекса, в том числе государственной тайны;
· создание условий для успешного развития негосударственного компонента в сфере обеспечения информационной безопасности, осуществления эффективного гражданского контроля за деятельностью органов государственной власти;
· защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историко-культурных объектов);
· сохранение традиционных духовных ценностей при важнейшей роли Русской православной церкви и церквей других конфессий;
· пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных, исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности;
· повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств — участников СНГ;
· создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры;
· противодействие угрозе развязывания противоборства в информационной сфере;
· создание единой системы подготовки кадров в области обеспечения информационной безопасности;
· организация международного сотрудничества по обеспечению информационной безопасности при интеграции России в мировое информационное пространство на условиях равноправного партнерства.
Представляется, что юридическая наука в той или иной мере должна принимать участие в решении всех задач и реализации соответствующих целей, однако ее приоритет, решающая роль просматривается в двух областях:
во-первых, в определении разумного баланса между правом субъектов на свободное получение информации путем ее сбора или доступа к имеющимся ресурсам и правом субъектов на установление ограничений в указанных действиях со стороны иных лиц по отношению к сведениям, обладателями которых они являются,
во-вторых, в разработке и реализации правовых мер защиты информации, доступ к которой должен ограничиваться по правомерным основаниям, а также в обеспечении сохранности информационных ресурсов.
Для более глубокого понимания проблемы определим еще два понятия: безопасность информации и защита информации.
Понятие «безопасность информации» распадается на две составляющие:
- безопасность содержательной части (смысла) информации — отсутствие в ней побуждения человека к негативным действиям, умышленно заложенных механизмов негативного воздействия на человеческую психику или негативного воздействия на иной блок информации (например, информация, содержащаяся в программе для ЭВМ, именуемой компьютерным вирусом);
- защищенность информации от внешних воздействий (попыток неправомерного копирования, распространения, модификации (изменения смысла) либо уничтожения.
Таким образом, защита информации входит составной частью в понятие безопасность информации.
Статьей 16 (ч. 1) Закона об информации устанавливается следующее.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
Следует отметить, что в целом проблема информационной безопасности включает, наряду с задачами обеспечения защищенности информации и информационных систем, еще два аспекта:
· защиту от воздействия вредоносной информации,
· обеспечение принятия обоснованных решений с максимальным использованием доступной информации.
Обеспечение информационной безопасности призвано решать следующие основные задачи:
- выявление, оценка и предотвращение угроз информационным системам и информационным ресурсам;
- защита прав юридических и физических лиц на интеллектуальную собственность, а также сбор, накопление и использование информации;
- защита государственной, служебной, коммерческой, личной и других видов тайны.
Угрозы информационным системам и информационным ресурсам можно условно разделить на четыре основные группы:
программные — внедрение «вирусов», аппаратных и программных закладок; уничтожение и модификация данных в информационных системах;
технические, в т.ч. радиоэлектронные, — перехват информации в линиях связи; радиоэлектронное подавление сигнала в линиях связи и системах управления;
физические — уничтожение средств обработки и носителей информации; хищение носителей, а также аппаратных или программных парольных ключей;
информационные — нарушение регламентов информационного обмена; незаконные сбор и использование информации; несанкционированный доступ к информационным ресурсам; незаконное копирование данных в информационных системах; дезинформация, сокрытие или искажение информации; хищение информации из баз данных.
Противостоять этим угрозам можно на основе создания и внедрения эффективных систем защиты информации. Причем решение задачи создания таких систем должно быть реализовано на основе системного подхода по следующим причинам.
Во-первых, для эффективной защиты информационных ресурсов требуется реализация целого ряда разнородных мер, которые можно разделить на три группы: юридические, организационно-экономические и технологические. Все они базируются на следующих принципах:
- нормативно-правовая база информационных отношений в обществе четко регламентирует механизмы обеспечения прав граждан свободно искать, получать, производить и распространять информацию любым законным способом;
- интересы обладателей информации охраняются законом;
- засекречивание (закрытие) информации является исключением из общего правила на доступ к информации;
- ответственность за сохранность информации, ее засекречивание и рассекречивание персонифицируются;
- специальной заботой государства является развитие сферы информационных услуг, оказываемых населению и специалистам на основе современных компьютерных сетей, системы общедоступных баз и банков данных, содержащих справочную информацию социально-экономического, культурного и бытового назначения, право доступа к которым гарантируется и регламентируется законодательством.
Во-вторых, разработкой мер защиты применительно к каждой из трех групп должны заниматься специалисты из соответствующих областей знаний. Естественно, что каждый из указанных специалистов по-своему решает задачу обеспечения информационной безопасности и применяет свои способы и методы для достижения заданных целей. При этом каждый из них в своем конкретном случае находит свои наиболее эффективные решения. Однако на практике совокупность таких частных решений не дает в сумме положительного результата — система безопасности в целом работает неэффективно.
Применение в этих условиях системного подхода позволяет определить взаимные связи между соответствующими определениями, принципами, способами и механизмами защиты. Причем понятие системности в данном случае заключается не просто в создании соответствующих механизмов защиты, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла информационной системы.
С точки зрения общей теории систем можно выделить три класса задач:
· задача анализа — определение характеристик системы при заданной ее структуре;
· задача синтеза — получение структуры системы, оптимальной по какому-либо критерию (или их совокупности);
· задача управления — поиск оптимальных управляющих воздействий на элементы системы в процессе ее функционирования.
Применение системного подхода на этапе создания системы защиты информации (СЗИ) подразумевает решение соответствующей задачи синтеза. Известно, что такой подход (например, применительно к техническим системам) позволяет получить оптимальное по определенному критерию (или их совокупности) решение: структуру, алгоритмы функционирования.
В случае синтеза систем защиты информации результатом должны быть: структура СЗИ, которая может быть практически реализуема при современном уровне развития ИКТ; оценка качества функционирования синтезированной системы; оценка робастности (устойчивости к отклонениям параметров априорно сформированных моделей от фактических параметров) системы.
При этом следует отметить ряд особенностей, которые усложняют постановку и решение задачи синтеза: неполнота и неопределенность исходной информации о составе информационной системы и характерных угрозах;
- многокритериальность задачи, связанная с необходимостью учета большого числа частных показателей (требований) СЗИ
- наличие как количественных, так и качественных показателей, которые необходимо учитывать при решении задач разработки и внедрении СЗИ;
- невозможность применения классических методов оптимизации.
Очевидно, что при оценке качества функционирования синтезированной СЗИ целесообразно производить оценку ее эффективности. В настоящее время в отечественной и зарубежной практике в основном используются два способа оценки:
· определение соответствия техническому заданию на создание системы защиты реализованных функций и задач защиты, эксплуатационных характеристик и требований;
· анализ функциональной надежности системы защиты.
Первый способ является наиболее простым и выполняется на этапе приемо-сдаточных испытаний.
Суть второго заключается в следующем. Для обоснования выбора средств защиты в целях эффективного обеспечения защиты вводится классификация их свойств. Каждому классу соответствует определенная совокупность обязательных функций. В России классификация систем защиты определяется руководящим документом Гостехкомиссии «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». В соответствии с этим документом устанавливается семь классов защищенности средств вычислительной техники от несанкционированного доступа к информации. Самый низкий класс — седьмой, самый высокий — первый.
Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:
- первая группа содержит только один седьмой класс;
- вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
- третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
- четвертая группа характеризуется верифицированной защитой и содержит только первый класс.
Указанные способы используют, по своей сути, системотехнические методики оценки.
Наряду с упомянутыми способами существует ряд методик и моделей, с помощью которых производится анализ эффективности систем защиты информации. Для оценки в моделях используются показатели, характеризующие уязвимость информации, обрабатываемой в информационной системе (ИС), либо некоторые величины, входящие в выражения показателей качества информации.
Как показывает анализ подходов и методов к решению задачи оценки качества защиты информации, система защиты информации, ориентированная на современные ИКТ, как правило, является сложной человеко-машинной системой, разнородной по составляющим компонентам и трудно формализуемой в части построения целостной аналитической модели критериального вида. В общем случае оценку качества функционирования такой системы можно осуществить только различными эвристическими методами, связанными с экспертной оценкой и с последующей интерпретацией результатов.
Для решения задачи оценки качества функционирования СЗИ необходимо использовать показатель качества, который позволил бы оптимизировать задачу синтеза СЗИ, количественно оценить эффективность функционирования системы и осуществить сравнение различных вариантов построения подобных систем.
Исходя из функционального предназначения СЗИ, в качестве показателя качества целесообразно выбрать предотвращенный ущерб, наносимый ИС вследствие воздействия потенциальных угроз.
Остановимся на этом подробнее. Предположим, что можно выделить конечное множество потенциальных угроз ИС, состоящее из ряда элементов. Каждую из потенциальных угроз можно характеризовать вероятностью ее появления и ущербом, наносимым информационной системе. Системы защиты информации выполняют функцию полной или частичной компенсации угроз для ИС. Основной характеристикой СЗИ в данных условиях является вероятность устранения каждой угрозы. За счет функционирования СЗИ обеспечивается уменьшение ущерба, наносимого ИС воздействием угроз.
Имея априорные сведения о составе и вероятностях возникновения угроз СИ и располагая количественными характеристиками ущерба наносимого СИ вследствие их воздействия, требуется определить вариант построения СЗИ, оптимальный по критерию максимума предотвращенного ущерба при условии соблюдения ограничений на допустимые затраты на реализацию СЗИ.
Ущерб, наносимый каждой угрозой, целесообразно определить как степень опасности для ИС (относительный ущерб). При этом если принять, что все угрозы для ИС составляют полную группу событий, степень опасности может быть определена экспертным путем. Такой подход обусловлен, по крайней мере, двумя причинами:
· определение ущерба в абсолютных единицах (экономических потерях, временных затратах, объеме уничтоженной или испорченной информации) весьма затруднительно, особенно на начальном этапе проектирования СЗИ;
· использование относительного ущерба позволяет корректно осуществлять сравнение отдельных угроз (по значениям введенного показателя качества функционирования СЗИ) с целью определения важности требований, предъявляемых к СЗИ.
Значение вероятности устранения каждой угрозы определяется тем, насколько полно учтены количественные и качественные требования к СЗИ при их проектировании.
При указанных исходных предпосылках можно выделить четыре этапа решения задачи синтеза, сформулированной в виде:
- проведения экспертной оценки характеристик угроз: частоты появления и возможного ущерба;
- проведения экспертной оценки важности выполнения каждого требования для устранения некоторой потенциальной угрозы;
- оценки стоимости СЗИ для конкретного варианта ее реализации;
- разработки математической модели и алгоритма выбора рационального построения СЗИ на основе математического аппарата теории нечетких множеств.
Анализ особенностей задачи синтеза СЗИ показывает, что решение ее сопряжено с необходимостью проведения экспертного оценивания на ряде этапов. Оценка качества функционирования СЗИ в ряде случае может быть проведена исключительно на основе экспертного оценивания. Такое положение дел обусловлено, прежде всего, тем, что экспертиза представляет собой мощное средство переработки слабо формализованных данных, которое позволяет выделить наиболее обоснованные утверждения специалистов-экспертов и использовать их, в конечном счете, для подготовки различных решений.
Рассмотрим для примера задачу получения оценок важности выполнения требований, предъявляемых к СЗИ. Следует заметить, что в современной теории измерений существует достаточно большое количество подходов к решению рассматриваемой задачи, которые можно разделить на измерения в первичных шкалах и измерения в производных шкалах. Обзор указанных методов достаточно широко представлен в опубликованных работах.
Среди всего многообразия методов особый интерес представляют ранговые методы. Данное утверждение основано на анализе факторов, влияющих на выбор метода оценки весовых коэффициентов. Среди таких факторов можно выделить следующие:
- физическая сущность параметров и отношений между ним;
- сложность проведения экспертизы и трудоемкость получения экспертной информации;
- степень согласованности мнений экспертов;
- трудоемкость обработки экспертных данных.
Ранжирование наряду с методом Терстоуна требует наименьшего времени общения с экспертами, в то время как метод линейной свертки требует наибольшего времени (в 12 раз больше, чем ранжирование).
Очевидно, что степень согласованности в первую очередь зависит от количества привлекаемых экспертов и уровня их квалификации. В то же время на нее влияет выбранный метод оценки весов. Так, наибольшую согласованность мнений экспертов обеспечивает линейная свертка, при этом ранжирование при всей его простоте позволяет получить весовые коэффициенты, достаточно точные и близкие к значениям, полученным методом линейной свертки.
Трудоемкость обработки экспертных данных не накладывает жестких ограничений при современном уровне развития вычислительной техники. Однако применение сложных методов требует разработки специальных компьютерных программ, что влияет на сроки проведения экспертизы. С этой точки зрения наиболее простыми являются ранговые и балльные методы.
В рассматриваемом случае под ранговыми экспертными оценками будем понимать оценки в виде чисел натурального ряда, полученные на основе устанавливаемого экспертом предпочтения важности выполнения каждого требования для устранения некоторой угрозы перед другими требованиями с точки зрения обеспечения требуемого уровня информационной безопасности.
Применение в данном случае методов ранговой корреляции целесообразно в связи с тем, что они представляют собой весьма удобный и эффективный аппарат определения показателя обобщенного мнения и вместе с тем степени согласованности мнений экспертов.
Основными задачами статистической обработки индивидуальных ранжировок являются выявление среди группы экспертов «еретиков» и «школ», определение показателя обобщенного мнения и характеристик согласованности оценок, на основе которых определено обобщенное мнение.
Для определения обобщенной оценки важности выполнения каждого требования необходимо применить какое-либо среднее: среднее арифметическое, медиану или моду. Любое из этих средних характеризует центральную тенденцию группы экспертов.
Согласованное мнение группы экспертов о распределении требований с точки зрения их значимости может быть определено путем суммирования оценок в рангах, полученных каждым требованием в отдельности. Распределение сумм рангов, полученных каждым требованием, и представляет собой согласованное мнение экспертов о распределении значимых требований по их относительной важности.
Показатель обобщенного мнения экспертов по каждому требованию может быть определен в виде частоты максимально возможных оценок, полученных некоторым требованием.
Таким образом, основными характеристиками при групповом экспертном оценивании являются следующие:
- обобщенное мнение группы экспертов,
- степень согласованности мнений экспертов,
- компетентность экспертов.
Построение высокоэффективных систем защиты информации возможно на основе системного подхода путем решения соответствующей задачи синтеза. Задача синтеза сводится к оптимальному обоснованию качественных и количественных требований к СЗИ.
Особенности подобной задачи не позволяют получить ее оптимальное решение с использованием классических методов. В этих условиях применимы методы теории нечетких множеств и эвристические подходы, связанные с необходимостью получения экспертных оценок. Особый интерес в этих условиях представляют ранговые методы, обеспечивающие высокую достоверность оценок (обеспечен 1%-ный уровень значимости) при сравнительно малых временных и вычислительных затратах. Так, оценка согласованности мнений экспертов в отношении важности требований, предъявляемых к СЗИ, применительно к рассмотренному примеру осуществлена с использованием стандартных средств электронных таблиц MS Excel. Отмеченные обстоятельства подтверждают возможность применения рассмотренного подхода к решению ряда частных задач в рамках решения задачи синтеза СЗИ в интересах обеспечения информационной безопасности.
В последнее время формируется устойчивое мнение, что информация, существующая в форме знаний, должна быть общедоступна, потребность в ее получении у подавляющего большинства индивидов столь же велика, как и потребность в жизни или свободе. И если право жить как первичное, фундаментальное ничем ограничить нельзя, ограничение права на свободу жестко регламентируется законом, то не менее жестко необходимо определять условия, при которых может быть ограничено право человека в доступе к необходимой ему информации.
В Российской Федерации в период 90-х гг. был предпринят ряд существенных мер, направленных на обеспечение свободы массовой информации, которые нашли отражение в Законе о СМИ, Федеральном законе от 13 января 1995 г. № 7-ФЗ «О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации».
То субъективное право, на котором мы заостряем внимание, касается права человека свободно искать и получать информацию. И лишь к отдельным категориям информации, точно определенным нормативными правовыми актами, доступ может быть временно ограничен. Основанием в таком ограничении является защита охраняемых законом интересов личности, общества и государства.
На протяжении значительной части прошлого века деятельность средств массовой информации в России осуществлялась в условиях действия цензуры, которая практически обеспечивала информационную безопасность этой деятельности.
Действующая в настоящее время редакция Закона о СМИ в ряде случаев оставляет возможность прямых нарушений принципов обеспечения информационной безопасности. В частности, отдельные положения главы VII «Ответственность за нарушение законодательства о средствах массовой информации», касающиеся освобождения от указанной ответственности, создают предпосылки для многократного тиражирования дезинформации практически любого содержания.
Таким образом, на современном этапе деятельности СМИ в России возникла настоятельная потребность в организации и правовом обеспечении так называемой технологической цензуры. Известно, что в ряде стран определенный опыт использования технологической цензуры накоплен в рамках деятельности ведомств, обеспечивающих функционирование средств связи, по отношению к Интернету.
Наряду с проблемой совершенствования законодательства, направленного на повышение ответственности редакций за достоверность публикуемых материалов, одним из направлений решения указанной задачи является разработка механизмов осуществления технологической цензуры.
Технически эта задача может быть решена, например, созданием редакционной экспертной системы, которая будет анализировать всю подготовленную для распространения через СМИ информацию (в том числе и Интернет-издания).
Естественно, что информационное общество не может признаться таковым, если не будет сформировано единого и максимально широкого информационного пространства. Реальной моделью и реальным оператором этого пути является все та же сеть Интернет. Сеть ликвидировала государственные границы в информационной сфере. В Сети циркулирует огромное количество разнообразной информации, при этом реально обеспечивается свобода ее поиска. Интернет и ей подобные системы — это новая степень свободы для человека, степень информационной свободы. Там каждый может найти то, что ему нужно.
Эта свобода поиска и общения одновременно вдохновляет и настораживает. Вдохновляет потому, что человек может свободно самовыражаться, формируя и выставляя на всеобщее обозрение информацию о себе самом, причем не только текстовую, но и графическую, и видео. Настораживает потому, что свобода обмена информацией в Сети в ряде случаев реализуется как вседозволенность (передача порнографии, инструкций по изготовлению взрывчатых веществ и т.п.). Помимо этого, Сеть, вследствие ее абсолютной открытости, является прекрасным транспортером, переносчиком всякого рода вредоносных программ, разрушающих информационные ресурсы и нарушающих нормальное функционирование технологического оборудования.