Лекция 1. Введение в предмет

Под информационной безопасностью будем понимать защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Согласно определению, информационная безопасность зависит не только от способа хранения и обработки информации, но и от всей инфраструктуры, обеспечивающей информационные процессы. К инфраструктуре можно отнести системы водо-, тепло-, электроснабжения, кондиционирования, коммуникации, а также персонал, обслуживающий все эти системы, либо непосредственно занимающийся сбором, обработкой и использованием информации.

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Проблема защиты информации актуальна для любой организации и частного лица, владеющих, использующих или предающих какую-либо информацию. Однако особую актуальность проблемы защиты информации приобретают в системах электронной обработки данных.

Системы электронной обработки данных – это системы любой структуры и функционального назначения, в которых информация обрабатывается с помощью средств электронной вычислительной техники.

Проблему защиты информации можно рассматривать как совокупность тесно связанных между собой вопросов в области права, организации управления, разработки технических средств, программирования и математики.

 

Аспекты информационной безопасности

 

Обеспечение целостности информации

Под целостностью информации понимается её физическая сохранность, защищённость от разрушения и искажения, а также её актуальность и непротиворечивость.

Целостность информации – ее существование в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).

Например, записывая информацию о студентах, мы надеемся, что она будет храниться там неопределённо долгое время (пока мы сами её не сотрём) в неизменном виде (то есть самопроизвольно, без нашего ведома, в этом списке не изменяются фамилии студентов). Кроме того, мы рассчитываем на непротиворечивость информации, например, на то, что в списке студентов не окажется годовалого ребёнка, или что один и тот же студент не окажется в списках сразу двух групп.

Обеспечение доступности информации

Доступность информации подразумевает, что субъект информационных отношений (пользователь) имеет возможность за приемлемое время получить требуемую информационную услугу.

Доступность информации – свойство системы, в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия.

Например, создавая информационную систему с информацией о студентах, мы рассчитываем, что с помощью этой системы в любое время в течение нескольких секунд сможем получить требующуюся информацию (список студентов любой группы, полную информацию о конкретном студенте, итоговые данные, например, средний возраст студентов, число юношей и девушек и так далее).

Следует отметить, что системы электронной обработки данных создаются именно для предоставления определённых информационных услуг. Если предоставление таких услуг становится невозможным, то это наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, её выделяют как важнейший элемент информационной безопасности.

Обеспечение конфиденциальности информации.

Конфиденциальная информация – это информация, на доступ к которой имеет право ограниченный круг лиц. Если же доступ к конфиденциальной информации получает лицо, не имеющее такого права, то такой доступ называется несанкционированным и рассматривается как нарушение защиты конфиденциальной информации. Лицо, получившее или пытающееся получить несанкционированный доступ к конфиденциальной информации, называется злоумышленником.

Например, если Саша отправил Маше письмо по электронной почте, то информация в этом письме является конфиденциальной, так как тайна личной переписки охраняется законом. Если Машин брат, взломав пароль, получил доступ к Машиному почтовому ящику и прочитал письмо, то имеет место несанкционированный доступ к конфиденциальной информации, а Машин брат является злоумышленником.

Обеспечение конфиденциальности информации является наиболее проработанным разделом информационной безопасности.

 

Классификация мер защиты

Классификация по аспекту информационной безопасности.

Меры защиты могут быть направлены на:

· обеспечение целостности информации (Например, периодическое резервное копирование)

· обеспечение доступности информации (Например, использование источников бесперебойного питания)

· обеспечение конфиденциальности (Например, использование шифрования)

· защиту авторских прав и интеллектуальной собственности (Например, использование средств защиты программ от копирования)

Однако, поскольку проблема информационной безопасности является комплексной, то и меры защиты должны использоваться в комплексе.

Классификация по способу внедрения в технические и программные средства.

По способу внедрения в технические и программные средства системы обработки данных меры защиты могут быть:

· Внешние – не входящие в систему обработки данных (например, ограничение входа в помещения, где расположены компьютеры, обрабатывающие конфиденциальную информацию)

· Общесистемные - являющиеся частью операционной системы либо аппаратуры, и не относящиеся к какой либо конкретной задаче обработки данных. (Например, использование источников бесперебойного питания направлено на обеспечение работы ПК в целом, а следовательно, целостности и доступности всей обрабатываемой на нем информации. Кроме того, любая операционная система, а в особенности сетевые операционные системы семейств Windows и Linux, имеют встроенные сервисы безопасности, такие, например, как возможность защиты данных с помощью пароля)

· Специализированные - направленные на защиту определенной информации, обрабатываемой конкретной системой обработки данных (например, шифрование информации о зарплатах сотрудников в автоматизированной системе управления предприятием)

Классификация по защищаемым компонентам системы.

Меры защиты могут быть направлены:

· на защиту данных (например, использование резервного копирования)

· на защиту программ (например, использование антивирусных средств)

· на защиту аппаратуры (например, использование средств пожаротушения для предотвращения порчи аппаратуры или средств ограничения доступа в помещения для предотвращения ее хищения)

Учитывая, что система обработки данных является единым целым, и информационная безопасность является комплексной проблемой, меры защиты должны применяться в комплексе. С другой стороны, одна и та же мера защищает разные компоненты системы. Например, обеспечивая бесперебойную работу аппаратуры, мы тем самым уменьшаем и вероятность разрушения данных.

Классификация по видам угроз.

Меры защиты могут быть классифицированы по конкретным видам угроз, против которых направлены меры защиты

Например, меры защиты от прослушивания могут включать в себя ограничение доступа в помещения, установку специальной аппаратуры обнаружения прослушивающих устройств, соблюдение определенных правил поведения и т.д.

Классификация по используемым средствам.

Чаще всего меры защиты информации классифицируются по используемым средствам

· административно-правовые меры включают в себя законодательные и подзаконные акты, определяющие правила работы с информацией, принимаемые на их основе документы отдельных предприятий, направленные на обеспечение информационной безопасности, а также меры обеспечения соблюдая этих правил, включая наказания за нарушения.

Административно-правовые меры делятся на:

- законодательные, включающие законы и подзаконные акты. Основой всех законодательных актов РФ является Конституция РФ. В области защиты информации основополагающим является «Закон об информации, информатизации и защите информации», «Закон о правовой охране программ для ЭВМ и баз данных», глава 28 Уголовного кодекса РФ (посвященная компьютерным преступлениям) и др. Законодательство определяет правовые основы работы с любой информацией, а не только с той, которая обрабатывается и хранится в электронном виде.

- организационные меры защиты информации принимает организация и предприятие в пределах своей компетенции. В частности, организация вправе решать:

Ø какая информация является конфиденциальной, или по каким критериям и на основании каких документов информация может быть отнесена к конфиденциальной.

Ø кому разрешен доступ к тому или иному виду конфиденциальной информации или на каком основании человек может получить доступ или быть лишен права доступа к конфиденциальной информации

Ø каковы правила работы с информацией

Ø кто обеспечивает функционирование системы защиты информации, и каковы должностные обязанности этих лиц

Ø каковы наказания за тот или иной вид нарушения защиты информации

- процедурные меры включают в себя конкретные организационные мероприятия, направленные на обеспечение информационной безопасности, а так же конкретные правила (процедуры) работы персонала. Это может быть в частности:

Ø подбор и проверка персонала, имеющего доступ к конфиденциальной информации

Ø обучение персонала эффективной и безопасной работе с системой электронной обработки данных

Ø контроль за строгим соблюдением мер защиты информации, например, за хранением носителей информации, доступом в помещения и т. д.

Ø организация закупки, разработки, обслуживания и ремонта технических и программных средств защиты информации

Ø расследование случаев нарушения информационной безопасности, поиск и наказание виновных

- инженерно-технические меры защиты, также как и административно-правовые, применимы для защиты информации в любой форме, а не только той, которая обрабатывается на компьютере. Они включают в себя различные технические устройства и средства обеспечения их функционирования. Среди инженерно-технических мер можно выделить следующие:

- меры, направленные на обеспечение функционирования инфраструктуры и общую сохранность системы электронной обработки данных, например:

Ø средства кондиционирования воздуха для поддержания благоприятного температурного режима работы компьютерного оборудования

Ø средства пожаротушения и пожарной сигнализации

- меры, направленные на обеспечение функционирования собственно системы электронной обработки данных, доступности, целостности, и при необходимости конфиденциальности обрабатываемой информации, например:

Ø использование источников бесперебойного питания

Ø своевременное проведение профилактики и ремонта технических средств

Ø использование качественных носителей информации

Ø обеспечение физической сохранности информации (сейфы, защитные упаковки и т. д.)

- меры, направленные на ограничение доступа к конфиденциальной информации, например:

Ø Заборы, замки, сейфы, колючая проволока;

Ø Своевременное уничтожение конфиденциальной неиспользуемой информации (если эта информация на бумажных носителях – с помощью бумагорезательных машин, если на магнитных носителях – полное форматирование; в частности, должны форматироваться жёсткие диски компьютера, на котором обрабатывалась конфиденциальная информация, если этот компьютер предназначается продать или сдать в ремонт);

Ø Наблюдение за защищаемыми помещениями и регистрация доступа в них;

Ø Организация рабочих мест таким образом, чтобы затруднить злоумышленнику наблюдение за работой персонала.

- информационно-технологические меры включают в себя комплекс аппаратных и программных средств, обеспечивающих доступность, целостность и при необходимости конфиденциальность информации. Эти меры являются специфическим и используются только в системах электронной обработки данных, то есть при обработке данных на компьютерах. Информационно-технологические меры могут быть разделены на:

- электронные, представляющие собой различные устройства, подключаемые к компьютерам или коммуникационным средствам, либо встраиваемые в них;

- программные, представляющие собой программные средства и правила работы с ними.

Электронные средства работают в тесном взаимодействии с программными.

Например, если используется специальный электронный ключ для получения доступа к ресурсам компьютера, то должно существовать и специальное программное обеспечение для проверки подключения к компьютеру этого ключа. Поэтому чаще информационно-технологические меры подразделяются по функциональному признаку:

- Криптографические средства предназначены для шифрования данных, то есть преобразования их в такую форму, что они не смогут быть прочитаны без обратного преобразования – расшифровки. Криптографические методы защиты бывают одноключевые (симметричные) и двухключевые (несимметричные).

- Средства идентификации и аутентификации. Идентификация предназначена для того, чтобы пользователь или запущенная им программа могли определить себя (идентифицировать) путём сообщения своего имени. С помощью аутентификации вторая сторона убеждается, что пользователь (или программа) действительно тот, за кого себя выдаёт. То есть аутентификация представляет собой “узнавание” пользователя по его идентификатору и предоставление ему определённых прав и полномочий. После прохождения процесса аутентификации пользователь становится “авторизованным”, то есть получившим право работать с системой в объёме своих полномочий.

- Средства управления доступом позволяют специфицировать и контролировать действия, которые пользователи и вычислительные процессы могут выполнять над информацией и другими компьютерными ресурсами, то есть речь идёт о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом обеспечивает конфиденциальность и целостность объектов путём запрещения обслуживания неавторизованных пользователей. Контроль прав доступа осуществляется посредством различных компонентов программной среды – ядром операционной системы, дополнительными средствами безопасности, и другими.

- Протоколирование – процесс сбора и накопления информации о событиях, происходящих в системе обработки данных. Возможные события принято делить на 3 группы:

Ø внешние события, вызванные действиями других сервисов

Ø внутренние события, вызванные действиями самого сервиса

Ø клиентские события, вызванные действиями пользователей и администраторов

- Аудит – процедура анализа накопленной в результате протоколирования информации. Этот анализ может осуществляться постоянно, практически в реальном времени, или периодически.

- Экранирование – средство разграничения доступа клиентов одного сетевого множества к серверам, принадлежащим другому сетевому множеству. Функция экрана заключается в контроле всех информационных потоков между двумя множествами системы. Примером экранов являются межсетевые экраны, или брандмауэры (firewalls), устанавливаемые для защиты локальной сети организации, имеющей выход в открытую среду (например, в Интернет).

- Резервное копирование предназначено преимущественно для обеспечения физической сохранности информации. Резервное копирование может осуществляться с помощью стандартных программ – архиваторов, но в этом случае должны быть установлены чёткие правила выполнения резервного копирования, и их соблюдение должно жёстко контролироваться (потому что пользователям обычно лень или некогда заниматься резервным копированием). Средства резервного копирования могут быть также встроены непосредственно в систему электронной обработки данных, чтобы копирование выполнялось автоматически.

- Использование антивирусных средств и других средств контроля вредоносного программного обеспечения направлено на защиту программ, поскольку от их правильного функционирования зависит сохранность информации. Кроме того, многие вирусы удаляют или разрушают информацию на компьютере, поэтому борьба с ними является важной частью обеспечения информационной безопасности.

Учет требований информационной безопасности при разработке программного обеспечения имеет очень большое значение. С одной стороны, ошибки в программе могут непосредственно привести к разрушению данных. С другой стороны, недостаточная продуманность системы защиты, включенной в программу, может значительно облегчить взлом системы защиты для злоумышленника. Кроме того, неудобный пользовательский интерфейс увеличивает вероятность ошибок пользователей, что может привести к непреднамеренному искажению или разрушению информации. Поэтому вопросы защиты информации должны приниматься во внимание разработчиками программного обеспечения на всех этапах работы

Все меры обеспечения информационной безопасности должны применяться комплексно, образуя единую систему защиты информации