БЕЗОПАСНОСТИ ИНФОРМАЦИИ

СИСТЕМНАЯ КЛАССИФИКАЦИЯ УГРОЗ

Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба. Поскольку информационные системы предназначены для обработки информации, то в дальнейшем изло­жении угрозой информационной безопасности АСбудем называть возможность информационного воздействия, приводящего к нарушению функциональной стабильности АС, т. е. к изменению целей ее функционирования или снижению эффективности обработки информации.

Компьютерная система сможет удовлетворить информационные потребности пользователей, если помимо прочих необходимых качеств системы будут обеспечиваться некоторые свойства информационной безопасности.

Требования к свойствам информационной безопасности могут быть объективной необходимостью, вытекающей из общих законов развития, противоборства и взаимодействия кибернетических систем, или могут быть субъективным мнением владельца информации, который является субъектом информационных отношений.

Выделяют несколько свойств информации или системы, обеспечивающей эти свойства, которые непосредственно относятся к информационной безопасности.

Конфиденциальность информации – это характеристика (свойство) информации, которая указывает на необходимость сохранения ее семантики (смысла) в тайне от всех или некоторых субъектов информационных отношений для обеспечения секретности сведений.

Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ [ЗРФ-24].

Конфиденциальная информация (Sensitive information) - информация, требующая защиты [РД ГТК-92].

Целостность информации – это характеристика (свойство) информации, которая указывает на необходимость сохранения физической, синтаксической и семантической неизменности информации по отношению к некоторому фиксированно­му состоянию для обеспечения достоверности сведений, необходимых системе при функционировании.

В данном случае рассматривается только один из аспектов достоверности - отсутствие случайных или преднамеренных искажений информации, но не рассматриваются другие, например, адекватность (полнота и точность) информации.

Целостность информации (Information integrity) - способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения) [РД ГТК-92].

Доступность информации - свойство информационной системы (среды, средств и технологий обработки), обеспечивать субъектам своевременный санкционированный доступ к информации.

Таким образом, в соответствии с существующими подходами, принято считать, что информационная безопасность АС обеспечена в случае, если для любых информационных ресурсов в системе поддерживается определенный уровень конфиденциальности (невозможности несанкционированного получения какой-либо информации), целостности (невозможности несанкционированной или случайной ее модификации) и доступности (возможности за разумное время получить требуемую информацию). Соответственно, для компьютерных систем рассматривают три основных вида угроз.

Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней.

В терминах компьютерной безопасности угроза нарушения конфиденциальности имеет место всякий раз, когда полу­чен доступ к некоторой конфиденциальной (секретной) информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Ино­гда, в связи с угрозой нарушения конфиденциальности, используется термин «утечка информации» и говорят о каналах «утечки информации» (например, ГОСТ Р 50922-96).

Угроза нарушения целостности включает в себя любое несанкционированное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую.

Когда злоумышленники преднамеренно изменяют информацию, говорится, что целостность информации нарушена. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка про­граммного или аппаратного обеспечения. Санкционированными изме­нениями являются те, которые сделаны уполномоченными лицами (субъектами) с обоснованной целью (например, санкционированным изменением является периодическая запланированная коррекция некоторой базы данных).

Угроза доступности (отказа служб) возникает всякий раз, когда в результате преднамеренных действий, предпринимаемых другим пользователем или злоумышленником, блокируется санкционированный доступ к некоторому ресурсу вычисли­тельной системы.

Реально блокирование может быть постоянным, тогда запрашиваемый ресурс никогда не будет получен, или оно может вызы­вать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В этих случаях говорят, что ресурс исчерпан.

Данные виды угроз можно считать первичными, так как если рассматривать понятие угрозы как некоторой потенци­альной опасности, реализация которой наносит ущерб информационной системе, то реализация вышеперечисленных угроз приведет к непосред­ственному воздействию на защищаемую информацию. В то же время не­посредственное воздействие на информацию возможно для атакующей стороны в том случае, если система, в которой циркулирует информация, для нее «прозрачна», т. е. не существует никаких систем защиты или дру­гих препятствий. Описанные выше угрозы были сформулированы в 60-х годах для открытых UNIX-подобных систем, где не предпринимались меры по защите информации.

На современном этапе развития информационных технологий подсистемы или функции защиты являются неотъемлемой частью комплексов по обработке информации. Поэто­му, чтобы реализовать угрозу, например, конфиденциальности, атакующая сторона должна преодолеть эту систему. Не существует абсолют­но стойкой системы защиты, вопрос лишь во времени и средствах, тре­бующихся на ее преодоление.

Исходя из данных условий, примем сле­дующую модель: защита информационной системы считается преодоленной, если в ходе ее исследования определен хотя бы один дефект (уязвимость) системы, способный привести к реализации угрозы информационной безопасности. Поскольку преодоление защиты также представляет собой угрозу для защищенных систем, будем рассматривать ее четвертый вид - угрозу рас­крытия параметров информационной системы, в том числе параметров системы защиты информации.

С точки зрения практики любая атака на систему предваряется этапом разведки, в ходе которого определяются основные параметры системы, ее характеристики и т. п. Результатом этого этапа является уточнение цели атаки, а также выбор оптимальных средств и методов ее проведения.

Угрозу раскрытия можно рассматривать как опосредованную. Последствия ее реализации не причиняют какой-либо ущерб обрабатывае­мой функциональной информации, но дают возможность реализоваться первичным угрозам через нарушение конфиденциальности информации о параметрах системы. Введение данного ви­да угроз позволяет описывать с научно-методологической точки зрения отличия между защищенными и открытыми информационными системами. Для послед­них угроза раскрытия параметров системы считается реализованной.

Чтобы научно обосновать объективно существующие угрозы информационной безопасности в кибернетических системах и выявить их особенности для компьютерных систем, необходимо провести анализ информационного противодействия систем в конфликтной среде.

Целью информационного воздействия является нарушение функциональной стабильности атакуемой системы и вывод ее за пределы допустимого безопасного для нее состояния. Достижение этой цели может осуществляться двумя стратегиями нападения, которые определяются возможностями противника по информационному воздействию и способностями атакуемой системы к защите от этих воздействий. Рассмотрим две модели информационного противодействия систем в конфликтной среде.

Первая модель описывает ситуацию, когда у противоборствующих систем отсутствуют сведения о внутренних информационных параметрах противника (информационной архитектуре и системе информационной безопасности), но известны параметры информационных входов и выходов.

Рассмотрим информационную сис­тему X.

Под информационной системой будем понимать систему, способную: получать входные данные; обрабатывать данные; изменять собственное внутреннее состояние; выдавать результаты либо изменять свое внешнее состояние.

Для функционирования система X использует модель внешней среды M_S(X) и собственную модель M_X. Одним из параметров модели является объем информационных ресурсов. Под информационными ресурсами понимаются фактиче­ские сведения, хранимые информационной системой и отражающие восприятие системой себя и окружающе­го мира. Говоря другими словами, информационный ресурс - это база знаний информационной системы, которая содержит информационные модели абстрактных и реальных объектов, составляющих внешнюю среду и саму систему.

Рассматриваемой системе X противодействует аналогичная система Y(далее противник), также функционирующая на основе некоторой собственной модели M_Y и модели внешней среды M_S(Y). Между системами осуществляется информационное противоборство. Отличие информационного противоборства от остальных его видов заключается в том, что имеется только информационное воздействие противоборствующих сторон и только на информационные ресурсы. При информационном противоборстве системы помимо моделей внешней среды и собственных моделей строят модели противника: M_Y(X) и M_X(Y) для систем X и Y соответственно.

Все получаемые и выдаваемые сведения передаются по информационному каналу. Информационный канал является еще одной составляющей модели информационного противоборства двух систем и описывает совокупность средств и сред, осуществляющих передачу информационных ресурсов. Схема противодействия двух систем с использованием информационного канала показана на рис. 2.

Исходя из симметричности модели анализ возможных угроз информационной безопасности можно вести относительно любой из систем.

Пусть атакуемой будет система X, атакующей система Y.

В предложенной модели противник (система Y) может воздействовать на атакуемую систему (X) только через ее штатные информационные входы и выходы. При этом внутренняя информационная архитектура (параметры) системы X противнику неизвестна. В этом случае говорят, что внутренняя структура системы X инкапсулирована и является для противника «черным ящиком».

Рис. 2. Модель информационного противодействия систем через информационный канал

Мишенью информационного воздействия в этой ситуации могут являться только модели противника М_Y(X) и внешней среды М_S(X), получаемые системой Xна входе, а также та часть собственной модели атакуемой системы М_X, которая передается во внешнюю среду при взаимодействия с другими системами (внешней средой). Таким образом, противник может воздействовать на данные получаемые системой X, дезинформируя ее о состоянии внешней среды, других взаимодействующих систем и о собственном состоянии, а также на алгоритмы обработки информации, если они будут передаваться по каналу связи. В идеальном случае вход и выход системы может полностью контролироваться противником, и если алгоритмическая сложность («интеллектуальность») противника выше, чем у атакуемой системы, то подконтрольная система «обречена» на информационное поражение. Такая же участь ждет любую открытую кибернетическую систему, бесконтрольно принимающую и выдающую информацию. Примеров подобных искусственных систем достаточно в любой сфере деятельности человека, например, открытые компьютерные сети без подсистемы защиты информации. Однако, природа не допускает существования открытых систем, отсеивая их в процессе эволюции из-за явной нежизнеспособности, поскольку «Эволюция жизни – это эволюция систем защиты, и не более того!» [Расторгуев С.П. «Информационная война»].

В рассмотренной модели угрозе нарушения конфиденциальности информации соответствует возможность противника (системы Y) добавлять информационные ресурсы атакуемой системы к собственным информационным ресурсам (т.е. осуществлять съем информации с выхода системы Х), используя для этого прием по информационному каналу. Угрозе нарушения целостности информации соответствует возможность противника внедрять собственные информационные ресурсы в информационные ресурсы атакуемой системы, используя для этого передачу по информационному каналу (т.е. искажать, модифицировать или подменять входные данные). Угрозе доступности соответствует возможность противника разорвать существующий информационный канал (т.е. блокировать информационные входы и выходы системы). Угрозе раскрытия параметров системы соответствует возможность противника получать данные по информационному каналу о внутренней организации информационной структуры атакуемой системы, которые позволят организовать дополнительный несанкционированный и неконтролируемый системой защиты информационный канал с целью реализации первичных угроз.

Рассмотренная модель связана с собственно информационной безопасностью кибернетических систем при их взаимодействии с внешней средой и моделирует возможности информационного воздействия противника на функциональные алгоритмы и данные для реализации угроз конфиденциальности, целостности, доступности информации и раскрытия параметров системы.

Следовательно, целью обеспечения информационной безопасности является контроль информационного канала, т.е. проверка входной информации на отсутствие явных или скрытых дестабилизирующих воздействий на ресурсы системы и контроль выходных данных на отсутствие сведений об информационных параметрах системы. Отсюда формулируется определение информационной безопасности.

Информационная безопасность (ИБ) – это способность системы обеспечить семантический контроль входной информации на отсутствие дестабилизирующих или недекларированных функций и выходной информации на отсутствие сведений об информационных параметрах системы.

Информационная безопасность - состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства [9].

В качестве промежуточного вывода, можно дать рекомендации по обеспечению информационной безопасности систем управления, которые заключаются в требованиях к максимальной информационной замкнутости системы, секретности ее структуры, необходимости наличия как входной, так и выходной цензуры, а также наличия подсистемы для организации, контроля и управления информационной безопасностью.

Вторая модель описывает ситуацию, когда противник уже получил информацию о внутренних информационных параметрах атакуемой системы и может воздействовать на исполнительную подсистему обработки данных по штатным или несанкционированным информационным каналам. Эта стратегия информационного воздействия обусловлена невыполнимостью во многих практических реализациях полной защиты системы от раскрытия внутренней информационной архитектуры (параметров) при взаимодействии по санкционированным или несанкционированным информационным каналам. Атакуемая система перестает быть «черным ящиком» для противника и появляются новые, иногда более эффективные возможности по ее дестабилизации. Направления реализации угроз безопасности информации при наличии у противника сведений о структуре исполнительной подсистемы обработки информации представлены на рис. 3.

Рис. 3. Направления реализации угроз безопасности информации при наличии у противника сведений о параметрах системы

При раскрытии параметров у противника появляются возможности, получать оперативную информацию о состоянии атакуемой системы и эффективно прогнозировать свое противодействие, уничтожать или блокировать информацию, дестабилизируя работу системы, подменять или модифицировать информацию с целью получения полного или частичного информационного контроля над атакуемой системой.

Вторая модель описывает ситуацию, связанную с безопасностью информационных процессов. Задача обеспечения безопасности информации является частью проблемы информационной безопасности и решает вопросы предоставления безопасных информационных услуг по обработке данных.

Внутренняя информационная архитектура атакуемой системы может быть раскрыта через имеющийся информационный канал, если семантический контроль входной и выходной информации отсутствует или неэффективен, а также путем образования несанкционированных информационных каналов на физическом, синтаксическом и/или семантическом уровнях взаимодействия.

Сформулируем определение безопасности информации.

Безопасность информации (БИ)– это способность системы обеспечить защищенность своих информационных объектов от несанкционированного взаимодействия между собой и с объектами внешней среды при осуществлении обработки информации.

Безопасность информации (данных) - состояние защищенности информации (данных), обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз [6, 8].

Безопасность информации - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования информации и т.п. [7].

Решение задачи защиты информационных процессов может быть обеспечено реализацией защиты на физическом, синтаксическом и семантическом уровнях взаимодействия. Причем, в ситуации возможного частичного контроля противника над системой, т. е. над частью информационных объектов системы, необходима реализация стратегии защиты и политики информационной безопасности, которые позволят минимизировать ущерб при компрометации отдельных компонентов.

ЗАКЛЮЧЕНИЕ

Таким образом, на лекции были рассмотрены принципы информационного взаимодействия сложных систем, дана системная классификация угроз информационной безопасности и безопасности информации, определены основные направления их реализации. На следующих занятиях будут рассмотрены основные классы несанкционированных информационных каналов, по которым реализуются угрозы безопасности информации в компьютерных системах.

Для усвоения материала лекции необходимо в ходе самостоятельной подготовки придумать примеры реализации угроз информационной безопасности и безопасности информации для различных информационных технологий.