Информационная
безопасность и защита информации
Под информационной безопасностью
понимается защищенность информации
и поддерживающей инфраструктуры
от случайных или преднамеренных
воздействий естественного или
искусственного характера, чреватых
нанесением ущерба владельцам или пользователям
информации и поддерживающей инфраструктуры.
Защита информации – это комплекс
мероприятий, направленных на
обеспечение информационной безопасности.
На практике под этим понимается
поддержание целостности, доступности
и, если нужно, конфиденциальности информации
и ресурсов, используемых для ввода, хранения,
обработки и передачи данных.
Отметим, что меры информационной
безопасности можно разделить
на три группы в соответствии
с тем, направлены ли они на
предупреждение, обнаружение или ликвидацию
последствий нападений. Большинство мер
носят предупредительный характер. Оперативный
анализ регистрационной информации и
некоторые аспекты реакции на нарушения
служат для обнаружения угроз.
Уровни обеспечения информационной
безопасности
Проблемы обеспечения безопасности
носят комплексный характер, включают
необходимость сочетания законодательных,
организационных и программно-технических
мер.
К сожалению законодательная
база отстаёт от потребностей
практики. Имеющиеся в России законы и
указы носят в основном законодательный
характер. В то же время следует учитывать,
что в данном случае от государства требуется
в первую очередь поддержка, организация
и координация работ. В других странах
это поняли довольно давно. Так в США в
1987 г. был принят закон о компьютерной
безопасности. Этот закон предусматривает
комплекс мер по обучению пользователей,
имеющих дело с критичной информацией,
разъяснительных руководств т т.д., без
чего сознательное поддержание режима
безопасности просто невозможно. И данный
закон на самом деле выполняется.
Следующим после законодательного,
можно назвать управленческий (организационный)
уровень. Руководство каждой организации
должно осознать необходимость
поддержания режима безопасности и выделения
на эти цели значительных ресурсов. Главное,
что должен сделать управленческий уровень,
это выработать политику безопасности,
которая задает общее направление работам
в данной области и управленческие регуляторы
безопасности. Операционные регуляторы
применяются к окружению компьютерных
систем и прежде всего к людям. Имеются
в виду способы подбора персонала, его
обучения, обеспечение дисциплины.
Сюда же относятся меры по физической
защите помещений и оборудования и некоторые
другие.
Для поддержания режима информационной
безопасности особенно важны
программно-технические меры, поскольку
основная угроза компьютерным
системам исходит от самих
этих систем (сбои оборудования,
ошибки программного обеспечения,
промахи пользователей и администраторов
и т.п.).
Ключевые механизмы безопасности
программно-технического уровня:
идентификация
и аутентификация;
управление доступом;
протоколирование
и аудит;
криптография;
экранирование.
Строго говоря, всем защищенным
мерам должен предшествовать анализ угроз.
Информационная безопасность начинается
не тогда, когда случилось первое нарушение,
а когда идет формирование будущей компьютерной
системы. Она начинается с составления
спецификаций на приобретаемое оборудование
и программное обеспечение.
Наиболее распространенные угрозы
Рассмотрим наиболее распространенные
угрозы, которым подвержены современные
компьютерные системы. Знание
возможных угроз, а также уязвимых
мест защиты, которые эти угрозы
обычно эксплуатируют, необходимо для
того, чтобы выбирать наиболее экономичные
средства обеспечения безопасности.
Отметим, что само понятие угроза
в разных ситуациях зачастую
трактуется по-разному. Например,
для подчеркнуто открытой организации
может просто не существовать угроз
конфиденциальности – вся информация
считается общедоступной; однако в большинстве
случаев нелегальный доступ считается
серьезной опасностью
Рассмотрим некоторую типичную
организацию. Впрочем, многие
угрозы (например, пожар) опасны для
всех.
Ошибки пользователей. Самыми
частыми и опасными (с точки
зрения размера ущерба) являются
непреднамеренные ошибки пользователей,
операторов, системных администраторов
и других лиц, обслуживающих
информационные системы. Иногда
такие ошибки являются угрозами (неправильно
введенные данные, ошибка в программе,
вызвавшая крах системы), иногда они
создают слабости, которыми могут воспользоваться
злоумышленники (таковы обычно ошибки
администрирования). Утверждают, что 65%
потерь – следствие непреднамеренных
ошибок. Пожары и наводнения можно считать
пустяками по сравнению с безграмотностью
и расхлябанностью. Очевидно, самый радикальный
способ борьбы с преднамеренными ошибками
– максимальная автоматизация и строгий
контроль за правильностью совершаемых
действий.
Кражи и подлоги. На втором
месте по размерам ущерба располагаются
кражи и подлоги. По данным
газеты USA Today, в результате подобных
противоправных действий с использованием
персональных компьютеров американским
организациям ежегодно наносится ущерб
в размере не менее 1 млрд. долларов. Можно
предположить, что подлинный ущерб намного
больше, поскольку многие организации
по понятным причинам скрывают такие инциденты.
В большинстве расследованных случаев
виновниками оказывались штатные сотрудники
организаций, отлично знакомые с режимом
работы и защитными мерами. Еще раз мы
убеждаемся в том, что внутренняя угроза
гораздо опаснее внешней.
Угрозы, исходящие от окружающей
среды, к сожалению, отличаются
большим разнообразием. В первую
очередь следует выделить нарушения инфраструктуры
– аварии электропитания, временное отсутствие
связи, перебои с водоснабжением, гражданские
беспорядки и т.п. Опасны, разумеется,
стихийные бедствия – пожары, наводнения,
землетрясения, ураганы. По известным
данным, на долю огня, воды и аналогичных
«врагов» (среди которых самый опасный
– низкое качество электропитания
и его перебои) приходится 13% потерь,
нанесенных информационным системам.
Хакеры. Много говорят и пишут
о хакерах, но исходящая от них
угроза преувеличивается. Известно, что
почти каждый Internet-сервер по нескольку
раз в день подвергается попыткам проникновения;
верно, что иногда такие попытки оказываются
удачными; верно, что изредка подобные
действия связаны со шпионажем. Однако
в целом ущерб от деятельности хакеров
(в сравнении с другими угрозами) представляется
не столь уж значительным. Вероятно, больше
всего путает непредсказуемость действий
людей такого спорта. Представьте себе,
что в любой момент к вам в квартиру могут
забраться посторонние люди. Даже если
они не имеют злого умысла, а зашли просто
посмотреть, нет ли чего интересного, приятного
в этом мало.
Программные вирусы. Много говорят
и пишут о программных вирусах.
Как показало проведенное исследование,
несмотря на экспоненциальный рост числа
известных вирусов, аналогичного роста
количества инцидентов, вызванных вирусами,
не зарегистрировано. Соблюдение несложных
правил компьютерной гигиены сводит риск
заражения практически к нулю. Там где
работают, а не играют, число зараженных
компьютеров составляет лишь доли
процента. Справедливости ради отметим
лишь, что зловредный код поражает не только
персональные компьютеры, но и системы
других типов.
Первый шаг в анализе угроз-
их идентификация. Анализируемые
виды угроз следует выбрать из соображений
здравого смысла (оставив вне поля зрения,
например, землетрясения или захват организации
террористами), но в пределах выбранных
видов провести максимально полное рассмотрение.
Целесообразно выявлять не только
сами угрозы, но и источники их возникновения
– это поможет в выборе дополнительных
средств защиты. Например, нелегальный
вход в систему может стать следствием
воспроизведения начального диалога,
подбора пароля или подключения к сети
неавторизованного оборудования. Очевидно,
для противодействия каждому из перечисленных
способов нелегального входа нужны
свои механизмы безопасности.
После идентификации угрозы
необходимо оценивать вероятность
её существования. Допустимо использовать
при этом трехбалльную шкалу (низкая
(1), средняя (2) и высокая (3) вероятность).
Кроме вероятности существования,
важен размер потенциального
ущерба. Например, пожары бывают
нечасто, но ущерб от каждого
из них, как правило, велик.
Тяжесть ущерба также можно
оценивать по некоторой шкале.
Оценивая тяжесть ущерба, необходимо
иметь в виду не только непосредственные
расходы на замену оборудования
и восстановление информации, Но
и более отдаленные, такие, как
подрыв репутации, ослабление
позиций на рынке и т.п. Пусть,
например, в результате дефектов в управлении
доступом к бухгалтерской информации
сотрудники получили возможности корректировать
данные о собственной заработной плате.
Следствием такого состояния дел может
стать не только перерасход бюджетных
или корпоративных средств, но и полное
разложение коллектива, грозящее развалом
организации.
Слабости обладают свойством
притягивать к себе не только
злоумышленников, но и сравнительно
честных людей. Не всякий устоит
перед искушением немного увеличить
свою заработную плату, если есть уверенность,
что это сойдет с рук. Поэтому, оценивая
вероятность осуществлении угроз, целесообразно
исходить не только из среднестатических
данных, но и учитывать также специфику
конкретных информационных систем. Если
в подвале дома, занимаемой организацией,
располагается сауна, а сам дом имеет деревянные
перекрытия, то вероятность пожара, к сожалению,
оказывается существенно выше средней.
Основные программно-технические
меры безопасности
Основные программно-технические меры
образуют самый важный рубеж информационной
защиты. Напомним, что основную часть ущерба
наносят действия легальных пользователей,
по отношению к которым операционные регуляторы
не могут дать решающего эффекта. Главные
враги – некомплементность и неаккуратность
при выполнении служебных обязанностей,
и только программно-технические меры
способны им противостоять.
Компьютеры помогли автоматизировать
многие области человеческой
деятельности. Вполне естественным
представляется желание возложить
на них и обеспечение собственной безопасности.
Даже физическую защиту все чаще поручают
не охранникам, а интегрированным компьютерным
системам, что позволяет одновременно
отслеживать перемещения сотрудников
и по пространству предприятия, и по информационному
пространству. Это вторая причина, объясняющая
важность программно-технических мер.
Известны основные сервисы безопасности:
✓
идентификация и аутентификация;
✓
управление доступом;
✓
протоколирование и аудит;
✓
криптография;
✓
экранирование.
Идентификацию и аутентификацию
можно считать основой программно-технических
средств безопасности, поскольку
остальные сервисы рассчитаны
на обслуживание именованных субъектов.
Идентификация и аутентификация –
это первая линия обороны, «проходная»
информационного пространства организации.
Без порядка на проходной не будет порядка
и внутри охраняемой территории.
Идентификация позволяет субъекту
(пользователю или процессу, действующему
от имени определенного пользователя)
назвать себя (сообщить своё имя). Посредствам
аутентификации вторая сторона убеждается
в том, что субъект действительно тот,
за кого себя выдает. В качестве синонима
слова «аутентификация» иногда используется
сочетание «проверка подлинности».
Если в процессе аутентификации
подлинность пользователя установлена,
то система защиты должна определить
его полномочия по использованию
ресурсов ВС для последующего
контроля установленных полномочий.