Информационная безопасность

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

(реферат) 
 
 
 
 

С О Д Е Р Ж А Н И Е 
 

ВВЕДЕНИЕ 3 

ОСНОВНЫЕ ПОНЯТИЯ 3 

НЕДОСТАТКИ СУЩЕСТВУЮЩИХ СТАНДАРТОВ И РЕКОМЕНДАЦИЙ 4 

НАИБОЛЕЕ РАСПРОСТРАНЕННЫЕ УГРОЗЫ 5 

УПРАВЛЕНЧЕСКИЕ МЕРЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 7 

ПОЛИТИКА БЕЗОПАСНОСТИ 7 

ПОЛИТИКА БЕЗОПАСНОСТИ ГИПОТЕТИЧЕСКОЙ ОРГАНИЗАЦИИ 10

      Область применения.  10 

Позиция организации.  10 

Распределение ролей  и обязанностей.  10

      Законопослушность.  11 

ЗАКЛЮЧЕНИЕ 11 

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 12 
 

ВВЕДЕНИЕ

Говоря об информационной безопасности, в настоящее время  имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных  носителях играет все большую  роль в жизни современного общества. Уязвимость такой информации обусловлена  целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.

Вследствие этого  настоящая работа посвящена именно проблеме обеспечения информационной безопасности именно в компьютерной среде. Если говорить о безопасности информации, сохраняющейся на "традиционных" носителях (бумага, фотоотпечатки и  т.п.), то ее сохранность достигается  соблюдением мер физической защиты (т.е. защиты от несанкционированного проникновения  в зону хранения носителей). Другие аспекты защиты такой информации связаны со стихийными бедствиями и  техногенными катастрофами. Таким образом, понятие "компьютерной" информационной безопасности в целом является более  широким по сравнению с информационной безопасностью относительно "традиционных" носителей.

Если говорить о  различиях в подходах к решению  проблемы информационной безопасности на различных уровнях (государственном, региональном, уровне одной организации), то такие различия просто не существуют. Подход к обеспечению безопасности Государственной автоматизированной системы "Выборы" не отличается от подхода к обеспечению безопасности локальной сети в маленькой фирме. Поэтому принципы обеспечения информационной безопасности в данной работе рассматриваются  на примерах деятельности отдельной  организации. 
 
 
 
 
 
 

ОСНОВНЫЕ ПОНЯТИЯ

Прежде всего, примем понятие информационной безопасности - это защищенность информации и  поддерживающей инфраструктуры от случайных  или преднамеренных воздействий  естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Проблема обеспечения  безопасности носит комплексный  характер, для ее решения необходимо сочетание законодательных, организационных  и программно-технических мер. К  сожалению, законодательная база еще  отстает от потребностей практики. Имеющиеся в России законы и указы  носят в основном запретительный характер. В то же время следует  учитывать, что в нашей стране доминирует зарубежное аппаратно-программное  обеспечение. В условиях ограничений  на импорт и отсутствия межгосударственных соглашений о взаимном признании  сертификатов, потребители, желающие быть абсолютно законопослушными, оказываются  по существу в безвыходном положении - у них нет возможности заказать и получить "под ключ" современную  систему, имеющую сертификат безопасности.

Так сложилось, что  в России интерес к вопросам информационной безопасности исходит в основном от банковских кругов. Это и хорошо, и плохо. Хорошо потому, что интерес  есть. Плохо потому, что компьютеры стоят не только в банках, а банковскую информацию никак не отнесешь к самой  ценной.

Общество в целом  зависит от компьютеров, поэтому сегодня проблема информационной безопасности - это проблема всего общества. В других странах это поняли довольно давно. Так, в США в 1987 году был принят закон о компьютерной безопасности - Computer Security Act, вступивший в силу в сентябре 1988 года. Этот закон предусматривает комплекс мер по обучению пользователей, имеющих дело с критичной информацией, по подготовке разъяснительных руководств и т.д., без чего сознательное поддержание режима безопасности просто невозможно. И данный закон действительно выполняется.

Следующим после  законодательного можно назвать управленческий уровень. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Главное, что должен обеспечить управленческий уровень, - это выработать политику обеспечения информационной безопасности, определяющую общему направлению работ.

Применительно к  персоналу, работающему с информационными  системами, используются организационные  и программно-технические меры обеспечения  информационной безопасности. Сюда следует  отнести методики подбора персонала, его обучения, обеспечения дисциплины, а также средства "защиты от дурака". Важным элементом являются также меры по физической защите помещений и оборудования.

Для поддержания  режима информационной безопасности особенно важны программно-технические меры, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов  и т.п. Напомним названия ключевых механизмов обеспечения информационной безопасности:

- идентификация и  аутентификация;

- управление доступом;

- протоколирование  и аудит; 

- криптография;

- экранирование.  

НЕДОСТАТКИ СУЩЕСТВУЮЩИХ СТАНДАРТОВ И РЕКОМЕНДАЦИЙ

Стандарты и рекомендации образуют понятийный базис, на котором  строятся все работы по обеспечению  информационной безопасности. В то же время этот базис ориентирован, в первую очередь, на производителей и "оценщиков" систем и в гораздо  меньшей степени - на потребителей.

Стандарты и рекомендации статичны, причем статичны, по крайней  мере, в двух аспектах. Во-первых, они  не учитывают постоянной перестройки  защищаемых систем и их окружения. Во-вторых, они не содержат практических рекомендаций по формированию режима безопасности. Информационную безопасность нельзя купить, ее приходится каждодневно поддерживать, взаимодействуя при этом не только и не столько с компьютерами, сколько  с людьми.

Иными словами, стандарты  и рекомендации не дают ответов на два главных и весьма актуальных с практической точки зрения вопроса:

- как приобретать  и комплектовать информационную  систему масштаба предприятия,  чтобы ее можно было сделать  безопасной?

- как практически  сформировать режим безопасности  и поддерживать его в условиях  постоянно меняющегося окружения  и структуры самой системы?  

Как уже отмечалось, стандарты и рекомендации несут  на себе "родимые пятна" разработавших  их ведомств. На первом месте в "Оранжевой  книге" (документе, освещающем проблемы информационной безопасности в США) и аналогичных Руководящих документах Гостехкомиссии при Президенте РФ стоит обеспечение конфиденциальности. Это, конечно, важно, но для большинства гражданских организаций целостность и доступность - вещи не менее важные. Не случайно в приведенном определении информационной безопасности конфиденциальность поставлена на третье место.

Таким образом, стандарты  и рекомендации являются лишь отправной  точкой на длинном и сложном пути защиты информационных систем организаций. С практической точки зрения интерес  представляют по возможности простые  рекомендации, следование которым дает пусть не оптимальное, но достаточно хорошее решение задачи обеспечения  информационной безопасности. Прежде чем перейти к изложению подобных рекомендаций, полезно сделать еще  одно замечание общего характера.

Несмотря на отмеченные недостатки, у "Оранжевой книги" есть огромный идейный потенциал, который  пока во многом остается невостребованным. Прежде всего, это касается концепции  технологической гарантированности, охватывающей весь жизненный цикл системы - от выработки спецификаций до фазы эксплуатации. При современной технологии программирования результирующая система не содержит информации, присутствующей в исходных спецификациях. В то же время, ее наличие на этапе выполнения позволило бы по-новому поставить и решить многие проблемы информационной безопасности. Например, знание того, к каким объектам или их классам может осуществлять доступ программа, существенно затруднило бы создание "троянских коней" и распространение вирусов. К сожалению, пока для принятия решения о допустимости того или иного действия используется скудная и, в основном, косвенная информация - как правило, идентификатор (пароль) владельца процесса, - не имеющая отношения к характеру действия.  
 

НАИБОЛЕЕ РАСПРОСТРАНЕННЫЕ УГРОЗЫ

Прежде чем переходить к рассмотрению средств обеспечения  информационной безопасности, рассмотрим самые распространенные угрозы, которым  подвержены современные компьютерные системы. Знание возможных угроз, а  также уязвимых мест защиты, которые  эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения  безопасности.

Само понятие "угроза" в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто  открытой организации может просто не существовать угроз конфиденциальности - вся информация считается общедоступной; однако в большинстве случаев  нелегальный доступ считается серьезной  опасностью. В общем случае проблему информационной безопасности следует  рассматривать и с учетом опасности  нелегального доступа.

Самыми частыми  и самыми опасными, с точки зрения размера ущерба, являются непреднамеренные ошибки пользователей, операторов, системных  администраторов и других лиц, обслуживающих  информационные системы. Иногда такие  ошибки являются угрозами: неправильно  введенные данные, ошибка в программе, а иногда они создают слабости, которыми могут воспользоваться  злоумышленники - таковы обычно ошибки администрирования. Согласно исследованиям, 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения можно  считать пустяками по сравнению  с безграмотностью и невнимательностью. Очевидно, самым радикальным способом борьбы с непреднамеренными ошибками является максимальная автоматизация  и строгий контроль за правильностью совершаемых действий.

На втором месте  по размерам ущерба располагаются кражи  и подлоги. Согласно имеющимся данным, в 1992 году в результате подобных противоправных действий с использованием ПК американским организациям был нанесен суммарный  ущерб в размере 882 млн. долл. Можно  предположить, что подлинный ущерб  намного больше, поскольку многие организации по понятным причинам скрывают такие инциденты. В большинстве  расследованных случаев виновниками  оказывались штатные сотрудники организаций, отлично знакомые с  режимом работы и защитными мерами. Это еще раз свидетельствует  о том, что внутренняя угроза гораздо  опаснее внешней.

Весьма опасны так  называемые "обиженные сотрудники" - действующие и бывшие. Как правило, их действиями руководит желание  нанести вред организации-обидчику, например:

- повредить оборудование;

- встроить логическую  бомбу, которая со временем  разрушит программы и/или данные;

- ввести неверные  данные;

- удалить данные;

- изменить данные.  

"Обиженные сотрудники", даже бывшие, знакомы с порядками  в организации и способны вредить  весьма эффективно. Необходимо следить  за тем, чтобы при увольнении  сотрудника его права доступа  к информационным ресурсам аннулировались.

Угрозы, исходящие  от окружающей среды, к сожалению, отличаются большим разнообразием. В первую очередь, следует выделить нарушения  инфраструктуры: аварии электропитания, временное отсутствие связи, перебои  с водоснабжением, гражданские беспорядки и т.п. Опасны, разумеется, стихийные  бедствия и техногенные катастрофы. Принято считать, что на долю огня, воды и аналогичных "врагов", среди  которых самый опасный - низкое качество электропитания, приходится 13% потерь, нанесенных информационным системам.

Много говорят и  пишут о хакерах, но исходящая  от них угроза зачастую преувеличивается. Верно, что почти каждый Internet-сервер по несколько раз в день подвергается попыткам проникновения; верно, что  иногда такие попытки оказываются  удачными; верно, что изредка подобные действия связаны со шпионажем. Однако в целом ущерб от деятельности хакеров по сравнению с другими  угрозами представляется не столь уж значительным. Скорее всего, больше пугает фактор непредсказуемости действий людей такого сорта. Представьте  себе, что в любой момент к вам  в квартиру могут забраться посторонние  люди. Даже если они не имеют злого  умысла, а зашли просто так, посмотреть, нет ли чего интересного, - приятного  в этом мало.