Значение информационной безопасности

      В общем виде цели защиты информации сводятся к режимно-секретному информационному  обеспечению деятельности государства, отрасли, предприятия, фирмы.

     Задачи  защиты информации.

     Задачи  защиты информации также имеют два  уровня:

     Первый  уровень – задачи общеконцептуального плана:

• на предупреждение угроз. Предупреждение угроз – это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;
• на выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;
• на обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;
• на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;
• на ликвидацию последствий угроз и преступных действий и восстановление статус-кво.

     Второй  уровень задач защиты информации зависит от конкретного предприятия (прикладные задачи). Они зависят:

• от видов защищаемой на предприятии информации;
• степени ее конфиденциальности;
• состава носителей защищаемой информации.

     Защита  информации разбивается на решение  двух основных групп задач:

     1. Своевременное и полное удовлетворение  информационных потребностей, возникающих  в процессе управленческой, инженерно-технической,  маркетинговой и иной деятельности, то есть обеспечение специалистов  организаций, предприятий и фирм секретной или конфиденциальной информацией.

     2. Ограждение засекреченной информации  от несанкционированного доступа  к ней соперника, других субъектов  в злонамеренных целях.

     При решении первой группы задач – обеспечение специалистов информацией – всегда, конечно, учитывается, что специалисты могут использовать как открытую, так и засекреченную информацию. Снабжение специалистов открытой информацией ничем не ограничивается, кроме ее фактического наличия. При снабжении же специалиста засекреченной информацией действуют ограничения: наличие соответствующего допуска (к какой степени секретности информации он допущен) и разрешения на доступ к конкретной информации. В решении проблемы доступа специалиста к соответствующей засекреченной информации всегда существуют противоречия, с одной стороны, – максимально ограничить его доступ к засекреченной информации и тем самым уменьшить вероятность утечки этой информации; с другой стороны, – наиболее полно удовлетворить его потребности в информации, в том числе и засекреченной для обоснованного решения им служебных задач.

     В обычных, не режимных условиях, специалист имеет возможность использовать в целях решения стоящей перед  ним проблемы разнообразную информацию: ретроспективную, узко - и широкотематическую, отраслевую и межотраслевую, фактографическую и концептуальную. При обеспечении его засекреченной информацией возможности доступа к ней ограничиваются двумя факторами: его служебным положением и решаемой специалистом в настоящее время проблемой.

     Вторая  группа задач – это ограждение защищаемой информации от несанкционированного доступа к ней соперника, включает такие условия, как:

1. Защита информационного суверенитета страны и расширение возможности государства по укреплению своего могущества 
   за счет формирования и управления развитием своего информационного потенциала.
2. Создание условий эффективного использования информационных ресурсов общества, отрасли, предприятия, фирмы, структурного подразделения, индивида.
3. Обеспечение безопасности защищаемой информации: предотвращение хищения, утраты, несанкционированного уничтожения, модификации, блокирования информации и т.п., вмешательства в информацию и информационные системы.
4. Сохранение секретности или конфиденциальности засекреченной информации в соответствии с установленными правилами ее защиты, в том числе предупреждения ее утечки и несанкционированного доступа к ее носителям, предотвращению ее копирования, фотографирования и др.
5. Сохранение полноты, достоверности, целостности информации и ее массивов и программ обработки, установленных собственником информации или уполномоченными им лицами.
6. Обеспечение конституционных прав граждан на сохранение 
   личной тайны и конфиденциальной персональной информации,  
   в том числе накапливаемой в банках данных.
7. Недопущение безнаказанного растаскивания и незаконного 
   использования интеллектуальной собственности, принадлежащей 
   государству, предприятиям и фирмам, частным лицам.

     Из  вышесказанного, можно сделать вывод  о «сущности информационной безопасности».

     В то время как информационная безопасность – это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

     Информационная безопасность организации – состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

     Информационная безопасность государства – состояние сохранности информационных ресурсов государства и защищенности, законных прав личности и общества в информационной сфере.

     В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить  двумя составными частями: информационно-технической  безопасностью и информационно-психологической (психофизической) безопасностью.

      Перечисленные примеры атак не являются новыми – они давно известны. Приведены они здесь только для того, чтобы показать, какие разнообразные причины могут послужить уязвимостями для систем. Новые виды атак появляются постоянно. Поэтому повторим еще раз основные рекомендации по противодействию им:

• стройте защиту на противостоянии не конкретной атаке, а классу атак;
• установите защиту на разных уровнях, так как новая атака, возможно, обойдет тот эшелон защиты, который был направлен против нее, но “споткнется” о другой эшелон соседнего класса (например, новый сверхвзломщик паролей, превосходящий имеющиеся заплаты и обновления системы, будет бесполезен, если сам файл паролей недоступен взломщику);
• будьте в курсе новых атак, о которых обычно информируют соответствующие организации, и своевременно устанавливайте обновления и заплатки на системы, выпускаемые производителем.

   Более серьезным материалом на тему формирования парольной политики может служить  документ CSC-STD-002-85 “Password Management Guide”  Министерства обороны США [DOD2], одна из книг так называемой Радужной серии (Rainbow series), куда входят знаменитые “Оранжевая”  [DOD1] и “Красная” [NCSC1] книги. В документе рассмотрены такие вопросы, как ответственность специалиста по безопасности, ответственность пользователя, функциональность механизма аутентификации и защита паролей. Кроме того, там предложены алгоритмы генерации и шифрования паролей, определение длины пароля, вероятности его угадывания и пр.

     Из  сказанного выше о значении и целях  информационной безопасности, можно  сделать следующий вывод: меры обеспечения сохранности и защиты информации в государственной организации, на предприятии или фирме различаются по своим масштабам и формам. Они зависят от производственных, финансовых и других возможностей фирмы, от количества охраняемых на нем секретов и их значимости. При этом выбор таких мер необходимо осуществлять по принципу экономической целесообразности, придерживаясь в финансовых расчетах «золотой середины», поскольку чрезмерное закрытие информации, так же как и халатное отношение к ее сохранению, могут вызвать потерю определенной доли прибыли или привести к непоправимым убыткам. Отсутствие у руководителей предприятий четкого представления об условиях, способствующих утечке конфиденциальной информации, приводят к ее несанкционированному распространению.

     Наличие большого количества уязвимых мест на любом современном предприятии  или фирме, широкий спектр угроз  и довольно высокая техническая  оснащенность злоумышленников требует  обоснованного выбора специальных  решений по защите информации.

     Глава 2 Информационная безопасность и Интернет

     Общение с использованием новейших средств  коммуникации вобрал в себя Интернет. Всемирная информационная сеть развивается  большими темпами, количество участников постоянно растет. По некоторым данным, в сети зарегистрировано около 1,5 миллиарда  страниц. Некоторые «живут» до полугода, а некоторые работают на своих  владельцев в полную силу и приносят большую прибыль. Информация в сети охватывает все стороны жизнедеятельности  человека и общества. Пользователи доверяют этой форме себя и свою деятельность. Однако опыт работы в  области компьютерных технологий полон  примеров недобросовестного использования  ресурсов Интернет.

     Специалисты говорят, что главная причина  проникновения в компьютерные сети – беспечность и неподготовленность пользователей. Это характерно не только для рядовых пользователей, но и для специалистов в области компьютерной безопасности. Вместе с тем, причина не только в халатности, но и в сравнительно небольшом опыте специалистов по безопасности в сфере информационных технологий. Связано это со стремительным развитием рынка сетевых технологий и самой сети Интернет.

     По  данным лаборатории Касперского, около 90% от общего числа проникновений  на компьютер вредоносных программ используется посредством Интернет, через электронную почту и  просмотр Web-страниц. Особое место среди таких программ занимает целый класс – Интернет-червь. Само распространяющиеся, не зависимо от механизма работы выполняют свои основные задачи по изменению настроек компьютера-жертвы, воруют адресную книгу или ценную информацию, вводят в заблуждение самого пользователя, создают рассылку с компьютера по адресам, взятым из записной книжки, делают компьютер чьим-то ресурсом или забирают часть ресурсов для своих целей или в худшем случае самоликвидируются, уничтожая все файлы на всех дисках.

     Все эти и другие с ними связанные  проблемы можно решить с помощью  наличия в организации проработанного документа, отражающего политику информационной безопасности компании. В таком документе  должны быть четко прописаны следующие  положения:

• как ведется работа с информацией предприятия;
• кто имеет доступ;
• система копирования и хранения данных;
• режим работы на ПК;
• наличие охранных и регистрационных документов на оборудование и программное обеспечение;
• выполнение требований к помещению, где располагается ПК и рабочее место пользователя;
• наличие инструкций и технической документации;
• наличие рабочих журналов и порядок их ведения.

     Кроме того, необходимо постоянно отслеживать  развитие технических и информационных систем, публикуемых в периодической  печати или следить за событиями, обсуждаемыми на подобных семинарах.

     Так согласно Указа Президента РФ «О мерах  по обеспечению информационной безопасности РФ при использовании информационно-телекоммуникационных сетей международного информационного  обмена», запрещено подключение  информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную  тайну, либо информации, обладателями которой являются госорганы и  которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную  границу РФ, в том числе к  Интернету.

     При необходимости подключения указанных  информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники к информационно-телекоммуникационным сетям международного информационного  обмена такое подключение производится только с использованием специально предназначенных для этого средств  защиты информации, в том числе  шифровальных (криптографических) средств, прошедших в установленном законодательством  РФ порядке сертификацию в Федеральной  службе безопасности РФ и (или) получивших подтверждение соответствия в Федеральной  службе по техническому и экспортному  контролю [2].