Информационная безопасность

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

(реферат)

 

 

 

 

 

С О Д Е Р Ж  А Н И Е

 

 

ВВЕДЕНИЕ 3

 

ОСНОВНЫЕ ПОНЯТИЯ 3

 

НЕДОСТАТКИ СУЩЕСТВУЮЩИХ СТАНДАРТОВ И РЕКОМЕНДАЦИЙ 4

 

НАИБОЛЕЕ РАСПРОСТРАНЕННЫЕ УГРОЗЫ 5

 

УПРАВЛЕНЧЕСКИЕ МЕРЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 7

 

ПОЛИТИКА БЕЗОПАСНОСТИ 7

 

ПОЛИТИКА БЕЗОПАСНОСТИ ГИПОТЕТИЧЕСКОЙ ОРГАНИЗАЦИИ 10

Область применения.  10

Позиция организации.  10

Распределение ролей и обязанностей.  10

Законопослушность.  11

 

ЗАКЛЮЧЕНИЕ 11

 

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 12

 

 

ВВЕДЕНИЕ

Говоря об информационной безопасности, в настоящее время  имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных  носителях играет все большую  роль в жизни современного общества. Уязвимость такой информации обусловлена  целым рядом факторов: огромные объемы, многоточечность и возможная  анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.

Вследствие этого  настоящая работа посвящена именно проблеме обеспечения информационной безопасности именно в компьютерной среде. Если говорить о безопасности информации, сохраняющейся на "традиционных" носителях (бумага, фотоотпечатки и  т.п.), то ее сохранность достигается  соблюдением мер физической защиты (т.е. защиты от несанкционированного проникновения  в зону хранения носителей). Другие аспекты защиты такой информации связаны со стихийными бедствиями и  техногенными катастрофами. Таким образом, понятие "компьютерной" информационной безопасности в целом является более  широким по сравнению с информационной безопасностью относительно "традиционных" носителей.

Если говорить о различиях  в подходах к решению проблемы информационной безопасности на различных  уровнях (государственном, региональном, уровне одной организации), то такие  различия просто не существуют. Подход к обеспечению безопасности Государственной  автоматизированной системы "Выборы" не отличается от подхода к обеспечению  безопасности локальной сети в маленькой  фирме. Поэтому принципы обеспечения  информационной безопасности в данной работе рассматриваются на примерах деятельности отдельной организации.

 

ОСНОВНЫЕ ПОНЯТИЯ

Прежде всего, примем понятие информационной безопасности - это защищенность информации и  поддерживающей инфраструктуры от случайных  или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Проблема обеспечения  безопасности носит комплексный  характер, для ее решения необходимо сочетание законодательных, организационных  и программно-технических мер. К  сожалению, законодательная база еще  отстает от потребностей практики. Имеющиеся в России законы и указы  носят в основном запретительный характер. В то же время следует  учитывать, что в нашей стране доминирует зарубежное аппаратно-программное  обеспечение. В условиях ограничений  на импорт и отсутствия межгосударственных соглашений о взаимном признании  сертификатов, потребители, желающие быть абсолютно законопослушными, оказываются  по существу в безвыходном положении - у них нет возможности заказать и получить "под ключ" современную  систему, имеющую сертификат безопасности.

Так сложилось, что в  России интерес к вопросам информационной безопасности исходит в основном от банковских кругов. Это и хорошо, и плохо. Хорошо потому, что интерес  есть. Плохо потому, что компьютеры стоят не только в банках, а банковскую информацию никак не отнесешь к самой  ценной.

Общество в целом  зависит от компьютеров, поэтому  сегодня проблема информационной безопасности - это проблема всего общества. В  других странах это поняли довольно давно. Так, в США в 1987 году был  принят закон о компьютерной безопасности - Computer Security Act, вступивший в силу в  сентябре 1988 года. Этот закон предусматривает  комплекс мер по обучению пользователей, имеющих дело с критичной информацией, по подготовке разъяснительных руководств и т.д., без чего сознательное поддержание  режима безопасности просто невозможно. И данный закон действительно  выполняется.

Следующим после законодательного можно назвать управленческий уровень. Руководство каждой организации  должно осознать необходимость поддержания  режима безопасности и выделения  на эти цели соответствующих ресурсов. Главное, что должен обеспечить управленческий уровень, - это выработать политику обеспечения информационной безопасности, определяющую общему направлению работ.

Применительно к персоналу, работающему с информационными  системами, используются организационные  и программно-технические меры обеспечения  информационной безопасности. Сюда следует  отнести методики подбора персонала, его обучения, обеспечения дисциплины, а также средства "защиты от дурака". Важным элементом являются также  меры по физической защите помещений  и оборудования.

Для поддержания режима информационной безопасности особенно важны программно-технические меры, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов  и т.п. Напомним названия ключевых механизмов обеспечения информационной безопасности:

- идентификация и  аутентификация;

- управление доступом;

- протоколирование и  аудит; 

- криптография;

- экранирование. 

 

НЕДОСТАТКИ СУЩЕСТВУЮЩИХ СТАНДАРТОВ И РЕКОМЕНДАЦИЙ

Стандарты и рекомендации образуют понятийный базис, на котором  строятся все работы по обеспечению  информационной безопасности. В то же время этот базис ориентирован, в первую очередь, на производителей и "оценщиков" систем и в гораздо  меньшей степени - на потребителей.

Стандарты и рекомендации статичны, причем статичны, по крайней  мере, в двух аспектах. Во-первых, они  не учитывают постоянной перестройки  защищаемых систем и их окружения. Во-вторых, они не содержат практических рекомендаций по формированию режима безопасности. Информационную безопасность нельзя купить, ее приходится каждодневно поддерживать, взаимодействуя при этом не только и не столько с компьютерами, сколько  с людьми.

Иными словами, стандарты  и рекомендации не дают ответов на два главных и весьма актуальных с практической точки зрения вопроса:

- как приобретать  и комплектовать информационную  систему масштаба предприятия,  чтобы ее можно было сделать  безопасной?

- как практически  сформировать режим безопасности  и поддерживать его в условиях  постоянно меняющегося окружения  и структуры самой системы? 

 

Как уже отмечалось, стандарты  и рекомендации несут на себе "родимые  пятна" разработавших их ведомств. На первом месте в "Оранжевой книге" (документе, освещающем проблемы информационной безопасности в США) и аналогичных  Руководящих документах Гостехкомиссии при Президенте РФ стоит обеспечение  конфиденциальности. Это, конечно, важно, но для большинства гражданских  организаций целостность и доступность - вещи не менее важные. Не случайно в приведенном определении информационной безопасности конфиденциальность поставлена на третье место.

Таким образом, стандарты  и рекомендации являются лишь отправной  точкой на длинном и сложном пути защиты информационных систем организаций. С практической точки зрения интерес  представляют по возможности простые  рекомендации, следование которым дает пусть не оптимальное, но достаточно хорошее решение задачи обеспечения  информационной безопасности. Прежде чем перейти к изложению подобных рекомендаций, полезно сделать еще  одно замечание общего характера.

Несмотря на отмеченные недостатки, у "Оранжевой книги" есть огромный идейный потенциал, который  пока во многом остается невостребованным. Прежде всего, это касается концепции  технологической гарантированности, охватывающей весь жизненный цикл системы - от выработки спецификаций до фазы эксплуатации. При современной технологии программирования результирующая система  не содержит информации, присутствующей в исходных спецификациях. В то же время, ее наличие на этапе выполнения позволило бы по-новому поставить  и решить многие проблемы информационной безопасности. Например, знание того, к  каким объектам или их классам  может осуществлять доступ программа, существенно затруднило бы создание "троянских коней" и распространение  вирусов. К сожалению, пока для принятия решения о допустимости того или  иного действия используется скудная  и, в основном, косвенная информация - как правило, идентификатор (пароль) владельца процесса, - не имеющая  отношения к характеру действия.

 

 

НАИБОЛЕЕ РАСПРОСТРАНЕННЫЕ УГРОЗЫ

Прежде чем переходить к рассмотрению средств обеспечения  информационной безопасности, рассмотрим самые распространенные угрозы, которым  подвержены современные компьютерные системы. Знание возможных угроз, а  также уязвимых мест защиты, которые  эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения  безопасности.

Само понятие "угроза" в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто  открытой организации может просто не существовать угроз конфиденциальности - вся информация считается общедоступной; однако в большинстве случаев  нелегальный доступ считается серьезной  опасностью. В общем случае проблему информационной безопасности следует  рассматривать и с учетом опасности  нелегального доступа.

Самыми частыми и  самыми опасными, с точки зрения размера ущерба, являются непреднамеренные ошибки пользователей, операторов, системных  администраторов и других лиц, обслуживающих  информационные системы. Иногда такие  ошибки являются угрозами: неправильно  введенные данные, ошибка в программе, а иногда они создают слабости, которыми могут воспользоваться  злоумышленники - таковы обычно ошибки администрирования. Согласно исследованиям, 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения можно  считать пустяками по сравнению  с безграмотностью и невнимательностью. Очевидно, самым радикальным способом борьбы с непреднамеренными ошибками является максимальная автоматизация  и строгий контроль за правильностью  совершаемых действий.

На втором месте по размерам ущерба располагаются кражи  и подлоги. Согласно имеющимся данным, в 1992 году в результате подобных противоправных действий с использованием ПК американским организациям был нанесен суммарный  ущерб в размере 882 млн. долл. Можно  предположить, что подлинный ущерб  намного больше, поскольку многие организации по понятным причинам скрывают такие инциденты. В большинстве  расследованных случаев виновниками  оказывались штатные сотрудники организаций, отлично знакомые с  режимом работы и защитными мерами. Это еще раз свидетельствует  о том, что внутренняя угроза гораздо  опаснее внешней.

Весьма опасны так  называемые "обиженные сотрудники" - действующие и бывшие. Как правило, их действиями руководит желание  нанести вред организации-обидчику, например:

- повредить оборудование;

- встроить логическую  бомбу, которая со временем  разрушит программы и/или данные;

- ввести неверные  данные;

- удалить данные;

- изменить данные.

 

"Обиженные сотрудники", даже бывшие, знакомы с порядками  в организации и способны вредить  весьма эффективно. Необходимо следить  за тем, чтобы при увольнении  сотрудника его права доступа  к информационным ресурсам аннулировались.

Угрозы, исходящие от окружающей среды, к сожалению, отличаются большим разнообразием. В первую очередь, следует выделить нарушения  инфраструктуры: аварии электропитания, временное отсутствие связи, перебои  с водоснабжением, гражданские беспорядки и т.п. Опасны, разумеется, стихийные  бедствия и техногенные катастрофы. Принято считать, что на долю огня, воды и аналогичных "врагов", среди  которых самый опасный - низкое качество электропитания, приходится 13% потерь, нанесенных информационным системам.

Много говорят и пишут  о хакерах, но исходящая от них  угроза зачастую преувеличивается. Верно, что почти каждый Internet-сервер по несколько раз в день подвергается попыткам проникновения; верно, что  иногда такие попытки оказываются  удачными; верно, что изредка подобные действия связаны со шпионажем. Однако в целом ущерб от деятельности хакеров по сравнению с другими  угрозами представляется не столь уж значительным. Скорее всего, больше пугает фактор непредсказуемости действий людей такого сорта. Представьте  себе, что в любой момент к вам  в квартиру могут забраться посторонние  люди. Даже если они не имеют злого  умысла, а зашли просто так, посмотреть, нет ли чего интересного, - приятного  в этом мало.

Много говорят и пишут  и о программных вирусах. Причем в последнее время говорят  уже о вирусах, воздействующих не только на программы и данные, но и на пользователей. Так, в свое время  появилось сообщение о жутком вирусе 666, который, выводя каждую секунду  на монитор некий 25-й кадр, вызывает у пользователей кровоизлияние  в мозг и смерть (впоследствии это  сообщение не подтвердилось).

Однако, говоря о "вирусной" угрозе, обратим внимание на следующий  факт. Как показали проведенные в  США в 1993 году исследования, несмотря на экспоненциальный рост числа известных  вирусов, аналогичного роста количества инцидентов, вызванных вирусами, не зарегистрировано. Соблюдение несложных  правил компьютерной гигиены сводит риск заражения практически к  нулю. Там где работают, а не играют в компьютерные игры (именно это  явление приводит к использованию  непроверенных на наличие вирусов  программ), число зараженных компьютеров  составляет лишь доли процента.

Таковы основные угрозы, на долю которых приходится львиная  доля урона, наносимого информационным системам. Рассмотрим теперь иерархию защитных мероприятий, способных противостоять  угрозам.