Защита информации в автоматизированных системах обработки данных

     В настоящее время характерными и  типичными становятся следующие  особенности использования вычислительной техники:

• возрастающий удельный вес автоматизированных процедур в общем объеме процессов обработки данных;
• нарастающая важность и ответственность решений, принимаемых в автоматизированном режиме и на основе автоматизированной обработки информации;
• увеличивающаяся концентрация в АСОД информационно-вычислительных ресурсов;
• большая территориальная распределенность компонентов АСОД;
• усложнение режимов функционирования технических средств АСОД;
• накопление на технических носителях огромных объемов ин формации, причем для многих видов информации становится все более трудным (и даже невозможным) изготовление немашинных аналогов (дубликатов);
• интеграция в единых базах данных информации различного назначения и различной принадлежности;
• долговременное хранение больших массивов информации на машинных носителях; непосредственный и одновременный доступ к ресурсам (в том числе и к информации) АСОД большого числа пользователей различных категорий и различных учреждений;
• интенсивная циркуляция информации между компонентами АСОД, в том числе и расположенных на больших расстояниях друг от друга;
• возрастающая стоимость ресурсов АСОД.

Однако  создание индустрии переработки  информации, давая объективные предпосылки  для грандиозного повышения эффективности  жизнедеятельности человечества, порождает  целый ряд сложных и крупномасштабных проблем. Одной из таких проблем  является надежное обеспечение сохранности  и установленного статуса использования  информации, циркулирующей и обрабатываемой в информационно-вычислительных установках, центрах, системах и сетях или  коротко - в автоматизированных системах обработки данных (АСОД). Данная проблема вошла в обиход под названием проблемы информационной безопасности и защиты информации.

     В 60-х и частично в 70-х годах проблема защиты информации решалась достаточно эффективно применением в основном организационных мер. К ним относились прежде всего режимные мероприятия, охрана, сигнализация и простейшие программные средства обеспечения информационной безопасности. Эффективность использования указанных средств достигалась за счет концентрации информации на вычислительных центрах, как правило автономных, что способствовало обеспечению защиты информации относительно малыми средствами.

     "Рассосредоточение" информации по местам ее хранения и обработки, чему в немалой степени способствовало появление в огромных количествах дешевых персональных компьютеров и пост роенных на их основе локальных и глобальных национальных и транснациональных сетей ЭВМ, использующих спутниковые каналы связи, создание высокоэффективных систем разведки и добычи ин формации, обострило ситуацию с защитой информации.

     Проблема  обеспечения необходимого уровня защиты информации оказалась (и это предметно  подтверждено как теоретическими исследованиями, так и опытом практического решения) весьма сложной, требующей для своего решения не просто осуществления  некоторой совокупности научных, научно-технических  и организационных мероприятий  и применения специфических средств  и методов, а создания целостной  системы организационных мероприятий  и применения специфических средств  и методов по обеспечению информационной безопасности.

     Координация работ по защите информации в государственном  масштабе традиционно осуществлялась и осуществляется Гостехкомиссией России, которая создавалась как головная организация по противодействию иностранным техническим разведкам. В связи с изложенными выше объективными причинами к настоящему времени произошло переосмысление функций Гостехкомиссии России. В соответствии с этим Указом Президента России Гостехкомиссия стала именоваться как Государственная комиссия России по защите информации, а задача противодействия техническим разведкам стала одной из важнейших активных форм информационной безопасности.

     Работы  по защите информации у нас в стране ведутся достаточно интенсивно и  уже продолжительное время. Накоплен определенный опыт. Его анализ показал, что весь период работ по защите информации в АСОД достаточно четко делится на три этапа, каждый из которых характеризуется своими особенностями в принципиальных подходах к защите информации.

Первый  этап характерен упрощенным подходом к самой проблеме, порожденным  убеждением, что уже сам факт представления  информации в ЭВМ в закодированном виде и обработкой ее по специфическим  алгоритмам уже является серьезным  защитным средством, а потому вполне достаточно включить в состав АСОД некоторые технические и программные  средства и осуществить ряд организационных  мероприятий, и этого будет достаточно для обеспечения защиты информации. Надежды эти не оправдались, специалисты пришли к выводу о том, что для защиты информации требуется некоторая вполне организованная система с своим управляющим элементом. Такой элемент получил название ядра защиты или ядра безопасности. Однако все еще сохранялась надежда, что система защиты с ядром в дальнейшем будет обеспечивать надежную защиту во все время функционирования АСОД, хотя существенно повысилось внимание к организационным мероприятиям.

     Изложенный  подход был характерен и для второго  этапа. Однако нарушения информационной безопасности неуклонно росли, что  вызывало серьезную озабоченность, поскольку могло стать серьезным  препятствием на пути внедрения вычислительной техники. Усиленные поиски выхода из такой почти кризисной ситуации привели к выводу, что защита информации в современных АСОД есть не одноразовая акция, а непрерывный процесс, целенаправленно осуществляемый во все время создания и функционирования систем с комплексным применением всех имеющихся средств, методов и мероприятий. Формирование этого вывода и знаменовало начало третьего этапа в развитии подходов к защите информации, который осуществляется в настоящее время. Так в самых общих чертах может быть охарактеризовано существо зарубежного и отечественного опыта защиты информации в АСОД.

     На  основе сказанного, теоретических исследований и практических работ в области  защиты информации сформулирован так  называемый системно-концептуальный подход к защите информации в АСОД.

     Под системностью как составной частью системно-концептуального подхода  понимается:

• во-первых, системность целевая, т.е. защищенность информации рассматривается как составная часть общего понятия качества информации;
• во-вторых, системность пространственная, предполагающая взаимоувязанное решение всех вопросов защиты во всех компонентах отдельно взятой АСОД, во всех АСОД учреждение (заведения, ведомства), расположенных на некоторой территории;
• в-третьих, системность временная, означающая непрерывность работ по защите информации, осуществляемых по взаимоувязанным планам;
• в-четвертых, системность организационная, означающая единство организации всех работ по защите информации и управления их осуществлением. Она предопределяет объективную необходимость создания в общегосударственном масштабе стройной системы органов, профессионально ориентированных на защиту ин формации, несущих полную ответственность за оптимальную организацию надежной защиты информации во всех АСОД и обладающей для этого необходимыми полномочиями. Главной целью указанной системы органов должна быть реализация в общегосударственном масштабе принципов системно-концептуального подхода к защите информации как государственного, так и коммерческого характера.

     Концептуальность  подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взглядов, положений  и решений, необходимых и достаточных  для оптимальной организации  и обеспечения надежности защиты информации, а также для целенаправленной организации всех работ по защите информации. Разработка такой концепции  в настоящее время находится  в стадии завершения и ее содержание охватывает все направления обеспечения информационной безопасности.

     Учитывая  многообразие потенциальных угроз  информации в АСОД, сложность их структуры и функций, а также  участие человека в технологическом  процессе обработки информации, цели за щиты информации могут быть достигнуты только путем создания системы защиты информации на основе комплексного подхода. Комплексная система защиты информации (КСЗИ) является совокупностью методов  и средств, объединенных единым целевым  назначением и обеспечивающих необходимую  эффективность защиты информации в  АСОД. Комплексность системы защиты информации достигается охватом  всех возможных угроз и согласованием  между собой разнородных методов  и средств, обеспечивающих защиту всех элементов АСОД.[6] 
 
 
 
 
 
 
 
 
 

6. Концепция защиты от несанкционированного доступа к информации 

     Идейной основой набора руководящих документов является "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации". Концепция "излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации.

     В Концепции различаются понятия  средств вычислительной техники (СВТ) и автоматизированной системы (АС), аналогично тому, как в Европейских  Критериях проводится деление на продукты и системы.

     Концепция предусматривает существование  двух относительно самостоятельных  и, следовательно, имеющих отличие  направлений в проблеме защиты информации от несанкционированного доступа. Это – направление, связанное со средствами вычислительной техники, и направление, связанное с автоматизированными системами.

     Отличие двух направлений порождено тем, что средства вычислительной техники разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные автоматизированные системы, и поэтому, не решая прикладных задач, средства вычислительной техники не содержат пользовательской информации.

     Помимо  пользовательской информации при создании автоматизированных систем появляются такие отсутствующие при разработке средств вычислительной техники характеристики автоматизированных систем, как полномочия пользователей, модель нарушителя, технология обработки информации.

     Существуют  различные способы покушения  на информационную безопасность – радиотехнические, акустические, программные и т.п. Среди них несанкционированный доступ выделяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых средств вычислительной техники или автоматизированных систем. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем.

     В Концепции формулируются следующие  основные принципы защиты от несанкционированного доступа к информации:

     Защита  средств вычислительной техники обеспечивается комплексом программно-технических средств.

     Защита  автоматизированных систем обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.

     Защита  автоматизированных систем должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

     Программно-технические  средства защиты не должны существенно  ухудшать основные функциональные характеристики автоматизированных систем (надежность, быстродействие, возможность изменения конфигурации автоматизированных систем).

     Неотъемлемой  частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения  и практическую реализацию средств  защиты.

     Защита  автоматизированных систем должна предусматривать контроль эффективности средств защиты от несанкционированного доступа. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем автоматизированных систем или контролирующими органами.

     Концепция ориентируется на физически защищенную среду, проникновение в которую  посторонних лиц считается невозможным, поэтому нарушитель определяется как субъект, имеющий доступ к работе со штатными средствами автоматизированных систем и средствами вычислительной техники как части автоматизированных систем.