Файл: Роль информационного права и информационной безопасности в современном обществе (Комплексный подход к безопасности).pdf

Введение

Термин «информация» происходит от латинского «informatio», что означает разъяснение, изложение. Информация зачастую определяется через различные свойства материи или путем выделения ее содержательного, ценностного аспектов. Диапазон толкований термина «информация» достаточно широк: от частного, бытового представления (сведения, сообщения, подлежащие переработке) до философского как наиболее общего и мировоззренческого. «Информационная безопасность» начал употребляться в 90-х годах. Первоначально вопросы информационной безопасности ассоциировались с безопасностью самой информации, защитой информации, в большей степени - с защитой государственной тайны.

Проблема защиты информации является - одна из важнейших проблем современности. Несколько десятков лет назад задача защиты информации могла быть эффективно решена с помощью организационных мер и отдельных программно-аппаратах средств разграничения доступа и шифрования. Однако появление персональных компьютеров и развитием сетей существенно обострило проблему защиты информации.

Отличительными особенностями современных информационных технологий являются:

· Значительное увеличение числа автоматизированных процессов в системах обработки данных и важности принимаемых на их основе решений.

· Территориальная распределенность компонентов компьютерной системы и передача информации между этими компонентами.

· Усложнение программных и аппаратных средств компьютерных систем.

· Накопление и длительное хранение больших массивов данных на электронных носителях.

· Интеграция в единую базу данных информацию различной направленности различных методов доступа.

· Непосредственный доступ к ресурсам компьютерной системы большого количества пользователей различной категории и с различными правами доступа в системе.

· Рост стоимости ресурсов компьютерных систем.

Глава 1. Введение в информационную безопасность.

1.1 Роль информационной безопасности в современном мире.

Информационные технологии сегодня стремительно внедряются во многие сферы деятельности человека. Появление локальных и глобальных сетей передачи данных предоставило пользователям компьютеров новые возможности оперативного обмена информацией. Если до недавнего времени подобные сети создавались только в специфических и узконаправленных целях (академические сети, сети военных ведомств и т.д.), то развитие Интернета и аналогичных систем привело к использованию глобальных сетей передачи данных в повседневной жизни практически каждого человека.

Стремительное развитие, в свою очередь, повышает вниманию к безопасности функционирования информационных сетей. Безопасность сетей - это не только обеспечение недоступности сети для тех, кто не имеет к ней непосредственного отношения. Безопасность также предусматривает обеспечение доступа пользователям для совместной работы. Надежная зашита сети позволяет вовлечь в бизнес новых людей независимо от того, где они находятся или каким соединением пользуются. Чем выше степень доверия, тем больший уровень доступа можно безопасно предоставлять внешним сторонам, таким как клиенты, поставщики, деловые партнеры, консультанты, сотрудники и подрядчики. Это помогает расширить бизнес и одновременно упрощает выполнение операций, снижая затраты. Более того, многие клиенты и деловые партнеры запрашивают высокий уровень доверия, прежде чем включиться в деловые процессы.

Качественное обеспечение информационной безопасности не только уменьшает расходы, но и привносит новые возможности. Раньше было принято рассматривать безопасность, только с точки зрения зашиты. Сегодня речь идет уже о том, что она позволяет расширять бизнес в глобальном масштабе независимо от размеров компании или ее расположения.

Уникальность каждой компании - в информации. Компании располагают конфиденциальными сведениями, такими как перечни клиентов, номера кредитных карт, имена и адреса владельцев акций. Специализированная информация включает коммерческие тайны: формулы, сведения о производстве и другие данные, представляющие интеллектуальную собственность.

Информационная безопасность — это система, позволяющая выявлять уязвимые места организации, опасности, угрожающие ей, и справляться с ними. К сожалению, известно много примеров, когда продукты, считающиеся «лекарством на все случаи жизни», на самом деле уводили в сто­рону от выработки надлежащих способов эффективной защиты. Информационная безопасность не обеспечивает абсолютную защиту. Вы построите самую прочную крепость в мире — и тут же появится кто-то с еще более мощным тараном. Информационная безопасность — это предупредительные действия, которые позволяют защитить информацию и оборудование от угроз и использования их уязвимых мест.

1.2 Краткая история безопасности

Подходы к защите информации и других ресурсов постоянно меняются, как меняется наше общество и технологии. Для защиты от прослушивания в американских воинских частях использовали радистов из народа наваха, которые вели переговоры на родном языке. При перехвате радиосообщений противник не мог понять их содержание. Если не считать ошибок при использовании шифровальных систем, сложный шифр очень трудно взломать. Поэтому шел постоянный поиск других способов перехвата информации, передаваемой в зашифрованном виде.

В 1950 г. было установлено, что доступ к сообщениям возможен посредством просмотра электронных сигналов, возникающих при их передаче по телефонным линиям.

Работа любых электронных систем сопровождается излучением, в том числе телетайпов и блоков шифрования, используемых для передачи зашифрованных сообщений. Блок шифрования посылает зашифрованное сообщение по телефонной линии, а вместе с ним передается и электрический сигнал от исходного сообщения. Следовательно, при наличии хорошей аппаратуры исходное сообщение можно восстановить. До сих пор идут серьезные дискуссии о возможности на практике применить подобные технологии для перехвата сообщений, например, по отображению света от монитора на стене с расстояния от 1 км. Как только что-то появляется от военных или госструктур, тут же вся информация засекречивается. Общественности остается лишь догадываться, реально ли существуют технологии или же это была очередная «утка». При передаче сообщений по телеграфу достаточно было обеспечить защиту коммуникаций и излучения. Затем появились компьютеры, на которые были перенесены в электронном формате информационные ресурсы организаций. Спустя какое-то время работать на компьютерах стало проще, и многие пользователи научились общаться с ними в режиме интерактивного диалога. К информации теперь мог обратиться любой пользователь, вошедший в систему. Возникла потребность в защите компьютеров. Изначально моделью безопасности научной среды была «открытый доступ», а моделью правительственных структур — «закрыто и заблокировано». Нечто среднее практически отсутствовало. Это по-прежнему относится ко многим научным и правительственным структурам, в которых требования специфичны и принципы работы неизменны. Описанные модели диаметрально противоположны: в модели безопасности правительственных структур все блокировано, а в модели безопасности научных учреждений все разрешено. Современные технологии и методы обеспечения безопасности позволяют реализовать новые модели безопасности для научных и правительственных структур, однако, их эволюция занимает определенное время.

В области компьютерной безопасности научные и правительственные структуры утвердили подходы, которые используются до сих пор.

Однако с появлением электронной коммерции потребовалась новая модель. Полная изоляция не подходит, если к информационной системе должны иметь доступ тысячи или миллионы пользователей. Аналогично подход «открытых дверей» не годится, когда требуется сохранять конфиденциальность каждого пользователя. Электронной коммерции необходим совершенно иной подход к предоставлению ограниченного контролируемого доступа к данным, комплексный и намного более сложный, чем прежние модели безопасности. Проводя аналогию с жилым домом, можно говорить о сложности разрешения определенным авторизованным сторонам (таким как коммунальные службы, горничные и службы доставки продуктов) проникать в дом и одновременной защите от воров и вандалов; проще все­го или запереть все двери, или оставить их открытыми. Частичный контролируемый доступ требует аутентификации, авторизации и обеспечения секретности.

В начале 70-х гг. XIX века Дэвид Белл и Леонард Ла Падула разработали модель безопасности для операций, производимых на компьютере. Эта модель базировалась на правительственной концепции уровней классификации информации (несекретная, конфиденциальная, секретная, совершенно секретная) и уровней допуска. Если человек (субъект) имел уровень допуска выше, чем уровень файла (объекта) по классификации, то он получал доступ к файлу, в противном случае доступ отклонялся. Эта концепция нашла свою реализацию в стандарте 5200.28 «Trusted Computing System Evaluation Criteria» (TCSEV) («Критерий оценки безопасности компьютерных систем»), разработанном в 1983 г. Министерством обороны США, из-за цвета обложки он получил название «Оранжевая книга». «Оранжевая книга» ранжировала компьютерные системы в соответствии со следующей шкалой.

· D Минимальная защита (ненормируемая)

· С1 Защита по усмотрению

· С2 Контролируемая защита доступа

· B1 Защита с метками безопасности

· B2 Структурированная защита

· B3 Защита доменов

· А1 Проверяемая разработка

«Оранжевая книга» определяла для каждого раздела функциональные требования и требования гарантированности. Система должна была удовлетворять этим требованиям, чтобы соответствовать определенному уровню сертификации.

При составлении других критериев были сделаны попытки разделить функциональные требования и требования гарантированности. Эти раз­работки вошли в «Зеленую книгу» Германии в 1989 г., в «Критерии Канады» в 1990 г., «Критерии оценки безопасности информационных технологий» (ITSEC) в 1991 г. и в «Федеральные критерии» (известные как Common Criteria — «Общие критерии») в 1992 г. Каждый стандарт предлагал свой способ сертификации безопасности компьютерных систем. ITSEC и Common Criteria продвинулись дальше остальных, оставив функциональные требования фактически не определенными.

Современная концепция безопасности воплощена в «Общих критериях». Главная идея сосредоточена в так называемых профилях защиты, определяющих различные среды безопасности, в которые может быть помещена компьютерная система. Продукты проходят оценку на соответствие этим профилям и сертифицируются. При покупке системы организация имеет возможность выбрать профиль, наиболее полно соответствующий ее потребностям, и подобрать продукты, сертифицированные по этому профилю. Сертификат продукта включает также уровень доверия, т. е. уровень секретности, заложенный оценщиками, соответствующий профилю функциональных возможностей.

Технологии компьютерных систем слишком быстро развиваются по сравнению с программой сертификации. Возникают новые версии операционных систем и аппаратных средств и находят свои рынки сбыта еще до того, как более старшие версии и системы проходят сертификацию.

Еще одна из проблем, связанных с критериями оценки безопасности систем, заключалась в недостаточном понимании механизмов работы в сети. При объединении компьютеров к старым проблемам безопасности добавляются новые. Да, мы имеем средства связи, но при этом локальных сетей гораздо больше, чем глобальных. Скорости передачи стали выше, появилось множество линий общего пользования. Шифровальные блоки иногда отказываются работать. Существует излучение от проводки, проходящей по всему зданию. И, наконец, появились многочисленные пользователи, имеющие доступ к системам. В «Оранжевой книге» не рассматривались проблемы, возникающие при объединении компьютеров в общую сеть. Сложившееся положение таково, что наличие сети лишает законной силы сертификат «Оранжевой книги». Ответной мерой стало появление в 1987 г. TNI (Trusted Network Interpretation), или «Красной книги».

В «Красной книге» сохранены все требования к безопасности из «Оранжевой книги». Сделана попытка адресации сетевого пространства и создания концепции безопасности сети. К сожалению, и «Красная книга» связывала функциональность с гарантированностью. Лишь некоторые системы прошли оценку по TNI, и ни одна их них не имела коммерческого успеха. На сегодняшний день проблемы стали еще серьезнее. Организации стали использовать беспроводные сети, появления которых «Красная книга» не могла предвидеть. Еще не разработан процесс сертификации компьютерных систем, подтверждающий обеспечиваемую безопасность. Для большинства предлагаемых решений технологии слишком быстро ушли вперед.

Ясно, что нельзя полагаться на один вид защиты для обеспечения безопасности информации. Не существует и единственного продукта, реализующего все необходимые способы защиты для компьютеров и сетей. К сожалению, многие разработчики претендуют на то, что только их продукт может справиться с этой задачей. На самом деле это не так. Для всесторонней защиты информационных ресурсов требуется множество раз­личных продуктов.

1.3 Компоненты защиты

Антивирусное программное обеспечение является неотъемлемой частью надежной программы безопасности. При его правильной настройке значительно уменьшается риск воздействия вредоносных программ.