ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4096
Скачиваний: 24
строение. В
тринадцатой главе
затронут важнейший аспект обес
печения безопасности информации — кадровый, а в
четырнад
цатой главе
— вопросы материально-технического обеспечения
КСЗИ.
Эффективность КСЗИ во многом определяется эффективно
стью управления системой. В
пятнадцатой главе
подробно рас
смотрены вопросы, связанные с организацией управления КСЗИ,
а в
шестнадцатой главе —
не менее важные аспекты планирова
ния функционирования КСЗИ. Обратная связь в контурах управ
ления основана на результатах контроля. Связанные с этим воп
росы освещены в
семнадцатой главе. Восемнадцатая глава
по
священа вопросам управления КСЗИ в чрезвычайных ситуациях.
Наконец, в
девятнадцатой
и
двадцатой главах
подробно рас
сматриваются различные подходы к сложной и неоднозначной
проблеме оценки эффективности КСЗИ.
Гл а ва 1
Сущность и задачи комплексной
защиты информации
1.1. Понятийный аппарат в области
обеспечения безопасности информации
Изучение любой дисциплины необходимо начинать с освое
ния понятийного аппарата ее предметной области. Раскрытие зна
чений некоторых ключевых терминов позволяет сформировать
начальные представления о целях и задачах защиты информации.
Терминология в области защиты информации изложена в феде
ральных законах, указах Президента, постановлениях Правитель
ства, государственных и отраслевых стандартах, руководящих до
кументах ФСТЭК России.
Прежде всего определимся с объектом защиты. Согласно [22],
под информацией понимается:
1) сообщение, осведомление о положении дел, сведения о чем-
либо, передаваемые людьми;
2) [в теории вероятности] уменьшаемая, снимаемая неопреде
ленность в результате получения сообщений;
3) [с точки зрения математических подходов] сообщение, не
разрывно связанное с управлением, сигналы в единстве синтак
сических, семантических и прагматических характеристик;
4) передача, отражение разнообразия в любых объектах и про
цессах (неживой и живой природы).
Трудно переоценить роль информации в современном мире.
По мнению многих ученых, именно информация является реша
ющим фактором в конкурентной борьбе государств. Так, на Запа
де пользуется популярностью классификация, в соответствии с
которой все страны делятся по уровню их развития следующим
образом [I]:
• страны, способные производить и продавать информацион
ные услуги;
• страны, не производящие информационных услуг на прода
жу, но создающие и продающие промышленные товары;
• страны, не производящие ни информационных услуг, ни то
варов и являющиеся поставщиками сырья и рабочей силы в стра
ны первых двух классов.
Важность информации как локомотива развития отчетлива
видна на примере Индии. Да и в США более 50 % национального
дохода обеспечивает продажа информационных услуг. Владение
информацией необходимого качества в нужное время и в нужном
месте является залогом успеха в любом виде хозяйственной дея
тельности. Монопольное обладание определенной информацией
оказывается зачастую решающим преимуществом в конкурент
ной борьбе, именно поэтому собственнику необходимо ее защи
щать.
Выделяются два вида собственной информации у предприни
мателя [42]: техническая (технологическая) и деловая информа
ция. К первому типу относятся, например, методы производства
продукции, программное обеспечение, рецепты лекарств и т.п.
Ко второму типу относятся, например, бизнес-планы предприя
тия, списки клиентов, материалы различных заказных исследова
ний.
Уточним, что понимается под
безопасностью информации.
Определение понятия «безопасность» наиболее полно выражено
в Федеральном законе от 5 марта 1992 г. «О безопасности».
В трактовке закона безопасность — это «состояние защищеннос
ти жизненно важных интересов личности, общества и государства
от внутренних и внешних угроз». Понятие защищенности указы
вает на способность (степень, уровень) противостояния конкрет
ным, четко сформулированным угрозам.
В прикладном аспекте, на более низком уровне, чем государ
ство и общество в целом, безопасность определяется как состоя
ние защищенности жизненно важных интересов человека, обще
ства, государства и субъекта защиты в определенной сфере отно
шений при соблюдении баланса интересов между ними.
Анализ отечественных и зарубежных источников показывает,
что в основном все определения понятия безопасности включают
следующие основные положения: наличие внутренних и внешних
угроз, наличие жизненно важных интересов и соблюдение балан
са интересов. Первичным в определениях безопасности является
наличие угроз и опасностей, наличие жизненно важных интере
сов вторично.
Под безопасностью информации понимается такое ее состоя
ние, при котором исключается возможность ознакомления с этой
информацией, ее изменения или уничтожения лицами, не имею
щими на это права, а также утечки за счет побочных электромаг
нитных излучений и наводок, специальных устройств перехвата
(уничтожения) при передаче между объектами вычислительной
техники [30].
Защита информации
подразумевает совокупность мероприя
тий, направленных на обеспечение конфиденциальности и цело
стности обрабатываемой информации, а также доступности ин
формации для пользователей [13]. Более того, далее мы увидим,
что защита информации — это целенаправленный, непрерывно
продолжающийся процесс.
Приведем определения конечных целей защиты информации.
Конфиденциальность
— свойство, позволяющее не давать права
на доступ к информации или не раскрывать ее неполномочным
лицам, логическим объектам или процессам [16].
Целостность —
свойство, при выполнении которого инфор
мация сохраняет заранее определенные вид и качество. Целост
ность можно подразделить на
статическую
(понимаемую как не
изменность информационных объектов) и
динамическую
(отно
сящуюся к корректному выполнению сложных действий (тран
закций)). Практически все нормативные документы и отечествен
ные разработки относятся к статической целостности, хотя дина
мический аспект не менее важен. Статическую целостность мож
но разделить на понятия целостности данных и целостности ин
формации.
Целостность данных
— способность данных не под
вергаться изменению или аннулированию в результате несанкци
онированного доступа.
Целостность информации
— способность
средства вычислительной техники или автоматизированной си
стемы обеспечивать неизменность информации в условиях слу
чайного и/или преднамеренного искажения (разрушения) [3].
Доступность —
такое состояние информации, когда она на
ходится в виде и месте, необходимом пользователю, и в то время,
когда она ему необходима [16].
Защита информации осуществляется на объекте, которым мо
жет быть как все предприятие, так и некоторая его часть. Объект
информатизации — это (1) совокупность информационных ре
сурсов, средств и систем обработки информации, используемых в
соответствии с заданной информационной технологией, средств
обеспечения объекта информатизации, помещений или объектов
(зданий, сооружений, технических средств), в которых они уста
новлены, или (2) помещения и объекты, предназначенные для
ведения конфиденциальных переговоров [14].
Большое значение имеет понятие контролируемой зоны.
Кон
тролируемая зона
— это пространство, в котором исключено не
контролируемое пребывание лиц, не имеющих постоянного или
разового допуска, и посторонних транспортных средств. Грани
цей контролируемой зоны могут являться: периметр охраняемой
территории предприятия (учреждения); ограждающие конструк
ции охраняемого здания, охраняемой части здания, выделенного
помещения. В отдельных случаях на период обработки техниче
скими средствами секретной информации (проведения закрытого
мероприятия) контролируемая зона временно может устанавли
ваться большей, чем охраняемая территория предприятия. При
этом должны приниматься организационно-режимные и техни
ческие меры, исключающие или существенно затрудняющие воз
можность перехвата информации в этой зоне [15].
Главным критерием в выборе средств защиты информации сле
дует считать ее
ценность
(реальную или потенциальную). Иногда
легко определить ценность информации в денежном выражении.
Так, утечка копии снятого фильма приведет к его распростране
нию на пиратских дисках, следовательно, в кинотеатрах не досчи
таются зрителей, а фирма-производитель недополучит прибыль.
В других случаях стоимость информации определить сложно. На
пример, сколько стоит информация о кодах блокировки ядерных
ракет? Поэтому для определения ценности информации в таких
случаях вводят систему грифов секретности информации, преду
сматривая для различных грифов различные меры обеспечения
безопасности. Ценность информации позволяет установить воз
можный ущерб от овладения информацией конкурентами или ее
искажения.
Для обеспечения эффективной защиты информации кроме
оценки ценности необходимо провести анализ ее уязвимости.
Уязвимость —
это некая слабость, которая дает возможность вы
явить характерные особенности и недостатки объекта защиты, об
легчающие проникновение злоумышленника к охраняемым све
дениям. Главный результат анализа уязвимостей — выявление
источников информации и возможных каналов ее утечки или дру
гих нежелательных воздействий на нее. Эти воздействия (атаки)
являются реализацией угроз безопасности, которые носят потен
циальный характер.
При построении и эксплуатации систем безопасности большое
значение имеют методы оценки
риска,
под которым обычно по
нимается произведение вероятности реализации угрозы и насту
пившего в результате ущерба.
1.2. Цели, задачи и принципы
построения КСЗИ
К настоящему времени в ведущих странах мира сложилась до
статочно четко очерченная система концептуальных взглядов на
проблемы обеспечения информационной безопасности. Тем не
менее, как свидетельствует реальность, злоумышленные действия
над информацией не только не уменьшаются, но и имеют доста
точно устойчивую тенденцию к росту. Понимая это, большинство
руководителей предприятий и организаций принимают меры по
защите важной для них информации.
Для решения задач зашиты информации на предприятии со
здается
комплексная система защиты информации
(КСЗИ).