Методи забезпечення доступності й цілісності інформації, що базуються на підвищенні надійності технічних систем

Підвищення надійності інформаційно-телекомунікаційних систем (ІТС), наприклад, дублювання джерел електроживлення та технічних засобів зберігання інформації на випадок їх відмови підвищує рівень безпеки інформаційних ресурсів, що обробляються цими системами. Під надійністю розуміється властивість системи виконувати покладені на неї завдання в певних умовах експлуатації.

У випадку відмови ІТС звичайно не здатна виконувати в повному обсязі передбачені технічною документацією функції, тобто переходить зі справного стану в несправний. Відновлення працездатності системи потребує певного часу, внаслідок чого що найменш призводить до не можливості скористатися її ресурсами. Ще гірше ситуація в випадку відмови накопичувачів інформації, оскільки в цьому випадку частина інформації втрачається назавжди.

Якщо при виникненні відмови деякого компонента система продовжує функціонувати, зберігаючи значення основних характеристик у визначених межах, то вважається, що вона перебуває в працездатному стані. Усунення відмови здійснюється без зупинки системи, втрат інформації не відбувається

З погляду на забезпечення безпеки інформації необхідно зберігати хоча б працездатний стан системи. Для розв'язку цього завдання необхідно забезпечити високу надійність функціонування алгоритмів, програм і технічних (апаратних) засобів.

Оскільки алгоритми в ІТС реалізуються за рахунок виконання деяких програм на універсальних засобах обчислювальної техніки або спеціальними апаратними засобами, то надійність алгоритмів окремо не розглядається. У цьому випадку вважається, що надійність системи забезпечується надійністю програмних і апаратних засобів.

Звичайно, надійність системи досягається на наступних етапах її життєвого циклу (від створення до утилізації):

• розробки;

• виробництва;

• експлуатації.

Етап розробки програмних засобів є визначальним при створенні надійних інформаційних систем.

На цьому етапі основними напрямками підвищення надійності програмних засобів є:

• коректна постановка завдання на розробку;

• використання прогресивних технологій програмування;

• контроль правильності функціонування.

Різновидом надійних ІТС є відмовостійкие системи. Відмовостійкість – це властивість системи зберігати працездатність при відмовах окремих пристроїв, блоків, схем.

Відомі наступні основні підходи до створення відмовостійкіх систем:

• просте резервування;

• завадостійке кодування інформації;

• створення адаптивних систем.

Будь-яка відмовостйка система має надмірність. Одним з найбільш простих і діючих шляхів створення відмовостійких систем є просте резервування. Просте резервування засноване на використанні деякої кількості пристроїв, блоків, вузлів, схем тільки в якості резервних.

При відмові основного елемента здійснюється перехід на використання резервного. Резервування здійснюється на різних рівнях: на рівні пристроїв, на рівні блоків, вузлів і т.д. Резервування відрізняється також і глибиною.

Для цілей резервування можуть використовуватися один резервний елемент і більш. Рівні й глибина резервування визначають можливості системи нейтралізувати відмови, а також апаратні витрати. Такі системи повинні мати нескладні апаратно-програмні засоби контролю працездатності елементів і засоби переходу, при необхідності, на використання резервних елементів.

Прикладом резервування може служити використання «дзеркальних» накопичувачів на твердих магнітних дисках, систем резервного електроживлення й т.п.. Недоліком простого резервування є непродуктивне використання засобів, які застосовуються тільки для підвищення відмовостійкості.

Помилки, обумовлені відмовами засобів системи, можна частково виправляти з використанням кодів, що виправляють помилки, ‑ так званого завадостійкого кодування.Завадостійке кодування засноване на використанні інформаційної надмірності. При цьому кожен блок інформації в системі доповнюється певним обсягом спеціальної контрольної інформації. Наявність цієї контрольної інформації (контрольних двійкових розрядів) дозволяє шляхом виконання певних дій над робочою й контрольною інформацією визначати помилки й навіть виправляти їх.

Завадостійке кодування найбільш ефективне при ліквідації наслідків відмов,, що самоусуваються, ‑ так званих збоїв. Завадостійке кодування при створенні відмовостійких систем, як правило, використовується в комплексі з іншими способами підвищення відмовостійкості.

Найбільш досконалими системами, стійкими до відмов, є адаптивні системи. У них досягається розумний компроміс між рівнем надмірності, що вводиться для забезпечення стабільності (толерантності) системи до відмов, і ефективністю використання таких систем за призначенням.

В адаптивних системах реалізується так званий принцип елегантної деградації. Цей принцип припускає збереження працездатного стану системи при деякім зниженні ефективності функціонування у випадках відмов її елементів.

Одним з найефективніших способів забезпечення цілісності й доступності інформації в автоматизованих системах є її дублювання. Воно забезпечує захист інформації як від випадкових загроз, так і від навмисних впливів.

Залежно від цінності інформації, особливостей побудови й режимів функціонування інформаційних систем можуть використовуватися різні методи дублювання, які класифікуються по різних ознаках,

За часом відновлення інформації методи дублювання можуть бути розділені на:

• оперативні;

• неоперативні.

До оперативних методів належать методи дублювання інформації, які дозволяють використовувати дублюючу інформацію в реальному масштабі часу. Це означає, що перехід до використання дублюючої інформації здійснюється за час, який дозволяє виконати запит на використання інформації в режимі реального часу для даної системи. Усі методи, що не забезпечують виконання цієї умови, відносять до неоперативних методів дублювання.

По застосованим для цілей дублювання методам відповідні засоби можна розділити на ті, що використовують:

• додаткові зовнішні запам'ятовувальні пристрої (блоки);

• спеціально виділені області пам'яті на незйомних машинних носіях;

• знімні носії інформації.

По числу копій методи дублювання діляться на:

• одно рівневі;

• багаторівневі.

Як правило, число рівнів не перевищує трьох.

По ступеню просторової далекості носіїв основної й дублюючої інформації методи дублювання можуть бути розділені на наступні методи:

• зосередженого дублювання;

• розосередженого дублювання.

Для визначеності доцільно вважати методами зосередженого дублювання такі методи, для яких носії з основною й дублюючою інформацією перебувають в одному приміщенні.

Усі інші методи належать до розосереджених.

Відповідно до процедури дублювання розрізняють методи:

• повного або дзеркального копіювання;

• часткового копіювання;

• комбінованого копіювання.

При повному копіюванні дублюються всі файли. При дзеркальнім копіюванні будь-які зміни основної інформації супроводжуються такими ж змінами дублюючої інформації. При такім дублюванні основна інформація й дубль завжди ідентичні.

Часткове копіювання припускає створення дублів певних файлів, наприклад, файлів користувача. Одним з видів часткового копіювання, що одержав назву інкрементного копіювання, є метод створення дублів файлів, змінених із часу останнього копіювання.

Комбіноване копіювання допускає комбінації, наприклад, повного й часткового копіювання з різною періодичністю їх проведення.

Нарешті, по виду дублюючої інформації методи дублювання розділяються на:

• методи зі стиском інформації;

• методи без стиску інформації.

Порядок створення системи управління інформаційною безпекою (СУІБ)

Серед міжнародних стандартів про інформаційну безпеку широко відомим є стандарти серії ISO/IEC 27000, розроблені на базі британського стандарту BS 7799.

Стандарт призначені для уніфікації процедур ефективного управління безпекою. Засновані на кращих світових практиках, вони висувають вимоги до процесів, що забезпечують функціонування системи керування ІБ, їхній постійний моніторинг і поліпшення. Стандарти чітко визначають ключові процеси, якими необхідно управляти при забезпеченні ІБ в організації.

Керівні принципи стандартів охоплюють три головні аспекти: стратегічний, оперативний і дотримання.

Зокрема, ISO/IEC 27002 — стандарт інформаційної безпеки, що опублікований організаціями ISO и IEC. Він має назву Інформаційні технології ‑ Технології безпеки ‑ Практичні правила менеджменту інформаційної безпеки.

Стандарт дає кращі практичні поради з менеджменту інформаційної безпеки для фахівців, що відповідають за створення, реалізацію або обслуговування систем управління інформаційною безпекою. Інформаційна безпека у стандарті визначається як збереження конфіденційності (впевненості у тому, що інформація доступна лише тим, хто уповноважений мати такій доступ), цілісності (гарантії точності та повноти інформації, а також методів її оброблення) та доступності (гарантії того, що уповноважені користувачі мають доступ до інформації та зв’язаним з нею ресурсам).

Поточна версія стандарту складається з наступних основних розділів:

· Політика безпеки (Security policy)

· Організація інформаційної безпеки (Organization of information security)

· Управління ресурсами (Asset management)

· Безпека, що обумовлена кадровими ресурсами (Human resources security)

· Фізична безпека й безпека оточення (Physical and environmental security)

· Управління комунікаціями й процесами (Communications and operations management)

· Контроль доступу (Access control)

· Придбання, розробка й установлення систем (Information systems acquisition, development and maintenance)

· Управління інцидентами інформаційної безпеки (Information security incident management)

· Управління безперебійною роботою організації (Business continuity management)

· Відповідність правовим і нормативним вимогам (Compliance)

Основні етапи створення системи управління інформаційною безпекою

Планування. Перший крок побудови системи управління інформаційною безпекою (СУІБ) – це визначення області її дії. СУИБ може охоплювати всю організацію, єдиний офіс або виділений сервіс, наприклад розробку програмного забезпечення або супровід інформаційної системи.

Політика інформаційної безпеки. Другим кроком є формування відповідей на запитання:

· Чому інформаційна безпека важлива для організації? Які загрози викликають занепокоєння?

· Яких цілей у термінах цілісності, конфіденційності й доступності необхідно досягти?

· Який рівень ризику є прийнятним для організації?

· Які обов'язкові вимоги законодавства повинні враховуватися при побудові СУІБ?

Оцінка ризику. Третій крок ‑ вибір методу оцінки ризиків, прийнятного для організації й області дії СУІБ. Необхідно ідентифікувати ризики, включаючи:

· визначення ресурсів і їх власників;

· загрози для ресурсів, вразливості, через які реалізуються загрози.

А також оцінити ризики шляхом:

· визначення наслідків реалізації загроз для цілісності, конфіденційності і доступності ресурсів;

· оцінки імовірність настання ризиків та їх рівню.

Управління ризиком. Після отримання оцінки ризиків необхідно ухвалити рішення щодо подальших дій відносно виявлених ризиків. Можливі варіанти рішень: прийняти ризики, відповідно до визначеного в СУІБ припустимого рівня, впровадити механізми контролю для їхньої мінімізації або адресувати ризики третій стороні (наприклад, за допомогою страхування).

Впровадження. Цей етап створення СУІБ передбачає керування механізмами контролю. Крім інших заходів, мають бути впроваджені:

· процедури керування інцидентами безпеки (виявлення, оповіщення, відповідальності, аналізу й усунення);

· процедури навчання й «поінформованості» співробітників;

· процедур впровадження, планування й управління необхідними ресурсами.

Далі здійснюються перевірка досягнення мети, моніторинг вразливостей і недоліків, періодичні оцінки, актуалізація.

Впровадження СУІБ на підприємстві дозволяє підвищити ефективність витрачання коштів на захист інформації.

Література

1. Ленков С.В., Перегудов Д.А., Хорошко В.А., Методы и средства защиты информации/ под. ред. В.А.Хорошко. – К.: Арий, 2008. – Том I. Несанкционированное получение информации, – 464 с.

2. Ленков С.В., Перегудов Д.А., Хорошко В.А., Методы и средства защиты информации/ под. ред. В.А.Хорошко. – К.: Арий, 2008. – Том II. Информационная безопасность, – 344 с.

3. Богуш В.М., Юдін О.К., Інформаційна безпека держави. –К.: «МК-Прес», 2005. – 432с.

4. Мельников В.П., Клейменов С.А., Петраков В.М., Информационная безопасность и защита информации: учебное пособие для студентов высших учебных заведений / под. ред. С.А.Клейменова. – М.: Изд. центр «Академия», 2009. – 336 с.

5. Гатчин Ю.А., Климова Е.В., Ожиганов А.А. Основы информационной безопасности компьютерных систем и защиты государственной тайны: учебное пособие. –СПб.: СПбГУ ИТМО, 2001. – 60 с.

Контрольні запитання.

1. Розкрийте поняття об’єкт інформаційної діяльності.

2. Перерахуйте канали витоку інформації з обмеженим доступом.

3. Які існують види спеціальних досліджень?

4. Яке призначення та які існують види пасивних методів захисту від ПЕМВН?

5. Розкрийте сутність методів зниження потужності ПЕМВН.

6. Розкрийте сутність методів зашумлення, просторове та лінійне зашумлення.

7. На яки класи поділяють методи протидії витоку акустичних сигналів?

8. Надайте характеристику методам захисту акустичної інформації у виділених приміщеннях.

9. Які фактори сприяють реалізації НСД?

10. Які Методи захисту від НСД?

11. Які існують види операцій з файлами?

12. Перерахуйте компоненти системи розмежування доступу.

13. Яка сутність підвищення рівня безпеки інформації шляхом підвищення надійності систем?

14. Перерахуйте етапи життєвого циклу системи, на яких впроваджуються заходи підвищення її надійності.

15. Які існують методи та засоби підвищення надійності систем?

16. Перерахуйте етапи створення системи управління інформаційною безпекою.