Общие проблемы безопасности информации

Важной задачей сертификационных испытаний АИС является обес­печение социальной, экономической, экологической, и военно-страте­гической безопасности ценной и конфиденциальной информации в:

1. государственных и частных предприятиях;

2. органах государственного управления;

3. банковской и биржевой инфраструктурах.

Решение этой задачи тесно связано с общей проблемой обеспе­чения высокого качества функционирования АИС.

Основы, регламентирующие защиту информации в открытых сис­темах, изложены в следующих нормативных документах:

- ISO 7498 - "Взаимосвязь открытых систем. Базовая эталонная модель. 4.2: Архитектура защиты информации";

- ISO 11586 - "ВОС. Общая защита информации на верхних уровнях. 4.1: Общий обзор, модели и нотации. 4.2: Определение услуг, обеспе­чиваемых сервисным элементом обмена методами защиты. 4.3: Спе­цификация протокола сервисного элемента обмена методами защиты на прикладном уровне. 4.4: Спецификация синтаксиса передачи защи­ты, относящейся к уровню представления, для обеспечения услуг за­щиты на прикладном уровне";

- ISO 10181-1-15 - "ВОС. Основы защиты информации в открытых системах" и др.

Проблемы защиты имущественных прав на информацию возникли в связи с превращением информации в объект собственности. В ре­зультате сформировались следующие цели защиты информации в АИС:

- предотвращение несанкционированного доступа к базам данных (т.е. утечки, хищения, утраты, уничтожения, искажения, модификации, копирования и блокирования информации);

- сохранение полноты, достоверности, целостности информации и программ обработки, установленных собственником или уполномочен­ным им лицом;

- обеспечение конституционных прав граждан на сохранение лич­ной тайны и конфиденциальности персональной информации, накап­ливаемой в базах данных;

- сохранение секретности, конфиденциальности информации в со­ответствии с действующим законодательством;

- соблюдение прав авторов программной и информационной про­дукции, используемой в информационных системах;

- конфиденциальность информации - обеспечение доступа к засекреченной информации только тому, кому она предназначена;

- целостность информации - точность, достоверность и полнота информация, на основе которой принимаются важные решения, ее за­щищенность от возможных непреднамеренных и злоумышленных ис­кажений;

- защита информации от несанкционированного доступа и модификации - разграничение функциональных полномочий и досту­па к информации с целью сохранения трех основных свойств защищае­мой информации: конфиденциальности, целостности, готовности.

В соответствии со сложившимися отраслевыми структурами и ви­дами информационной собственности в практической деятельности по применению мер и средств защиты информации выделились следую­щие самостоятельные направления:

защита информации от несанкционированного доступа;

- защита юридической значимости электронных документов;

- защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ;

- защита от несанкционированного копирования и распространения программ и ценной компьютерной информации.

Для объективной оценки качества защищенности информацион­ных систем общепринятым является подход, основанный на методе экспертной оценки совокупности функциональных и качественных ха­рактеристик ИТ, зафиксированных в соответствующих национальных и международных стандартах. Одним из наиболее сложных вопросов сертификации защищенности является подтверждение невозможнос­ти "прокола" информационной системы со стороны пользовательских программ. Для этого необходимо использовать трудоемкие и дорого­стоящие методы разработки "доказательно корректных" программных средств и методы формальной сертификации программ.

При классификации и выборе методов и средств сертификации информационных технологий следует учитывать определенный набор классов комплексной защищенности АИС, зависящих от характеристик уязвимости, ценности и секретности информации, функциональных особенностей конкретных систем.

Для этих классов должны быть сформулированы требования к со­вокупности функций и составу соответствующих средств защиты, а так­же требования к методам и средствам сертификации их корректности и эффективности.

Повышению сложности задач, решаемых АИС, непосредственно сопутствует увеличение используемой памяти и производительности вычислительных средств, а также рост энтропии (неопределенности в среде функционирования) и уязвимости сложных информационных систем. В ряде сфер применения информационных систем, составляю­щих критические области приложений, недостаточная их защищенность от ошибок проектирования, собственных аномалий и саморазрушения могут приводить в процессе использования к катастрофическим по­следствиям.

Возникает проблема обеспечения технологической безопасности информационных систем, программных средств и баз данных. Техно­логическая безопасность - система методов и средств предотвра­щения и выявления непредумышленных угроз безопасности функцио­нирования при случайных, дестабилизирующих воздействиях и отсут­ствии злоумышленного влияния на АИС, а также снижения воздействия этих угроз до допустимого уровня, который определяется соответствую­щими нормативно-техническими документами.

Одним из методов обес­печения технологической безопасности баз данных является инфор­мационная избыточность - дублирование части используемых в АИС данных, которые в наибольшей степени влияют на ее нормальное функ­ционирование и требуют значительного времени восстановления при разрушении.

Создание открытых и территориально распределенных систем су­щественно усложнило и ускорило необходимость системного решения этой проблемы. При этом следует учитывать возможность предумыш­ленной негативной модификации программ и данных отдельными спе­циалистами, участвующими в создании или сопровождении АИС, по заданию конкурирующих или враждебных организаций. Эта проблема в значительной степени решается посредством методов, средств и стандартов, поддерживающих системный анализ, технологию разработки и сопровождения АИС.

Возрастание важности и ответственности задач, решаемых АИС, сопровождается увеличением их уязвимости от предумышленных, внеш­них воздействий с целью использования или разрушения информации (программ), которые по своему содержанию предназначены для приме­нения ограниченным кругом лиц. Это требует обеспечения внешней безопасности функционирования АИС в процессе эксплуатации. В этом случае происходит противоборство внешних злоумышленников, стре­мящихся использовать или исказить информацию, и средств обеспе­чения безопасности функционирования АИС.

Для решения этой про­блемы созданы и активно развиваются методы, средства и стандарты защиты программ и данных от любых негативных внешних воздействий.

Становится реальностью возможность нанесения огромного ущер­ба обществу и потребителям информации в процессе функционирова­ния критических АИС при очень малых затратах на искажение, уничто­жение или кражу информации или программ. Проблемы усугубляются в связи с превращением информации БД и программ в объект собствен­ности и с необходимостью защиты имущественных прав от незаконных посягательств. Потенциальная возможность и реальные проявления информационных диверсий заставляют активизировать исследования, разработки и совершенствование методов и средств обеспечения за­щиты и безопасности. Их реализация требует значительных ресурсов памяти и производительности вычислительных систем, зачастую соиз­меримых или даже больших, чем используемые для решения функцио­нальных задач.                                   

Таким образом, высокая уязвимость ИС от случайных и предумыш­ленных отрицательных воздействий выдвинула эти проблемы в разряд важнейших, стратегических, определяющих принципиальную возмож­ность и эффективность применения ряда АИС в народном хозяйстве и военной технике. Становится реальным противоборство не только от­дельных лиц и организаций, но и информационная борьба, а потенци­ально и война, между государствами. В результате, техническая проб­лема защиты программ и данных вырастает до уровня национальных, государственных проблем, для решения которых необходимы законо­дательные, организационные, технологические мероприятия и прове­дение работ по стандартизации в области безопасности АИС.

Методы и средства защиты целесообразно структурировать по ком­понентам АИС и по функциям или направлениям задач защиты. Типо­вые компоненты АИС существенно различаются уязвимостью для опе­ративных, негативных внешних воздействий, а также влиянием на каче­ство функционирования АИС.

Меньше всего уязвимы методы и средства разработки и сопро­вождения программ и БД. Тем не менее, следует оценивать и учиты­вать возможность их разрушения или несанкционированного ис­пользования. Наибольшее внимание специалистов должно быть сосре­доточено на методах и средствах защиты коммуникации данных, а так­же на защите функциональных прикладных программ и информации баз данных в процессе эксплуатации АИС. Весьма уязвимыми являют­ся интерфейсы операционных систем и приложений с внешней сре­дой.

При проектировании систем обеспечения безопасности сложных критических АИС необходимо оценивать уязвимость их компонентов для различных негативных воздействий и степень влияния на основные ха­рактеристики АИС. В зависимости от этого следует распределять ресур­сы средств защиты для создания системы, равнопрочной по безопас­ности функционирования при любых внешних воздействиях.