книги / Основы информационной безопасности
..pdf
Рис. 2.3. Концептуальная модель безопасности продукции
–права граждан, юридических лиц и государства на получение, распространение и использование информации, защиту конфиденциальной информации и интеллектуальной собственности.
Информационная безопасность всех вышеуказанных объектов создает условия надежного функционирования государственных и общественных институтов, а также формирования общественного сознания, отвечающего прогрессивному развитию страны.
Субъектами информационной безопасности следует считать те органы и структуры, которые занимаются ее обеспечением. Это могут быть органы не только исполнительной, но и законодательной, судебной власти.
Источники информационных опасностей могут быть естественными (объективными) и умышленными. Первые возникают в результате непреднамеренных ошибок и неисправностей, случайных факторов, стихийных бедствий и др. Известно, например, что системы ПВО периодически выдают ложные сигналы тревоги из-за разнообразных технических сбоев, но по этим сигналам приводятся в высокую степень боеготовности стратегические ракеты, самолеты – носители ядерного оружия. Умышленные информационные воздействия осуществляются сознательно и целенаправленно. При этом часто используются средства массовой информации, радиоэлектронные бомбы (РЭБ), специальные программные средства для компьютеров. Они настолько эффективны, что их можно выделить как новый класс оружия – информационный.
61
Опасные информационные воздействия следует разделить на два вида. Первый связан с утратой ценной информации, что либо снижает эффективность собственной деятельности, либо повышает эффективность деятельности противника, конкурента. Если объектом такого воздействия является сознание людей, то речь идет о разглашении государственных тайн, вербовке агентов, специальных мерах и средствах для подслушивания, использовании детекторов лжи, медикаментозных, химических и других воздействиях на психику человека с целью заставить его развязать язык или забыть что-либо. Безопасность от информационного воздействия данного вида обеспечивают органы цензуры, контрразведки и другие субъекты информационной безопасности. Если же источником информации служат технические системы, то речь идет уже о технической разведке, или шпионаже (перехват телефонных разговоров, радиограмм, сигналов других систем коммуникации), проникновении в компьютерные сети, банки данных. Действительностью подобного рода занимается, например, агентство национальной безопасности США, затрачивая на это около 15 млрд долларов в год. Противодействуют технической разведке органы контрразведки, а также структуры, ведающие теорией и практикой защиты компьютерных средств, систем связи.
Второй вид информационного воздействия связан с внедрением негативной информации, что может не только привести к опасным ошибочным решениям, но и заставить действовать во вред, даже подвести к самоубийству, а общество – к катастрофе. Информационную безопасность этого вида должны обеспечивать специальные структуры информационно-технической борьбы. Они нейтрализуют акции дезинформации, пресекают манипулирование общественным мнением, противодействуют РЭБ, ликвидируют последствия компьютерных атак.
Важнейшими принципами обеспечения информационной безопасности являются:
–законность;
–непрерывность;
–экономическая целесообразность;
–комплексность;
–разумная достаточность;
–гибкость управления и применения;
62
–открытость алгоритмов и механизмов защиты;
–простота применения методов и средств обеспечения информационной безопасности.
Принцип законности. Предусматривает законность проводимых мероприятий по выявлению и предотвращению правонарушений в информационной сфере.
Принцип непрерывности. Обеспечение информационной безопасности – это не разовое мероприятие и даже не определенная совокупностьпроведенныхмероприятий, анепрерывныйцеленаправленный процесс, предполагающий принятие соответствующих мер по обеспечению информационной безопасности на всех этапах жизненного цикла информационных систем.
Принцип экономической целесообразности. Определяет сопос-
тавимость возможного ущерба и затрат на обеспечение безопасности информации.
Разработка системы обеспечения информационной безопасности должна вестись параллельно с разработкой системы защиты самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и в конечном счете позволит создать наиболее эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы. Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий
ит. п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок»
идругихсредствпреодолениясистемызащитыпослевосстановленияее функционирования.
Принцип комплексности. Комплексное использование методов
исредств информационной безопасности предполагает согласованное применение разнородных средств при построении целостной системы обеспечения информационной безопасности, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Комплексный подход предпола-
63
гает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения информационной безопасности. При создании системы обеспечения ИБ необходимо учитывать все слабые, наиболее уязвимые места системы, возможностипоявленияпринципиальноновыхпутейреализацииугроз безопасности, а также характер и возможные источники опасностей, направленности опасных информационных воздействий и потоков.
Принцип разумной достаточности. Создать абсолют-
но непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести разговор только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов информационной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Принцип гибкости управления и применения. Часто приходит-
ся создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, такинедостаточныйуровеньзащиты. Естественно, чтодляобеспечения возможности варьирования уровнем защищенности средства защиты должны обладать определенной гибкостью управления. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости управления спасает владельцев информационных систем от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Разработка структуры системы управления информационной безопасностью (СУИБ), как и любой другой системы управления, должна базироваться на трех основных требованиях теории управления:
64
–разомкнутого управления. Заранее сформированные требования реализуются исполнительными органами системы информационной безопасности (СИБ), воздействуя на объект защиты. Достоинством является простота, а недостатком – низкая эффективность защиты, так как трудно заранее предугадать момент воздействия и вид угрозы;
–компенсации. В контур управления оперативно вводится информация об обнаруженной угрозе, в результате чего исполнительные органы СИБ концентрируют свои усилия на локализации и противодействии конкретной угрозе. Достоинством является более высокая эффективность, а недостатками – трудность правильного обнаружения угрозы и невозможность устранения последствий внутренних угроз;
–обратнойсвязи. Обнаруживаетсянесамаугроза, ареакциясистемынанееистепеньнанесенногоущерба. Достоинствомявляется конкретность иточностьотработкипоследствий угроз(экономи-
ческая целесообразность), включая и внутренние. Недостатком является запаздывание (инерционность) принимаемых мер, так как обнаруживается не предполагаемая угроза, а уже реакция на нее.
СочетаяприсозданииСУИБэтитребованияксистемамуправления, вкаждомотдельномконтурезащитыобъектаможнодобитьсяоптимального соотношения эффективности и стоимости ОБИ, а именно достичь минимума информационного ущерба и затрат на управление (защиту), управляемости и наблюдаемости, быстродействия и устойчивости управления.
Говоря о средствах контроля управления информационной безопасностью, необходимо отметить, что не все средства контроля применимы к каждой информационной среде; их следует использовать выборочно, с учетом местных условий. Однако большинство средств контроля, описанных далее, широко применяются крупными организациями с большим опытом работы, и их использование рекомендуется для всех ситуаций, разумеется, с учетом ограничений, накладываемых технологией и окружающей средой. Эти общепринятые средства контроля часто называют базовыми средствами управления безопасностью, поскольку все они в совокупности определяют базовый промышленный стандарт
65
на поддержание режима безопасности. При использовании некоторых из них, например шифрования данных, могут потребоваться советы специалистов по безопасности и оценки рисков, чтобы определить, нужны ли они и каким образом их реализовать. Для обеспечения более высокого уровня защиты особенно ценных ресурсов или оказания противодействия исключительно высоким уровням угроз нарушения режима безопасности в ряде случаев могут потребоваться другие (более сильные) средства контроля, которые выходят за рамки данных правил. Десять ключевых средств контроля представляют собой либо обязательные требования, например требования действующего законодательства, либо считаются основными структурными элементами информационной безопасности (например, обучение правилам безопасности). К ним относятся следующие средства контроля:
–документ о политике информационной безопасности;
–распределение обязанностей по обеспечению информационной безопасности;
–обучение и подготовка персонала к поддержанию режима информационной безопасности;
–уведомление о случаях нарушения защиты;
–средства защиты от вирусов;
–процесс планирования бесперебойной работы организации;
–контроль за копированием программного обеспечения, защищенного законом об авторском праве;
–защита документации организации;
–защита данных;
–соответствие политике безопасности.
Принцип открытости алгоритмов и механизмов защиты. Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурнойорганизациииалгоритмовфункционированияееподсистем. Знание алгоритмов работы системы защиты не должно давать возможности
еепреодоления (даже автору). Однако это не означает, что информация
оконкретной системе защиты должна быть общедоступна.
Принцип простоты применения средств защиты. Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специ-
66
альных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе легальных пользователей, атакженедолжнотребоватьотпользователейвыполнениярутинных малопонятных операций (ввод нескольких паролей и имен и т. д.).
2.3.Национальные интересы РФ
винформационной сфере
Впоследнее время в России проблемам информационной безопасности на государственном уровне уделяется все большее внимание. Это связано с проникновением информационных и телекоммуникационных технологий во все критические сферы государственной деятельности, деятельности организационных структур и отдельных личностей.
Документом, определяющим современную позицию России по проблемам обеспечения информационной безопасности страны, является«ДоктринаинформационнойбезопасностиРФ», принятая09 сен-
тября 2000 г. Пр. № 1895.
Необходимость принятия доктрины обусловлена следующими факторами:
–современные условия политического и социально-экономиче- ского развития страны вызывают обострения противоречий между потребителями общества в расширении свободного обмена информацией, с одной стороны, и необходимостью сохранения отдельных регламентированных ограничений на ее распространение – с другой;
–развитие и внедрение новых информационных технологий, достижения нейрофизиологии, психологии, химии, как и другие на- учно-технические достижения, в равной мере используемые как во благо, так и во зло;
–информационное воздействие, приводящее к дестабилизирующим, ущемляющим интересы личности, общества, государства результатам;
–усиление угрозы национальной безопасности РФ в информационной сфере;
–возникновение серьезной опасности при нарушении нормального функционирования информационных и телекоммуникаци-
67
онных систем, а также сохранности информационных ресурсов, получения несанкционированного доступа к ним.
Настоящая Доктрина развивает Концепцию национальной безопасности РФ применительно к информационной сфере и служит основой для:
–формированиягосударственнойполитикивобластиобеспечения информационной безопасности РФ;
–подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ;
–разработки целевых программ обеспечения информационной безопасности РФ.
Взаконе РФ «О безопасности» (1992), Концепции национальной безопасности РФ (от 10 января 2000 г.), Доктрине информационной безопасности РФ национальные интересы определены как «осознанные
иофициально выраженные потребности страны, соотнесенные с основными ценностными ориентациями российской цивилизации», а национальные цели как «сформулированные в соответствии с национальными интересами властью и принятые народом установки на достижение будущего состояния общества, государства и личности, при котором единственным и высшим критерием оценки деятельности государства
ивласти может и должно быть благополучие народа».
Современный этап развития общества характеризуется возрастающей ролью информационных взаимодействий инфраструктур и субъектов, осуществляющих сбор, формирование, распространение и использование информации. Информационная сфера, являясь системообразующим фактором в жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности РФ. Национальная безопасность РФ существенно зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.
В информационной сфере формируются стратегические и текущие задачи внутренней ивнешней политикигосударства пообеспечению ИБ с учетом национальных интересов РФ.
Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, оп-
68
ределяющихся совокупностью сбалансированных интересов личности, общества и государства.
Доктрина информационной безопасности РФ дает две классификации национальных интересов в информационной сфере:
–первую классификацию можно назвать классификацией по принадлежности интересов;
–вторую классификацию можно назвать классификацией по важности интересов.
Всоответствииспервойклассификацией национальныеинтересы– это совокупность интересов личности, общества и государства.
Интересыличностивинформационнойсферезаключаютсявреализацииконституционных правчеловека игражданина надоступкинформации, на ее использование в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также на защиту информации, обеспечивающей личную безопасность.
Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.
Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международною сотрудничества.
Вторая классификация национальных интересов в информационной сфере связана с оценкой важности этих национальных интересов и выделением из всей их совокупности четырех наиболее важных. Соответственно, в рамках этой классификации выделяют четыре основные составляющие национальных интересов РФ в информационной сфере.
Первая составляющая включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения инфор-
69
мации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.
Для достижения этого требуется:
–повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа РФ;
–усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала РФ;
–обеспечить конституционные права и свободы человека и гражданина, свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды;
–обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
–укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;
–гарантировать свободу массовой информации и запрет цензуры;
–недопускатьпропагандуиагитацию, которыеспособствуютразжиганию социальной, расовой, национальной или религиозной ненависти и вражды;
–обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и
другой информации, доступ к которой ограничен федеральным законодательством.
Втораясоставляющая представляет собойинформационное обеспечение государственной политики РФ, связанное с доведением до российской и международной общественности достоверной информации о самой государственной политике, ее официальной позиции по соци-
70