top of page

Информационная безопасность​

Связаться
Заказать

Словосочетание «информационная безопасность» в разных контекстах может иметь различный смысл.

В Доктрине информационной безопасности Российской Федерациитермин «информационная безопасность» используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В Законе РФ«Об участии в международном информационном обмене» информационная безопасность (ИБ) определяется аналогичным образом - как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

В данном курсе наше внимание будет сосредоточено на хранении, обработке и передаче информации вне зависимости от того, на каком языке (русском или каком-либо ином) она закодирована, кто или что является ее источником и какое психологическое воздействие она оказывает на людей. Поэтому термин «информационная безопасность» будет использоваться в узком смысле, так, как это принято, например, в англоязычной литературе.

Под информационной безопасностьюмы будем понимать защищенность информации и поддерживающей инфраструктурыот случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе, владельцам и пользователям информации и поддерживающей инфраструктуры. (Далее будет пояснено, что следует понимать под поддерживающей инфраструктурой.)

Защита информации- это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности - это оборотная сторона использования информационных технологий.

Из этого положения можно вывести два важных следствия:

  1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае «пусть лучше вcе сломается, чем враг узнает хоть один секретный бит», во втором - «да нет у нас никаких секретов, лишь бы все работало».

  2. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.

Возвращаясь к вопросам терминологии, отметим, что термин «компьютерная безопасность» (как эквивалент или заменитель ИБ) представляется слишком узким. Компьютеры- только одна из составляющих информационных систем, и хотя наше внимание будет далее сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на «горчичнике», прилепленном к монитору).

Согласно определению информационной безопасности, она зависит не только от компьютеров, но и отподдерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.

Обратим внимание, что в определении ИБ перед существительным «ущерб» стоит прилагательное «неприемлемый». Очевидно, застраховаться от всех видов ущерба невозможно, тем более, невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.

Основные составляющие информационной безопасности

Информационная безопасность - многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, по видимому, это слишком специфический аспект с сомнительными шансами на успех, поэтому далее его выделять не будем.

Поясним понятия доступности, целостности и конфиденциальности.

  1. Доступность - это возможность за приемлемое время получить требуемую информационную услугу.

  2. Под целостностьюподразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

  3. Конфиденциальность- это защита от несанкционированного доступа к информации.

Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, то это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, выделим ее как важнейший элемент информационной безопасности.

Особенно ярко ведущая роль доступности проявляется в разного рода системах управления — производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия — и материальные, и моральные — может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).

Целостность можно подразделить настатическую (понимаемую как неизменность информационных объектов) идинамическую(относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса - все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страницаWeb-сервера какой-либо правительственной организации.

Конфиденциальность - самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на путипользовательской криптографиикак основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом местестоитдоступность. Практически не уступает ей по важностицелостность- какой смысл в информационной услуге, если она содержит искаженные сведения?

Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).

Важность и сложность проблемы информационной безопасности

Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю – национальном, отраслевом, корпоративном или персональном.

Для иллюстрации этого положения ограничимся несколькими примерами.

  • В Доктрине информационной безопасности Российской Федерации(где термин «информационная безопасность» используется в широком смысле) защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющихнациональных интересовРФ в информационной сфере.

  • Первым свидетельством уязвимости компьютеров стал факт случайного запуска в Интернет вируса-червя студентом Корнелльского университета в 1988 году. Роберт Моррис мл., сын ведущего ученого национального центра по компьютерной безопасности (National Computer Security Center), написал воспроизводящуюся и распространяющуюся программу, которая использовала пробелы в системе электронной почты – программе sendmail и фоновом процессе finger daemon - fingerd. Обе программы выполнялись на сервере в фоновом режиме и ожидали запросов от клиентов. Программа sendmail отправляла и принимала сообщения электронной почты. Программа fingerd отвечала на команды finger, дававшие список зарегистрированных в системе пользователей. Эта команда позволяла администраторам проверить, кто в данный момент находится в системе.

Сформатировав особым способом отправляемое любой из данных программ сообщение, можно было встроить в него команды, выполняемые серверной программой. Таким образом, некто, не имеющий полномочий или учетных данных в системе, мог использовать эти бреши для выполнения команд на сервере через серверные программы. «Червь» распространялся с сервера на сервер, заражая тысячи компьютеров в Интернете. Попав на сервер, он размножался и использовал этот сервер для доступа к другим серверам. Что в результате? Большое число компьютеров, подключенных к Интернету, перестали работать после того, как «червь» в результате самовоспроизведения исчерпал их системные ресурсы.

«Очистка» и «антивирусная прививка» машин потребовали от организаций разных стран мира отвлечения персонала и ресурсов для восстановления ущерба, причиненного «червем». Соответствующие затраты в этом случае можно оценить:

  • По количеству сотрудников, выделенных на «дезинфекцию» машины;

  • По времени создания и установки программных корректировок;

  • По времени потери доступа к компьютеру;

  • По потере продуктивности работы сотрудников во время простоя компьютеров;

  • По «фактору страха», появившемуся в отношении Интернета после данного вторжения.

Согласно оценкам, финансовый ущерб от «червя Морриса» превысил 100 млн. долларов. К счастью, содержимое «червя» оказалось не столь разрушительным. Он не удалял и не изменял файлы. За создание «червя» Роберту Моррису дали трехлетний испытательный срок, оштрафовали на 10 тыс. долларов и присудили 400 часов исправительных работ.

В то же время «червь Морриса» дал и конструктивные результаты. Он привлек внимание к реальной опасности виртуального мира и стал тревожным сигналом для всех, кто использовал компьютеры. Это была первая из многочисленных опасных программ, поразивших Интернет и повлиявших на компьютерную безопасность. После данного случая безопасности стало уделяться гораздо больше внимания.

  • По распоряжению президента США Клинтона (от 15 июля 1996 года, номер 13010) была создана Комиссия по защите критически важной инфраструктурыкак от физических нападений, так и от атак, предпринятых с помощью информационного оружия. В начале октября 1997 года при подготовке доклада президенту глава вышеупомянутой комиссии Роберт Марш заявил, что в настоящее время ни правительство, ни частный секторне располагают средствами защитыот компьютерных атак, способных вывести из строя коммуникационные сети и сети энергоснабжения.

  • Американский ракетный крейсер «Йорктаун» был вынужден вернуться в порт из-за многочисленных проблем с программным обеспечением, функционировавшим на платформе WindowsNT4.0 (GovernmentComputerNews, июль 1998). Таким оказался побочный эффект программы ВМФ США по максимально широкому использованию коммерческого программного обеспечения с целью снижения стоимости военной техники.

  • Заместитель начальника управления по экономическим преступлениям Министерства внутренних дел России сообщил, что российские хакеры с 1994 по 1996 год предприняли почти 500 попыток проникновения в компьютерную сеть Центрального банка России. В 1995 году ими было похищено 250 миллиардов рублей (ИТАР-ТАСС, АР, 17 сентября 1996 года).

  • Как сообщил журнал InternetWeekот 23 марта 1998 г., потери крупнейших компаний, вызванные компьютерными вторжениями, продолжают увеличиваться, несмотря на рост затрат на средства обеспечения безопасности. Согласно результатам совместного исследования Института информационной безопасности и ФБР, в 1997 году ущерб от компьютерных преступлений достиг 136 миллионов долларов, что на 36% больше, чем в 1996 году. Каждое компьютерное преступление наносит ущерб примерно в 200 тысяч долларов.

  • В середине июля 1996 года корпорация GeneralMotors отозвала 292860 автомобилей марки Pontiac,Oldsmobile и Buick моделей 1996 и 1997 годов, поскольку ошибка в программном обеспечении двигателя могла привести к пожару.

  • В феврале 2001 г. двое бывших сотрудников компании CommerceOne, воспользовавшись паролем администратора, удалили с сервера файлы, составлявшие крупный (на несколько миллионов долларов) проект для иностранного заказчика. К счастью, имелась резервная копия проекта, так что реальные потери ограничились расходами на следствие и средства зашиты от подобных инцидентов в будущем. В августе 2002 года преступники предстали перед судом.

  • Одна студентка потеряла стипендию в 18 тысяч долларов в Мичиганском университете из-за того, что ее соседка по комнате воспользовалась их общим системным входом и отправила от имени своей жертвы электронное письмо с отказом от стипендии.

Понятно, что подобных примеров множество, можно вспомнить и другие случаи — недостатка в нарушениях ИБ нет и не предвидится. Чего стоит одна только «Проблема 2000» — стыд и позор программистского сообщества!

При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий - области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.

К сожалению, современная технология программирования не позволяет создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения ИБ. Следует исходить из того, что необходимо конструировать надежные системы (информационной безопасности) с привлечением ненадежных компонентов (программ).

В принципе, это возможно, но требует соблюдения определенных архитектурных принципов и контроля состояния защищенности на всем протяжении жизненного цикла ИС.

Приведем еще несколько цифр. В марте 1999 года был опубликован очередной по счету годовой отчет «Компьютерная преступность и безопасность -1999: проблемы и тенденции» (IssuesandTrends: 1999CSI/FBIComputerCrimeandSecuritySurvey). В отчете отмечается резкий рост числа обращений в правоохранительные органы по поводу компьютерных преступлений (32% из числа опрошенных); 30% респондентов сообщили о том, что их информационные системы были взломаны внешними злоумышленниками; атакам черезInternetподвергались 57% опрошенных: в 55% случаях отмечались нарушения со стороны собственных сотрудников. Примечательно, что 33% респондентов на вопрос «были ли взломаны вашиWeb-серверы и системы электронной коммерции за последние 12 месяцев?» ответили «не знаю».

В аналогичном отчете, опубликованном в апреле 2002 года, цифры изменились, но тенденция осталась прежней: 90% респондентов (преимущественно из крупных компаний и правительственных структур) сообщили, что за последние 12 месяцев в их организациях имели место нарушения информационной безопасности; 80% констатировали финансовые потери от этих нарушений; 44% (223 респондента) смогли и/или захотели оценить потери количественно общая сумма составила более 455 млн. долларов. Наибольший ущерб нанесли кражи и подлоги (более 170 и 115 млн. долларов соответственно).

Столь же тревожные результаты содержатся в обзоре InformationWeek, опубликованном 12 июля 1999 г. Лишь 22% респондентов заявили об отсутствии нарушений информационной безопасности. Наряду с распространением вирусов отмечается резкий рост числа внешних атак.

Увеличение числа атак - еще не самая большая неприятность. Хуже то, что постоянно обнаруживаются новые уязвимые места в программном обеспечении (выше отмечалась ограниченность современной технологии программирования) и, как следствие, появляются новые виды атак.

Так, в информационном письме Национального центра зашиты инфраструктуры США (NationalInfrastructureProtectionCenterNIPC) от 21 июля 1999 г. сообщается, что за период с 3 по 16 июля 1999 года выявлено девять проблем с программным обеспечением (ПО), риск использования которого оценивается как средний или высокий (общее число обнаруженных уязвимых мест равно 17). Среди «пострадавших» операционных платформ - почти все разновидности ОС:Unix,Windows, МacOS, так что никто не может чувствовать себя спокойно, поскольку новые ошибки тут же начинают активно использоваться злоумышленниками.

В таких условиях системы информационной безопасности должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным. Иногда нападение длится секунды; порой прощупывание уязвимых мест ведется медленно и растягивается на часы, так что подозрительная активность практически не заметна.

Целью злоумышленников может быть нарушение всех составляющих ИБ -доступности, целостности или конфиденциальности.

Основные принципы обеспечения информационной безопасности

Основными принципами информационной безопасностиявляются:

■ обеспечение целостности и сохранности данных, т.е. надежное их хранение в неискаженном виде;

■ соблюдение конфиденциальности информации (ее недоступность для тех пользователей, которые не имеют соответствующих прав);

■ доступность информации для всех авторизованных пользователей при условии контроля за всеми процессами использования ими получаемой информации;

■ беспрепятственный доступ к информации в любой момент, когда она может понадобиться.

Эти принципы невозможно реализовать без особой интегрированной системы информационной безопасности,выполняющей следующие функции:

■ выработку политики информационной безопасности;

■ анализ рисков (т.е. ситуаций, в которых может быть нарушена нормальная работа информационной системы, а также утрачены или рассекречены данные);

■ планирование мер по обеспечению информационной безопасности;

■ планирование действий в чрезвычайных ситуациях;

■ выбор технических средств обеспечения информационной безопасности.

Политика информационной безопасностиопределяет:

■ какую информацию и от кого (чего) следует защищать;

■ кому и какая информация требуется для выполнения служебных обязанностей;

■ какая степень защиты необходима для каждого вида информации;

■ чем грозит потеря того или иного вида информации;

■ как организовать работу по защите информации.

Обычно руководители организации решают, какой риск должен быть исключен, а на какой можно пойти, они же затем определяют объем и порядок финансирования работ по обеспечению выбранного уровня информационной безопасности.

Идентификация угрозозначает уяснение наступления из-за этого возможных негативных воздействий и последствий. Реализация угрозы может привести к раскрытию, модификации, разрушению информации или отказу в информационном обслуживании. Среди долговременных последствий реализации угрозы могут быть такие, как потеря бизнеса, нарушение какой-либо важной тайны, гражданских прав, адекватности данных, гибель человека и т.п. Вообще надо сказать, что реализация многих угроз приводит обычно к более, чем одномувоздействию. К последним следует отнести: неавторизованный доступ к локальным вычислительным сетям (ЛВС), несоответствующий доступ к ресурсам ЛВС, неавторизованную модификацию данных и программ, раскрытие данных, раскрытие трафика ЛВС, подмену трафика ЛВС и, наконец, неработоспособность ЛВС.

Политика в отношении безопасности должна быть такой, чтобы как можно реже требовалась ее модификация. В этой связи, может быть, более разумно просто принять положение о том, что программное обеспечение обнаружения вирусов должно находиться на персональном компьютере (ПК) ЛВС, серверах и т. д., а администраторы ЛВС должны каждый раз сами определять конкретный используемый информационный продукт.

Все дело в том, что стандарты и рекомендации статичны, по крайней мере, в двух аспектах. Во-первых, они не учитывают обычно постоянной перестройки защищаемых систем и их окружения. Во-вторых, они содержат лишь критические рекомендации по формированию режима безопасности. Поэтому информационную безопасность необходимо каждодневно поддерживать, тесно взаимодействуя не только и не сколько с компьютером, сколько с людьми.

Другими словами, стандарты и рекомендации являются лишь отправной точкой в длинной и сложной цепочке действий по защите информационных систем организаций. Обеспечение безопасности - это комплексная проблема, для решения которой требуется сочетание законодательных,организационныхипрограммно-технических мер.

■ К сожалению, законодательная базасегодня отстает от потребностей практики, а имеющиеся законы и указы носят в основном теоретический характер. Одновременно следует учитывать, что в нашей стране сегодня чаще используется зарубежное аппаратно-программное обеспечение. В условиях жестких ограничений на импорт подобной продукции и отсутствия межгосударственных соглашений о взаимном признании сертификатов, потребители, желающие оставаться законопослушными, оказываются по существу в безвыходном положении, так как у них подчас нет возможности заказать (и получить) современную систему по информационной безопасности «под ключ» и с сертификатом безопасности.

■ Следующий уровень этой проблемы после законодательного - управленческий. Руководство каждой организации должно само определиться с необходимым ему режимом безопасности и выделить для его обеспечения ресурсы, нередко значительные. Главное, надо выработать политику безопасности, которая задаст общее направление работ в данной области. Важный момент при выработке политики безопасности — анализ угроз и выбор адекватных мер противодействия.

■ Для поддержания режима информационной безопасности особое значение имеют также программно-технические меры, поскольку основная угроза компьютерным системам исходит, прежде всего, от самих этих систем (сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п.).

В качестве средств защиты данных от попыток несанкционированного доступа к ним как с внешней стороны, так и изнутри, предлагаются современные программно-технические средства. В комплексы защиты могут входить различные по составу и функциональному назначению системы и средства, применяемые, во-первых, в соответствии с идеологией, заложенной в основу построения тех или иных систем управления, и, во-вторых, с учетом принятого уровня информационной безопасности, учитывающего возможные дестабилизирующие факторы.

■ Одним из нужных шагов в решении проблемы безопасности интегрированных систем организационного типа следует также считать необходимость создания органа, который мог бы заниматься сертификацией средств и методов защиты информации при работе именно с такими системами.

bottom of page