48493

Информационная безопасность, курс лекций

Конспект

Информатика, кибернетика и программирование

Основы информационной безопасности государства региона предприятия учреждения и отдельных граждан а также потенциальных угроз информационной безопасности; ядро курса составляют теория защиты информации и системный анализ; оценка знаний и умений студентов проводится с помощью зачета в конце курса изучения дисциплины. Для изучения курса студент должен знать: политическое положение России в современных геополитических условиях; задачи и...

Русский

2015-01-14

318.5 KB

106 чел.

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ

ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

СРЕДНЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«Красногорский государственный колледж»

Гаврилова Т.Б.

КУРС лекций

по дисциплине

«Информационная безопасность»

Красногорск

2011

Введение

Целью изучения дисциплины «Информационная безопасность» является формирование терминологических и научно – теоретических основ будущей специальности.

В основу курса положены следующие принципы:

преподавание дисциплины состоит в освоении студентами основ информационной безопасности государства, региона, предприятия (учреждения) и отдельных граждан,  а также потенциальных угроз информационной безопасности;

ядро курса составляют теория защиты информации и системный анализ;

оценка знаний и умений студентов проводится с помощью зачета в конце курса изучения дисциплины.

На изучение дисциплины отводится 70 часов аудиторных занятий. Из них 50 часов – лекции и 20 часов – практические занятия. На самостоятельную работу также отводится 35 часов.

Для изучения курса студент должен знать:

- политическое положение России в современных геополитических условиях;

- задачи и проблемы государства на пути радикальной социально-экономической модернизации;

- основные законодательные и нормативно-правовые акты в области защиты информации и государственной тайны;

- основы философии;

- общую характеристику процессов сбора, передачи, обработки и накопления информации.

Студент должен уметь:

- самостоятельно работать с учебной и научной литературой;

- применять имеющиеся знания для решения задач по специальности.

Понятие национальной безопасности

Под национальной безопасностью Российской Федерации понимается безопасность ее многонационального народа как носителя суверенитета и единственного источника власти в Российской Федерации (Концепция национальной безопасности РФ, утвержденная Указом Президента РФ от 17.12.1997г. №1300 (в редакции Указа Президента РФ от 10.01. 2000г. № 24)).

Национальные интересы России – это совокупность сбалансированных интересов личности, общества и государства в различных сферах жизнедеятельности: экономической, внутриполитической, социальной, международной, информационной, военной, пограничной, экологической и других.

Жизненно важные интересы – это совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.

В контексте данной дисциплины понятия «национальные интересы» и «жизненно важные интересы» являются идентичными.

Национальные интересы носят долгосрочный характер и определяют:

- основные цели внутренней и внешней политики;

- стратегические и текущие задачи государства.

Национальные интересы обеспечиваются:

- институтами государственной власти;

- общественными организациями, действующими на основе Конституции РФ и законодательства РФ.

Интересы личности состоят:

- в реализации конституционных прав и свобод;

- в обеспечении личной безопасности (сохранение жизни, здоровья и  личного имущества);

- в повышении качества и уровня жизни;

- в физическом, духовном и интеллектуальном развитии человека и гражданина.

Интересы общества состоят:

- в упрочении демократии;

- в создании правового социального государства;

- в достижении и поддержании общественного согласия;

- в духовном обновлении России.

Интересы государства состоят:

- в незыблемости конституционного строя;

- в сохранении суверенитета и территориальной целостности России;

- в политической, экономической и социальной стабильности;

- в безусловном обеспечении законности и поддержания правопорядка;

- в развитии равноправного и взаимовыгодного международного сотрудничества.

2 Виды безопасности

Национальная безопасность России включает в себя:

экономическую безопасность. Реализация национальных интересов России возможна только на основе устойчивого развития экономики, поэтому национальные интересы России в экономической области являются ключевыми;

внутриполитическую безопасность, то есть обеспечение стабильности конституционного строя и институтов государственной власти, гражданского мира и национального согласия, территориальной целостности и единства правового пространства, поддержание правопорядка, а также нейтрализация причин и условий возникновения политического и религиозного экстремизма, этносепаратизма и их последствий – социальных межэтнических и религиозных конфликтов, терроризма;

международную безопасность, то есть обеспечение суверенитета, упрочение влияния России на международной арене, развитие равноправных и взаимовыгодных отношений со всеми странами и объединениями государств;

военную безопасность, то есть защита независимости, территориальной целостности, предотвращение военной агрессии против России и ее союзников, в обеспечении условий для мирного развития государства;

пограничную безопасность, то есть обеспечение надежной защиты государственной границы, соблюдение, установленных законодательством РФ порядка и правил осуществления экономической и других видов деятельности в пограничном пространстве РФ;

социальную безопасность, то есть обеспечение высокого уровня жизни народа;

экологическую безопасность, то есть сохранение и оздоровление окружающей среды;

информационную безопасность. Эту составляющую национальной безопасности рассмотрим подробнее.

В каждом из видов безопасности можно выделить подвиды классы и задачи безопасности, то есть произвести декомпозицию понятия национальная безопасность. Но системным анализом безопасности мы будем заниматься на 5 курсе.

  1.  Информационная безопасность

Информационная безопасность Российской Федерации заключается в защите государственных информационных ресурсов от несанкционированного доступа, а также в развитии современных телекоммуникационных технологий, соблюдении конституционных прав граждан в области получения и использования информации.

Современное общество часто называют информационным, и при оценке степени его развития объем произведенных им информации и информационных услуг зачастую важнее объема произведенных предметов материального потребления.

Часто бывает выгоднее добывать существующую информацию или новые технологии, чем создавать собственные. Обладание ценной информацией и способность защитить ее от хищения и различных несанкционированных и непреднамеренных воздействий становятся важнейшими предпосылками успеха или неудачи в различных областях деятельности общества. А в военной или политической области выигрыш иногда оказывается бесценным.

В США за последние 15 лет расходы на приобретение средств информационной борьбы увеличились в 4 раза и занимают там сейчас первое место среди всех программ по вооружению. Аналогичная картина наблюдается и в других развитых странах.

Столь бурное развитие средств незаконного добывания, а также несанкционированного воздействия на информацию требует принятия адекватных мер по защите информации, по крайней мере, от  трех вещей: утечки, разрушения и модификации. Всем этим и занимается сравнительно новая область знаний – теория защиты информации.

Составными частями теории являются:

- полные и систематизированные сведения о происхождении, сущности и содержании проблемы защиты информации;

- систематизированные результаты анализа развития теоретических исследований  и разработок, а также опыта практического решения задач защиты информации;

- научно обоснованная постановка задачи защиты информации в современных системах ее обработки, учитывающая текущие и перспективные концепции построения систем и технологий обработки, потребности в защите информации и объективные предпосылки их удовлетворении;

- общие стратегические установки на организацию защиты информации, учитывающие все многообразие потенциально возможных условий;

- методы наиболее эффективного решения задач защиты, содержащие как общеметодологические подходы, так и конкретные прикладные решения;

- методологическая и инструментальная база для решения любой совокупности задач защиты информации в рамках выбранной стратегии;

- научно обоснованные предложения по организации и обеспечению работ по защите информации;

- научно обоснованный прогноз перспективных направлений развития теории и практики защиты информации.

Информационная безопасность определяется способностью государства, организации, личности:

- обеспечивать с определенной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционального развития;

- противостоять опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические средства обработки, передачи и хранения информации;

- вырабатывать личностные и групповые навыки безопасного поведения и постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.

Контрольные вопросы.

  1.  Приведите определение национальной безопасности Российской Федерации.
  2.  Что включают в себя понятия «национальные интересы России» и «жизненно-важные интересы»?
  3.  Что определяют и чем обеспечиваются национальные интересы?
  4.  В чем состоят интересы личности?
  5.  В чем состоят интересы общества?
  6.  В чем состоят интересы государства?
  7.  В какой области национальные интересы являются ключевыми?
  8.  В чем заключаются международная и военная безопасности?
  9.  В чем заключается внутриполитическая безопасность?
  10.  В чем заключаются пограничная, социальная и экологическая безопасность?
  11.  В чем заключается информационная безопасность?
  12.  Что изучает теория защиты информации?
  13.  Чем определяется информационная безопасность государства, общества, личности?

Введение

В настоящее время все большее внимание научной общественности уделяется исследованию проблем формирования государственной информационной политики в особых условиях — в условиях использования иностранными государствами и иными субъектами информационного противоборства новых средств и методов политической борьбы, к которым, в первую очередь, относятся операции информационно-психологической войны, представляющие в информационном обществе особую социальную опасность. Отсутствие норм международного и национального права, дающих юридическую квалификацию особо опасных агрессивных акций (мероприятий, операций) информационно-психологического воздействия и препятствующих развязыванию такой агрессии в отношении других государств позволяет использовать арсенал сил и средств информационно-психологической войны как в военное, так и в мирное время.

1 Информационный ресурс

Несмотря на все более широкое использование понятия «информационный ресурс», в настоящее время отсутствует его общепринятое определение, что делает проблематичным разработку эффективной политики любого уровня (международного, государственного, регионального, отраслевого, корпоративного).

Ресурсы – это элемент экономического потенциала, которыми располагает общество и которые, при необходимости, могут быть использованы для достижения конкретных целей хозяйственного и социального развития.

Одно из определений понятия «информационный ресурс» содержится в законе «Об информации, информационных технологиях и защите информации». Информационные ресурсы – по законодательству РФ – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах: библиотеках, архивах, фондах, банках данных, других видах информационных систем.

Как видим, в законодательстве понятие «информационный ресурс» сужено до класса документов, что исключает из рассмотрения значительные объемы информации, зафиксированной на иных классах носителей: человеческая память, промышленные образцы, рецептуры и технологии, программные продукты, технологические системы (объекты) и т.д.

Информационные ресурсы – в широком смысле – совокупность данных, организованных для эффективного получения достоверной информации. Это знание, включенное непосредственно в коммуникативный процесс. Ибо только с момента фиксации знания на каком-либо носителе оно становится информацией и может рассматриваться как информационный ресурс.

Обобщая изложенное выше, предлагается под информационными ресурсами понимать всю накопленную информацию об окружающей нас действительности, зафиксированную на материальных носителях и в любой другой форме, обеспечивающей ее передачу во времени и пространстве между различными потребителями для решения различных задач (научных, управленческих, производственных и других).

Особо следует выделить положение о том, что ресурсом является вся накопленная информация, в том числе и недостоверная, и представленная сомнительными фактами, ложными положениями, неэффективными подходами, а также устаревшая информация, и даже заведомая дезинформация. Недостоверная и устаревшая информация не должна уничтожаться. Она должна обособляться, локализовываться и непрерывно переоцениваться, уточняться и одновременно должны пересматриваться решения, принятые ранее, на основе такой информации.  

В зависимости от носителей информации информационные ресурсы подразделяются на пять основных классов:

1. Документы всех видов, на любых носителях.

2. Персонал (память людей), обладающий знаниями и квалификацией в различных областях науки и техники.

3. Организационные единицы – научные, управленческие, производственные и другие организации, располагающие кадровыми, техническими, финансовыми и прочими возможностями для решения определенного круга проблем и задач.

4. Промышленные образцы (любые материальные объекты, созданные в процессе производства), рецептуры и технологии, программные продукты и другие овеществленные результаты научной и производственной деятельности людей.

5. Научный инструментарий (в том числе автоматизированные системы научных исследований, автоматизированные рабочие места научных работников и проектировщиков, экспертные системы и базы знаний.)

Следует обратить внимание на то, что одна и та же информация может быть зафиксирована на различных носителях, а различные информационные фрагменты одной и той же проблемы могут быть зафиксированы на различных носителях. В этом случае правильное восприятие информации невозможно без доступа ко всем носителям с зафиксированными на них фрагментами информации. Создание национальных и международных информационных ресурсов невозможно без координации использования информационных ресурсов организаций, предприятий и учреждений, работающих в различных областях.

2 Государственная информационная политика

Государство в процессе реализации своих функций по обеспечению информационно-психологической безопасности Российской Федерации в условиях угрозы информационно-психологической агрессии (войны) выполняет следующие задачи:

1. В рамках реализации основных положений Государственной информационной политики:

- организует и проводит объективный и всесторонний анализ и прогнозирование угроз информационно-психологической безопасности Российской Федерации в условиях использования иностранными государствами и другими участниками информационного противоборства особо опасных агрессивных форм внешнего информационно-психологического воздействия — мероприятий и операций информационно-психологической войны;

- разрабатывает меры и механизмы обеспечения информационно-психологической безопасности Российской Федерации в условиях угрозы информационно-психологической агрессии (войны) или в процессе ее отражения;

- организует работу законодательных (представительных) и исполнительных органов государственной власти по реализации комплекса мер, направленных на предотвращение, парирование и нейтрализацию угроз информационно-психологической безопасности Российской Федерации, связанных с использованием иностранными государствами и другими участниками информационного противоборства мероприятий и операций информационно-психологической войны, а также деятельность по осуществлению правосудия;

- организует взаимодействие органов законодательной и исполнительной власти с общественными организациями и гражданами в процессе выявления угроз информационно-психологической безопасности Российской Федерации и определения правовых механизмов противодействия этим угрозам;

- поддерживает законную деятельность общественных объединений в области противодействия угрозам информационно-психологической безопасности Российской Федерации, а также обеспечению в устанавливаемых законодательством рамках общественного и государственного контроля деятельности средств массовой информации;

- осуществляет контроль деятельности федеральных органов государственной власти по реализации государственной политики обеспечения информационно-психологической безопасности Российской Федерации;

- поддерживает законную деятельность общественных объединений в области противодействия угрозам информационно-психологической безопасности Российской Федерации, а также обеспечению в устанавливаемых законодательством рамках общественного и государственного контроля деятельности средств массовой информации.

2. В рамках деятельности государственной системы информационного противоборства в особых условиях:

- разрабатывает официальную концепцию противоборства в информационно-психологической сфере (информационного противоборства);

- в соответствие с положениями официальной концепции формирует общегосударственную систему информационного противоборства;

- разрабатывает и реализует планы проведения активных информационно-психологических операций и мероприятий;

- организует деятельность по противодействию акциям и мероприятиям информационно-психологической агрессии, операциям информационно-психологической войны на ранних стадиях;

- организует деятельность государственной системы органов власти по быстрому реагированию на внезапно выявленные акции (мероприятия) информационно-психологической агрессии (войны) и иные угрозы национальной безопасности;

- организует деятельность по формированию государственной системы обороны в случае развязывания иностранными государствами в отношении Российской Федерации информационно-психологической войны, организует формирование специальных сил информационно-психологических операций и обучение их новейшим методам ведения информационно-психологической войны, организует разработку новейших видов наступательного и оборонительного информационного оружия и оснащение ими подразделений сил ведения информационно-психологической войны;

- организует регулирование участия СМИ и МК (в том числе — в форме цензуры или информационной блокады), транснациональных информационно-телекоммуникационных корпораций и виртуальных социальных сообществ в информационном противоборстве в информационно-психологическом пространстве государства;

- организует деятельность по оценке и локализации наносимого внешней информационно-психологической агрессией (войной) ущерба и по восстановлению оборонного потенциала в информационно-психологической сфере;

- пресекает противоправную деятельность общественных организаций и религиозных объединений, способствующих реализации планов внешней информационно-психологической агрессии (войны);

- обеспечивает представление интересов Российской Федерации в соответствующих международных организациях, определяет объем и формы участия органов государственной власти в деятельности международных организаций и реализации международных программ по противодействию использования акций (мероприятий) информационно-психологической агрессии и операций информационно-психологической войны в качестве методов информационной борьбы, участвует в создании систем и механизмов коллективной (международной) безопасности в информационно-психологической сфере.

3. В рамках деятельности по правовому обеспечению системы информационного противоборства:

- разрабатывает нормы федерального законодательства, дающие юридическую квалификацию акциям (мероприятиям) информационно-психологической агрессии и операциям информационно-психологической войны, относящие их к противоправным деяниям, устанавливающие степень их социальной опасности и объем ответственности физических лиц за организацию, подготовку, совершение и пособничество в совершении этих деяний;

- участвует в разработке норм международного права, устанавливающих международную ответственность государств-агрессоров;

- уточняет перечень и составы правонарушений, связанных с организацией, подготовкой и исполнением акций (мероприятий) информационно-психологической агрессии и операций информационно-психологической войны;

- разрабатывает механизмы проведения следствия и судебного разбирательства по фактам противоправных действий в информационной сфере, связанных с акциями (мероприятиями) внешней информационно-психологической агрессии и операциями информационно-психологической войны, а также порядок ликвидации последствий этих противоправных действий;

- разрабатывает нормативные правовые акты, определяющие организацию следствия и судебного разбирательства, разработку составов правонарушений с учетом специфики уголовной, гражданской, административной, дисциплинарной ответственности и включение соответствующих правовых норм в уголовный, гражданский, административный и трудовой кодексы, в законодательство Российской Федерации о государственной службе.

Контрольные вопросы.

  1.  Что включает в себя понятие «информационный ресурс»?
  2.  Перечислите основные классы информационных ресурсов по типам носителей информации.
  3.  Какие задачи решает государство в рамках реализации основных положений Государственной информационной политики?
  4.  Какие задачи решает государство в рамках информационного противоборства в особых условиях?
  5.  Какие задачи решает государство в рамках деятельности по правовому обеспечению системы информационного противоборства?

Введение

Изначально военные действия велись только на земле, затем, с созданием лодок и кораблей, в сферу боевых действий включилась аквасфера, с появлением летательных аппаратов боевые действия охватили воздушное пространство, затем – космос и, наконец, сюда добавилась информационная сфера.

При этом, и на земле, и на воде, и в воздухе в период подготовки иведения боевых действий всегда велось и информационное противоборство. Вспомним, хотя бы, известную геббельсовскую пропаганду во время подготовки и ведения второй мировой войны.

В современном информационном противоборстве, осуществляемом при подготовке и в ходе ведения боевых действий, все более широко используются новые информационные технологии, что позволяет говорить о его переходе на новую, более высокую стадию – информационной войны.

Термин «информационная война» появился в середине 80-х годов в связи с новыми задачами вооруженных сил США после окончания «холодной войны». Его начали активно употреблять после проведения операции «Буря в пустыне», когда новейшие информационные технологии впервые были использованы как средство ведения войны.

1 Информационная война

Под информационной войной понимаются действия, направленные на достижение информационного превосходства посредством воздействия на информацию и информационные системы противника при одновременном обеспечении безопасности и защиты собственной информации и информационных систем.

Концепция информационной войны, по мнению иностранных военных специалистов, предусматривает:

- подавление элементов инфраструктуры государственного и военного управления противника в военное время и защита собственной управленческой инфраструктуры от подавления противником;

- электромагнитное воздействие на элементы информационных и телекоммуникационных систем (радиоэлектронная борьба) и защита собственных систем от такого воздействия (радиоэлектронная защита);

- получение разведывательной информации путем перехвата и дешифрования информации, передаваемой по каналам связи, а также по побочным излучениям и за счет специально внедренных на объекты и в технические средства обработки информации устройств перехвата информации (радиоэлектронная разведка), а также защита собственной информации от утечки (радиоконтрразведка);

- осуществление несанкционированного доступа к информационным ресурсам с преодолением средств защиты информационных и телекоммуникационных систем противника с последующим искажением, уничтожением или хищением информации либо нарушением функционирования этих систем (хакерская война), а также защита собственных информационных ресурсов (защита информации);

- формирование и массовое распространение по информационным каналам противника или глобальным сетям информационного взаимодействия дезинформации для воздействия на оценки, намерения и ориентацию населения и лиц, принимающих решения (психологическая война), а также противодействие дезинформации (психологическая защита).

2 Информационное оружие

Средством ведения информационной войны является информационное оружие, под которым понимаются средства уничтожения, искажения или хищения информационных массивов, добывания из них необходимой информации после преодоления систем защиты, ограничения или воспрещения доступа к ним законных пользователей, дезорганизации работы технических средств, вывода из строя телекоммуникационных и компьютерных систем, всех средств  высокотехнологического обеспечения жизни общества и функционирования государства.

Информационное оружие от обычных средств поражения отличает:

скрытность -  способность достигать цели без видимой подготовки и объявления войны;

масштабность – возможность наносить невосполнимый ущерб, невзирая на национальные границы и суверенитеты;

универсальность – возможность многовариантного использования его как военными, так и гражданскими структурами нападающей стороны против военных и гражданских объектов страны поражения.

Основными объектами применения информационного оружия являются компьютерные и связные системы, используемые государственными организациями при выполнении своих управленческих функций, и военная информационная инфраструктура, решающая задачи управления войсками и боевыми средствами, сбора и обработки информации в интересах вооруженных сил.

Таким образом, защита от информационного оружия, эффективность которого уже сейчас сопоставима с эффективностью оружия массового поражения, является актуальной задачей, требующей комплексного применения различных способов и средств защиты информации, а также психологической подготовки специалистов различного профиля к работе в условиях информационной войны.

Контрольные вопросы

  1.  Что включает в себя понятие «информационная война»?
  2.  Что предусматривает концепция информационной войны?
  3.  Что включает в себя понятие «информационное оружие»?

Введение

Мы закончили изучение первого раздела дисциплины «Информационная безопасность в системе национальной безопасности Российской Федерации». Данной лекцией мы начинаем изучение раздела № 2 «Проблемы региональной информационной безопасности». Тема лекции № 4 «Проблемы информационной безопасности в сфере регионального и муниципального управления».

Систему органов власти субъекта РФ составляют:

- законодательный орган государственной власти субъекта РФ и представительные органы его муниципальных образований;

- исполнительный орган государственной власти субъекта РФ и органы муниципального управления;

- иные органы государственной власти субъекта РФ, образуемые в соответствии с конституцией (уставом) субъекта РФ.

Органы государственной власти субъекта РФ, а также органы местного самоуправления взаимодействуют в целях эффективного управления процессами экономического и социального развития субъекта РФ и в интересах его населения. Территориальные органы федеральной исполнительной власти осуществляют свою деятельность под руководством соответствующих центральных органов и во взаимодействии с региональными органами власти и управления.

1 Информационная сфера субъектов РФ и муниципальных

образований

Информационная сфера субъектов РФ и муниципальных образований представляет собой совокупность субъектов, осуществляющих деятельность в этой информационной сфере, региональных и муниципальных информационных систем и сетей связи, включая телекоммуникационные системы, информационные ресурсы и общественные отношения в информационной сфере, правовое регулирование которых Конституцией РФ отнесено к предметам совместного ведения РФ, ее субъектов и муниципальных образований.

Подавляющее число процессов в сфере государственного и муниципального управления (как и в сфере любого управления вообще) являются информационными и составляют замкнутый цикл:

- получение органами управления информации;

- обработка полученной информации;

- принятие управленческих решений (формирование управляющих воздействий);

- доведение управленческих решений до исполнителей;

- контроль исполнения;

- получение информации о результатах управления.

Применительно к сфере государственного и муниципального управления (ГМУ) информационные процессы можно определить как процессы получения, использования и преобразования информации в ходе выполнения соответствующим органом власти или его должностным лицом нормативно закрепленной за ним функции или задачи.

Типовыми информационными процессами в сфере ГМУ являются:

- ведение документооборота (прием, подготовка, оформление, учет, согласование и рассылка документов, обеспечение таким образом внутреннего и внешнего циклов движения организационно-распорядительной и другой требуемой в повседневной работе документальной информации);

- накопление информации в целях ее сохранения и облегчения поиска требуемой информации;

- анализ информации и на его основе прогноз и планирование, обеспечение принятия управленческих решений;

- принятие управленческих решений и доведение их до исполнителей;

- информирование населения (публикация материалов в СМИ, ведение сайта в Интернете, ответы на запросы юридических и физических лиц).

Перечисленные информационные процессы мы будем рассматривать только в контексте их реализации с помощью компьютерных систем.

Компьютерная система (КС) – это организационное и техническое объединение следующих взаимосвязанных элементов:

  •  технических средств обработки и передачи данных (средств вычислительной техники и связи);
  •  методов и алгоритмов обработки в виде соответствующего программного обеспечения;
  •  информации (массивов, наборов баз данных) на различных носителях;
  •  персонала и пользователей системы, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки информации с целью удовлетворения информационных потребностей субъектов информационных отношений.

По терминологии в области защиты информации о несанкционированного доступа КС относится к автоматизированным системам.

Основными носителями и средствами передачи информации в КС являются:

- средства хранения информации (магнитные диски, оптические диски, ОЗУ, ПЗУ и т.д.);

- средства отображения информации (мониторы, дисплеи, принтеры, бумажные носители, графопостроители и т.д.);

- средства передачи информации (аппаратура передачи приема информации, линии связи, модемы т.д.).

Участвующие в информационных процессах субъекты и объекты вступают между собой в различные информационные отношения.

Информационные отношения – это вид общественных отношений, связанных с процессами сбора, обработки, накопления, хранения, поиска и распространения информации с использованием ЭВМ, их систем и сетей.

В качестве субъектов информационных отношений в сфере ГМУ выступают:

- органы управления всех уровней и направлений;

- госслужащие (чиновники, персонал КС);

- юридические лица (коммерческие и общественные организации);

- граждане.

Различные субъекты информационных отношений могут выступать в качестве:

- источников (поставщиков) информации;

- пользователей (потребителей) информации;

- собственников (владельцев, распорядителей) информации;

- участников процессов обработки и передачи информации (сюда относятся и специалисты по защите информации).

2 Виды информации и информационных ресурсов в сфере ГМУ

С тематической и функциональной точки зрения информация бывает:

- организационно-распорядительной;

- нормативно-правовой;

- планово-финансовой;

- социально-экономической и др.

По правовому режиму доступа информация бывает открытой (общедоступной) и ограниченного доступа.

Документированная информация ограниченного доступа подразделяется на информацию, отнесенную к государственной тайне и конфиденциальную.

Конфиденциальная информация – это документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ.

Информации, отнесенной к гостайне, присваивается один из грифов секретности:

- особой важности;

- совершенно секретно;

- секретно.

Конфиденциальной информации в органах государственной власти и государственных учреждениях присваивается гриф «Для служебного пользования».

Персональные данные – это сведения о фактах, событиях и обстоятельствах в жизни гражданина, позволяющие идентифицировать его личность. Персональные данные, включаемые в состав государственных информационных ресурсов, информационных ресурсов совместного ведения, региональных и муниципальных информационных ресурсов, а также получаемые и собираемые негосударственными организациями отнесены к категории конфиденциальной информации.

Вот лишь некоторые примеры персональных данных:

- имущественное положение;

- состав семьи и место ее жительства;

- распределение имущественных прав в семье;

- отношения в семье или отношения с другими людьми;

- документально зафиксированный порядок перераспределения имущественных прав в случае гибели членов семьи;

- сведения о фактах биографии;

- состояние здоровья и скрытые физические недостатки;

- связи, пристрастия, увлечения, привычки и пороки;

- убеждения, оценки и взгляды;

- имеющиеся права наследования;

- имеющиеся права на интеллектуальную собственность;

- имеющиеся права на претензии к другим владельцам собственности.

Бесконтрольное хранение и распространение этих сведений может нанести значительный, а порой непоправимый вред человеку. Так, в России ежегодно исчезают около 100 тысяч человек! Некоторые из них бегут от долгов или меняют образ жизни, обрывая старые связи. Но таких немного, а вот куда деваются остальные?!

В действующей нормативно-правовой базе РФ существует более 30 видов тайн и конфиденциальной информации. Между ними подчас имеются противоречия и нестыковки, что объективно требует совершенствования законодательства в данной сфере.

3 Состояние и перспективы информатизации сферы ГМУ

В соответствии с Законом РФ «Об информации, информационных технологиях и защите информации» информатизация – это организационный, социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов.

Информационные ресурсы – это фиксируемая (накапливаемая) каким-либо способом информация.

К сожалению, информатизация сферы ГМУ в РФ происходит в целом весьма хаотично и со значительным отставанием от требований времени. Так, например, по результатам исследований, проводимых в Санкт-Петербурге, эффективность использования информации в управлении городом характеризуется следующими данными:

- только 10 – 15% информации используется для обоснования и принятия решений;

- соотношение между входной и выходной информацией в различных системах управления составляет от 4:1 до 40:1;

- объем дублирующей информации в системах управления достигает 30% от ее общего объема.

Такому положению дел способствовало отсутствие системной государственной политики в информационной сфере. В настоящее время реализуется, утвержденная правительством РФ в 2002 году, федеральная целевая программа «Электронная Россия», рассчитанная на период 2002 – 2010 годы. Основными целями программы являются:

- повышение эффективности функционирования экономики, государственного управления и местного самоуправления за счет внедрения и массового распространения информационных технологий;

- создание технологических предпосылок для развития гражданского общества за счет обеспечения прав граждан на свободный доступ к информации;

- расширение подготовки специалистов по информационным технологиям и квалифицированных пользователей.

За прошедшие 8 лет реализации данной программы в России произошли существенные изменения в сфере информационных технологий. Само существование нашего факультета обязано данной программе. За эти несколько лет Интернет стал доступен каждому желающему, каждый школьник и даже дошкольник знакомы с компьютером, электронный документооборот прочно вошел в наш обиход.

Таким образом, при условии выполнения программы компьютерные технологии к концу первого десятилетия ХХI века станут основой повседневной деятельности органов государственного и муниципального управления, а компьютерные системы – ее главными инструментами.

Контрольные вопросы

  1.  Что представляет собой информационная сфера субъектов РФ и муниципальных образований?
  2.  Опишите информационный цикл в управлении.
  3.  Опишите типовые информационные процессы в сфере ГМУ.
  4.  Что представляет собой компьютерная система?
  5.  Дайте определение понятия «информационные отношения». Перечислите субъекты информационных отношений в сфере ГМУ.
  6.  Перечислите виды информации по правовому режиму доступа. Какие грифы секретности присваиваются информации, отнесенной к гостайне?
  7.  Что понимается под персональными данными?
  8.  Дайте определение понятий «информатизация» и «информационный ресурс».
  9.  Опишите перспективы информатизации сферы ГМУ.

Введение

На предыдущей лекции мы начали изучение нового раздела дисциплины – раздела № 2 «Проблемы региональной информационной безопасности» и познакомились с проблемами информационной безопасности в сфере регионального и муниципального управления. Данной лекцией мы заканчиваем теоретическую часть раздела № 2. Тема лекции № 5 «Защита информации предприятия, анализ защищенности локального объекта».

В контексте данной лекции под предприятием мы будем понимать не только различные предприятия всех форм собственности, но и учреждения, организации, учебные заведения и т.п. Под локальным объектом будем понимать информационно-управляющую систему предприятия.

1 Общие сведения о предмете

Любое предприятие представляет собой сложную организационно-техническую систему, в которой происходят сложные технологические процессы преобразования материалов в готовую продукцию. Это относится и к учебным заведениям, если под сырьем понимать абитуриентов, а под готовой продукцией – высококвалифицированных специалистов с высшим или средним профессиональным образованием. В структуре предприятия, как системы, можно выделить несколько подсистем: система снабжения, система производства, система сбыта, транспортная система, система управления и т.д. В свою очередь, система управления предприятием также состоит из подсистем: система работы с кадрами, бухгалтерия, система планирования, управление технологическими процессами и т.д. Одной из подсистем системы управления является информационная система предприятия.

Структура информационной системы представлена на рисунке 5.1.

 

Рисунок 5.1

В самом общем виде информационную систему можно представить как посредника между человеком (потребителем информации) и информационным ресурсом, в котором сосредоточена необходимая человеку информация. В информационной системе, так же как и на предприятии, происходит преобразование, только не материалов, а информации.

Информационная система – это организационно упорядоченная совокупность информационных ресурсов, технических средств, технологий, реализующих информационные процессы в традиционном или автоматизированном режиме для удовлетворения информационных потребностей пользователей.

Продуктом информационной системы является информация, свойства которой изменяются в соответствии с заданной технологией с помощью комплекса различных технических средств и людей, выполняющих определенные технологические операции. Известно, что технологические операции – это совокупность действий, направленных на изменение состояния предмета производства. В информационной системе предметом производства является информация, которая на выходе системы приводится к нужному пользователю виду и содержанию.

Термин «информация» все чаще используется для обозначения особого товара, стоимость которого зачастую превосходит стоимость системы, в рамках которой он существует. Осуществляется переход к рыночным отношениям в области создания и предоставления информационных услуг, с присущей этим отношениям конкуренцией и промышленным шпионажем.

Проблема защиты информационных систем становится еще более серьезной и в связи с развитием и распространением информационно-вычислительных сетей, территориально распределенных систем и систем с удаленным доступом к совместно используемым ресурсам.

Доступность средств вычислительной техники и прежде всего персональных ЭВМ привела к распространению компьютерной грамотности в широких слоях населения, что закономерно, привело к увеличению числа попыток неправомерного вмешательства в работу государственных и коммерческих автоматизированных систем как со злым умыслом, так и чисто "из спортивного интереса". К сожалению, многие из этих попыток имеют успех и наносят значительный урон всем заинтересованным субъектам информационных отношений.

В качестве возможных нежелательных воздействий на компьютерные системы должны рассматриваться: преднамеренные действия злоумышленников, ошибочные действия обслуживающего персонала и пользователей системы, проявления ошибок в ее программном обеспечении, сбои и отказы оборудования, аварии и стихийные бедствия.

В качестве защищаемых объектов должны рассматриваться информация и все ее носители (отдельные компоненты и автоматизированная система обработки информации в целом).

Обеспечение безопасности вычислительной системы предполагает создание препятствий для любого несанкционированного вмешательства в процесс ее функционирования, а также для попыток хищения, модификации, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов системы: оборудования, программного обеспечения, данных (информации) и ее персонала.

В этом смысле защита информации от несанкционированного доступа (НСД) является только частью общей проблемы обеспечения безопасности компьютерных систем и защиты законных интересов субъектов информационных отношений, а сам термин НСД было бы правильнее трактовать не как "несанкционированный доступ" (к информации), а шире, - как "несанкционированные (неправомерные) действия", наносящие ущерб субъектам информационных отношений.

Важность и сложность проблемы защиты информации в автоматизированных системах обработки информации (АС) требует принятия кардинальных мер, выработки рациональных решений, для чего необходимо сконцентрировать усилия на вопросах разработки общей концепции защиты интересов всех субъектов информационных отношений с учетом особенностей тех прикладных областей, в которых функционируют различные АС.

Исследования проблемы обеспечения безопасности информационных систем ведутся как в направлении раскрытия природы явления, заключающегося в нарушении целостности и конфиденциальности информации, дезорганизации работы системы, так и в направлении разработки конкретных практических методов и средств их защиты. Серьезно изучается статистика нарушений, вызывающие их причины, личности нарушителей, суть применяемых нарушителями приемов и средств, используемые при этом недостатки систем и средств их защиты, обстоятельства, при которых было выявлено нарушение, и другие вопросы.

Для удовлетворения законных прав и перечисленных выше интересов субъектов (обеспечения их информационной безопасности) необходимо постоянно поддерживать следующие свойства информации и систем ее обработки:

доступность информации, то есть свойство системы (среды, средств и технологии ее обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость;

целостность информации, то есть свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства - достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности. Однако, мы ограничимся только рассмотрением вопросов обеспечения целостности информации, так как вопросы обеспечения адекватности отображения выходят далеко за рамки проблемы обеспечения информационной безопасности;

конфиденциальность информации - субъективно определяемую (приписываемую) характеристику (свойство) информации, указывающую на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных интересов других субъектов информационных отношений.

Поскольку ущерб субъектам информационных отношений может быть нанесен опосредовано, через определенную информацию и ее носители (в том числе автоматизированные системы обработки), то закономерно возникает заинтересованность субъектов в обеспечении безопасности этой информации и систем ее обработки и передачи. Иными словами, в качестве объектов, подлежащих защите в интересах обеспечения безопасности субъектов информационных отношений, должны рассматриваться: информация, ее носители и процессы ее обработки.

Однако, всегда следует помнить, что уязвимыми в конечном счете являются именно заинтересованные в обеспечении определенных свойств информации и систем ее обработки субъекты (информация, равно как и средства ее обработки, не имеет своих интересов, которые можно было бы ущемить и нанести тем самым ущерб). В дальнейшем, говоря об обеспечении безопасности АС или циркулирующей в системе информации, всегда будем понимать под этим косвенное обеспечение безопасности субъектов, участвующих в процессах автоматизированного информационного взаимодействия.

В свете сказанного, термин "безопасность информации" нужно понимать как защищенность информации от нежелательного для соответствующих субъектов информационных отношений ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования.

Поскольку субъектам информационных отношений ущерб может быть нанесен также посредством воздействия на процессы и средства обработки критичной для них информации, то становится очевидной необходимость обеспечения защиты всей системы обработки и передачи данной информации от несанкционированного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы.

Поэтому под безопасностью автоматизированной системы обработки информации (компьютерной системы) будем понимать защищенность всех ее компонентов (технических средств, программного обеспечения, данных и персонала) от подобного рода нежелательных для соответствующих субъектов информационных отношений воздействий.

Безопасность любого компонента (ресурса) АС складывается из обеспечения трех его характеристик: конфиденциальности, целостности и доступности.

Конфиденциальность компонента системы заключается в том, что он доступен только тем субъектам доступа (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.

Целостность компонента системы предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени.

Доступность компонента означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы (ресурсу).

В свете приведенного выше подчеркнем, что конечной целью защиты АС и циркулирующей в ней информации является предотвращение или минимизация наносимого субъектам информационных отношений ущерба (прямого или косвенного, материального, морального или иного) посредством нежелательного воздействия на компоненты АС, а также разглашения (утечки), искажения (модификации), утраты (снижения степени доступности) или незаконного тиражирования информации.

Наибольшую сложность при решении вопросов обеспечения безопасности конкретных информационно-управляющих систем (информационных технологий) представляет задача определения реальных требований к уровням защиты критичной для субъектов информации, циркулирующей в АС. Ориентация на интересы субъектов информационных отношений дает ключ к решению данной задачи для общего случая.

2 Основные принципы построения систем защиты информации

Защита информации в АС должна основываться на следующих основных принципах:

системности;

комплексности;

непрерывности защиты;

разумной достаточности;

гибкости управления и применения;

открытости алгоритмов и механизмов защиты;

простоты применения защитных мер и средств.

Принцип системности 

Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности АС.

При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Принцип комплексности 

В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонированно. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одной из наиболее укрепленных линий обороны призваны быть средства защиты, реализованные на уровне операционных систем (ОС) в силу того, что ОС - это как раз та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж обороны.

Принцип непрерывности защиты 

Защита информации - это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.

Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.

Разумная достаточность 

Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

Гибкость системы защиты 

Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

Открытость алгоритмов и механизмов защиты

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако, это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.

Принцип простоты применения средств защиты 

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).

3 Основные механизмы защиты информационных систем от проникновения с целью дезорганизации их работы и НСД к информации 

Определим ряд понятий, необходимых в дальнейшем.

Объект - пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.

Субъект - активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.

Доступ к информации - ознакомление с информацией (копирование, тиражирование), ее модификация (корректировка) или уничтожение (удаление).

Доступ к ресурсу - получение субъектом возможности манипулировать (использовать, управлять, изменять характеристики и т.п.) данным ресурсом.

Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.

Разграничение доступа к ресурсам АС - это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам в строгом соответствии с установленными правилами.

Авторизованный субъект доступа - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).

Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.

Несанкционированное действие - действие субъекта в нарушение установленных в системе правил обработки информации.

Для реализации приведенных выше мер защиты компьютерных систем используются универсальные механизмы защиты информации.

К числу таких механизмов относятся:

идентификация (именование и опознавание), аутентификация (подтверждение подлинности) и авторизация (присвоение полномочий) субъектов;

контроль (разграничение) доступа к ресурсам системы;

регистрация и анализ событий, происходящих в системе;

контроль целостности ресурсов системы.

Механизмы идентификации, аутентификации и авторизации необходимы для подтверждения подлинности субъекта, обеспечения его работы в системе, и определения законности прав субъекта на данный объект или на определенные действия с ним.

Идентификация - это процесс распознавания элемента системы, обычно с помощью заранее определенного идентификатора или другой уникальной информации; каждый субъект или объект системы должен быть однозначно идентифицируем.

Аутентификация - это проверка подлинности идентификации пользователя, процесса, устройства или другого компонента системы (обычно осуществляется перед разрешением доступа); а также проверка целостности и авторства данных при их хранении или передаче для предотвращения несанкционированной модификации.

Авторизация - это предоставление субъекту прав на доступ к объекту.

Под контролем доступа будем понимать ограничение возможностей использования ресурсов системы программами, процессами или другими системами (для сети) в соответствии с правилами разграничения доступа.

Основным объектом внимания средств контроля доступа являются совместно используемые ресурсы системы. Совместное использование объектов порождает ситуацию "взаимного недоверия" при которой разные пользователи одного объекта не могут до конца доверять друг другу. Тогда, если с этим объектом что-нибудь случиться, все они попадают в круг подозреваемых.

Существует четыре основных способа разделения доступа субъектов к совместно используемым объектам:

Физическое - субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т.д.).

Временное - субъекты с различными правами доступа к объекту получают его в различные промежутки времени.

Логическое - субъекты получают доступ к совместно используемому объекту в рамках единой операционной среды, но под контролем средств разграничения доступа, которые моделируют виртуальную операционную среду "один субъект - все объекты"; в этом случае разделение может быть реализовано различными способами: разделение оригинала объекта, разделение с копированием объекта и т.д.

Криптографическое - все объекты хранятся в зашифрованном виде, права доступа определяются наличием ключа для расшифрования объекта.

Существует множество различных вариантов одних и тех же способов разделения доступа, они могут иметь разную реализацию в различных средствах защиты.

Механизм регистрации обеспечивает получение и анализ информации о состоянии ресурсов системы с помощью специальных средств контроля, а также регистрацию действий, признанных администрацией АС потенциально опасными для безопасности системы. Анализ собранной информации позволяет выявить средства и априорную информацию, использованные нарушителем при воздействии на систему и определить, как далеко зашло нарушение, подсказать метод его расследования и способы исправления ситуации.

Механизм контроля целостности ресурсов системы предназначен для своевременного обнаружения модификации ресурсов системы. Это позволяет обеспечить правильность функционирования системы защиты и целостность обрабатываемой информации.

Эти универсальные механизмы защиты могут применяться в различных вариациях и совокупностях в конкретных методах и средствах защиты. Стоит отметить, что наибольший эффект достигается при использовании всех механизмов.

Контрольные вопросы

  1.  Поясните понятие «информационная система».
  2.  Поясните понятие «доступность информации».
  3.  Поясните понятие «целостность информации».
  4.  Поясните понятие «конфиденциальность информации».
  5.  Перечислите основные принципы построения систем защиты информации.
  6.  Перечислите основные механизмы защиты информации в автоматизированных системах.

Введение

Данной лекцией мы начинаем теоретическую часть нового раздела дисциплины – раздела № 3 «Методы и средства обеспечения информационной безопасности». Тема лекции № 6 «Информационная безопасность автоматизированных систем».

1 Современная постановка задачи защиты информации

В рамках прежних представлений о защите информации практически независимо развивались четыре вида защиты:

- организационная (режим секретности);

- техническая (противодействие техническим средствам разведки);

- криптографическая (шифрование информации);

- обеспечение компьютерной безопасности.

При этом имело место дублирование решаемых задач.

Принцип комплексности, как вы уже знаете, предполагает решение в рамках единой концепции решение двух или более разноплановых задач (целевая комплексность) или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность) или же то и другое вместе.

Целевая комплексность означает, что система информационной безопасности должна обеспечивать защиту:

1) информации и информационных ресурсов и систем от внешних и внутренних угроз;

2) личности, общества и государства от негативного информационного воздействия.

Инструментальная комплексность подразумевает интеграцию всех видов и направлений информационной безопасности для достижения поставленных целей.

Кроме того, различают структурную, функциональную и временную комплексности.

Структурная комплексность предполагает обеспечение требуемого уровня защиты во всех элементах системы обработки информации.

Функциональная комплексность означает, что защита информации должна быть направлена на все выполняемые информационной системой функции.

Временная комплексность предполагает непрерывность осуществления мероприятий защиты информации на всех этапах жизненного цикла информационной системы.

В соответствии с современными взглядами на проблему защиты информации, комплексная система информационной безопасности (КСИБ) должна соответствовать следующим требованиям:

  1.  КСИБ должна быть представлена как нечто целое. Целостность системы выражается в наличии единой цели ее функционирования, информационных связей между элементами системы, иерархичности построения подсистемы управления системой защиты информации.
  2.  КСИБ должна обеспечивать безопасность информации и средств информации, защиту интересов участников информационных отношений, невозможность несанкционированного доступа злоумышленника к защищаемой информации.
  3.  Применяемые методы и средства защиты, система информационной безопасности в целом должны быть прозрачными для законного пользователя, не создавать ему больших дополнительных неудобств, связанных с процедурами доступа к информации.
  4.  КСИБ должна обеспечивать оценку угроз внешних дестабилизирующих факторов и защиту от них.

2 Основные организационные и организационно-технические

мероприятия по созданию и поддержанию функционирования

комплексной системы защиты 

Они включают:

- разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

- мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);

- периодически проводимые (через определенное время) мероприятия;

постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

 Разовые мероприятия 

К разовым мероприятиям относят:

- общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты АС;

- мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);

- мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т.п.);

- проведение спецпроверок всех применяемых в АС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;

- разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;

- внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности программно-информационных ресурсов АС и действиям в случае возникновения кризисных ситуаций;

- оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;

- определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;

- мероприятия по созданию системы защиты АС и созданию инфраструктуры;

- мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием АС, а также используемых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в АС; выявление наиболее вероятных угроз для данной АС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты);

- организацию надежного пропускного режима;

- определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;

- организацию учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;

- определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);

- создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации;

- определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий.

 Периодически проводимые мероприятия 

К периодически проводимым мероприятиям относят:

- распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

- анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы;

- мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;

- периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;

- мероприятия по пересмотру состава и построения системы защиты.

Мероприятия, проводимые по необходимости 

К мероприятиям, проводимым по необходимости, относят:

- мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;

- мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);

- мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т.д.).

 Постоянно проводимые мероприятия 

Постоянно проводимые мероприятия включают:

- мероприятия по обеспечению достаточного уровня физической защиты всех компонентов АС (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности СВТ, носителей информации и т.п.).

- мероприятия по непрерывной поддержке функционирования и управлению используемыми средствами защиты;

- явный и скрытый контроль за работой персонала системы;

- контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования АС;

- постоянно (силами отдела (службы) безопасности) и периодически (с привлечением сторонних специалистов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защиты.

Контрольные вопросы

  1.  Дайте определение понятий «целевая комплексность» и «инструментальная комплексность».
  2.  Дайте определение понятий «структурная комплексность», «функциональная комплексность», «временная комплексность».
  3.  Сформулируйте требования к КСИБ.
  4.  Приведите примеры основных разовых мероприятий по созданию и поддержанию функционирования КСИБ.
  5.  Перечислите основные периодически проводимые мероприятия по созданию и поддержанию функционирования КСИБ.
  6.  Перечислите основные мероприятия по созданию и поддержанию функционирования КСИБ, проводимые по необходимости.
  7.  Перечислите основные мероприятия по созданию и поддержанию функционирования КСИБ, проводимые постоянно.

Введение

Данной лекцией мы продолжаем изучение раздела № 3 «Методы и средства обеспечения информационной безопасности». Тема лекции № 6 «Угрозы информации, каналы утечки информации».

1 Угрозы информационной безопасности

При смене способа хранения информации с бумажного вида на цифровой, появился главный вопрос – как эту информацию защитить, ведь очень большое количество факторов влияет на сохранность конфиденциальных данных. Для того чтобы организовать безопасное хранение данных, первым делом нужно провести анализ угроз, для правильного проектирование схем информационной безопасности.

Угрозы информационной безопасности делятся на два основных типа - это естественные и искусственные угрозы. Остановимся на естественных угрозах и попытаемся выделить основные из них. К естественным угрозам относятся пожары, наводнения, ураганы, удары молний и другие стихийные бедствия и явления, которые не зависят от человека. Наиболее частыми среди этих угроз являются пожары. Для обеспечения безопасности информации, необходимым условием является оборудование помещений, в которых находятся элементы системы (носители цифровых данных, серверы, архивы и пр.), противопожарными датчиками, назначение ответственных за противопожарную безопасность и наличие средств пожаротушения. Соблюдение всех этих правил позволит свести к минимуму угрозу потери информации от пожара.

Если помещения с носителями ценной информации располагаются в непосредственной близости от водоемов, то они подвержены угрозе потери информации вследствие наводнения. Единственное что можно предпринять в данной ситуации - это исключить хранение носителей информации на первых этажах здания, которые подвержены затоплению.

Еще одной естественной угрозой являются молнии. Очень часто при ударах молнии выходят из строя сетевые карты, электрические подстанции и другие устройства. Особенно ощутимые потери, при выходе сетевого оборудования из строя, несут крупные организации и предприятия, такие как банки. Во избежание подобных проблем необходимо соединительные сетевые кабели были экранированы (экранированный сетевой кабель устойчив к электромагнитным помехам), а экран кабеля следует заземлить. Для предотвращения попадания молнии в электрические подстанции, следует устанавливать заземленный громоотвод, а компьютеры и серверы комплектовать источниками бесперебойного питания.

И так, мы разобрали естественные угрозы информационной безопасности. Следующим видом угроз являются искусственные угрозы, которые в свою очередь, делятся на непреднамеренные и преднамеренные угрозы. Непреднамеренные угрозы - это действия, которые совершают люди по неосторожности, незнанию, невнимательности или из любопытства. К такому типу угроз относят установку программных продуктов, которые не входят в список необходимых для работы, и в последствии могут стать причиной нестабильной работы системы и потери информации. Сюда же можно отнести и другие «эксперименты», которые не являлись злым умыслом, а люди, совершавшие их, не осознавали последствий. К сожалению, этот вид угроз очень трудно поддается контролю, мало того, чтобы персонал был квалифицирован, необходимо чтобы каждый человек осознавал риск, который возникает при его несанкционированных действиях.

Преднамеренные угрозы – угрозы, связанные со злым умыслом преднамеренного физического разрушения, впоследствии выхода из строя системы. К преднамеренным угрозам относятся внутренние и внешние атаки. Вопреки распространенному мнению, крупные компании несут многомиллионные потери зачастую не от хакерских атак, а по вине своих же собственных сотрудников. Современная история знает массу примеров преднамеренных внутренних угроз информации – это проделки конкурирующих организаций, которые внедряют или вербуют агентов для последующей дезорганизации конкурента, месть сотрудников, которые недовольны заработной платой или статусом в фирме и прочее. Для того чтобы риск таких случаев был минимален, необходимо, чтобы каждый сотрудник организации соответствовал, так называемому, «статусу благонадежности».

К внешним преднамеренным угрозам можно отнести угрозы хакерских атак. Если информационная система связана с глобальной сетью интернет, то для предотвращения хакерских атак необходимо использовать межсетевой экран (так называемый firewall), который может быть, как встроен в оборудование, так и реализован программно.

Если соблюдать все меры предосторожности от угроз, которые перечислены выше, то ваша информация будет надежно защищена.

2 Как определить источники угроз

Очевиден тот факт, что защита информации должна носить комплексный характер. Однако организация обеспечения безопасности информации должна еще и основываться на глубоком анализе возможных негативных последствий. Важно не упустить какие-либо существенные аспекты. Уходит в прошлое нагромождение различных средств защиты как реакция на первую волну страха перед компьютерными преступлениями. Приступая к созданию системы информационной безопасности, необходимо оценить, какие угрозы наиболее актуальны.

Предприятия больше не хотят выбрасывать деньги на ветер; они хотят покупать только то, что действительно необходимо для построения надежной системы защиты информации и при этом с минимальными расходами. А чтобы не стрелять из пушки по воробьям и не бросаться с пистолетом на танк, необходимо знать о характере возможных опасностей. Еще Виссарион Белинский отмечал, что «найти причину зла — почти то же, что найти против него лекарство».

С другой стороны, не мешало бы поговорить о том, как изучать опасности. Можно, например, с криком «Ура» броситься на все грабли сразу, и затем каждую новую «шишку» «заклеивать» новыми сканерами, межсетевыми экранами и виртуальными частными сетями. В результате, конечно, можно построить надежную, проверенную защиту, с которой ваш бизнес может спать спокойно — если, конечно, после всего этого у вас останутся средства на продолжение экономической деятельности. Можно учиться на чужих ошибках. Но лучше сначала представить себе все возможные варианты, а затем отобрать наиболее применимые к конкретному случаю.

Здесь опять-таки приходится выбирать, либо полагаясь на накопленный банк данных уже случившихся вариантов проявлений угроз (не будучи до конца уверенным, что все варианты уже проверены), либо пытаясь создать методологический инструмент формирования поля возможных проявлений угроз, основанный на изучении всех факторов и позволяющий рассмотреть даже самые маловероятные варианты. Например, в США только после событий 11 сентября в гражданских самолетах стали ставить бронированные двери в кабины пилотов, в то время как в СССР такую угрозу предвидели еще на заре гражданской авиации.

Однако не будем лукавить, утверждая, что в природе нет методик проведения анализа рисков. Однако все имеющиеся на сегодняшний день методики (к сожалению, преимущественно иностранные) позволяют получить только лишь качественную оценку. Это, например, такие методики, как Guide to BS 7799 risk assessment and risk management — DISC, PD 3002 и Guide to BS 7799 auditing.о — DISC, PD 3004 (на основе стандартов BS 7799 и ISO/IEC 17799-00). В данных методиках оценка безопасности информации проводится по десяти ключевым контрольным точкам, которые либо представляют собой обязательные требования (требования действующего законодательства), либо считаются основными структурными элементами информационной безопасности (допустим, обучение правилам безопасности). Эти контрольные точки применимы ко всем организациям. К ним относятся:

  •  документ о политике информационной безопасности;
  •  распределение обязанностей по обеспечению информационной безопасности;
  •  обучение и подготовка персонала к поддержанию режима информационной безопасности;
  •  уведомление о случаях нарушения защиты;
  •  средства защиты от вирусов;
  •  планирование бесперебойной работы организации;
  •  контроль копирования программного обеспечения, защищенного законом об авторском праве;
  •  защита документации организации;
  •  защита данных;
  •  контроль соответствия политике безопасности

Процедура аудита безопасности информационной системы включает в себя проверку наличия перечисленных ключевых точек, оценку полноты и правильности их реализации, а также анализ их адекватности существующим рискам. Такой подход может дать ответ только на уровне «это хорошо, а это плохо». Вопросы же «насколько плохо или хорошо», «до какой степени критично или некритично» остаются без ответа. Поэтому актуальным является создание такой методики, которая выдавала бы руководителю количественный итог, полную картину ситуации, цифрами подтверждая рекомендации специалистов, отвечающих за обеспечение безопасности информации в компании. Рассмотрим, что легло в основу такой методики.

Деятельность по обеспечению информационной безопасности направлена на то, чтобы не допустить убытков от потери конфиденциальной информации. Соответственно, уже предполагается наличие ценной информации, из-за потери которой предприятие может понести убытки. Благодаря нехитрым логическим измышлениям получаем следующую цепочку: источник угрозы — фактор (уязвимость) — угроза (действие) — последствия (атака)

Угрозу отождествляют обычно либо с характером (видом, способом) дестабилизирующего воздействия на информацию, либо с последствиями (результатами) такого воздействия. Однако такого рода термины могут иметь много трактовок. Возможен и иной подход к определению угрозы безопасности информации, базирующийся на понятии «угроза». В соответствии с ожеговским «Словарем русского языка», «угроза» — это намерение нанести физический, материальный или иной вред общественным или личным интересам, возможная опасность. Иначе говоря, понятие угроза жестко связано с юридической категорией «ущерб», которую Гражданский Кодекс определяет как «фактические расходы, понесенные субъектом в результате нарушения его прав (например, разглашения или использования нарушителем конфиденциальной информации), утраты или повреждения имущества, а также расходы, которые он должен будет произвести для восстановления нарушенного права и стоимости поврежденного или утраченного имущества» (ГК РФ, часть I, ст. 15). Анализ негативных последствий реализации угроз предполагает обязательную идентификацию возможных источников угроз, уязвимостей, способствующих их проявлению и методов реализации. И тогда цепочка вырастает в схему, представленную на рис. 1.

Рис. 1.

В ходе анализа необходимо убедиться, что все возможные источники угроз и уязвимости идентифицированы и сопоставлены друг с другом, а всем идентифицированным источникам угроз и уязвимостям сопоставлены методы реализации. При этом важно иметь возможность, при необходимости, не меняя самого методического инструментария, вводить новые виды источников угроз, методов реализации, уязвимостей, которые станут известны в результате развития знаний в этой области.

Угрозы классифицируются по возможности нанесения ущерба субъекту отношений при нарушении целей безопасности. Ущерб может быть причинен каким-либо субъектом (преступление, вина или небрежность), а также стать следствием, не зависящим от субъекта проявлений. Угроз не так уж и много. При обеспечении конфиденциальности информации это может быть хищение (копирование) информации и средств ее обработки, а также ее утрата (неумышленная потеря, утечка). При обеспечении целостности информации список угроз таков: модификация (искажение) информации; отрицание подлинности информации; навязывание ложной информации. При обеспечении доступности информации возможно ее блокирование, либо уничтожение самой информации и средств ее обработки.

Рис. 2. Структура классификаций: а) «Источники угроз»; б) «Уязвимости»; в) «Методы реализации»

Все источники угроз можно разделить на классы, обусловленные типом носителя, а классы на группы по местоположению (рис. 2а). Уязвимости также можно разделить на классы по принадлежности к источнику уязвимостей, а классы на группы и подгруппы по проявлениям (рис. 2б). Методы реализации можно разделить на группы по способам реализации (рис. 2в). При этом необходимо учитывать, что само понятие «метод», применимо только при рассмотрении реализации угроз антропогенными источниками. Для техногенных и стихийных источников это понятие трансформируется в понятие «предпосылка».

Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Сам подход к анализу и оценке состояния безопасности информации основывается на вычислении весовых коэффициентов опасности для источников угроз и уязвимостей, сравнения этих коэффициентов с заранее заданным критерием и последовательном сокращении (исключении) полного перечня возможных источников угроз и уязвимостей до минимально актуального для конкретного объекта.

Исходными данными для проведения оценки и анализа (рис. 3) служат результаты анкетирования субъектов отношений, направленные на уяснение направленности их деятельности, предполагаемых приоритетов целей безопасности, задач, решаемых автоматизированной системой и условий расположения и эксплуатации объекта.

Благодаря такому подходу возможно:

  •  установить приоритеты целей безопасности для субъекта отношений;
  •  определить перечень актуальных источников угроз;
  •  определить перечень актуальных уязвимостей;
  •  оценить взаимосвязь угроз, источников угроз и уязвимостей;
  •  определить перечень возможных атак на объект;
  •  описать возможные последствия реализации угроз.

Результаты проведения оценки и анализа могут быть использованы при выборе адекватных оптимальных методов парирования угрозам, а также при аудите реального состояния информационной безопасности объекта для целей его страхования.

При определении актуальных угроз, экспертно-аналитическим методом определяются объекты защиты, подверженные воздействию той или иной угрозы, характерные источники этих угроз и уязвимости, способствующие реализации угроз.

На основании анализа составляется матрица взаимосвязи источников угроз и уязвимостей из которой определяются возможные последствия реализации угроз (атаки) и вычисляется коэффициент опасности этих атак как произведение коэффициентов опасности соответствующих угроз и источников угроз, определенных ранее.

Предложенная классификация может служить основой для выработки методики оценки актуальности той или иной угрозы, а уже по выявлению наиболее актуальных угроз могут приниматься меры по выбору методов и средств противостояния им.

Сальватор Дали отмечал: «Не бойся совершенства, тебе его не достичь». Сказанное выше не является панацеей при построении системы безопасности информации. Однако системный подход к решению вопросов информационной безопасности позволяет заложить комплекс мероприятий по парированию угроз безопасности информации уже на стадии проектирования, тем самым избавив себя от излишних затрат в дальнейшем.

3 Классификация каналов утечки информации

Под утечкой информации понимается бесконтрольный и неправомерный выход секретной или конфиденциальной информации за пределы организации или круга лиц, которым эта информация была доверена.

Несанкционированный доступ к информации, обрабатываемой в автоматизированных системах, может быть косвенным (без физического доступа к элементам системы) и прямым (с физическим доступом), а также активным (с изменением элементов системы или информации) и пассивным (без изменения).

Под контролируемой зоной понимают места, в пределах которых исключается бесконтрольное пребывание посторонних лиц. В связи с этим понятием принято различать угрозы, источник которых расположен вне контролируемой зоны, и угрозы, источник которых расположен в пределах контролируемой зоны.

К угрозам, источник которых расположен вне контролируемой зоны, можно отнести, например, такие:

- перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т. п.);

- перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;

- дистанционная фото - и видеосъемка.

Примеры угроз, источник которых расположен в пределах контролируемой зоны:

- хищение учтенных материальных носителей информации;

- хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);

- несанкционированное копирование информации;

- отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения, линий связи и т.д.);

- применение подслушивающих устройств.

По физическим принципам способы несанкционированного доступа к информации принято подразделять на следующие группы:

- акустические (акустический контроль помещений, транспорта, непосредственно человека, контроль и прослушивание телефонных каналов связи);

- визуально-оптические (наблюдение, фотографирование, видеозапись);

- электромагнитные (перехват побочных электромагнитных излучений и наводок на соседние линии, цепи питания и заземления);

- документально-предметные (хищение или несанкционированное копирование носителей информации);

- аналитические (исследование открытых публикаций, разговоров, процессов деятельности, полезного продукта и отходов производства);

- криптоаналитические (перехват и дешифрование засекреченных сообщений);

- перехват компьютерной информации (перехват радиоизлучений компьютера, несанкционированное внедрение в базы данных);

  •  маскировка под законного пользователя системы.

Каналам утечки можно поставить в соответствие математическую модель. Она представляет собой канал передачи информации с одним входом и двумя выходами (рисунок 1).

Рисунок 1 - Математическая модель канала утечки

Подобная модель может быть выявлена и внутри радиоэлектронных средств обработки, хранения и передачи информации, где источниками и приемниками сообщений будут ее отдельные узлы и платы, а каналом передачи – соединяющие их проводники.

Все способы несанкционированного доступа к информации условно образуют отводной канал, по которому информация поступает к незаконному пользователю. Так как незаконный пользователь лишен некоторой возможности, присущей законному пользователю, в частности, ему не известен ключ дешифрования, то он будет получать сообщение Z, которое, в общем случае, может отличаться от переданного .

Средняя взаимная информация между k-последовательностями на входе и   l-последовательностями на выходе отводного канала определяется выражением

,

где  - энтропия k-последовательностей источника, - условная энтропия источника при известных l-последовательностях на выходе отводного канала.

Тогда очевидно, что если , то , т.е. информация незаконному пользователю не передается. Если же , то , т.е. незаконный пользователь получает полную информацию об источнике. В промежуточном случае незаконный пользователь получает некоторое количество информации, отличное от нулевого, но не полное.

Контрольные вопросы

  1.  Приведите классификацию каналов утечки информации.
  2.  Что такое утечка информации и канал утечки информации?
  3.  Приведите классификацию угроз информации.
  4.  Приведите и поясните математическую модель канала утечки информации.


Основная литература для изучения дисциплины:

  1.  Белов Е.Б., Лось В.П., Мещеряков Р.В., Шелупанов А.А. Основы информационной безопасности.- М.: Горячая линия – Телеком, 2006.
    1.  Петраков А.В. Основы практической защиты информации.- М.: Радио и связь, 2001.
      1.  Шумский А.А., Шелупанов А.А. Системный анализ в защите информации.- М.: Гелиос АРВ, 2005.
        1.  Герасименко В.А., Малюк А.А. Основы защиты информации.- М.: Инкомбук, 1997.
        2.  Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн.- М.: Энергоатомиздат, 1994.
        3.  Семкин С.Н., Семкин А.Н. Основы информационной безопасности объектов обработки информации.- Орел: ОВИПС, 2000.

Дополнительная литература

1. Мещеряков Р.В., Ш елупанов А.А. Специальные вопросы информационной безопасности.- Томск: Изд-во Института оптики и атмосферы СО РАН, 2002.

2. Гриднев В.А. Основы теории засекречивания сообщений и защиты информации.- Тамбов: ТВАИИ, 2003.

Периодическая литература

Журнал «Вопросы защиты информации».

Журнал «Новости разведки и контрразведки».

Журнал «Защита информации. Конфидент».

Журнал «Эксперт».

Информационный сборник «Безопасность».

Internet-ресурсы

http://www.bit.tsure.ru

http://www.kara-murza.ru

http://www.intuit.ru