Компьютерная система кс как объект защиты информации
Объектом защиты информацииявляется компьютерная система илиавтоматизированная система обработки данных (АСОД). В работах, посвященных защите информации в автоматизированных системах, до последнего времени использовался термин АСОД, который все чаще заменяется термином КС. Что же понимается под этим термином?
Компьютерная система-это комплекс аппаратных и программныхсредств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации. Наряду с термином «информация» применительно к КС часто используют термин «данные». Используется и другое понятие - «информационные ресурсы». В соответствии с законом РФ «Об информации, информатизации и защите информации» под информационными ресурсами понимаются отдельные документы и отдельные массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных и других информационных системах).
Понятие КС очень широкое и оно охватывает следующие системы:
• ЭВМ всех классов и назначений;
• вычислительные комплексы и системы;
• вычислительные сети (локальные, региональные и глобальные). Такой широкий диапазон систем объединяется одним понятием по двум
причинам: во-первых, для всех этих систем основные проблемы защиты информации являются общими; во-вторых, более мелкие системы являются элементами более крупных систем. Если защита информации в каких-либо системах имеет свои особенности, то они рассматриваются отдельно.
Предметом защиты в КС является информация. Материальной основой существования информации в КС являются электронные и электромеханические устройства (подсистемы), а также машинные носители. С помощью устройств ввода или систем передачи данных (СПД) информация попадает в КС. В системе информация хранится в запоминающих устройствах, (ЗУ) различных уровней, преобразуется (обрабатывается) процессорами (ПЦ) и выводится из системы с помощью устройств вывода или СПД. В качестве машинных носителей используются бумага, магнитные ленты, диски различных типов. Ранее в качестве машинных носителей информации использовались бумажные перфокарты и перфоленты, магнитные барабаны и карты. Большинство типов машинных носителей информации являются съемными, т.е. могут сниматься с устройств и использоваться (бумага) или храниться (ленты, диски, бумага) отдельно от устройств. Таким образом, для защиты информации (обеспечения безопасности информации) в КС необходимо защищать устройства (подсистемы) и машинные носители от несанкционированных (неразрешенных) воздействий на них.
Однако такое рассмотрение КС с точки зрения защиты информации является неполным. Компьютерные системы относятся к классу человеко-машинных систем. Такие системы эксплуатируются специалистами (обслуживающим персоналом) в интересах пользователей. Причем, в последние
годы пользователи имеют самый непосредственный доступ к системе. В некоторых КС (например, ПЭВМ) пользователи выполняют функции обслуживающего персонала. Обслуживающий персонал и пользователи являются также носителями информации. Поэтому от несанкционированных воздействий необходимо защищать не только устройства и носители, но также обслуживающий персонал и пользователей.
При решении проблемы защиты информации в КС необходимо учитывать также противоречивость человеческого фактора системы. Обслуживающий персонал и пользователи могут быть как объектом, так и источником несанкционированного воздействия на информацию.
Понятие «объект защиты» или «объект» чаще трактуется в более широком смысле. Для сосредоточенных КС или элементов распределенных систем понятие «объект» включает в себя не только информационные ресурсы, аппаратные, программные средства, обслуживающий персонал, пользователей, но и помещения, здания, и даже прилегающую к зданиям территорию.
Одними из основных понятий теории защиты информации являются понятия «безопасность информации» и «защищенные КС». Безопасность (защищенность) информации в КС-это такое состояние всех компоненткомпьютерной системы, при котором обеспечивается защита информации от возможных угроз на требуемом уровне. Компьютерные системы, в которых обеспечивается безопасность информации, называются защищенными.
Безопасность информации в КС (информационная безопасность) является одним из основных направлений обеспечения безопасности государства, отрасли, ведомства, государственной организации или частной фирмы.
Информационная безопасность достигается проведением руководством соответствующего уровня политики информационной безопасности.
Основным документом, на основе которого проводится политика информационной безопасности, является программа информационной безопасности.Этот документ разрабатывается и принимается как официальныйруководящий документ высшими органами управления государством,
ведомством, организацией. В документе приводятся цели политики информационной безопасности и основные направления решения задач защиты информации в КС. В программах информационной безопасности содержатся также общие требования и принципы построения систем защиты информации в КС.
Под системой защиты информации в КС понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации в КС в соответствии с принятой политикой безопасности.
Сеть ЭВМ-это совокупность ЭВМ,взаимосвязанных каналами передачиданных, и необходимых для реализации этой взаимосвязи программного обеспечения и (или) технических средств, предназначенных для организации распределенной обработки данных. В такой системе любое из подключенных устройств может использовать ее для передачи или получения информации. По размерности различают локальные и глобальные сети.
Службы безопасности, защищающие данные, а также средства по их обработке и передаче, также должны быть распределены по всей Сети.
Основные понятия
Под информацией, применительно к задаче ее защиты, понимают сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. В зависимости от формы
представления информация может быть разделена на речевую, телекоммуникационную и документированную.
Речевая информация возникает в ходе ведения в помещениях разговоров, работы систем связи, звукоусиления и звуковоспроизведения. Телекоммуникационная информация циркулирует в технических средствах обработки и хранения информации, а также в каналах связи при ее передаче. К документированной информации, или документам, относят информацию, представленную на материальных носителях вместе с идентифицирующими ее реквизитами.
К информационным процессам относят процессы сбора, обработки, накопления, хранения, поиска и распространения информации.
Под информационной системой понимают упорядоченную со-вокупность документов и массивов документов и информационных технологий, реализующих информационные процессы.
Информационными ресурсами называют документы и массивы документов, существующие отдельно или в составе информационных систем.
Процесс создания оптимальных условий для удовлетворения информационных потребностей граждан, организаций, общества и государства в целом называют информатизацией.
Информацию разделяют на открытую и ограниченного доступа. К информации ограниченного доступа относятся государственная тайна и конфиденциальная информация. В соответствии с российским законодательством к конфиденциальной относится следующая информация:
• служебная тайна (врачебная, адвокатская, тайна суда и следствия и т.п.);
• персональные данные (сведения о фактах, событиях и обсто-
ятельствах жизни гражданина, позволяющие идентифицировать его личность).
Информация является одним из объектов гражданских прав, в том числе и прав собственности, владения и пользования. Собственник информационных ресурсов, систем и технологий — это субъект с полномочиями владения, пользования и распоряжения указанными объектами. Владельцем информационных ресурсов, систем и технологий является субъект с полномочиями владения и пользования указанными объектами. Под пользователем информации будем понимать субъекта, обращающегося к информационной системе за получением необходимой ему информации и пользующегося ею.
К защищаемой относится информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Зашитой информации называют деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Под утечкой понимают неконтролируемое распространение защищаемой информации путем ее разглашения, несанкционированного доступа к ней и получения разведками. Разглашение — это доведение защищаемой информации до неконтролируемого количества получателей информации (например, публикация информации на открытом сайте в сети Интернет или в открытой печати). Несанкционированный доступ — получение защищаемой информации заинтересованным субъектом с нарушением правил доступа к ней.
Несанкционированное воздействие на защищаемую информацию — воздействие с нарушением правил ее изменения (например, намеренное внедрение в защищаемые информационные ресурсы вредоносного программного кода или умышленная подмена электронного документа).
Под непреднамеренным воздействием на защищаемую информацию понимают воздействие на нее из-за ошибок пользователя, сбоя технических
или программных средств, природных явлений, иных нецеленаправленных воздействий (например, уничтожение документов в результате отказа накопителя на жестком магнитном диске компьютера).
Целью защиты информации (ее желаемым результатом) является предотвращение ущерба собственнику, владельцу или пользователю информации. Под эффективностью защиты информации понимают степень соответствия результатов защиты информации поставленной цели. Объектомзащиты может быть информация, ее носитель или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью.
Под качеством информации понимают совокупность свойств, обусловливающих пригодность информации удовлетворять определенные потребности ее пользователей в соответствии с назначением информации. Одним из показателей качества информации является ее защищенность — поддержание на заданном уровне тех параметров информации, которые характеризуют установленный статус ее хранения, обработки и использования.
Основными характеристиками защищаемой информации являются конфиденциальность, целостность и доступность. Конфиденциальность информации — это известность ее содержания только имеющим соответствующие полномочия субъектам. Конфиденциальность является субъективной характеристикой информации, связанной с объективной необходимостью защиты законных интересов одних субъектов от других.
Шифрованием информации называют процесс ее преобразования, при котором содержание информации становится непонятным для не обладающих соответствующими полномочиями субъектов. Результат шифрования информации называют шифротекстом, или криптограммой. Обратный процесс восстановления информации из шифротекста называют расшифрованием информации. Алгоритмы, используемые при шифровании и расшифровании информации, обычно не являются конфиденциальными, а
конфиденциальность шифротекста обеспечивается использованием при шифровании дополнительного параметра, называемого ключомшифрования. Знание ключа шифрования позволяет выполнить правильное расшифрование шифротекста.
Целостностью информации называют неизменность информации в условиях ее случайного и (или) преднамеренного искажения или разрушения. Целостность является частью более широкой характеристики информации — ее достоверности, включающей помимо целостности еще полноту и точность отображения предметной области.
Хешированием информации называют процесс ее преобразования в хеш - значение фиксированной длины (дайджест). Одним из применений хеширования является обеспечение целостности информации.
Под доступностью информации понимают способность обеспечения беспрепятственного доступа субъектов к интересующей их информации. Отказом в обслуживании называют состояние информационной системы, при котором блокируется доступ к некоторому ее ресурсу. Совокупность информационных ресурсов и системы формирования, распространения и использования информации называют информационной средой общества.
Под информационной безопасностью понимают состояние защи-
щенности информационной среды, обеспечивающее ее формирование и развитие.
Политика безопасности — это набор документированных норм, правил и практических приемов, регулирующих управление, защиту и распределение информации ограниченного доступа.
Целью данного учебного пособия является представление методов и средств защиты информации в компьютерных системах. Компьютерной, или автоматизированной, системой обработки информации называют организационно-техническую систему, включающую в себя:
• технические средства вычислительной техники и связи;
• методы и алгоритмы обработки информации, реализованные в виде программных средств;
• информацию (файлы, базы данных) на различных носителях;
• обслуживающий персонал и пользователей, объединенных по организационно-структурному, тематическому, технологическому или
Электронный документ (ЭД): Информация, зафиксированная в электронной форме, подтвержденная электронной цифровой подписью и имеющая другие реквизиты электронного документа, позволяющие его идентифицировать.
Реквизиты электронного документа: Обязательные данные или сведения, которые должен содержать официальный документ, чтобы обладать подлинной юридической силой, служить основанием для совершения операций.
Электронная цифровая подпись (ЭЦП): Подпись в электронном документе, полученная в результате специальных преобразований информации данного электронного документа с использованием закрытого ключа электронной цифровой подписи и позволяющая при помощи открытого ключа электронной цифровой подписи установить отсутствие искажения информации в электронном документе и идентифицировать владельца закрытого ключа электронной цифровой подписи.
Подтверждение подлинности ЭЦП: Положительный результат проверки принадлежности электронной цифровой подписи владельцу закрытого ключа электронной цифровой подписи и отсутствия искажений информации в электронном документе.
Современная компьютерная система (КС) является по своему назначению и содержательной сущности информационной системой (ИС), представляющей собой взаимосвязанную совокупность средств, методов и персонала, обеспечивающих сбор, хранение, обработку, передачу и отображение информации в интересах достижения поставленной цели.
Функциональной основой любой ИС являются протекающие в ней информационные процессы. Характер этих процессов Определяется Соответствующей информационной технологией (ИТ). Информационная технология — это совокупность средств и методов сбора, обработки, передачи данных (первичной информации) для получения информации нового качества (информационного продукта) о состоянии объекта, процесса или явления. Иначе говоря, информационная технология представляет собой процесс, реализуемый в среде информационной системы.
В настоящее время сложилась устойчивая категория так называемых пользователей ИС, т.е. лиц, обращающихся к информационной системе для получения необходимой информации. Целью создания ИС является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности (в случае необходимости), информация является конечным «продуктом потребления» и выступает в виде центральной компоненты информационной системы.
Информационные системы являются наиболее важной составляющей процесса использования информационных ресурсов общества. К настоящему времени они прошли несколько эволюционных этапов, смена которых определялась, главным образом, развитием научно-технического прогресса, появлением новых технических средств хранения, обработки и передачи информации.
В современном обществе основным техническим средством автоматизированной обработки информации стал компьютер, 0снащеННый разнообразными программными средствами. Реализуемые на его основе компьютерные системы могут быть не только сосредоточенными в одном месте, но и распределенными по территории. В последнем случае используются средства телекоммуникации, соединенные с компьютерами. Таким образом, понятие компьютерной системы является, в общем случае, достаточно широким и охватывает не только автономные компьютеры индивидуального пользования, но и многопользовательские компьютерные системы и сети (локальные, региональные и глобальные).
Компьютерная система, подобно любым другим информационным системам, является также объектом защиты. Предметом защиты в КС является информация. Применительно к КС информация материализуется в виде так называемых данных, представленных на машинных носителях или отображаемых физическим состоянием различных электронных и электромеханических устройств. В качестве машинных носителей информации обычно используются бумага, магнитные ленты, диски различных типов. Физическое состояние технических средств КС, участвующих в хранении, обработке и передаче данных, идентифицируется соответствующими уровнями электрических сигналов, представляющих двоично-кодированную информацию.
Для обеспечения безопасности информации в компьютерных системах требуется защита не только аппаратных, но и программных средств таких систем. Программные средства сами по себе являются частью информационного ресурса компьютерной системы, а, кроме того, от их безопасности существенно зависит безопасность любой другой информации, которая хранится, передается или обрабатывается в КС. Таким образом, для защиты информации в КС необходимо защищать технические и программные средства, а также машинные носители от несанкционированных (неразрешенных) воздействий на них.
Однако такое рассмотрение компьютерных систем как объектов защиты информации является неполным. Дело в том, что компьютерные системы относятся к классу человеко-машинных информационных систем. Такие системы разрабатываются, обслуживаются и эксплуатируются соответствующими специалистами, которые являются также носителями информации, имеющими самый непосредственный доступ к системе. Вот почему от несанкционированных воздействий необходимо защищать не только программно-технические средства компьютерных систем, но также обслуживающий персонал и пользователей.
При решении проблемы защиты информации в КС необходимо учитывать еще и противоречивость человеческого фактора. Обслуживающий персонал и пользователи могут быть как объектом, так и источником несанкционированного воздействия на информацию.
Таким образом, компьютерная система как объект защиты представляет собой совокупность следующих взаимосвязанных компонентов:
информационных массивов, представленных на различных машинных носителях;
— технических средств обработки и передачи данных (компьютерных и телекоммуникационных средств);
— программных средств, реализующих соответствующие методы, алгоритмы и технологию обработки информации;
— обслуживающего персонала и пользователей системы, объединенных по организационному, предметнотематическому, технологическому и другим принципам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений.
В специальной литературе компьютерная система как объект защиты информации часто рассматривается в еще более широком смысле. Для таких систем понятие «объект» включает в себя не только информационные ресурсы, программнотехнические средства, обслуживающий персонал, пользователей, но и помещения, здания, а также прилегающую к зданиям территорию.
Информация не может существовать вне материальных носителей. Защищать информацию - означает защищать ее материальную основу. В информационной системе все ее компоненты, в том числе и люди, хранят, преобразуют и передают информацию. Поэтому в качестве объекта защитынеобходимо рассматривать информационную систему в целом.
Основными компонентами ИС, которые характеризуют ее как объект защиты, являются:
¨ организационно-технические средства (оргтехника);
¨ сотрудники организационной структуры.
Компьютерная система (КС) представляет собой комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации.
Понятие КС очень широкое и оно охватывает следующие системы:
¨ ЭВМ всех классов и назначений;
¨ вычислительные комплексы и системы;
¨ вычислительные сети (локальные, региональные и глобальные).
Такой широкий диапазон систем объединяется одним понятием по двум причинам: во-первых, для всех этих систем основные проблемы защиты информации являются общими; во-вторых, более мелкие системы являются элементами более крупных систем.
Анализ средств связи, оргтехники и тенденций их развития показывает, что имеет место устойчивая тенденция к стиранию различий между ними и КС. Современные средства связи и оргтехника, как правило, имеют встроенные микропроцессоры и память, позволяющие вести обработку и передачу информации в цифровом представлении в соответствии с введенной программой. Кроме того, средства связи и ЭВМ часто интегрируются в едином комплексе (транспьютеры, сетевые карты, встроенные модемы и т. п.). В вычислительных сетях средства связи и компьютеры образуют единую систему.
Поэтому при рассмотрении вопросов защиты информации, средства связи и оргтехнику вполне допустимо отнести к компьютерным системам. Если защита информации в каких-либо системах имеет свои особенности, то они могут быть рассмотрены отдельно.
Таким образом, в информационной системе можно выделить две основные компоненты:
Компьютерные системы как объект защиты могут быть охарактеризованы следующим образом.
Материальной основой существования информации в КС являются электронные и электромеханические устройства (подсистемы), а также машинные носители. С помощью устройств ввода или систем передачи данных (СПД) информация попадает в КС. В системе информация хранится в запоминающих устройствах (ЗУ) различных уровней, преобразуется (обрабатывается) процессорами (ПЦ) и выводится из системы с помощью устройств вывода или СПД.
В качестве машинных носителей используются бумага, магнитные ленты, диски различных типов. Ранее в качестве машинных носителей информации использовались бумажные перфокарты и перфоленты, магнитные барабаны и карты. Большинство типов машинных носителей информации являются съемными, т.е. могут сниматься с устройств и использоваться (бумага) или храниться (ленты, диски, бумага) отдельно от устройств.
Таким образом, для защиты информации (обеспечения безопасности информации) в КС необходимо защищать устройства (подсистемы) и машинные носители от несанкционированных (неразрешенных) воздействий на них.
Второй важной компонентой ИС являются сотрудники. Под сотрудниками понимаются работники организации, в интересах которой используются ИС (пользователи ИС) и персонал организации, обеспечивающий функционирование ИС (обслуживающий персонал).
В последние годы пользователи имеют самый непосредственный доступ к системе. В некоторых ИС пользователи выполняют простые функции обслуживающего персонала (замена картриджей, тестирование, использование антивирусных средств и некоторые другие).
Обслуживающий персонал и пользователи по роду своей служебной деятельности имеют доступ к определенным сведениям об организации и компьютерной системе, эксплуатируемой в интересах этой организации. Поэтому от несанкционированных воздействий необходимо защищать не только устройства и носители, но также обслуживающий персонал и пользователей.
При решении проблемы защиты ИС необходимо учитывать также противоречивость человеческого фактора системы. Обслуживающий персонал и пользователи могут быть как объектом, так и источником несанкционированного воздействия на информацию.
Понятие «объект защиты» или «объект» чаще трактуется в более широком смысле. Для сосредоточенных ИС или элементов распределенных систем понятие «объект» включает в себя не только информационные ресурсы, аппаратные, программные средства, обслуживающий персонал, пользователей, но и помещения, здания, и даже прилегающую к зданиям территорию.
Одними из основных понятий теории защиты информации являются понятия «безопасность информации» и «защищенные ИС». Безопасность (защищенность) информации в ИС – это такое состояние всех компонент информационной системы, при котором обеспечивается защита информации от возможных угроз на требуемом уровне. Информационные системы, в которых обеспечивается безопасность информации, называются защищенными.
Безопасность ИС (информационная безопасность) является одним из основных направлений обеспечения безопасности государства, отрасли, ведомства, государственной организации или частной фирмы.
Информационная безопасность достигается проведением руководством соответствующего уровня политики информационной безопасности. Основным документом, на основе которого проводится политика информационной безопасности, является программа информационной безопасности. Этот документ разрабатывается и принимается как официальный руководящий документ высшими органами управления государством, ведомством, организацией. В документе приводятся цели политики информационной безопасности и основные направления решения задач защиты ИС. В программах информационной безопасности содержатся также общие требования к системам защиты информации и принципы их построения. Политика информационной безопасности нашего государства изложена в "Доктрине информационной безопасности Российской Федерации".
Политика информационной безопасности должна предусматривать комплексную защиту ИС, позволяющую парировать угрозы безопасности всех ее компонент на всех жизненных циклах системы от разработки до утилизации. Для решения этой задачи в соответствии с выбранной политикой информационной безопасности создается система защиты информации (система обеспечения безопасности )
Под системой защиты информации (СЗИ) понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации в ИС в соответствии с принятой политикой безопасности.
2. Угрозы безопасности информационных систем
Под угрозами безопасности информации понимаются потенциально возможные события, процессы или явления, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации.
Существует множество подходов к классификации угроз безопасности информации. Так все угрозы безопасности информации могут быть разделены на две группы: внешние и внутренние.
Разделение на внутренние и внешние угрозы полезно для выбора приоритетов при определении политики информационной безопасности. Но оно не позволяет проводить более детальную классификацию угроз, направленную на выбор комплекса методов и средств защиты от угроз определенного класса. Так компьютерный вирус может быть создан и внедрен пользователем или специалистом из подразделения обслуживания. Аналогичный вирус может попасть в систему и извне. Средства же защиты от такой угрозы не зависят от происхождения вируса. Кроме того, некоторые угрозы порождаются как внешними факторами, так и внутренними. Например, компьютерный вирус попадает извне в ЭВМ в результате нарушения пользователем запрета на применение непроверенного носителя информации.
Поэтому целесообразно все множество потенциальных угроз безопасности ИС классифицировать таким образом, чтобы выделенная группа угроз парировалась своим определенным подмножеством методов и средств защиты (рис 1).
Защита информации должна быть системной, включающей в себя различные взаимосвязанные компоненты. Важнейшим из этих компонентов являются объекты защиты, ибо от их состава зависят и методы, и средства защиты и состав мероприятий.
Объект защиты информации - информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.
В соответствии с данным определением можно классифицировать объекты защиты в соответствии с рисунком 3.1.
В качестве объекта защиты часто рассматривается объект информатизации. Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров[20]. ФСТЭК в своих руководящих документах трактует данное понятие несколько иначе.
Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.
В отношении любого объекта информатизации справедливы следующие утверждения:
- Объект информатизации создан ради осуществления какой-то деятельности - основной деятельности.
- Информационные технологии на объекте информатизации служат для реализации целей основной деятельности.
- Состояние объекта информатизации динамически меняется под влиянием внешних и внутренних факторов.
Защищаемыми объектами информатизации в соответствии с СТР-К (Специальные требования и рекомендации по технической защите конфиденциальной информации, утвержденные приказом Гостехкомиссии России от 30.08.2002 № 282) являются:
- средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации (Основные технические средства и системы - ОТСС);
- технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается/циркулирует (вспомогательные технические средства - ВТСС);
- защищаемые помещения.
На рисунке 3.2 приведена схема классификации объектов информатизации в соответствии с СТР-К.
Обеспечение информационной безопасности (ИБ) — одна из ключевых мер по поддержанию стабильной работы компаний и промышленных предприятий, государственных органов и общественных организаций, функционирования экономики и государства в целом. Учитывая ее все возрастающее значение, ИБ регламентируется на уровне федерального законодательства и по праву считается одним из элементов национальной безопасности. Основным законодательным актом в этой сфере является федеральный закон № 187-ФЗ.
Критические объекты ИБ: что это?
В законе, помимо прочего, дается определение критической информационной инфраструктуре. К информационной инфраструктуре в целом относятся информационные системы и сети телекоммуникации, АСУ и линии связи, которые обеспечивают их взаимодействие.
Для отнесения объекта информационной безопасности к «критической инфраструктуре» он должен использоваться государственным органом или учреждением, российской компанией или организацией в следующих отраслях:
- наука и здравоохранение;
- транспорт и связь;
- энергетическая сфера (в том числе атомная энергетика и ТЭК);
- банковский сектор;
- металлургия;
- химическая, горнодобывающая промышленность;
- ракетно-космическая отрасль;
- оборонная промышленность.
Также к критическим объектам защиты в области информационной безопасности причисляют системы, которые обеспечивают взаимодействие вышеперечисленных организаций и компаний. Важно, что они тоже должны принадлежать российским компаниям или предпринимателям.
Основные объекты защиты при обеспечении информационной безопасности
Информационная безопасность направлена на обеспечение защиты от внешних и внутренних угроз целого комплекса объектов. От их типа зависит подбор методов и средств защиты.
Существует множество объектов защиты. Их можно разбить на следующие основные категории:
- информация;
- ресурсные объекты;
- физические объекты;
- пользовательские объекты.
Рассмотрим подробнее, что относится к каждой из этих категорий основных объектов защиты при обеспечении информационной безопасности.
Информация
К числу основных объектов, нуждающихся в защите, относится непосредственно информация, которая хранится, обрабатывается и передается в информационных и телекоммуникационных системах. В зависимости от формы представления она может быть таких видов:
- в форме аналоговых сигналов;
- в форме цифровых сигналов;
- в виртуальной форме и т. д.
Защите подлежит информация с ограниченным доступом, которая делится на сведения, составляющие государственную тайну и конфиденциальная информация. Отнесение информации к гостайне и порядок использование таких сведений регламентируются законодательством. К конфиденциальной информации относят персональные данные, коммерческую и профессиональную тайну, сведения об изобретениях и т. д.
Ресурсные объекты
К ресурсным объектам защиты в области информационной безопасности относятся технические, программные средства, организационные процедуры, которые применяются для обработки, хранения и передачи информации.
В том числе к таким объектам относятся:
- аппаратное обеспечение информационных и телекоммуникационных систем;
- программное обеспечение;
- процедуры и процессы обработки данных и т. д.
Физические объекты
К этой категории относится широкий перечень объектов, составляющих основные фонды предприятий, организаций и учреждений, в том числе:
- здания и сооружения;
- помещения;
- территории;
- технологическое оборудование;
- средства и каналы связи.
Главным критерием отнесения этих объектов к числу подлежащих информационной защите является задействованность в процессах хранения, передачи, обработки данных. Например, сюда относятся здания и помещения, в которых физически размещены информационные системы, помещения для ведения конфиденциальных переговоров и т. д.
Пользовательские объекты
К пользовательским объектам защиты от угроз информационной безопасности относятся:
- непосредственно пользователи сведений, подлежащих защите;
- субъекты информации, например, лица, чьи персональные данные обрабатываются системой;
- владельцы информации;
- персонал, обслуживающий информационные системы.
В качестве объектов защиты выступают граждане, организации и предприятия, государственные учреждения и органы, а также непосредственно государство.
Сферы защиты
В соответствии с действующей в России Доктриной информационной безопасности выделяются следующие сферы защиты:
- Экономическая. Деятельность предприятий и компаний, рынок ценных бумаг, финансовый и кредитный сектор.
- Сфера технологии, науки, образования.
- Внутриполитическая. Охватывает вопросы, нацеленные на предотвращение экстремизма, сепаратизма, национальной розни.
- Внешнеполитическая. Сфера, которая охватывает интересы России в международных отношениях и имидж страны на международном уровне.
- Правоохранительная и судебная сферы.
- Духовная. Охватывает вопросы деятельности религиозных организаций на территории РФ.
Обеспечение эффективной информационной безопасности в этих сферах направлено на поддержание полноценной деятельности государства и государственных органов, нацелено на защиту интересов системообразующих организаций и предприятий, а также других компаний. Кроме того, информационная безопасность во включенных в доктрину сферах защиты, предотвращает внешнее и внутреннее деструктивное воздействие на сознание граждан.
Средства защиты информации
Средства защиты информации обычно делят на нормативные и технические. Обе группы — сборные, в них входит множество конкретных инструментов, методик, подходов, применяемых для защиты данных.
Нормативные средства защиты
В категорию нормативных включают законодательные, административно-организационные и морально-этические средства (документы, правила, мероприятия и т. п.).
- Правовую основу информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.
- Административные (организационные) мероприятия играют существенную роль в создании надежного механизма защиты информации, поскольку несанкционированное использование конфиденциальных часто осуществляется людьми и никак не зависит от техники. Причем не всегда по злому умыслу — часто ценные данные попадают в общий доступ по неосторожности и небрежности. Чтобы исключить или хотя бы свести к минимуму вероятность подобных ситуаций нужны понятные правила работы с данными внутри организации. Нужно регламентировать работу персонала с интернетом, электронной почтой и другими необходимыми ресурсам. Отдельный пункт — получение электронной цифровой подписи и правила работы с ней.
- К морально-этическим средствам можно отнести сложившиеся в обществе или конкретном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.
Технические средства защиты
Технические средства защиты можно разделить на физические, аппаратные, программные и криптографические.
- Физические средства защиты информации функционируют независимо от информационных систем и создают препятствия для доступа к ним. Электронные экраны, жалюзи, видеокамерами, видеорегистраторами, датчиками.
- Аппаратные средства защиты — устройства, которые встраиваются в информационные и телекоммуникационные системы. Специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. К аппаратным средствам относятся генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств.
- Программные средства защиты информации — здесь речь идет о разнообразном ПО. Имейте ввиду, что программные средства требовательны к мощности аппаратных устройств — проще говоря под них стоит выделить отдельный и хороший компьютер.
- Математический (криптографический) — внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети. Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, формирования и проверки ключей, электронной цифровой подписи.
Обеспечение информационной безопасности — это всегда комплекс мер, включающий все аспекты защиты информации, от внутреннего регламента по аутентификации до шлюзов безопасности. К созданию и обеспечению работоспособности таких комплексов нужно подходить серьезно и кропотливо. И главное — соблюдайте «золотое правило» — это комплексный подход.
Вместо заключения
Нужно признать, что мы уже живем в цифровом мире и будущее, каким его видели фантасты, действительно наступило. Производство стремительно автоматизируется, компьютеры управляют электростанциями и заводскими конвейерами, личные данные миллионов людей курсируют по сети, камеры научились распознавать лица в толпе, а на улицах вот-вот появятся автомобили без водителей.
Современная цифровая инфраструктура, огромная и невероятно сложная, связывающая самые разные стороны жизни, требует особенно тщательной защиты. Хакер в нашем мире перестал быть хулиганом, который рисует на стенах в подъезде — ему вполне по силам обрушить весь дом и оставить жильцов без крыши над головой. Информационная безопасность теперь не менее (а возможно и более) важна, чем экономическая, военная или любая другая.
Читайте также: