Теоретические осовы информационной безопасности автоматизированных систем

Вопрос 7.1. Определение и место проблем информационной безопасности в общей совокупности информационных проблем современного общества. Анализ развития подходов к защите информации. Современная постановка задачи защиты информации.

Для современного общества проблемы информационного обеспечения всех сфер деятельности по своей значимости и актуальности превосходят проблему дальнейшей индустриализации производства, которая до недавнего времени считалась одной из центральных. В связи с этим производство, переработка и использование информации становится важнейшей отраслью народного хозяйства, которая получила название информационной индустрии, производственные процессы в которой должны быть организованы на принципах поточного производства. Создание объективных предпосылок, необходимых для формирования информационной индустрии, и составляет основное содержание информатизации современного общества. Одна из обеспечивающих задач, подлежащих решению в процессе формирования информационной индустрии, заключается в разработке современной концепции обеспечения безопасности, т.е. надежной защиты информации, являющейся важнейшим ресурсом современного общества.

Относительно подходов к защите информации весь период активных работ по рассматриваемой проблеме довольно четко делится на три этапа, которые условно можно назвать начальным, развитым и комплексным.

Начальный этап защиты характеризовался тем, что под защитой информации понималось предупреждение несанкционированного ее получения лицами или процессами (задачами), не имеющими на это полномочий, и для того использовались формальные (т.е. функционирующие без участия человека) средства. Наиболее распространенными механизмами защиты были проверки по паролю прав на доступ к АСОД (цель – предупредить доступ незарегистрированных пользователей) и разграничение доступа к массивам (базам) данных (цель – предупредить доступ зарегистрированных пользователей к данным, находящимся за пределами их полномочий). Данные механизмы защиты реализовывались с помощью специальных программ, которые выполняли свои функции под управлением операционной системы защищаемой ЭВМ. Но для обеспечения эффективного их функционирования необходимы специальные организационные мероприятия: генерирование и распределение паролей, внесение эталонных паролей в ЗУ ЭВМ, формирование и ведение реквизитов разграничения доступа, общая организация защиты и др. Общая оценка механизмов начального этапа защиты сводится к тому, что они обеспечили определенный уровень защиты, однако проблему в целом не решили, поскольку опытные злоумышленники находили способы и пути их преодоления.

Второй этап назван этапом развитой защиты, причем эта развитость определяется тремя характеристиками:

· Постепенное осознание необходимости комплексирования целей защиты. Первым итогом на этом пути стало совместное решение задач обеспечения целостности информации и предупреждение несанкционированного ее получения.

· Расширение арсенала используемых средств защиты, причем как по их количеству, так и разнообразию. Повсеместное распространение получило комплексное применение технических, программных и организационных средств. Широко стала практиковаться защиты информации путем криптографического ее преобразования. В целях регулирования правил защиты в ведущих странах установленным порядком стали приниматься специальные законодательные акты.

· Все применяемые средства защиты в АСОД все более целенаправленно стали объединяться в функциональные самостоятельные системы (подсистемы) защиты.

Таким образом, второй этап может быть охарактеризован весьма интенсивными поисками, разработкой и реализацией способов, методов и средств защиты.

Третий этап назван этапом комплексной защиты – это этап будущего. Характерная его особенность заключается в попытках аналитико-синтетической обработки данных всего имеющегося опыта теоретических исследований и практического решения задач защиты и формирования на этой основе научно-методологического базиса защиты информации. Иными словами, основная задача третьего этапа – перевод всего дела защиты информации на строго научную основу.

Наиболее характерной особенностью современной постановки задачи защиты информации является комплексность защиты.

Комплексность, вообще говоря, понимается как решение в рамках единой концепции двух или более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или и то и другое (всеобщая комплексность).

В самом деле, к наиболее устойчивым тенденциям развития систем и процессов обработки информации безусловно следует отнести такие:

· массовое насыщение предприятий (учреждений, организаций) средствами вычислительной техники и прежде всего – персональными ЭВМ;

· все более интенсивное сращивание традиционных и автоматизированных технологий обработки информации с неуклонным ростом доли безбумажных процедур;

· непосредственный доступ к ресурсам систем автоматизированной обработки информации массы пользователей, не являющихся профессиональными программистами, а потому не владеющими в должной мере всеми необходимыми знаниями и навыками правильного и рационального их использования;

· сопряжение средств вычислительной техники в локальные и территориально распределенные сети;

· все более настойчивое превращение информационных массивов (особенно программных продуктов) в интеллектуальную собственность и товар.

Нетрудно видеть, что в этих условиях господствовавшее до недавнего времени представление о защите информации как о предупреждении несанкционированного ее получения (сохранения тайны) является чрезмерно узким. Более того, само понятие тайны до недавнего времени ассоциировалось преимущественно с государственными секретами, в то время как в современных условиях повсеместное распространение получают понятия промышленной, коммерческой, банковской, личной и т.п. тайны. Таким образом, даже в рамках традиционного представления о защите информации ее содержание должно быть существенно расширено. Но в условиях, создаваемых перечисленными выше тенденциями, повышенную значимость приобретают такие проблемы, как обеспечение физической целостности информации (предупреждение уничтожения или искажения), обеспечения логической целостности (предупреждение разрушения или искажения в автоматизированных банках логических структур данных, задаваемых пользователем), предупреждения несанкционированной модификации информации, предупреждение несанкционированного копирования (размножения) информации, являющейся чьей-либо собственностью, соблюдение авторских прав в безбумажных технологиях хранения и обработки информации.

Совершенно очевидно, что независимая защита информации по каждой из перечисленных целей будет весьма накладной, а во многих случаях –

просто невозможной. Отсюда и вытекает объективная необходимость перехода к комплексной защите.

Дополнительная информация:

Опр. Информационная безопасность – это состояние защищенности жизненно важных интересов личности, общества и государства в информационной сфере (из “Доктрины Информационной Безопасности РФ”).

Опр. Защита информации (по Малюку) – процесс, приводящий систему к такому состоянию, при котором она способна противодействовать внешним и внутренним угрозам.

Опр. Защита информации (по Шеину) – обеспечение целостности, секретности и доступности.