Краткое описание методики создания систем защиты информации


Из книги Домарева В.В. "Защита информации и безопасность компьютерных систем"

Насколько важна любая информация, относящаяся к бизнесу понятно многим. Пользуясь собранной и обработанной информацией, можно успешно конкурировать на своем рынке и захватывать новые. Информация помогает в поиске партнеров и способствует четкому определению позиции по отношению к ним.

Говоря проще: кто владеет достоверной и полной информацией — тот владеет ситуацией, а кто владеет ситуацией — тот способен управлять ею в своих интересах, а кто способен управлять — тот способен побеждать. Вот простая формула успеха любой деятельности.
Кроме того, при переходе к рыночной экономике информация становится товаром и должна поэтому подчиняться специфическим законам товарно-рыночных отношений. В этих условиях проблема защиты информации весьма актуальна и для организаций любой формы собственности.

Вопросы безопасности — важная часть концепции внедрения новых информационных технологий во все сферы жизни общества. Широкомас штабное использование вычислительной техники и телекоммуникацион ных систем в рамках территориально-распределенной сети, переход на этой основе к безбумажной технологии, увеличение объемов обрабатыва емой информации и расширение круга пользователей приводят к качественно новым возможностям несанкционированного доступа к ресурсам и данным информационной системы, к их высокой уязвимости.

Информация — это товар...

Нет необходимости объяснять, что целостность, достоверность и доступность информации — важные составные успеха деятельности любой организации. Под информацией можно понимать: и Ваши конфиденци альные данные на бумаге, находящиеся в кабинете на столе или в сейфе; и цифровые данные, хранимые в компьютере, записанные на дискете или передаваемые по каналам связи; и Ваши разговоры по телефону или просто в помещении. Доступ в помещение тоже является доступом к Вашей информации. В качестве информации могут выступать и Ваши деньги, драгоценности, ценные бумаги. Даже Вы сами являетесь объектом информации, иногда наиболее ценной. И все это необходимо защищать. Защищать комплексно.
Эффективность механизмов защиты информации в значительной степени зависит от реализации ряда принципов. Во-первых, механизмы защиты следует проектировать одновременно с разработкой информационной системы, что позволяет обеспечить их бесконфликтность, своевременную интеграцию в вычислительную среду и сокращение затрат. Во-вторых, вопросы защиты следует рассматривать комплексно в рамках единой системы защиты информации (СЗИ).

Системный подход обеспечивает адекватную многоуровневую защиту информации, рассматриваемую как комплекс организационно-правовых и технических мероприятий. Кроме того, при реализации механизмов защиты должны использоваться передовые, научно обоснованные технологии защиты, обеспечивающие требуемый уровень безопасности, приемлемость для пользователей и возможность наращивания и модификации СЗИ в дальнейшем.

Управление безопасностью электронных документов охватывает широкий круг вопросов, в число которых входит: обеспечение целостности, конфиденциальности и аутентичности информации; разграничение прав пользователей по доступу к ресурсам автоматизированной системы; защита автоматизированной системы и ее элементов от несанкционированного доступа; обеспечение юридической значимости электронных документов.

К информации, требующей защиты, можно отнести конфиденциальную, управленческую, научно-техни ческую, торговую и прочую информацию, представляющую ценность для предприятия в достижении преимущества над конкурентами. Утечка такой информации может нанести ущерб ее владельцам в виде прямых убытков и других упущений.

Информация, как совокупность знаний о фактических данных и зависимостях между ними, стала стратегическим ресурсом; она — основа для выработки любого решения. Поэтому защита информации, будучи сложной, наукоемкой и многогранной проблемой по сути, в условиях внедрения современных информационных технологий, создания распределенных вычислительных систем и сетей связи, приобретает особую остроту.

Существует мнение, что компьютерные базы персональных данных создают реальную угрозу для негласного вторжения в частную жизнь. Такая озабоченность имеет под собой почву, поскольку различные файлы данных заводятся на каждого гражданина и ведутся на протяжении всей его жизни. Результаты медицинских обследований; прохождение обучения в колледже и вузах; аресты и приводы в полицию; суммы, взятые под залог; купля-продажа товаров и имущества; списки книг, взятых в библиотеке; членство или поддержка общественно -политических, религиозных и других организаций — вот далеко не полный перечень сведений, которые оседают в банках данных различных организаций, служб и ведомств. Вся эта информация, попав в чужие руки, в определенных условиях может быть использована не по назначению.

Не секрет, что в настоящее время одним из основных средств обеспечения государством, фирмой либо другой организацией своих интересов на международной арене становится завоевание им информационного пространства путем развития информационных технологий и создания на их основе информационных систем (ИС), определяющих доступ к достижениям в различных областях науки, техники, экономики и т.д. Причем информационные системы более высокого уровня развития, как правило, получают возможность управлять системами с относительно низким уровнем информатизации, направляя их деятельность в своих интересах и постоянно контролируя.

В ИС, создаваемых в органах государственной власти и в коммерческих структурах циркулирует информация, содержащая секретные сведения о достигнутом потенциале в области экономики, обороны, науки и техники, конфиденциальные сведения об управленческой, хозяйственной, коммерческой, финансовой и иной деятельности. Техническими средствами освоения информационных ресурсов выступают вычислительные системы с их разнообразным периферийным оборудованием и сети связи.

Количество абонентов, пользующихся услугами таких систем неуклонно возрастает. Стало возможным взаимное сопряжение локальных сетей при обмене информацией. Такие взаимосвязанные сети с подключен ными к ним удаленными абонентскими терминальными устройствами образуют сложные информационно -вычислительные сети, распределенные на большой территории. Очевидно, что в этих системах исключить несанкционированный доступ к информации лишь организационными мерами практически невозможно.

Современные вычислительные системы могут работать в мультипрограммном режиме (одновременно решается несколько задач), в мультипроцессорном режиме (создаются условия для решения программы задачи несколькими параллельно работающими процессорами), а также в режиме разделения времени, когда к информационным ресурсам одновременно может обращаться большое количество абонентов. При таких режимах работы в памяти компьютеров одновременно могут храниться программы и массивы данных различных пользователей, с ПК или серверами одновременно будет поддерживать связь значительное число абонентов. В этом случае необходимо решение как проблем физической защиты информации, так и защита ее от пользователей несанкционированно вклинивающихся в вычислительный процесс.

В то же время, циркулирующая в территориально распределенных системах и сетях информация становится уязвимой в связи с возрастанием многообразия угроз несанкционированного ее получения и использования.

С развитием рыночных отношений, с появлением частных предприятий и перестройкой общества в целом перед предпринимателем возникли совершенно новые проблемы, связанные не только с обеспечением личной безопасности, но и с безопасностью информации. Тем более, что нет четкой границы между информацией, доступной всем и коммерческой тайной.

Для обеспечения информационной безопасности необходимо во-первых, понять, насколько важна данная проблема, а во-вторых, выделить основные направления и способы ее решения. Необходимо помнить, что под защитой информации понимают защиту не только компьютерной информации, но и множество других аспектов, например: бухгалтерскую отчетность фирмы, количество денег на счетах, деловые партнеры и поставщики, реальные обороты фирмы, проведение переговоров и заключаемые контракты и многое другое.

А если посмотреть на эту проблему не с коммерческой, а с государственной точки зрения, то становится очевидным, что ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры. Национальный информационный ресурс становится сегодня одной из главных основ экономической и военной мощи любого государства.

Информация, проникающая во все сферы деятельности государства, приобретает конкретные политичес кое, материальное и стоимостное выражения. Проблема безопасности информации с точки зрения государственных интересов в последнее время приобрела особую актуальность и рассматривается как одна из приоритетных государственных задач, как важный элемент национальной безопасности.

Важнейший ресурс современного общества — информация одновременно несет в себе и огромную угрозу для него, связанную с внутренней спецификой этого ресурса. Простота и большое число различных способов доступа и модификации информации, значительное количество квалифицированных специалистов, широкое использование в общественном производстве специальных технических средств позволяют злоумышленнику практи-чески в любой момент и в любом месте осуществлять действия, представляющие угрозу информаци онной безопасности как в локальном, так и в глобальном масштабах.

Происходящее в последнее время распространение децентрализации и распределенной обработки данных выдвинуло проблемы обеспечения безопасности информации в число важнейших для национальной экономики. Решение проблемы обеспечения информационной безопасности предполагает комплекс мероприятий и в первую очередь такие действия государства, как разработка системы классификации и документирования информации и способов защиты, регулирование способов доступа к данным и установление ответственнос ти за нарушения информационной безопасности.

Острая актуальность названной проблемы обусловлена также рядом объективных факторов, играющих существенную роль в жизни современного общества. Среди этих факторов особо следует выделить: неуклонное повышение роли информации в обеспечении жизнедеятельности общества и государства, все усиливающая ся интенсификация процессов информатизации различных сфер деятельности, приобретающая устойчивость тенденция органического слияния традиционных (бумажных) и автоматизированных (безбумажных) технологий обработки информации, резкая децентрализация использования современных средств электронно-вычислительной техники и др.

При общем положитель ном влиянии, объективной целесообразности и неизбежности перечисленные обстоятельства порождают и ряд негативных явлений, одно из которых заключается в резком повышении уязвимости накапливаемой, хранимой и обрабатываемой информации. Причем указанные явления могут носить как случайный, так и преднамеренный характер, в том числе противоправные злоумышленные, диверсионные и другие действия

Информационные системы становятся все более уязвимыми...

Вся указанная совокупность характерных для информационных процессов условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства (выступающим в качестве собственников, владельцев или пользователей информации) понимается как угрозы безопасности информации.

Широкомасштабное использование вычислительной техники и телекоммуникационных систем в рамках территориально распределенной сети, переход на этой основе к безбумажной технологии, увеличение объемов обрабатываемой информации, расширение круга пользователей приводят к качественно новым возможнос тям несанкционированного доступа к ресурсам и данным информационных систем, к их высокой уязвимости.

Управление безопасностью электронных документов охватывает широкий круг вопросов, в число которых входит: обеспечение целостности, конфиденциальности и аутентичности информации, разграничение прав пользователей по доступу к ресурсам автоматизированной системы, защита автоматизированной системы и ее элементов от несанкционированного доступа, обеспечение юридической значимости электронных документов.

Прогресс в области развития информационных технологий стимулировал развитие средств обеспечения безопасности, что потребовало пересмотра существующих подходов к проблемам создания систем защиты информации.

В предлагаемой книге автор пытается ответить на целый ряд вопросов, связанных с обеспечением информационной безопасности, а также стремится сформировать целостное представление о путях создания защищенных информационных систем. Существующие публикации на эту тему в основном ограничиваются перечислением угроз и возможностей конкретных средств защиты информации. В книге представлен полный спектр вопросов о практическом создании защищенных информационных систем.

Построение таких систем не ограничивается выбором тех или иных аппаратных и программных средств защиты. Необходимо владеть определенными теоретическими знаниями и практическими навыками. Для этого необходимо, во-первых, понять, что представляет собой защищенная система, какие к ней предъявляются требования, рассмотреть существующий опыт создания подобных систем и причины нарушения их безопасности и, во-вторых, определить, какие функции защиты и каким образом должны быть реализованы, и как они противодействуют угрозам и устраняют причины нарушения безопасности. Разумеется, данная публикация не претендует на окончательное разрешение всех проблем информационной безопасности, но, как надеется ее автор, прояснит ряд вопросов из этой области знаний и позволит решить многие практические задачи.

В предлагаемых материалах в обобщенном виде изложены причины нарушения безопасности компьютер ных систем, приведен перечень моделей безопасности, адекватных современному уровню развития программных и аппаратных средств, а также рассмотрены методы и средства внедрения механизмов защиты в существующие системы с возможностью гибкого управления безопасностью в зависимости от выдвигаемых требований, допустимого риска и оптимального расхода ресурсов.

Нам сверху видно все...

Как известно, для того чтобы решить проблему надо быть выше нее и немного в стороне.

Большой объем имеющихся публикаций вряд ли может сформировать четкое представление о том как же приступить к созданию комплексной системы защиты информации для конкретных информационных систем, с учетом присущих им особенностей и условий функционирования.

Итак попробуем взглянуть на проблему сверху и охватить все ее аспекты.

рис. 1. ОСНОВЫ

Известно, что ОСНОВНОЙ или составными частями практически любой СИСТЕМЫ (в том числе и системы защиты информации) являются:
Нормативно-правовая и научная база;
Структура и задачи органов;
Организационные меры и методы;
Программно-технические способы и средства.

Представим ОСНОВЫ в виде куба, внутри которого и находятся все вопросы защиты информации.

Далее, руководствуясь принципом «разделяй и властвуй», выделим основные НАПРАВЛЕНИЯ в общей проблеме обеспечения безопасности информационных технологий (они представлены ниже).

Напомним их:
Защита объектов информационных систем;
Защита процессов, процедур и программ обработки информации;
Защита каналов связи;
Подавление побочных электромагнитных излучений;
Управление системой защиты;

Но поскольку каждое из этих направлений базируется на перечисленных выше ОСНОВАХ, то грани куба составляют ОСНОВЫ и НАПРАВЛЕНИЯ неразрывно связанные друг с другом.

Но это еще не все... Предложена МЕТОДИКА (последовательность шагов) построения СЗИ (рисунок 4), которая в равной степени применима для всех НАПРАВЛЕНИЙ и предполагает следующую последователь ность действий:
Определение информации, подлежащей защите;
Выявление полного множество потенциально возможных угроз и каналов утечки информации;
Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
Определение требований к системе защиты;
Осуществление выбора средств защиты информации и их характеристик;
Внедрение и организация использования выбранных мер, способов и средств защиты.
Осуществление контроля целостности и управление системой защиты.

Указанная последовательность действий осуществляется непрерывно по замкнутому циклу, с проведени ем соответствующего анализа состояния СЗИ и уточнением требований к ней после каждого шага.

Непрерывный цикл создания СЗИ.(применение МЕТОДИКИ для каждого из НАПРАВЛЕНИЙ с учетом общего представления структуры СЗИ)

Будем проще...

Рассмотрим еще один способ представления процесса создания системы защиты информации

Непрерывный замкнутый цикл условно представлен в виде кольцевой железной дороги. Четыре станции — это ОСНОВЫ системы защиты. На переднем плане ключевой пункт — КОНТРОЛЬ, на котором осуществляется анализ состояния СЗИ и уточнение требований к ней.

Пять железнодорожных составов подразумевают пять НАПРАВЛЕНИЙ проблем обеспечения безопасности информаци онных технологий. Вагоны представляют собой содержание МЕТОДИКИ построения СЗИ для каждого из НАПРАВЛЕНИЙ.

Итак, в путь!

МЕТОДИКИ для каждого из НАПРАВЛЕНИЙ последова тельно (вагон за вагоном — шаг за шагом) проходят через станции — ОСНОВЫ и прибывают на КОНТРОЛЬ для оценки эффективности проделанной работы. Высшее руководство, находящееся на боевом посту в центре кольцевой дороги, руководит процессом построения системы защиты.

После того как составы пройдут соответствующего количество кругов, может быть принято решение о завершении работ по созданию СЗИ. Однако движение после этого не прекратит ся, поскольку начнется процесс функционирования СЗИ, который потребует выполнения тех же процессов, в той же последовательности, только в более медленном ритме.

http://www.warning.dp.ua

Обновлено: 11.03.2015