Какие свойства информации являются наиболее важными с точки зрения обеспечения ее безопасности

Страницы работы

Содержание работы

Защита информации должна обеспечить: Конфиденциальность – свойство информации, состоящее в отсутствии несанкционированного доступа к защищаемой информации для людей, программ или процессов, которые не имеют на это права. Целостность – свойство информации, состоящее в ее существовании в неискаженном виде. Т.е. целостность – это отсутствие несанкционированных изменений информации (добавления, удаления, модификации данных). Доступность – свойство компьютерной системы, состоящее в возможности обеспечить своевременный беспрепятственный доступ к защищаемой информации полномочными пользователями.

Угроза информации – это потенциально возможное событие, действие, процесс или явление, которое может вызвать нанесение ущерба (материального, морального или иного) защищаемому объекту. Формальное определение угрозы по ГОСТ Р 51624-00 – это совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее» .

1. Пассивные угрозы. Пассивные угрозы – это всегда угрозы конфиденциальности информации. Такие угрозы носят характер перехвата (или мониторинга) передаваемых данных. Пассивные нарушения могут быть двух видов: Раскрытие содержимого сообщений, или угрозы конфиденциальности информации. Эта угроза реализуется, когда к какой-нибудь информации получает доступ лицо, не имеющее на это права. Этот вид угроз встречается наиболее часто. Анализ потока данных. Это, например, определение отправителя и получателя, частоты сообщений.

2. Активные угрозы. Активными угрозами могут быть: Угрозы целостности информации. Нарушение целостности происходит при внесении несанкционированных изменений в информацию, умышленных или неумышленных. Угрозы доступности информации, или угрозы отказа в обслуживании. Этот вид угрозы угрожает не самой информации, а автоматизированной системе, в которой эта информация обрабатывается.

Уязвимость – это любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы.

1. Уязвимости проектирования информационной системы. Это уязвимости, созданные разработчиком программного или аппаратного обеспечения при проектировании. В этом случае уязвимость свойственна проекту или алгоритму, и даже совершенная реализация проекта от этой уязвимости не избавляет. Яркий пример – уязвимость стека протоколов TCP/IP.

2. Уязвимости реализации информационной системы. Это ошибки, привнесенные на этапе реализации проекта. Типичный пример – «переполнение буфера» во многих реализациях программ, например sendmailили InternetExplorer.

3. Уязвимости конфигурации. Это уязвимости, добавленные администратором в процессе управления системойили привнесенные пользователем в процессе эксплуатации системы. Например: использование модема для выхода в Интернет в обход межсетевых экранов, или отказ запускать антивирусные сканеры, или другие, более враждебные действия.

Атака на информационную систему – это действие, которое приводит к реализации угрозы путем использования уязвимостей этой информационной системы.

Традиционная атака – это атака, построенная на модели «один-к-одному» или «один-ко-многим». В этом случае атака исходит из одной точки (от одного хоста). Для сокрытия источника атаки часто используется метод промежуточных хостов. В этом случае атака реализуется не напрямую на выбранную цель, а через цепь узлов. Нередко эти узлы находятся в разных странах.

Распределенная атака — это атака, построенная на модели «много- к одному» или «много- ко многим». В этом случае несколько злоумышленников проводят сотни и тысячи нападений в один и тот же момент времени на один или несколько узлов. Это, как правило, атаки типа «отказ в обслуживании».

Рис. 1.1 Модели традиционных атак Рис.1.2 Модели распределенных атак

Этапы реализации атаки

1. Сбор информации (informationgathering). На этом этапе определяется сетевая топология, тип и версия операционной системы, доступность сетевых сервисов и т.д.

2. Реализация (exploitation). Реализация атаки заключается в проникновении в систему и установлении контроля над атакуемым узлом. Например, это внедрение программы типа «троянский конь».

3. Завершение атаки («заметание следов»). Обычно это удаление соответствующих записей из журналов регистрации данного узла и других действий, возвращающих атакованную систему в исходное состояние (например, скрытие внедренных файлов).

2. Способы обеспечения защиты информации

Законодательные методыопределяют, кто и в какой форме должен иметь доступ к защищаемой информации. Законодательные методы не способны гарантировать выполнение установленных законов, они только декларируют эти законы, вместе с мерой ответственности за их нарушение. Административные методы заключаются в определении процедур доступа к защищаемой информации и установлении контроля за их соблюдением. Например, при получении документов в архиве и возврате их обратно в специальный журнал заносятся соответствующие записи. Работа с документами разрешается только в специально оборудованном и сертифицированном помещении. Чтобы работать с секретными документами, сначала нужно получить необходимый допуск, и т.п. Технические методы защиты призваны максимально избавиться от человеческого фактора. Соблюдение законодательных и административных мер защиты определяется согласием людей их соблюдать, и теоретически всегда можно избежать соблюдения установленных правил. В случае применения технических средств перед противником для доступа к информации ставится техническая задача. Современный пример технических средств защиты информации: самоуничтожающиеся DVD-диски. (диски можно будет использовать только 48 часов после вскрытия упаковки. Затем поверхность диска должна почернеть)

Правовые основы защиты информации

Основой современной государственной политики Российской Федерации в области информационной безопасности является Доктрина информационной безопасности РФ. Она представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. Она утверждена Президентом Российской Федерации В.Путиным 9 сентября 2000 г.

Наиболее важными, с точки зрения информационной безопасности, являются следующие законы.

· Конституция Российской Федерации (в редакции от 10.02.96 г.);

· «О безопасности» (в редакции от 05.03.92 г.);

· «Об информации, информатизации и защите информации» (от 20.01.95 г.);

· «О государственной тайне» (от 21.09.93 г.);

· «О федеральных органах правительственной связи и информации» (от 19.02.93 г.);

· «О правовой охране программ для электронных вычислительных машин и баз данных» (от 24.03.96 г.);

Закон «О безопасности» закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности.

Основные свойства информации как предмета защиты

С точки зрения защиты информация обладает рядом свойств, основными из которых следующие:

1. Информация доступна человеку, если она содержится на материальном носителе. Так как с помощью материальных средств можно защищать только материальный объект, то объектами информационной защиты являются материальные носители информации. Различают носители — источники информации, носители — переносчики информации и носители — получатели информации. Например, чертеж является источником информации, а бумага, на которой он нарисован, — носитель информации. Физическая природа источника и носителя в этом примере одна и та же — бумага. Однако между ними существует разница. Бумага без нанесенного на ней текста или рисунка может быть источником информации о ее физических и химических характеристиках. Когда бумага содержит семантическую информацию, ей присваивается другое имя: чертеж, документ и т. д. Чертеж детали или узла входит в состав более сложного документа — чертежа прибора, механизма или машины и т. д. вплоть до конструкторской документации образца продукции. Следовательно, в зависимости от назначения источнику могут присваиваться различные имена. Но независимо от наименования документа защищать от хищения, изменения и уничтожения информации надо листы бумаги, которые имеют определенные размеры, вес, механическую прочность, устойчивость краски или чернил к внешним воздействиям. Параметры носителя определяют условия и способы хранения информации. Другие носители, например, поля не имеют четких границ в пространстве, но в любом случае их характеристики измеряемы. Физическая природа носителя-источника информации, носителя-переносчика и носителя-получателя может быть как одинаковой, так и разной.

Передача информации путем перемещения ее носителей в пространстве связана с затратами энергии, причем величина затрат зависит от длины пути перемещения и вида носителя. В принципе информация может быть передана на любое расстояние сколь угодно малой энергией . Это обстоятельство не учитывается при обосновании утверждений о невозможности непосредственной передачи информации между людьми на большие расстояния из-за энергетических ограничений.

2. Ценность информации оценивается степенью полезности ее для владельца (получателя). Она может обеспечивать ее владельцу определенные преимущества, приносить прибыль, уменьшить риск в его деятельности в результате принятия более обоснованных решений.

Нейтральная информация не влияет на состояние дел ее получателя, но носитель с нейтральной для конкретного получателя информацией может оказывать вредное воздействие на другой носитель с полезной информацией, если близки по значениям параметры носителей, например, частоты колебаний электромагнитных полей разных источников. Носители информации, оказывающее воздействие на другой носитель, представляют собой помехи. То, что для одного получателя является информацией, для другого — помеха. Когда во время разговора по телефону из-за неисправности в цепях коммутации телефонной станции слышен разговор других людей, то каждая пара абонентов воспринимает разговор другой как помеху.

Вредной является информация, в результате использования которой ее получателю наносится моральный или материальный ущерб. Когда такая информация создается преднамеренно, то ее называют дезинформацией. Часто вредная информация создается в результате целенаправленной или случайной модификации ее при переносе с одного носителя на другой. Если в качестве таких носителей выступают люди, то вредная информация циркулирует в виде слухов. Широко практикуется способ дезинформирования людей путем использования механизма распространения слухов.

Полезность информации всегда конкретна. Нет ценной информации вообще. Информация полезна или вредна для конкретного ее получателя — пользователя. Под пользователями подразумевается как один человек или автомат, так и группа людей и даже все человечество. Поэтому при защите информации важно среди других задач защиты, прежде всего, определяют круг лиц (фирм, государств), заинтересованных в защищаемой информации, так как вероятно, что среди них окажутся злоумышленники.

3. Учитывая, что информация может быть для получателя полезной или вредной, т.е. приносить ему прибыль или ущерб, что она покупается и продается, то информацию можно рассматривать как товар. Цена информации связана с ее ценностью, но это разные понятия. Например, при проведении исследований могут быть затрачены большие материальные и финансовые ресурсы, которые завершились отрицательным результаты, т. е. не получена информация, на основе которой ее владелец может получить прибыль. Но отрицательные результаты представляют ценность для специалистов, занимающихся рассматриваемой проблемой, так как полученная информация укорачивает путь к истине.

Полезная информация может быть создана ее владельцем в результате его научно-исследовательской деятельности, заимствована из различных легальных источников, может попасть к злоумышленнику случайно, например, в результате непреднамеренного подслушивания и, наконец, добыта различными нелегальными путями. Цена информации, как любого товара, складывается из себестоимости и прибыли.

Себестоимость определяется расходами владельца информации на ее получение путем:

• — проведения исследований в научных лабораториях или аналитических центрах, группах и т. д.;
• — покупки информации на рынке информации;
• — добывания информации противоправными действиями.

Прибыль от информации в виду ее особенностей может принимать различные формы, причем денежное ее выражение не является самой распространенной формой. В общем случае прибыль от информации может быть получена в результате следующих действий:

• — продажи информации на рынке;
• — материализации информации в продукции с новыми свойствами или технологии, приносящими прибыль;
• — использования информации для принятия более эффективных решений.

Последняя форма прибыли от информации не столь очевидна, но она самая распространенная. Это обусловлено тем, что любая деятельность человека есть по своей сути последовательность принятия им решений. Большинство решений принимается человеком бессознательно, он осознано принимает в основном жизненно важные решения.

Для принятия любого решения нужна информация, причем чем выше риск и цена решения, тем большего объема и более качественнее должна быть информация. Размышления перед принятием решения не что иное, как переработка человеком имеющейся у него информации. По своему опыту каждый знает, как трудно принять ответственное решение в условиях дефицита информации или времени.

Недостаток времени на ее обработку по последствиям идентичен недостатку информации в виде и форме, которые необходимы при принятии конкретного решения. Поэтому многочисленные помощники государственных деятелей готовят им информацию в сжатом виде, которые позволяют этим лицам принять обоснованные решения за короткое время.

Учитывая жизненную потребность в информации для любых живых организмов, природа создала механизм, заставляющий их искать информацию в случае ее дефицита. Таким общим механизмом для активизации деятельности живых существ по удовлетворению основных потребностей, в том числе информационной потребности, являются эмоции. Уровень отрицательных эмоций живого существа пропорционален дефициту информации, необходимой для принятия им решений. Алгоритм поведения живого человека формируется таким, чтобы устранить причины отрицательных эмоций, в том числе путем поиска информации.

4. Ценность информации изменяется во времени. Распространение информации и ее использование приводят к изменению ее ценности и цены. В зависимости от вида информации ее ценность может меняться в значительных пределах. Как правило, ценность информации со временем снижается, но бывают исключения. Например, в начале века результаты исследований по атомной физике носили чисто познавательный характер и интересовали узкий круг ученых. Информация в этой области приобрела чрезвычайно высокую ценность, когда появились реальные возможности практического использования ядерной энергии.

Уменьшение ценности информации во времени называют ее старением. Старение информации С_иво времени в первом приближении можно аппроксимировать выражением вида:

где С — полезность информации в момент ее возникновения (создания);

• ? — время от момента возникновения информации до момента ее использования;
• ?_жц — продолжительность жизненного цикла информации (от момента возникновения до момента устаревания).

В соответствии с этим выражением за время жизненного цикла ценность информации уменьшается до 0.1 первоначальной величины.

В зависимости от продолжительности жизненного цикла коммерческая информация в [3] классифицируется следующие образом:

• — оперативно-тактическая, теряющая ценность примерно по 10% в день (например, информация выдачи краткосрочного кредита, предложения по приобретению товара в срок до одного месяца и др.);
• — стратегическая информация, ценность которой убывает примерно 10% в месяц (сведения о партнерах, о долгосрочном кредите, развитии и т. д.).

Информация о законах природы имеет очень большое время жизненного цикла. Ее старение проявляется в уточнении законов, например, в ограничениях законов Ньютона для микромира.

5. Учитывая конкретность полезности информации, нельзя объективно (без учета ее потребителя) оценить количество и качество информации. В теории информации предложен энтропийный подход, В соответствии с ним количество информации оценивается мерой уменьшения у получателя неопределенности (энтропии) в выборе или ожидания событий после получения информации. Количество информации тем больше, чем ниже вероятность события. Такой подход хорошо разработан для определения количества информации, передаваемой по каналам связи. Выбор при приеме осуществляется между символами алфавита сообщения. Количество информации в передаваемом по каналам связи сообщении из N символов (без учета связи между символами в сообщении) рассчитывается по известной формуле Шеннона [4]:

где P_i— вероятность появления в сообщении символа i;

n — количество символов в алфавите языка.

Как следует из формулы, количество информации, измеряемое в двоичных элементах (в битах, байтах), зависит только от количества и статистики символов, но не зависит как от содержания сообщения, так и от приращения информации у ее получателя. Количество информации, определяемое по этой формуле, одинаковое при передаче бессмысленного текста или сообщения о жизненно важных для получателя сведений. С точки зрения передачи таких сообщений по каналам связи такой подход обоснован, так как затраты на передачу этих сообщений одинаковы. А на что потрачены деньги отправителя сообщения и насколько оно информативно для получателя, — эти вопросы к связи отношения не имеют.

Аналогично, когда при телефонном разговоре Ваш собеседник сообщает известные сведения, то количество полученной Вами информации мало, хотя разговор может длиться достаточно долго. В таком случае возникает вопрос, что передавалось в этом случае. Очевидно, что осуществлялась передача лишь акустических и электрических сигналов.

Если информацию трактовать как знания, то количество информации, извлекаемой человеком из сообщения, можно оценить степенью изменения его знаний. Структурированные знания, представленные в виде понятий и отношений между ними, называются тезаурусом. Тезаурус имеет сложную иерархическую структуру. Понятия и отношения, группируясь, образуют другие, более сложные понятия и отношения.

Знания отдельного человека, организации, государства образуют соответствующие тезаурусы. Тезаурусы различных организационных структур включают части тезаурусов входящих в их состав элементов, прежде всего, людей. Например, тезаурус организации образуются из тезаурусов сотрудников по тематике ее работы и других носителей информации (документов, продукции, материалов и т. д.).

Для передачи знаний тезаурусы должны пересекаться, т. е. они должны содержать общие элементы (понятия и отношения между ними), Если таковых нет, то владельцы разных тезаурусов просто не поймут друг друга. О таких людях говорят, что они разговаривают на “разных языках”. Даже люди одной национальности часто говорят на “разных языках”, вкладывая в одинаковые по форме понятия разное содержание.

Подход к оценке количества информации по степени изменения тезауруса после ее получения, предложенный Ю. А, Шрейдером [5], можно назвать тезаурусным.

В общем случае количество информации, получаемое из сообщения ее получателем, зависит от соотношения тезауруса сообщения и получателя. Если тезаурус сообщения составляет часть тезауруса получателя или их тезаурусы настолько отличаются по составу, что не пересекаются, то количество получаемой информации минимальное. В первом варианте получатель не приобретает новых знаний — тезаурус получателя не пополняется, во втором — получатель не понимает смысл сообщения и не может установить отношения с другими элементами тезауруса. Подобное происходит, когда совершаются «преждевременные» научные открытия, которые даже для научной общественности являются “вещью в себе”. В истории науки и искусства много фактов оторжения общественностью идей и произведений, опережающих “свое время”. Например, доклад русского математика Н. И. Лобачевского на заседании физико-математического факультета Казанского университета в 1826 г. с изложением основ созданной им неевклидовой геометрии, которые рассматриваются в настоящее время как крупнейшее достижение математической мысли в истории мировой науки, почти никем не был понят и подвергся резкой критике.

Аналогичная ситуация с качеством информации. Качество информации характеризуется ее полезностью. Чрезвычайно ценная информация для одних владельцев или потребителей может не представлять ценности для других. Даже информация, ценная для всего человечества, например, технология изготовления лекарств от опасных болезней, для отдельного здорового человека она может не представлять интерес.

Обобщая сказанное, циркуляцию информации в человеческом обществе можно представить исходя из следующей модели.

Тезаурусы человека и любой организационной структуры представляют их капитал. Поэтому они стремятся, во-первых, к сохранению (безопасности) своего тезауруса, а, во-вторых, к его увеличению. Тезаурус владельца информации может быть увеличен как за счет синтеза знаний владельцем путем проведения собственных исследований или разработок, так и их законного и незаконного приобретения.

Законное приобретение знаний возможно путем изучения литературных источников (самообучения), приглашения на работу более знающего специалиста, направления на учебу своих сотрудников, покупку патента или лицензии. Приобретение знаний путем хищения является незаконным способом увеличения тезауруса.

В природе и обществе наблюдается процессы как увеличения тезауруса владельца в результате синтеза информации, так и выравнивания тезаурусов разных владельцев. Выравнивание тезаурусов происходит путем передачи информации от тезауруса большего объема тезаурусу меньшего объема. Кроме целенаправленной (законной или незаконной) деятельности по передаче информации имеют место случайные процессы выравнивания тезаурусов владельцев, аналогично выравниванию температуры в замкнутом пространстве. Этот процесс объективно проявляется в любой организации и государстве путем случайных, трудно контролируемых процессов распространения информации от источника с большим объемом тезауруса к получателю, в том числе несанкционированному, с меньшим объемом тезауруса. Необходимы большие затраты и усилия для замедления процессов выравнивания тезаурусов, так же как, например, трудно удержать сгусток энергии от растекания.

При выравнивании тезаурусов коммерческая цена информации убывает, а ценность информации может как возрастать, так и убывает. Действительно, закон Ома знают очень много людей, но от этого полезность его для практики не уменьшается. Но покупателя на него вряд ли удастся найти, так как изучение закона Ома входит в программу обязательного школьного образования.

На практике используют более грубый и простой, так называемый объемный способ измерения информации путем подсчета количества (в битах или байтах) символов сообщения или измерения характеристик носителя (количества листов, времени передачи сообщения и др.). Но семантика информации и ее ценность при этом не учитываются.

В интересах защиты ценной (полезной) информации ее владелец (государство, организация, физическое лицо) наносит на носитель условный знак полезности содержащейся на нем информации, — гриф секретности или конфиденциальности. Гриф секретности информации, владельцами которой явялется государство (государственные органы), устанавливается на основании закона “О государственной тайне” [81] и ведомственных перечней сведений, составляющих государственную и военную тайну. В соответствии с постановлением Правительства РФ №870 от 4 сентября 1995 г. информации секретной, совершенно секретной и особой важности относится информация, несанкционированное распространение которой может нанести ущерб соответственно государственной организации (предприятию, учреждениею), отрасли (ведомству, министерству) и РФ в целом. Для несекретной конфиденциальной информации вводят гриф “для служебного пользования”.

Для обозначения конфиденциальности коммерческой и личной информации применяют различные шкалы ранжирования. Распространена шкала: “коммерческая тайна — строго конфиденциально” (КТ-СК), “коммерческая тайна — конфиденциально” (КТ-К), «коммерческая тайна» (КТ). Известна шкала: “строго конфиденциально-особый контроль”, строго конфиденциально”, “конфиденциально”. Предлагается также двухуровневая шкала ранжирования коммерческой информации: “коммерческая тайна” и “ для служебного пользования”.

В качестве подхода для определения грифа конфиденциальности информации могут служить результаты прогноза последствий попадания информации к конкуренту или злоумышленнику, в том числе:

• — величина наносимого экономического и морального ущерба организации;
• — реальность создания предпосылок для катастрофических последствий в деятельности организации (предприятия), в том числе для банкротства.

Свойства защиты информации

Введение 3

2. Информация как объект защиты 6

2.1 Характеристики информации 6

2.2 Свойства защиты информации 7

3. Методы защиты информации техническими средствами 12

3.1 Способы дезинформации 17

Принципы инженерно-технической защиты информации 20

5. Заключение 25

Список используемых источников 26

7. Практическая часть 27

Введение

Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми, и этот процесс обречен на бесконечность в своей последовательности. Хотя, если уж быть точным, новые проблемы — это всего лишь обновленная форма старых.

Вечная проблема — защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине 20 века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества.

Главная тенденция, характеризующая развитие современных информационных технологий — рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь. По результатам одного исследования, посвященного вопросам компьютерных преступлений, около 58% опрошенных пострадали от компьютерных взломов за последние 12 месяцев. Примерно 18 % опрошенных из этого числа заявляют, что потеряли более миллиона долларов в ходе нападений, более 66 процентов потерпели убытки в размере 50 тыс. долларов. Свыше 22% атак были нацелены на промышленные секреты или документы, представляющие интерес прежде всего для конкурентов. Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированных доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте. Однако по данным, опубликованным в сети Internet, общие потери от несанкционированного доступа к информации в компьютерных системах в 1997 году оценивались в 20 миллионов долларов, а уже в 1998 года в 53,6 миллионов долларов.

Причин активизации компьютерных преступлений и связанных с ними финансовых потерь достаточно много, существенными из них являются:

— переход от традиционной «бумажной» технологии хранения и передачи сведений на электронную и недостаточное при этом развитие технологии защиты информации в таких технологиях;

— объединение вычислительных систем, создание глобальных сетей и расширение доступа к информационным ресурсам;

— увеличение сложности программных средств и связанное с этим уменьшение их надежности и увеличением числа уязвимостей.

Любое современное предприятие независимо от вида деятельности и формы собственности не в состоянии успешно развиваться и вести хозяйственную деятельность без создания на нем условий для надежного функционирования системы защиты собственной информации.

Отсутствие у многих руководителей предприятий и компаний четкого представления по вопросам защиты информации приводит к тому, что им сложно в полной мере оценить необходимость создания надежной системы защиты информации на своем предприятии и тем более сложно бывает определить конкретные действия, необходимые для защиты тех или иных конфиденциальных сведений. В общем случае руководители предприятий идут по пути создания охранных служб, полностью игнорируя при этом вопросы информационной безопасности. Отрицательную роль при этом играют и некоторые средства массовой информации, публикуя «панические» статьи о состоянии дел по защите информации, формирующие у читателей представление о невозможности в современных условиях обеспечить требуемый уровень защиты информации.

Можно с уверенностью утверждать, что создание эффективной системы защиты информации сегодня вполне реально. Надежность защиты информации, прежде всего, будет определяться полнотой решения целого комплекса задач, речь о которых будет продолжена дальше.

Информация как объект защиты

Согласно законодательству РФ, информация — это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Защите подлежит внутренняя, конфиденциальная и секретная информация. Внутренняя информация — информация о компании, которая еще не была опубликована (использование внутренней информации при заключении биржевых сделок считается незаконным). Информация конфиденциальная — служебная, профессиональная, промышленная, коммерческая или иная информация, правовой режим которой устанавливается ее собственником на основе законов о коммерческой, профессиональной тайне, государственной службе и др. законодательных актов. Под коммерческой тайной предприятия понимаются не являющиеся государственным секретом сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка информации) которых может нанести вред его интересам. К секретной информации относится информация, содержащая государственную тайну. Государственной тайной является информация, несанкционированное распространение которой может нанести ущерб интересам государственных органов, организациям, субъектам и стране в целом.

Характеристики информации

Информация как объект познания имеет следующие характеристики:

— нематериальность в смысле неизмеримости таких параметров как масса, размеры, энергия известными физическими методами и приборами

— записанная на материальный носитель, информация может храниться, обрабатываться, передаваться по различным каналам связи

— любой материальный объект содержит информацию о себе или о другом объекте

Без информации не может существовать жизнь в любой форме и не могут функционировать созданные человеком любые искусственные системы, без неё сама жизнь и всё созданное человеком представляет собой груду химических/физических элементов. Опыты по изоляции органов чувств человека, затрудняющей его информационный обмен с окружающей средой, показали, что информационный голод (дефицит информации) по своим последствиям не менее разрушителен, чем голод физический.

Свойства защиты информации

Защита информации определяется рядом свойств информации, основные из которых следующие:

1. Информация доступна человеку, если она содержится на материальном носителе. С помощью материальных средств можно защищать только материальный объект, таким образом, объектом защиты информации являются материальные носители информации. Носители информации бывают:

— носители — источники информации (чертёж — это источник, а бумага, на которой он нарисован, — носитель, однако, бумага, без нанесённого на ней текста или рисунка является источником информации о её физических и химических характеристиках);

— носители — переносчики информации;

— носители — получатели информации;

Передача информации путём перемещения её носителей в пространстве связана с затратами энергии, причём величина затрат зависит от длины пути, параметров среды и типа носителя.

2. Ценность информации оценивается степенью полезности её для пользователя (собственника, владельца, получателя). Полезность информации всегда конкретна — нет ценной информации вообще — информация полезна или вредна для конкретного её пользователя, поэтому при защите информации прежде всего определяют круг субъектов (государств, фирм, групп лиц, людей), заинтересованных в защищаемой информации, так как вероятно, что среди них окажутся злоумышленники. В интересах защиты информации её владелец наносит на носитель информации условный знак полезности содержащейся на нём информации — гриф секретности или конфиденциальности. В качестве критерия для определения грифа конфиденциальности информации могут служить результаты прогноза последствий попадания информации к конкуренту или злоумышленнику:

— величина экономического и морального ущерба, наносимого организации;

— реальность создания предпосылок для катастрофических последствий в деятельности организации (банкротства и тому подобное).

3. Так как информация для получателя может быть полезной или вредной, то информацию можно рассматривать как товар. Цена информации, как любого товара, складывается из себестоимости и прибавочной стоимости (прибыли). Себестоимость определяется расходами владельца информации на её получение путём:

— исследований в лабораториях, аналитических центрах, группах;

— добыча информации противоправными действиями.

Прибыль от информации может быть получена в результате следующих действий:

— продажи информации на рынке;

— материализации информации в продукции с новыми свойствами или в технологиях, приносящими прибыль;

— использование информации для принятия эффективных решений (экономия средств, ресурсов и тому подобное).

4. Ценность информации изменяется во времени. Распространение информации и её использование приводят к изменению её ценности и цены. Характер изменения ценности от времени зависит от вида информации.

5. Невозможно объективно (без учёта полезности её для потребителя, владельца, собственника) оценить количество информации. Иногда полезность информации связывают с её качеством, но понятие «качество» применительно к информации не имеет самостоятельного значения, т.к. оно поглощается понятием «количество». Количество информации зависит от её качества: чем более качественная фотография, тем больше оттенков и полутонов она содержит, тем менее на ней помех. Под качеством информации подразумевают качество отображения её на носителе или её достоверность (соответствие оригиналу).

6. При копировании, не изменяющем информационные параметры носителя, количество информации не меняется, а цена снижается.

Все перечисленные свойства информации являются важными составляющими для формирования политики информационной безопасности организации, государства, группы лиц — деятельности любых субъектов информационного пространства и информационных систем.

Построение надежной защиты включает оценку циркулирующей в компьютерной системе информации с целью уточнения степени ее конфиденциальности, анализа потенциальных угроз ее безопасности и установление необходимого режима ее защиты.

Федеральным законом «Об информации, информатизации и защите информации» определено, что информационные ресурсы, т.е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним.

Закон также устанавливает, что «конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации». При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальных или доступ к ним ограничивается. Так, Федеральный закон «Об информации, информатизации и защите информации» напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон РФ «О банках и банковской деятельности в РФ» ограничивает доступ к сведениям по операциям, счетам и вкладам клиентов и корреспондентов банков (статья 25).

Однако не ко всем сведениям, составляющим конфиденциальную информацию, применима прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это в частности относится к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ (статья 139):

— соответствующая информация неизвестна третьим лицам;

— к ней свободного доступа на законном основании;

— меры по обеспечению ее конфиденциальности принимает собственник информации.

В настоящее время отсутствует какая-либо универсальная методика, позволяющая четко соотносить ту или иную информацию к категории коммерческой тайны. Можно только посоветовать исходить из принципа экономической выгоды и безопасности предприятия — чрезмерная «засекреченность» приводит к необоснованному подорожанию необходимых мер по защите информации и не способствует развитию бизнеса, когда как широкая открытость может привести к большим финансовым потерям или разглашению тайны. Законопроектом «О коммерческой тайне» права по отнесению информации к категории коммерческой тайны представлены руководителю юридического лица.

Федеральный закон «Об информации, информатизации и защите информации», определяя нормы, согласно которых сведения относятся к категории конфиденциальных, устанавливает и цели защиты информации:

-предотвращение утечки, хищения, искажения, подделки информации;

-предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации;

-сохранение государственной тайны, конфиденциальности документированной информации.

Определившись в необходимости защиты информации, непосредственно приступают к проектированию системы защиты информации.

Отдельный раздел законопроекта «О коммерческой тайне», посвященный организации защиты коммерческой информации, определяет необходимый комплекс мероприятий по ее защите:

— установление особого режима конфиденциальности;

— ограничение доступа к конфиденциальной информации;

— использование организационных мер и технических средств защиты информации;

— осуществление контроля за соблюдением установленного режима конфиденциальности.

Установление особого режима конфиденциальности направлено на создание условий для обеспечения физической защиты носителей конфиденциальной информации. Как правило, особый режим конфиденциальности подразумевает:

— организацию охраны помещений, в которых содержатся носители конфиденциальной информации;

— установление порядка пользования носителями конфиденциальной информации (учет, хранение, передача другим должностным лицам, уничтожение, отчетность);

— организацию ремонта технических средств обработки конфиденциальной информации.

Традиционно для организации доступа к конфиденциальной информации использовались организационные меры, основанные на строгом соблюдении сотрудниками процедур допуска к информации, определяемых соответствующими инструкциями, приказами и другими нормативными документами. Однако с развитием компьютерных систем эти меры перестали обеспечивать необходимую безопасность информации. Появились и в настоящее время широко применяются специализированные программные и программно-аппаратные средства защиты информации, которые позволяют максимально автоматизировать процедуры доступа к информации и обеспечить при этом требуемую степень ее защиты.

Дата добавления: 2016-10-22 ; просмотров: 1563 | Нарушение авторских прав

Основные свойства информации как предмета защиты.

Понятие об информации как предмете защиты

Информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Защита информации в Российской Федерации представляет собой принятие правовых, организационных и технических мер, направленных на выполнение следующих требований:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа,

3) реализацию права на доступ к информации.

Обладатель информации при обеспечении информационной безопасности в случаях, установленных законодательством Российской Федерации, обязан обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

Информация как объект познания имеет ряд особенностей:

1) она нематериальная в том смысле, что нельзя измерить ее параметры, например, массу, размеры, энергию, известными физическими методами и приборами;

2) информация, записанная на материальный носитель, может храниться, обрабатываться, передаваться по различным каналам связи;

3) любой материальный объект содержит информацию о самом себе или о другом объекте.

Основные свойства информации как предмета защиты.

С точки зрения защиты информация обладает рядом свойств, основными из которых являются следующие:

1. Информация доступна человеку, если она хранится на материальном носителе, так как с помощью материальных средств можно защищать только материальный объект, то объектом защиты являются материальные носители информации. Различают носители, источники информации и различают носители-переносчики и носители-получатели информации.

2. Ценность информации оценивается степенью полезности для ее пользователя. Информация может обеспечить ее владельцу определенное преимущество (приносить прибыль, уменьшить риск деятельности в результате принятия более обоснованных решений). Полезность информации всегда конкретна, нет ценной информации вообще. Информация или полезна или вредна для конкретного пользователя.

Вредной является информация, в результате использования которой ее получателю наносится моральный или материальный ущерб. Когда такая информация создается преднамеренно, то ее называют дезинформацией.

3. Учитывая, что информация может быть для получателя полезной или вредной, информацию можно рассматривать как товар.

Цена информации связана с ее ценностью, но это разные понятия.

Цена информации, как любого товара, складывается из себестоимости и прибыли. Себестоимость определяется расходами владельца информации на ее получение путем: — проведения исследований в научных лабораториях, аналитических центрах, группах и т. д.; — покупки информации на рынке информации; — добывания информации противоправными действиями.

Прибыль от информации ввиду ее особенностей может принимать различные формы, причем денежное ее выражение не является самой распространенной формой. В общем случае прибыль от информации может быть получена в результате следующих действий: — продажи информации на рынке; — материализации информации в продукции с новыми свойствами или технологии, приносящими прибыль; — использование информации для принятия более эффективных решений.

4. Ценность информации изменяется во времени. В зависимости от продолжительности жизненного цикла коммерческая информация классифицируется следующим образом:

· оперативно-тактическая (теряет 10% стоимости в день)

· стратегическая (теряет 10% стоимости в месяц)

5. Невозможно объективно оценить количество информации;

6. При копировании, не изменяющем информационный параметр носителя, количество информации не меняется, а цена падает.

Свойства информации и требования к ее защите

ИНФОРМАЦИЯ КАК ОБЪЕКТ ЗАЩИТЫ. НЕОБХОДИМОСТЬ И НАПРАВЛЕНИЯ ЗАЩИТЫ

Безопасность – состояние защищенности жизненно важных интересов личности, предприятия, государства от внешних и внутренних угроз. Основные компоненты безопасности – люди (персонал предприятий), материальные и финансовые ресурсы и информация.

Р и с. Общее определение понятие безопасности

В современном обществе все большее значение приобретает защита информации – обеспечение информационной безопасности.

Свойства информации и требования к ее защите

Информация — это результат отражения и обработки в человеческом сознании многообразия внутреннего и окружающего мира, это сведения об окружающих человека предметах, явлениях природы, деятельности других людей и т.д., а также сведения о его внутреннем состоянии.

К любой информации всегда предъявляются следующие требования:

•достоверность и полнота;

•адекватностьи актуальность;

•ясность и понятность.

Информация достоверна, если она не искажает истинное положение дел. Недостоверная информация может привести к неправильному пониманию или принятию неправильных решений.

Информация полна, если ее достаточно для понимания и принятия решений. Неполнота информации сдерживает принятие решений или может повлечь ошибки.

Информация адекватна, если образ, создаваемый при ее получении, соответствует реальному объекту, процессу, явлению. В реальной жизни вряд ли возможна ситуация, когда вы сможете рассчитывать на полную адекватность информации. Всегда присутствует некоторая степень неопределенности. От степени адекватности информации реальному состоянию объекта или процесса зависит правильность принятия решений. Актуальную информацию важно иметь при работе в постоянно изменяющихся условиях. Если ценная и актуальная информация выражена непонятными словами, она может стать бесполезной. Информация становится ясной и понятной, если она выражена языком, на котором говорят те, кому предназначена эта информация.

Всегда существует общедоступная информация. При этом мы говорим, что ею владеют все. Вместе с тем есть информация, собственниками которой являются отдельные лица, предприятия, организации, государство. И всегда существуют причины по которой, собственники информации не хотят чтобы она была доступна другим.

Взаимоотношения (права, обязанности, ответственность) между личностями, организациями регулируются обществом – на правовом уровне государством с помощью законов и нормативных актов. Так соответствующие законы РФ делят тайную информацию, прежде всего, на государственную и конфиденциальную. Виды конфиденциальной информации и отношение к ней также регламентируются законодательством РФ. Что относится к конфиденциальной информации различных видов иллюстрирует рис.

Защите подлежит не всякая информация, а только та, которая имеет ценность. Ценность информации является критерием при принятии любого решения о ее защите. Несмотря на то что было предпринято немало попыток формализовать процесс ее оценки с использованием методов теории информации и анализа решений, критерий оценки до сих пор остается весьма субъективным.

Оценка информации требует не только разделения информации на категории в соответствии с ее ценностью, но и важностью. Известно следующее разделение информации по степени важности:

• жизненно важная незаменимая информация, наличие которой необходимо для функционирования организации;

• важная информация — информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;

• полезная информация — информация, которую трудно восстановить, однако организация может эффективно функционировать и без нее;

• несущественная информация — информация, которая может быть больше не нужна организации.

Р и с. Виды конфиденциальной информации

На практике отнесение информации к одной из этих категорий представляет собой довольно трудную задачу, так как одна и та же информация может быть использована многими подразделениями организации, каждое из которых может отнести эту информацию к различным категориям важности. Категория важности, как и ценность информации, обычно изменяется со временем и зависит от отношения к ней различных групп потребителей и потенциальных нарушителей. Категории важности можно представить в виде многоуровневой пирамиды. Каждый уровень данной пирамиды, поделенный на части по горизонтали, отражает принцип деления информации по функциональному признаку и полномочиям (п1, п2. ) ее пользователей (рис. 1.1). Важной может быть не обязательно секретная информация.

Занимаясь защитой информации нельзя не иметь четкого представления о ее жизненном цикле (рис. 1.2).

Полученная системой информация оценивается на достоверность и полезность. Часть информации уничтожается, а остальная подготавливается к хранению (систематизируется, преобразуется в удобную для хранения форму, сортируется по массивам хранения). Из хранилища выбирается нужная в данный момент времени информация, обрабатывается и используется в определенных целях. Полученные отчетные данные проходят тот же цикл. При выборке могут уничтожаться сведения, потерявшие цену из-за их старения. Количественные оценки цены и времени старения информации, приводимые в литературе, по причине сложности задачи довольно трудны, неточны и противоречивы. Время жизни информации определяется ее владельцем в процессе эксплуатации информационной системы в конкретных условиях.