Назначение и краткий анализ общих моделей процесса защиты информации
Содержание
1. Понятие и содержание информационной безопасности…………………3
2.Назначение и краткий анализ общих моделей процесса защиты информации…………………………………………………………………….9
Список литературы…………………………………………………………….16
Понятие и содержание информационной безопасности
Безопасность проявляется как невозможность нанесения вреда функционированию и свойствам объекта, либо его структурных составляющих. Это положение служит методологическим основанием для выделения видов безопасности. Одной из важных структурных составляющих многих объектов безопасности является информация или деятельность, предметом которой является информация. Наличие угроз этим объектам позволяет говорить об их информационной безопасности — безопасности их «информационного измерения».
Свое «информационное измерение» имеет человек, в существовании которого информация имеет такое же важное значение, как пища, воздух, вода. Она обусловливает не только возможность его адаптации как биологического существа к условиям внешней среды, что само по себе немаловажно, но обусловливает и возникновение его социальных потребностей, возможность его социальной адаптации, развития личности, самореализации и самоутверждения. Информация является основным средством взаимодействия человека с другими людьми, без которого решение перечисленных задач не представляется возможным.
Посредством информации осуществляется процесс воспитания, образования, с ее помощью происходит овладение трудовыми навыками, формируется представление человека о возможных способах удовлетворения нужд, потребностей и реализации интересов, осуществляется мотивация его деятельности, а также в определенной мере и сама деятельность.
Нанесение вреда информации, способности человека ее воспринимать и осмысливать имеет следствием ущерб человеку как социальному и биологическому существу, существенно снижает возможность его выживания в реальном мире. Исходя из этого, информационная безопасность человека заключается в невозможности нанесения вреда ему как личности, социальная деятельность которой во многом базируется на осмыслении получаемой информации, информационных взаимодействиях с другими индивидами и часто имеет информацию в качестве предмета деятельности.
Свое «информационное измерение» имеет общество, представляющее собой сложный вид организации социальной жизни. Оно обладает механизмами саморегуляции, которые позволяют поддерживать его целостность, упорядочивать отношения между институтами и общностями, интегрировать социальные новообразования и подчинять их логике поведение основной массы населения, воспроизводить единую ткань многообразных социальных взаимодействий. Основу социальных взаимодействий составляют преднамеренные, целенаправленные поведенческие акты, ориентированные на других индивидов, их возможные ответные действия. Эти действия достаточно часто совершаются в форме социальной, точнее, информационной коммуникации, основу которой составляет обмен сведениями с помощью сообщений. Так, практически невозможно договориться о какой бы то ни было совместной деятельности, если участвующие в ней не знают ее целей, способов их достижения, плана, по которому предполагается организовать эту деятельность, задачу каждого участника и т. д. Необходимый уровень информированности может быть достигнут только в том случае, если организатор данной деятельности составит ее замысел, план реализации, доведет эти сведения до каждого, выяснит вопросы, которые возникли у участников, ответит на них и убедится, что все правильно понимают этот замысел и план.
Трудно переоценить роль информации в функционировании духовной сферы общества, в формировании и распространении культуры, представляющей собой характерный для членов данного общества образ мыслей и образ действий, ценности, нормы, традиции, критерии, оценки, регулирующие взаимодействие между людьми. Основой духовной сферы является информационная коммуникация. Информационная коммуникация осуществляется через среду распространения информации, которая в современном обществе принимает форму информационной инфраструктуры. Нанесение вреда этой инфраструктуре, передаваемым сообщениям и содержащимся в них сведениям может привести к нарушению целостности общества, деятельности его институтов, разрушению основ его существования. Исходя из этого, информационная безопасность общества заключается в невозможности нанесения вреда его духовной сфере, культурным ценностям, социальным регуляторам поведения людей, информационной инфраструктуре и передаваемым с ее помощью сообщениям.
«Информационное измерение» государства определяется информационным наполнением его деятельности. Эта деятельность с содержательной точки зрения заключается в выполнении функций государства, например, таких как обеспечение безопасности, ликвидация последствий стихийных бедствий и экологических катастроф, реализация социальных программ поддержки здравоохранения, социального обеспечения нетрудоспособных, защита прав и свобод граждан. «Информационное» наполнение деятельности государства определяется деятельностью его органов, с одной стороны, по управлению делами общества, стимулированию развития информационной инфраструктуры и информационной деятельности граждан, защите их прав и свобод в этой области, а с другой — по обеспечению законных ограничений на доступ к информации, несанкционированное раскрытие которой может нанести ущерб интересам личности, общества и государства.
Нанесение вреда этой деятельности органов государства способно существенно снизить его возможности по выполнению государственных функций. Так, безнаказанное нарушение тайны переговоров, личной и семейной тайны подрывает доверие граждан к государству, уменьшает социальную поддержку его деятельности; блокирование команд на боевое использование сил и средств ведения вооруженной борьбы лишает государство возможности отражения внешней агрессии; подделка таможенных деклараций — лишает его возможности противостоять угрозам экономике общества. Таким образом, информационная безопасность государства заключается в невозможности нанесения вреда деятельности государства по выполнению функций управления делами общества, предметом которой выступает информация и информационная инфраструктура общества.
Человек, общество и государство не являются единственно возможными объектами безопасности, обладающими своим «информационным измерением». Объектом информационной безопасности может выступать сама информация. В этом случае содержание «информационной безопасности» будет заключаться в защищенности информации от угроз. Такая постановка вопроса характерна как для социальных систем, так и для технических систем.
В жизни человека существует немало случаев, распространение информации, которых может негативным образом сказаться на его социальном статусе, других условиях его жизни. Аналогичным образом, при осуществлении коммерческой деятельности возникает информация, известность которой другим участникам рынка может существенно снизить доходность этой деятельности. В деятельности государства порождается информация, раскрытие которой может снизить эффективность проводимой политики. Подобная информация закрывается, и устанавливаемый режим ее использования призван предупредить возможность несанкционированного ознакомления с ней. В этом случае объектом безопасности выступает режим доступа к информации, а информационная безопасность заключается в невозможности нарушения этого режима. Примером могут служить информационно-телекоммуникационные системы и средства связи, предназначенные для обработки и передачи сведений, составляющих государственную тайну. Основным объектом безопасности в них является режим доступа к секретной информации. Информационная безопасность таких систем заключается в защищенности этой информации от несанкционированного доступа, уничтожения, изменения и других действий, которые должны происходить только в соответствии с порядком, установленным владельцем этих сведений.
Объектом информационной безопасности может быть коммерческое предприятие. Тогда содержание «информационной безопасности» будет заключаться в защищенности интересов собственника данного предприятия, удовлетворяемых с помощью информации, либо связанных с защитой от несанкционированного доступа тех сведений, которые представляются собственнику достаточно важными. Интересы проявляются через объекты, способные служить для их удовлетворения, и действия, предпринимаемые для обладания этими объектами. Соответственно интересы как объект безопасности могут быть представлены совокупностью информации, способной удовлетворять интерес собственника, и его действий, направленных на овладение информацией или сокрытие информации. Эти составляющие объекта информационной безопасности и защищаются от внешних и внутренних угроз. В случае, когда собственник предприятия не видит необходимости в защите своих действий, например, в связи с тем, что это не окупается, содержание информационной безопасности предприятия может быть сведено к защищенности конкретной информации, раскрытие которой может принести заметный ущерб коммерческой деятельности. Подобную информацию обычно относят к коммерческой тайне.
Объектом информационной безопасности в определенных случаях может быть информационная система. Тогда под информационной безопасностью будет пониматься «защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры». Вследствие этого правильный с методологической точки зрения подход к проблемам обеспечения информационной безопасности должен начинаться с выявления субъектов отношений, связанных с использованием информационных систем. Спектр их интересов может быть разделен «на следующие основные категории: доступность (возможность за приемлемое время получить требуемую информационную услугу), целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения), конфиденциальность (защита от несанкционированного ознакомления)».
Исходя из изложенного, в наиболее общем виде информационная безопасность может быть определена как невозможность нанесения вреда свойствам объекта безопасности, обусловливаемым информацией и информационной инфраструктурой.
Структура понятия «информационная безопасность»
Назначение и краткий анализ общих моделей процесса защиты информации
Большинство создаваемых и функционирующих информационных систем базируются на использовании интегрированного (системного) подхода к использованию информационных, математических, программных, вычислительных и других их ресурсов. Именно это обстоятельство порождает необходимость обеспечения безопасности и исключения несанкционированного доступа и использования данных. При этом требуется решение трех взаимосвязанных проблем. Первая связана с определением (установлением) объекта защиты (что защищать), вторая – нарушителя защиты (от кого защищать) и третья – средств, методов и способов предотвращения возможных угроз (как защищать). Приведенные проблемы отличаются глубиной проработки теоретических и практических вопросов.
Первая проблема объединяет анализ целей и разработку общей концепции системы информационной безопасности, анализ потенциальных угроз и каналов утечки информации. Обоснование потенциальных действий злоумышленников, тактики и стратегии доступа нарушителей к информационным ресурсам, моделирование возможных воздействий, а также размера ущерба от неправомерных воздействий – все это характеризует вторую проблему. И, наконец, третья проблема носит прикладной характер, поскольку характеризует комплекс разработок, основной целью которых является исключение несанкционированного доступа, захвата и распространения информации.
Информационные ресурсы (ИР) представляют собой знания, представленные в проектной форме и воспринимаемые как часть знаний, которая не только отчуждена от своих создателей, но и материализована в виде документов, баз данных и знаний, алгоритмов и программ, а также произведений науки, литературы и искусства.
ИР объединяют следующие компоненты: информационную базу, материально-техническую базу информационной системы, кадровую, организационно-методическую составляющие, средства коммуникации, средства обработки информации, финансовую и правовую составляющие. Рассмотрим подробнее приведенную совокупность.
Информационная база определяется объемом и структурой фондов первичных документов, объемом вторичной (агрегированной) информации, справочно-поискового аппарата, объемом информации, содержащейся в базах данных.
Материально-техническая база характеризует состав и архитектуру комплекса технических средств и программного обеспечения информационной системы.
Кадровая составляющая определяет численность персонала по сбору, анализу, обработке, хранению и передаче информации.
Организационно-методическая составляющая отражает уровень развития сети информационных служб, наличие методических и нормативных документов, которые регламентируют деятельность информационной системы.
Средства коммуникации характеризуют используемые средства связи, количество библиотек, количество изданий на различных носителях, а также число научных форумов.
Средства обработки информации – средства аналитико-синтетической переработки информации.
Финансовые средства – затраты на различные виды информационной деятельности, услуги, редакционно-издательскую деятельность.
Правовая составляющая определяет и регламентирует отношения, возникающие при сборе, передаче, обработке, накоплении, хранении, актуализации, купли и продаже информации, возникающие в процессе создания, внедрения и эксплуатации информационных систем, других систем обработки и передачи информации.
Организация защиты ИР должна строится на следующих принципах.
Первый принцип определяет, что защита должна быть комплексной и предусматривать обеспечение физической целостности информации, предупреждение несанкционированной ее модификации и предотвращение несанкционированного получения.
Второй принцип характеризует эффективность комплексной защиты только при условии системно-концептуального подхода к решению вопросов защиты. Это предусматривает: исследование и разработку совокупности вопросов защиты ИР с единых методологических позиций; рассмотрение в едином комплексе всех видов защиты, в том числе таких, как обеспечение физической целостности, предупреждения несанкционированной модификации, несанкционированного получения; системный учет факторов, оказывающих влияние на защищенность информации; комплексное использование средств и методов защиты.
Следующий, третий принцип определяет, что только на основе системно-концептуального подхода может формироваться унифицированная концепция защиты ИР. Причем унификация распространяется как на различные виды защиты (организационные, технические, программные и др.), так и на информационные системы, их архитектуру, технологии обработки информации и условия функционирования.
Четвертый принцип характеризует непрерывность проведения работ по защите ИР и реализацию комплекса мероприятий, основными из которых являются:
· создание механизмов защиты, что предусматривает установление необходимой степени защиты информации в соответствии с Законами о государственной и коммерческой тайне, персональных данных и др.; определение причин и каналов утечки информации; выделение финансовых средств; разработка мер контроля и ответственности за соблюдением правил защиты;
· обеспечение физической целостности посредством таких мер, как предупреждение, обнаружение и исправление ошибок при подготовке и вводе информации; восстановление информации при передаче в случае искажения; обеспечение целостности и корректности функционирования аппаратно-программного комплекса; обеспечение сохранности архивных массивов; предупреждение и устранение последствий действий злоумышленников.
Выработка стратегических решений для организации защиты ИР базируется на общих моделях систем и процессов, использование которых создает предпосылки для объективной оценки состояния информационной системы. Набор общих моделей должен отражать представление о реальных потребностях информационных систем и процессов. К их числу следует отнести следующие:
· общая модель процесса защиты ИР, отображающая взаимодействие угроз (дестабилизирующих факторов) и средств противостояния;
· обобщенная модель системы информационной безопасности, которая является продолжением и развитием общей модели с отображением процессов защиты;
· модель оценки угроз и потенциальных потерь (анализ рисков), основной целью которой является соответствие реальным процессам защиты;
· модель анализа систем разграничения доступа к ИР.
· Приведенные выше модели не исчерпывают всего многообразия, поскольку носят методологический характер, и это, относится, прежде всего, к модели анализа рисков. Это связано с изменением состава и структуры дестабилизирующих факторов, результатом действия которых является мультипликативный эффект. Именно данная модель находится в центре внимания специалистов по защите ИР.
Немаловажным аспектом эффективной организации защиты ИР является создание стандартов и руководящих методических материалов. Стандарты должны быть сгруппированы в следующей последовательности: обязательные и рекомендуемые. К первой группе относят концептуальные (концепция защиты, система показателей защищенности информации, функции и задачи защиты). Вторая группа объединяет типовые (системы защиты, механизмы защиты, средства защиты, защищенные технологии сбора, обработки и хранения информации).
Структура руководящих методических материалов должна охватывать следующие группы: методология защиты, уязвимость информации и ее оценка, требования к защите информации, функции и задачи защиты информации, средства защиты (с выделением технических, программных, организационных, криптографических, механизмов защиты, систем защиты и др.). Отдельную группу должны составлять материалы по методологии проектирования систем защиты ИР, организации работ по защите, организационно-правовому обеспечению, а также системе условий, обеспечивающих повышение эффективности защиты.
Проблема защиты ИР требует обоснования и разработки соответствующей программы и выделения основных направлений развития. Данная проблема носит государственный характер и, по нашему мнению, должна включать проведение следующих работ: научно-исследовательские проблемы; разработку и анализ проектов по управлению защитой ИР; методическое обеспечение мероприятий; подготовку кадров по защите информации.
Рассмотрим существующие модели защиты электронной информации.
Платформа анализа
Модель есть отображение качественных характеристик явлений мира объектов, описываемого физическими законами, в количественные показатели виртуального мира, описываемого логическими законами. Физические законы реальны, их действие проявляется непосредственно в форме состояния объектов реального мира. Логические законы виртуальны, их справедливость устанавливается на основе интерпретации количественных показателей, предсказанных моделированием, в качественные характеристики реального состояния объектов в точке прогноза. Но раз есть интерпретация на выходе модели, то обязательно должна быть интерпретация и на входе.
Интерпретация на входе модели задается аксиоматикой моделирования — совокупностью взаимно независимых исходных утверждений, постулатов, правил, задающих процесс моделирования. Если аксиоматика, «вход» модели, адекватна физическому миру, то и результаты моделирования соответствуют практике: модель есть однозначное отображение входа на выход, в том смысле, что любое повторение моделирования с неизменными входными данными приведет к точно таким же результатам. В свою очередь, однозначность модели необходимо влечет конечность аксиоматической базы, иначе это означало бы возможность выполнения бесконечного числа независимых правил в течение конечного времени моделирования, что невозможно.
Таким образом, бесконечность качественных и количественных характеристик реальных явлений должна отображаться на входе модели в конечную аксиоматическую базу. Процесс перехода от бесконечности к конечности в общем случае принципиально не формализуется, иначе не существовало бы самого понятия бесконечности. Поэтому любая формальная модель необходимо должна включать в свой состав эвристическую компоненту — выделение конечного подмножества характеристик моделируемого явления и их интерпретацию в аксиоматическом виде. Это положение кажется очевидным, тем не менее, о нем часто забывают, опуская интерпретацию. Как правило, это проявляется в сочетании в модели строгих понятий математики с неформальными терминами, трактуемыми по умолчанию в достаточно широком диапазоне.
В сфере информационной безопасности должна существовать иерархическая система моделей различного уровня. При разработке моделей следует исходить из наличия трех кардинально различных сред существования электронного документа: электронной, аналоговой, социальной. Можно наметить следующие уровни системы моделей: информация, документ, отдельные механизмы защиты информации, защита среды существования, защита электронного взаимодействия.
Модели информации должны базироваться на возможности количественного подхода к столь многообразному явлению как информация. Только тогда можно применять количественные оценки, только тогда можно говорить о цифровой информации, которая воспринимается неодушевленными объектами, инструментальными средствами вычислительной техники.
Модели документа основаны на признании его социальным явлением, существующим только в рамках общественной среды жизнедеятельности человека. Безразлично, традиционный или электронный документ, необходимыми условиями использования его в качестве информационного факта являются предусмотренные основания для возникновения, изменения, прекращения конкретных правоотношений между участниками информационного взаимодействия.
Только определив ЭлД, можно переходить к моделям отдельных механизмов защиты информации. В пассивном состоянии (хранение) ЭлД — это элемент пространства — объект, предмет. И с этой точки зрения подобен традиционному документу, «написанному» на поверхности «бумаги», ферромагнитной поверхности диска, невидимыми «чернилами», биполярной ориентацией магнитных доменов. В активном состоянии (обработка и передача) ЭлД — это процесс, развивающийся во времени.
Список литературы
1.Ананьева Т.А. Информационное обеспечение органов управления в свете концепции информационного менеджмента. //Зарубежная радиоэлектроника. – 2008, N 4, с. 45-53.
2.Гостехкомиссия РФ. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. – М.: Jet Info, №2, 2006.
3.Михайлов С.Ф. Петров В.А., Тимофеев Ю.А. Информационная безопасность. Защита информации в автоматизированных системах. Основные концепции: Учебное пособие. – М.: МИФИ, 2007.