Академический Документы
Профессиональный Документы
Культура Документы
Таблица 2.
Защита информации в СССР (1917 – 1970)
Период Факторы Деятельность по защите Органы защиты
влияния
с 1917 Изменение Отмена коммерческой тайны Спец. органы защиты
политического Увеличение объёма сведений, информации (спец.
и составляющих гостайну отдел ВЧК-ГПУ, далее
экономического (объективные и субъективные – 7 отдел НКВД)
строя причины)
Активизация иностранных
спецслужб по добыванию
информации о политическом,
экономическом и военном
положении СССР
Централизация управления
защитой госсекретов
Усиление ответственности за
разглашение гостайны, утрату
секретных документов и
халатное обращение с ними
с 1945 Холодная война Расширение объёма и Введение должности
тематики защищаемой заместителя
информации и начальника объекта по
категорирование её по режиму
степени секретности
3
Ужесточение режима
секретности
«Перечень сведений,
составляющих гостайну»
(1948)
«Инструкция по
обеспечениюсохранения
гостайны в учреждениях и на
предприятиях СССР» (1948)
Выводы по таблице:
• На проблему защиты информации большое влияние оказывали
внутренние и внешние политические причины.
• Установившийся экономический строй обусловил отказ от
коммерческой тайны.
• Враждебное для страны окружение выдвинуло на первое место
вопросы обеспечения секретности информации.
4
Конец 70-х характеризуется развитием распределённых систем обработки.
Сформировались три составляющих и, соответственно, три направления
защиты информации - обеспечение конфиденциальности информации,
обеспечение целостности данных, обеспечение сохранности и работоспособности
данных.
Главные проблемы этого периода:
аутентификация взаимодействующих элементов АС
способы управления криптографическими механизмами в распределённых
системах
Технические решения находятся для конкретной программно-аппаратной
среды. С этого времени криптографическая защита становится одной из функций
АС.
К концу 70-х годов были разработаны исходные модели безопасности, и
программно-технические решения построения и функционирования защищенных
компьютерных систем, в частности, технологии и протоколы парольной
аутентификации, криптографические методы и средства защиты информации и т.
д. Одной из наиболее известных работ, представившей обобщенный анализ
теоретических и практических аспектов защиты компьютерной информации того
периода стала вышедшая в 1977 году книга Л.Дж. Хоффмана "Современные
методы защиты информации" [10].
Созданные в тот период модели дискреционного и мандатного
разграничения доступа послужили методологической основой для разработки
первых стандартов безопасности компьютерных систем, в частности, "Оранжевой
книги", впервые опубликованной в 1983 г. [2]. Кроме того, исходные модели дис-
креционного разграничения доступа, в частности модель Харис-сона-Руззо-
Ульмана, модель мандатного (полномочного) доступа Белла-ЛаПадулы явились
основой для последующих исследований, повлекших разработку новых подходов
к разграничению доступа в 80-е и 90-е годы. Свой вклад в развитие моделей раз-
граничения доступа этого периода внесли Дж. МакЛин, К.Лендвер, Дж. Гоген, Дж.
Мезигер, В. Варахараджан и др.
7
Первый документ, устанавливающий основные термины и определения в
области защиты информации в России был издан в 1992 году Гостехкомиссией
РФ, под названием "Термины и определения в области защиты от НСД к
информации. Руководящий документ Гостехкомиссии России." В 1996 году
основные термины и определения были стандартизированы Госстандартом.
Выпущен ГОСТ Р 50922-96 Защита информации. Основные термины и
определения.
Термины и определения связаны с предметной областью теории защиты
информации.
Предметной областью защиты информации является:
• информация и ее свойства;
• угрозы безопасности информации и ее собственникам;
• политика безопасности и модели безопасности;
• способы, методы и средства защиты информации;
• классификация систем защиты;
• требования к защищенности АС;
• методология оценки защищенности АС и проектирования защиты.
• конкретные системы защиты информации, применяемые в различных
органах управления, учреждениях и на предприятиях различных форм
собственности.
8
Из определений понятий "информационная безопасность" и "безопасность
информации" вытекает, что защита информации направлена на обеспечение
безопасности информации, или другими словами, безопасность информации
обеспечивается с помощью ее защиты.
Однако нарушение безопасности информации (разглашение, искажение,
утрата) в конечном итоге наносит ущерб (моральный и материальный) ее
собственнику. Поэтому для того, чтобы четко установить что защищать, в чьих
интересах защищать, как и чем защищать, введена система понятий в этой
области. В понятийном аппарате можно выделить две группы понятий:
• понятия, связанные с определением информации, ее правового
режима, правами собственности и доступа к защищаемой информации
(правовые понятия в области информационных отношений);
• группа понятий, связанная непосредственно с предметной областью
защиты информации.
Понятия первой группы используются в правовых документах, понятия
второй группы - в нормативных.
9
1.4. Основные термины и определения правовых понятий в
области информационных отношений и защиты
информации
Основные термины и определения правовых понятий в изучаемой области
установлены в Законе РФ "Об информации, информационных технологиях и о
защите информации". В нем сформулировано понятие информации и
информационных технологий, определены субъекты информационных отношений
и защиты.
Информация - сведения (сообщения, данные) независимо от формы их
представления.
Информационные технологии - процессы, методы поиска, сбора, хранения,
обработки, предоставления, распространения информации и способы
осуществления таких процессов и методов;.
Информационная система - совокупность содержащейся в базах данных
информации и обеспечивающих ее обработку информационных технологий и
технических средств;
Информационно-телекоммуникационная сеть - технологическая система,
предназначенная для передачи по линиям связи информации, доступ к которой
осуществляется с использованием средств вычислительной техники;
Обладатель информации - лицо, самостоятельно создавшее информацию
либо получившее на основании закона или договора право разрешать или
ограничивать доступ к информации, определяемой по каким-либо признакам;
Также к правовым понятиям следует отнести понятие прав доступа к
защищаемой информации. Ограничения доступа устанавливаются к сведениям,
составляющим государственную тайну и конфиденциальной информации. В
качестве собственников этих видов информации рассматриваются государство,
организации и граждане (юридические и физические лица).
Доступ к информации - возможность получения информации и ее
использования;
Предоставление информации - действия, направленные на получение
информации определенным кругом лиц или передачу информации определенному
кругу лиц;
Распространение информации - действия, направленные на получение
информации неопределенным кругом лиц или передачу информации
неопределенному кругу лиц;
10
1.5. Понятия предметной области "Защита информации"
Основные понятия предметной области "защита информации" установлены
стандартом ГОСТ Р 50922-96, а также в Руководящих документах Гостехкомиссии
России [7, 8]. Условно вся предметная область может быть разделена на две
подгруппы. Первая - это основные понятия в области защиты информации. Вторая
подгруппа - это понятия, связанные с организацией защиты информации.
11
копированию, блокированию доступа к информации, а также к утрате,
уничтожению или сбою функционирования носителя информации.
Защита информации от разглашении:- деятельность, направленная на
предотвращение несанкционированного доведения защищаемой информации до
потребителей, не имеющих права доступа к этой информации.
Защита информации от несанкционированного доступа; защита
информации от НСД - деятельность, направленная на предотвращение получения
защищаемой информации заинтересованным субъектом с нарушением
установленных правовыми документами или собственником, владельцем
информации прав или правил доступа к защищаемой информации.
Заинтересованным субъектом, осуществляющим несанкционированный
доступ к защищаемой информации, может быть: государство; юридическое лицо;
группа физических лиц, в том числе общественная организация; отдельное
физическое лицо
Защита информации от разведки - деятельность, направленная на
предотвращение получения защищаемой информации разведкой.
Примечание. Получение защищаемой информации может быть осуществ-
лено как иностранной, так и отечественной разведкой
Защита информации от технической разведки - деятельность,
направленная на предотвращение получения защищаемой информации разведкой
с помощью технических средств.
Защита информации от агентурной разведки - деятельность, на-
правленная на предотвращение получения защищаемой информации агентурной
разведкой.
Цель защиты информации - заранее намеченный результат защиты
информации. Целью защиты информации может быть предотвращение ущерба
собственнику, владельцу, пользователю информации в результате возможной
утечки информации и (или) несанкционированного и непреднамеренного воз-
действия на информацию.
Замысел защиты информации - основная идея, раскрывающая состав,
содержание, взаимосвязь и последовательность осуществления технических и
организационных мероприятий, необходимых для достижения цели защиты
информации.
Эффективность защиты информации - степень соответствия результатов
защиты информации поставленной цели.
Показатель эффективности защиты информации - мера или ха-
рактеристика для оценки эффективности защиты информации
12
Нормы эффективности защиты информаци:- значения показателей
эффективности защиты информации, установленные нормативными документами
13
Средство контроля эффективности защиты информации: Техническое,
программное средство, вещество и (или) материал, предназначенные или
используемые для контроля эффективности защиты информации
Контроль организации защиты информации: Проверка соответствия
организации, наличия и содержания документов требованиям правовых,
организационно-распорядительных и нормативных документов в области защиты
информации
Контроль эффективности защиты информации: Проверка соответствия
качественных и количественных показателей эффективности мероприятий по
защите информации требованиям или нормам эффективности защиты
информации
организационный контроль эффективности защиты информации:
Проверка соответствия полноты и обоснованности мероприятий по защите
информации требованиям нормативных документов в области защиты
информации
технический контроль эффективности защиты информации:
Контроль эффективности защиты информации, проводимый с ис-
пользованием средств контроля.
14
автоматизированная система обработки информации (АС) –
совокупность следующих взаимодействующих компонентов:
• технических средств обработки и передачи данных (средств
вычислительной техники (ВТ) и связи)
• методов и алгоритмов обработки в виде соответствующего
программного обеспечения
• информации (массивов, баз данных) на различных носителях
• персонала и пользователей системы, объединённых по определённому
признаку (организационно-структурному, тематическому,
технологическому) для выполнения автоматизированной обработки
информации с целью удовлетворения информационных потребностей
Таким образом, телекоммуникационные системы можно считать в
большинстве случаев составной частью АС, и методология построения
защищённых АС во многом совпадает с построением защищённых ТКС.
15
• Неотъемлемой частью работ по защите является оценка
эффективности средств защиты, осуществляемая по методике,
учитывающей всю совокупность технических характеристик оце-
ниваемого объекта, включая технические решения и практическую
реализацию средств защиты.
• Защита АС должна предусматривать контроль эффективности средств
защиты от НСД, который либо может быть периодическим либо
инициироваться по мере необходимости пользователем АС или
контролирующими органами.
Системность
Системный подход к защите компьютерных систем предполагает
необходимость учета всех взаимосвязанных, взаимодействующих и
изменяющихся во времени элементов, условий и факторов:
• при всех видах информационной деятельности и информационного
проявления;
• во всех структурных элементах;
• при всех режимах функционирования;
16
• на всех этапах жизненного цикла;
• с учетом взаимодействия объекта защиты с внешней средой.
При обеспечении информационной безопасности АС необходимо учитывать
все слабые, наиболее уязвимые места системы обработки информации, а также
характер, возможные объекты и направления атак на систему со стороны
нарушителей (особенно высококвалифицированных злоумышленников), пути
проникновения в распределенные системы и несанкционированного доступа
(НСД) к информации. Система защиты должна строиться не только с учетом всех
известных каналов проникновения, но и с учетом возможности появления
принципиально новых путей реализации угроз безопасности.
Комплексность
В распоряжении специалистов по компьютерной безопасности имеется
широкий спектр мер, методов и средств защиты компьютерных систем. В
частности, современные средства вычислительной техники, операционные
системы, инструментальные и прикладные программные средства обладают теми
или иными встроенными элементами защиты. Комплексное их использование
предполагает согласование разнородных средств при построении целостной
системы защиты, перекрывающей все существенные каналы реализации угроз и
не содержащей слабых мест на стыках отдельных ее компонентов.
Непрерывность защиты
Защита информации - это не разовое мероприятие и даже не конкретная
совокупность уже проведенных мероприятий и установленных средств защиты, а
непрерывный целенаправленный процесс, предполагающий принятие
соответствующих мер на всех этапах жизненного цикла АС (начиная с самых
ранних стадий проектирования, а не только на этапе ее эксплуатации). Разработка
системы защиты должна вестись параллельно с разработкой самой защищаемой
системы. Большинству физических и технических средств защиты для
эффективного выполнения своих функций необходима постоянная
организационная (административная) поддержка (своевременная смена и
обеспечение правильного хранения и применения имен. паролей, ключей
шифрования, переопределение полномочий и т. п.). Перерывы в работе средств
защиты могут быть использованы злоумышленниками для анализа применяемых
методов и средств защиты, внедрения специальных программных и аппаратных
"закладок" и других средств преодоления системы защиты после восстановления
ее функционирования.
Разумная достаточность
17
Создать абсолютно непреодолимую систему защиты принципиально
невозможно: при достаточных времени и средствах можно преодолеть любую
защиту. Например, средства криптографической защиты в большинстве случаев
не гарантируют абсолютную стойкость, а обеспечивают конфиденциальность
информации при использовании для дешифрования современных вычислительных
средств в течение приемлемого для защищающейся стороны времени. Поэтому
имеет смысл вести речь только о некотором приемлемом уровне безопасности.
Высокоэффективная система защиты стоит дорого, использует при работе
существенную часть мощности и ресурсов компьютерной системы и может
создавать ощутимые дополнительные неудобства пользователям. Важно
правильно выбрать тот достаточный уровень зашиты, при котором затраты, риск и
размер возможного ущерба были бы приемлемыми (задача анализа риска).
Заключение
• Знание требований дисциплины, ее структуры, видов занятий,
разделов и тем поможет лучше ориентироваться в вопросах
подготовки по специальности.
• Знание основ теории защиты информации будет способствовать
компетентному решению практических вопросов защиты
информации, явится основой для профессиональной деятельности
специалиста по информационной безопасности
• Проблема защиты информации формулировалась по-разному в разные
исторические эпохи.
• Проблема защиты информации в АС и ТКС была сформулирована в
середине 70-х годов двадцатого века и с тех пор претерпела
существенные изменения, связанные с уровнем развития систем.
• Перспективным является путь комплексного обеспечения
информационной безопасности, сочетающий формальный и
неформальный подход к решению проблемы.
• Основные понятия и принципы в области защиты информации
являются важным элементом при изучении дисциплины "Основы
информационной безопасности" Однозначное определение базовых
понятий необходимо в интересах как производителей, так и
потребителей информационных систем, а также для полного и
непротиворечивого описания процесса защиты информации.
19