Вы находитесь на странице: 1из 19

1.

Основные понятия теории информационной безопасности


1.1. История становления теории информационной безопасности
1.2. Предметная область теории защиты информации
1.3. Систематизация понятий в области защиты информации.
1.4. Основные термины и определения в области информационных
отношений и защиты информации.
1.5. Понятия предметной области "Защита информации"
1.6. Основные принципы построения систем защиты

1.1. История становления теории информационной


безопасности
Элементы информационной безопасности известны с древнейших времён:
известно, что тайнопись применяли ещё в Древнем Египте и Древнем Риме. Так
называемый «шифр Цезаря» является классическим примером применения
криптографического закрытия информации [2]. К тому же времени относятся
успешные попытки получения несанкционированного доступа к информации,
например, забытое в настоящее время искусство строительства помещений с
неравномерными акустическими свойствами: то, что произносится тихо в дальнем
конце большого зала хорошо слышно в противоположном конце, а то и совсем в
другом, удалённом помещении.
Методы и средства защиты информации в каждую историческую эпоху
тесно связаны с уровнем развития науки и техники. Категории защищаемой
информации определялись экономическими, политическими и военными
интересами государства.
Проследим связь между развитием политической и экономической
структуры России и деятельностью по защите информации [3,4].
Таблица 1.
Защита информации в дореволюционной России
Период Факторы влияния Деятельность по защите Органы защиты
17 в. Образование 1) дезинформация; Оружейный,
российского 2) введение ограничений на Казённый,
централизованного въезд; Посольский приказы
государства, 3) шифрование переписки.
формирование
4) В Судебниках
органов
предусматривается
государственного
ответственность за
управления,
1
развитие разглашение информации.
международных
связей
18 в. Развитие торгово- Расширение состава Верховный тайный
промышленной защищаемой информации совет, Военная
деятельности, коллегия.
появление
акционерных
компаний,
кредитные
отношения,
биржевая
деятельность
19 в. Новые формы Ограничение на Государственный
акционерных публикацию сведений, Совет.
обществ, полученных по служебным 1 и 3 отдел
промышленная каналам. Собственной Его
революция Защита коммерческой тайны императорского
(тайны торговых, величества
купеческих книг). канцелярии.
Законодательство в области Главное управление
патентного и авторского по делам печати.
права. Особый отдел
Цензурные уставы. Департамента
Участие России в полиции.
международной Технический
конференции служб комитет.
безопасности в Риме в 1898
г.
1912 Закон «О государственной
измене путём шпионажа».
Создание «закрытых» зон.
1914 1 мировая война Расширение состава
защищаемой информации.
Военно-промышленная
тайна.
Защита информации в
процессе радиотелеграфных
переговоров.
2
Выводы по таблице:
• Обусловленность системы защиты информации историческим
развитием.
• Распределение компетенции, регламентация прав и ответственности
между департаментами и отделами
• Недостатки в определении состава защищаемой информации,
определении угроз безопасности:
• отсутствие специальных органов защиты информации;
• отсутствие научной проработки вопроса.
• Опыт защиты информации в царской России был использован при
организации зашиты информации в СССР.

Таблица 2.
Защита информации в СССР (1917 – 1970)
Период Факторы Деятельность по защите Органы защиты
влияния
с 1917 Изменение Отмена коммерческой тайны Спец. органы защиты
политического Увеличение объёма сведений, информации (спец.
и составляющих гостайну отдел ВЧК-ГПУ, далее
экономического (объективные и субъективные – 7 отдел НКВД)
строя причины)
Активизация иностранных
спецслужб по добыванию
информации о политическом,
экономическом и военном
положении СССР
Централизация управления
защитой госсекретов
Усиление ответственности за
разглашение гостайны, утрату
секретных документов и
халатное обращение с ними
с 1945 Холодная война Расширение объёма и Введение должности
тематики защищаемой заместителя
информации и начальника объекта по
категорирование её по режиму
степени секретности

3
Ужесточение режима
секретности
«Перечень сведений,
составляющих гостайну»
(1948)
«Инструкция по
обеспечениюсохранения
гостайны в учреждениях и на
предприятиях СССР» (1948)
Выводы по таблице:
• На проблему защиты информации большое влияние оказывали
внутренние и внешние политические причины.
• Установившийся экономический строй обусловил отказ от
коммерческой тайны.
• Враждебное для страны окружение выдвинуло на первое место
вопросы обеспечения секретности информации.

Дальнейшее развитие проблематики информационной безопасности


Середина 70-х годов. Появляются новые носители информации, средства и
способы её обработки. хранения, передачи. С другой стороны, появляются новые
технические средства несанкционированного доступа к информации. Появляется
проблема защиты информации (защита информации) в автоматизированных
системах (АС)
Наиболее сильные потребности в защите информации в тот период
исходили из военной сферы, основное внимание исследователей было сосредо-
точено на проблемах обеспечения конфиденциальности данных, основным
ключом к разрешению которых были выбраны позаимствованные из "бумажной"
сферы методы ограничения и разграничения доступа. Задача обеспечения
конфиденциальности, которая решается двумя путями:
криптографические методы защиты для передачи данных
программно-техническое разграничение доступа к данным и ресурсам
вычислительных сетей (ВС).
Известны все основные технические каналы утечки информации и
разработаны основные методы защиты от утечки по техническим каналам.
В этот период АС слабо распределены, технологии вычислительных сетей
находились на начальной стадии развития, поэтому задача обеспечения
конфиденциальности решалась удовлетворительно.

4
Конец 70-х характеризуется развитием распределённых систем обработки.
Сформировались три составляющих и, соответственно, три направления
защиты информации - обеспечение конфиденциальности информации,
обеспечение целостности данных, обеспечение сохранности и работоспособности
данных.
Главные проблемы этого периода:
аутентификация взаимодействующих элементов АС
способы управления криптографическими механизмами в распределённых
системах
Технические решения находятся для конкретной программно-аппаратной
среды. С этого времени криптографическая защита становится одной из функций
АС.
К концу 70-х годов были разработаны исходные модели безопасности, и
программно-технические решения построения и функционирования защищенных
компьютерных систем, в частности, технологии и протоколы парольной
аутентификации, криптографические методы и средства защиты информации и т.
д. Одной из наиболее известных работ, представившей обобщенный анализ
теоретических и практических аспектов защиты компьютерной информации того
периода стала вышедшая в 1977 году книга Л.Дж. Хоффмана "Современные
методы защиты информации" [10].
Созданные в тот период модели дискреционного и мандатного
разграничения доступа послужили методологической основой для разработки
первых стандартов безопасности компьютерных систем, в частности, "Оранжевой
книги", впервые опубликованной в 1983 г. [2]. Кроме того, исходные модели дис-
креционного разграничения доступа, в частности модель Харис-сона-Руззо-
Ульмана, модель мандатного (полномочного) доступа Белла-ЛаПадулы явились
основой для последующих исследований, повлекших разработку новых подходов
к разграничению доступа в 80-е и 90-е годы. Свой вклад в развитие моделей раз-
граничения доступа этого периода внесли Дж. МакЛин, К.Лендвер, Дж. Гоген, Дж.
Мезигер, В. Варахараджан и др.

Середина 80-х. Определяются новые и развиваются на качественно новом


уровне старые направления защиты:
• формулирование и изучение свойств теоретических моделей
безопасности АС
• анализ моделей безопасного взаимодействия
• криптографическая защита
5
• теория создания качественных программных продуктов
• анализ технических каналов защиты
Основной недостаток используемого подхода заключается в следующем:
методология проектирования защищённой системы представляет собой
итеративный процесс устранения найденных неисправностей, некорректностей и
слабостей. В связи с этим развивается тенденция к появлению комплексных
решений в области проектирования и реализации механизмов защиты
В 90-е годы к исследованиям процессов защиты компьютерной информации
более активно подключились отечественные исследователи. В этом ряду следует
отметить, прежде всего, труды В.А. Герасименко, разработавшего системно-
концептуальный подход к обеспечению информационной безопасности автомати-
зированных систем обработки данных [10]. А.А. Грушо и Е.Е. Тимонина
представили доказательный подход к проблеме гарантированности защиты
информации в компьютерной системе, а также провели математический анализ
ряда задач и решений в теории защиты информации применительно к различным
разновидностям компьютерных систем. А.А. Грушо в сферу исследований были
введены новые виды так называемых скрытых каналов утечки информации,
основывающихся на использовании статистических характеристик работы
компьютерной системы. В работах С.П. Расторгуева и А.Ю. Щербакова была
представлена теория разрушающих программных воздействий, составившая
теоретическую базу методов и механизмов борьбы с вредоносными
программными средствами. Кроме того, А.Ю. Щербаковым на основе положений
исходных моделей разграничения доступа была разработана субъектно-объектная
модель компьютерной системы, на базе которой сформированы фундаментальные
для сферы защиты информации и, в особенности, для процессов разграничения
доступа понятия информационных потоков и доступов в компьютерной системе
[10].
Заметный вклад в исследование теоретических основ компьютерной
безопасности внесли представители Санкт-Петербургской научной школы во
главе с П.Д. Зегждой и научной школы Института криптографии, связи и
информатики (ИКСИ) Академии ФСБ России во главе с Б.А. Погореловым. В
частности, под руководством П.Д. Зегжды разработана таксонометрия брешей и
изъянов в системах защиты компьютерных систем. В практических разработках
специалистов Санкт-Петербургской школы представлен также целый ряд
интересных технических решений по созданию защищенных компьютерных
систем, в частности, организационно-иерархическая система разграничения
доступа.
Представителями школы ИКСИ (П.Н. Девянин, Д.И. Правиков, А.Ю.
Щербаков, С.Н. Смирнов, Г.В. Фоменков и др.) помимо исследований в сфере
криптографической защиты информации был проведен анализ решений и
6
механизмов защиты информации в основных разновидностях компьютерных
систем, подготовлена целая серия учебных изданий, что позволило сформировать
методическую базу подготовки специалистов в сфере компьютерной
безопасности.

В настоящее время перед специалистами в области информационной


безопасности стоят две противоречивые задачи:
• реализовать высокие, в соответствии с мировыми стандартами,
требования безопасности, предъявляемые отечественными
пользователями к системам передачи и обработки информации,
• сохранить в полном объёме совместимость с повсеместно
используемыми незащищёнными импортными средствами.
При рассмотрении вопросов ИБ в настоящее время можно выделить два
подхода [3]:
Неформальный или описательный. При этом комплекс вопросов построения
защищённых систем делится на основные направления, соответствующие угрозам,
разрабатывается комплекс мер и механизмов защиты по каждому направлению
Формальный. Основан на понятии политики безопасности и определении
способов гарантирования выполнения её положений.
Как естественнонаучная дисциплина теория информационной безопасности
развивается в направлении формализации и математизации своих положений,
выработки комплексных подходов к решению задач защита информации. Этот
процесс ещё далёк от завершения, т.к. в связи с развитием АС и систем связи
постоянно возникают новые задачи по обеспечению ИБ.

1.2. Предметная область теории защиты информации


Теория защиты информации наука сравнительно молодая. Свое развитие она
получила в связи с бурным развитием радиоэлектроники, связи, компьютерных
технологий, охвативших все сферы жизни и деятельности человека, и
необходимостью сохранения информационных ресурсов от различного рода
посягательств. Как и любая другая наука, она имеет свой специфический
понятийный аппарат, который наиболее точно способен охарактеризовать явления
и процессы, системы и структуры, законы и правила защиты информации. Многие
понятия и термины теории защиты информации по своему содержанию
соответствуют зарубежным аналогам, а достаточно большая часть является их
точным переводом. В то же время некоторые понятия и термины не являются
устоявшимися, и не всегда точно и полно характеризуют какой- либо процесс,
свойство или предмет.

7
Первый документ, устанавливающий основные термины и определения в
области защиты информации в России был издан в 1992 году Гостехкомиссией
РФ, под названием "Термины и определения в области защиты от НСД к
информации. Руководящий документ Гостехкомиссии России." В 1996 году
основные термины и определения были стандартизированы Госстандартом.
Выпущен ГОСТ Р 50922-96 Защита информации. Основные термины и
определения.
Термины и определения связаны с предметной областью теории защиты
информации.
Предметной областью защиты информации является:
• информация и ее свойства;
• угрозы безопасности информации и ее собственникам;
• политика безопасности и модели безопасности;
• способы, методы и средства защиты информации;
• классификация систем защиты;
• требования к защищенности АС;
• методология оценки защищенности АС и проектирования защиты.
• конкретные системы защиты информации, применяемые в различных
органах управления, учреждениях и на предприятиях различных форм
собственности.

1.3. Систематизация понятий в области защиты


информации
Базовыми в теории защиты информации являются термины:
"Информационная безопасность", "безопасность информации", "защита
информации". Их сущность определяет в конечном итоге политику и деятельность
в области защиты информации.
Информационная безопасность - состояние защищенности
информационных ресурсов (информационной среды) от внутренних и внешних
угроз, способных нанести ущерб интересам личности, общества, государства
(национальным интересам).
Безопасность информации - защищенность информации от
нежелательного (для соответствующих субъектов информационных отношений)
ее разглашения (нарушения конфиденциальности), искажения (нарушения
целостности), утраты или снижения степени доступности информации, а также
незаконного ее тиражирования.

8
Из определений понятий "информационная безопасность" и "безопасность
информации" вытекает, что защита информации направлена на обеспечение
безопасности информации, или другими словами, безопасность информации
обеспечивается с помощью ее защиты.
Однако нарушение безопасности информации (разглашение, искажение,
утрата) в конечном итоге наносит ущерб (моральный и материальный) ее
собственнику. Поэтому для того, чтобы четко установить что защищать, в чьих
интересах защищать, как и чем защищать, введена система понятий в этой
области. В понятийном аппарате можно выделить две группы понятий:
• понятия, связанные с определением информации, ее правового
режима, правами собственности и доступа к защищаемой информации
(правовые понятия в области информационных отношений);
• группа понятий, связанная непосредственно с предметной областью
защиты информации.
Понятия первой группы используются в правовых документах, понятия
второй группы - в нормативных.

Основные правовые документы:


• Закон РФ от 27.07.06 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»
• Закон РФ от 21.09.93г. №182 "О государственной тайне".
• Закон РФ от19.07.95г. №110-ФЗ"Об авторском праве и смежных
правах";
• Закон РФ от 23.09.92г. №3523-1"О правовой охране программ для
электронных вычислительных машин и баз данных";

Основные нормативные документы:


• ГОСТ Р 50922-96. Защита информации. Основные термины и
определения.
• Руководящий документ. Гостехкомиссия России. Термины и
определения в области защиты от НСД к информации. М.: Воениздат,
1992. 13 с.

9
1.4. Основные термины и определения правовых понятий в
области информационных отношений и защиты
информации
Основные термины и определения правовых понятий в изучаемой области
установлены в Законе РФ "Об информации, информационных технологиях и о
защите информации". В нем сформулировано понятие информации и
информационных технологий, определены субъекты информационных отношений
и защиты.
Информация - сведения (сообщения, данные) независимо от формы их
представления.
Информационные технологии - процессы, методы поиска, сбора, хранения,
обработки, предоставления, распространения информации и способы
осуществления таких процессов и методов;.
Информационная система - совокупность содержащейся в базах данных
информации и обеспечивающих ее обработку информационных технологий и
технических средств;
Информационно-телекоммуникационная сеть - технологическая система,
предназначенная для передачи по линиям связи информации, доступ к которой
осуществляется с использованием средств вычислительной техники;
Обладатель информации - лицо, самостоятельно создавшее информацию
либо получившее на основании закона или договора право разрешать или
ограничивать доступ к информации, определяемой по каким-либо признакам;
Также к правовым понятиям следует отнести понятие прав доступа к
защищаемой информации. Ограничения доступа устанавливаются к сведениям,
составляющим государственную тайну и конфиденциальной информации. В
качестве собственников этих видов информации рассматриваются государство,
организации и граждане (юридические и физические лица).
Доступ к информации - возможность получения информации и ее
использования;
Предоставление информации - действия, направленные на получение
информации определенным кругом лиц или передачу информации определенному
кругу лиц;
Распространение информации - действия, направленные на получение
информации неопределенным кругом лиц или передачу информации
неопределенному кругу лиц;

10
1.5. Понятия предметной области "Защита информации"
Основные понятия предметной области "защита информации" установлены
стандартом ГОСТ Р 50922-96, а также в Руководящих документах Гостехкомиссии
России [7, 8]. Условно вся предметная область может быть разделена на две
подгруппы. Первая - это основные понятия в области защиты информации. Вторая
подгруппа - это понятия, связанные с организацией защиты информации.

Основные понятия в области защиты информации (термины и


определения)
Защищаемая информация - информация, являющаяся предметом
собственности и подлежащая защите в соответствии с требованиями правовых
документов или требованиями, устанавливаемыми собственником информации.
Собственником информации может быть: государство, юридическое лицо,
группа физических лиц, отдельное физическое лицо.
Защита информации - принятие правовых, организационных и
технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа,
уничтожения, модифицирования, блокирования, копирования, предоставления,
распространения, а также от иных неправомерных действий в отношении такой
информации;
2) соблюдение конфиденциальности информации ограниченного доступа,
3) реализацию права на доступ к информации.
Защита информации от утечки - деятельность, направленная на
предотвращение неконтролируемого распространения защищаемой информации в
результате ее разглашения, несанкционированного доступа к информации и
получения защищаемой информации разведками.
Защита информации от несанкционированного воздействия; защита
информации от НСВ - деятельность, направленная на предотвращение
воздействия на защищаемую информацию с нарушением установленных прав и
(или) правил на изменение информации, приводящего к ее искажению,
уничтожению, блокированию доступа к информации, а также к утрате,
уничтожению или сбою функционирования носителя информации.
Защита информации от непреднамеренного воздействия - деятельность,
направленная на предотвращение воздействия на защищаемую информацию
ошибок ее пользователя, сбоя технических и программных средств
информационных систем, природных явлений или иных нецеленаправленных на
изменение информации мероприятий, приводящих к искажению, уничтожению,

11
копированию, блокированию доступа к информации, а также к утрате,
уничтожению или сбою функционирования носителя информации.
Защита информации от разглашении:- деятельность, направленная на
предотвращение несанкционированного доведения защищаемой информации до
потребителей, не имеющих права доступа к этой информации.
Защита информации от несанкционированного доступа; защита
информации от НСД - деятельность, направленная на предотвращение получения
защищаемой информации заинтересованным субъектом с нарушением
установленных правовыми документами или собственником, владельцем
информации прав или правил доступа к защищаемой информации.
Заинтересованным субъектом, осуществляющим несанкционированный
доступ к защищаемой информации, может быть: государство; юридическое лицо;
группа физических лиц, в том числе общественная организация; отдельное
физическое лицо
Защита информации от разведки - деятельность, направленная на
предотвращение получения защищаемой информации разведкой.
Примечание. Получение защищаемой информации может быть осуществ-
лено как иностранной, так и отечественной разведкой
Защита информации от технической разведки - деятельность,
направленная на предотвращение получения защищаемой информации разведкой
с помощью технических средств.
Защита информации от агентурной разведки - деятельность, на-
правленная на предотвращение получения защищаемой информации агентурной
разведкой.
Цель защиты информации - заранее намеченный результат защиты
информации. Целью защиты информации может быть предотвращение ущерба
собственнику, владельцу, пользователю информации в результате возможной
утечки информации и (или) несанкционированного и непреднамеренного воз-
действия на информацию.
Замысел защиты информации - основная идея, раскрывающая состав,
содержание, взаимосвязь и последовательность осуществления технических и
организационных мероприятий, необходимых для достижения цели защиты
информации.
Эффективность защиты информации - степень соответствия результатов
защиты информации поставленной цели.
Показатель эффективности защиты информации - мера или ха-
рактеристика для оценки эффективности защиты информации

12
Нормы эффективности защиты информаци:- значения показателей
эффективности защиты информации, установленные нормативными документами

Понятия, связанные с организацией защиты информации


Организация защиты информации: Содержание и порядок действий,
направленных на обеспечение защиты информации.
Система защиты информации: Совокупность органов и (или)
исполнителей, используемой ими техники защиты информации, а также объектов
защиты, организованная и функционирующая по правилам, установленным
соответствующими правовыми, организационно-распорядительными и
нормативными документами в области защиты информации.
Мероприятие по защите информации: Совокупность действий,
направленных на разработку и (или) практическое применение способов и средств
защиты информации.
Мероприятие по контролю эффективности защиты информации:
Совокупность действий, направленных на разработку и (или) практическое
применение способов и средств контроля эффективности защиты информации.
Техника защиты информации: Средства защиты информации, средства
контроля эффективности защиты информации, средства и системы управления,
предназначенные для обеспечения защиты информации
Объект защиты информации: Информация или носитель информации, или
информационный процесс, которые необходимо защищать в соответствии с
поставленной целью защиты информации.
Способ защиты информации: Порядок и правила применения
определенных принципов и средств защиты информации.
Категорированис защищаемой информации [объекта защиты]:
Установление градации важности защищаемой информации [объекта защиты].
Способ контроля эффективности защиты информации: Порядок и правила
применения определенных принципов и средств контроля эффективности защиты
информации
Контроль состояния защиты информации: Проверка соответствия
организации и эффективности защиты информации установленным требованиям и
(или) нормам зашиты информации.
Средство защиты информации: Техническое, программное средство,
вещество и (или) материал, предназначенные или используемые для защиты
информации

13
Средство контроля эффективности защиты информации: Техническое,
программное средство, вещество и (или) материал, предназначенные или
используемые для контроля эффективности защиты информации
Контроль организации защиты информации: Проверка соответствия
организации, наличия и содержания документов требованиям правовых,
организационно-распорядительных и нормативных документов в области защиты
информации
Контроль эффективности защиты информации: Проверка соответствия
качественных и количественных показателей эффективности мероприятий по
защите информации требованиям или нормам эффективности защиты
информации
организационный контроль эффективности защиты информации:
Проверка соответствия полноты и обоснованности мероприятий по защите
информации требованиям нормативных документов в области защиты
информации
технический контроль эффективности защиты информации:
Контроль эффективности защиты информации, проводимый с ис-
пользованием средств контроля.

Все рассмотренные понятия являются общеметодологическими и


применимы в целом для теории защиты информации. Однако нас в большей
степени, в соответствии со специальностью, интересуют вопросы защиты
информации в автоматизированных системах обработки данных и
телекоммуникационных системах. Основные понятия в этой области определены в
Законе об информатизации, информационных технологиях и защите информации
[15] и Руководящем документе Гостехкомиссии "Термины и определения в
области защиты от НСД к информации."
В частности, в Законе даны определения информационной системы и
информационно-телекоммуникационной сети:
информационная система - совокупность содержащейся в базах данных
информации и обеспечивающих ее обработку информационных технологий и
технических средств;
информационно-телекоммуникационная сеть - технологическая система,
предназначенная для передачи по линиям связи информации, доступ к которой
осуществляется с использованием средств вычислительной техники.
В документах Гостехкомиссии дано определение автоматизированной
системы обработки информации (АС):

14
автоматизированная система обработки информации (АС) –
совокупность следующих взаимодействующих компонентов:
• технических средств обработки и передачи данных (средств
вычислительной техники (ВТ) и связи)
• методов и алгоритмов обработки в виде соответствующего
программного обеспечения
• информации (массивов, баз данных) на различных носителях
• персонала и пользователей системы, объединённых по определённому
признаку (организационно-структурному, тематическому,
технологическому) для выполнения автоматизированной обработки
информации с целью удовлетворения информационных потребностей
Таким образом, телекоммуникационные системы можно считать в
большинстве случаев составной частью АС, и методология построения
защищённых АС во многом совпадает с построением защищённых ТКС.

Установленные термины обязательны для применения во всех видах


документации. Для каждого понятия установлен один термин. Применение
терминов - синонимов термина не допускается.

1.6. Основные принципы построения систем защиты


Для защиты информации в АС и СВТ на основании руководящих
документов Гостехкомиссии [7] могут быть сформулированы следующие
принципы:
• Защита СВТ и АС основывается на положениях и требованиях
существующих законов, стандартов и нормативно-методических
документов.
• Защита СВТ обеспечивается комплексом программно-технических
средств.
• Защита АС обеспечивается комплексом программно-технических
средств и поддерживающих их организационных мер.
• Защита АС должна обеспечиваться на всех технологических этапах
обработки информации и во всех режимах функционирования, в том
числе при проведении ремонтных и регламентных работ.
• Программно-технические средства защиты не должны существенно
ухудшать основные функциональные характеристики АС
(надежность, быстродействие, возможность изменения конфигурации
АС).

15
• Неотъемлемой частью работ по защите является оценка
эффективности средств защиты, осуществляемая по методике,
учитывающей всю совокупность технических характеристик оце-
ниваемого объекта, включая технические решения и практическую
реализацию средств защиты.
• Защита АС должна предусматривать контроль эффективности средств
защиты от НСД, который либо может быть периодическим либо
инициироваться по мере необходимости пользователем АС или
контролирующими органами.

Рассмотренные подходы могут быть реализованы при обеспечении


следующих основных положений:
• законности и обоснованности защиты;
• системности;
• комплексности;
• непрерывности защиты;
• разумной достаточности;
• гибкости управления и применения;
• открытости алгоритмов и механизмов защиты;
• простоты применения защитных мер и средств.

Законность и обоснованность защиты.


Принцип законности и обоснованности предусматривает, что защищаемая
информация, по своему правовому статусу относится к информации с
ограниченным доступом в соответствии с законодательством РФ, и не относится к
информации, доступ к которой нельзя ограничивать в соответствии с
законодательством.

Системность
Системный подход к защите компьютерных систем предполагает
необходимость учета всех взаимосвязанных, взаимодействующих и
изменяющихся во времени элементов, условий и факторов:
• при всех видах информационной деятельности и информационного
проявления;
• во всех структурных элементах;
• при всех режимах функционирования;
16
• на всех этапах жизненного цикла;
• с учетом взаимодействия объекта защиты с внешней средой.
При обеспечении информационной безопасности АС необходимо учитывать
все слабые, наиболее уязвимые места системы обработки информации, а также
характер, возможные объекты и направления атак на систему со стороны
нарушителей (особенно высококвалифицированных злоумышленников), пути
проникновения в распределенные системы и несанкционированного доступа
(НСД) к информации. Система защиты должна строиться не только с учетом всех
известных каналов проникновения, но и с учетом возможности появления
принципиально новых путей реализации угроз безопасности.

Комплексность
В распоряжении специалистов по компьютерной безопасности имеется
широкий спектр мер, методов и средств защиты компьютерных систем. В
частности, современные средства вычислительной техники, операционные
системы, инструментальные и прикладные программные средства обладают теми
или иными встроенными элементами защиты. Комплексное их использование
предполагает согласование разнородных средств при построении целостной
системы защиты, перекрывающей все существенные каналы реализации угроз и
не содержащей слабых мест на стыках отдельных ее компонентов.

Непрерывность защиты
Защита информации - это не разовое мероприятие и даже не конкретная
совокупность уже проведенных мероприятий и установленных средств защиты, а
непрерывный целенаправленный процесс, предполагающий принятие
соответствующих мер на всех этапах жизненного цикла АС (начиная с самых
ранних стадий проектирования, а не только на этапе ее эксплуатации). Разработка
системы защиты должна вестись параллельно с разработкой самой защищаемой
системы. Большинству физических и технических средств защиты для
эффективного выполнения своих функций необходима постоянная
организационная (административная) поддержка (своевременная смена и
обеспечение правильного хранения и применения имен. паролей, ключей
шифрования, переопределение полномочий и т. п.). Перерывы в работе средств
защиты могут быть использованы злоумышленниками для анализа применяемых
методов и средств защиты, внедрения специальных программных и аппаратных
"закладок" и других средств преодоления системы защиты после восстановления
ее функционирования.

Разумная достаточность
17
Создать абсолютно непреодолимую систему защиты принципиально
невозможно: при достаточных времени и средствах можно преодолеть любую
защиту. Например, средства криптографической защиты в большинстве случаев
не гарантируют абсолютную стойкость, а обеспечивают конфиденциальность
информации при использовании для дешифрования современных вычислительных
средств в течение приемлемого для защищающейся стороны времени. Поэтому
имеет смысл вести речь только о некотором приемлемом уровне безопасности.
Высокоэффективная система защиты стоит дорого, использует при работе
существенную часть мощности и ресурсов компьютерной системы и может
создавать ощутимые дополнительные неудобства пользователям. Важно
правильно выбрать тот достаточный уровень зашиты, при котором затраты, риск и
размер возможного ущерба были бы приемлемыми (задача анализа риска).

Гибкость системы защиты


Часто приходится создавать систему защиты в условиях большой
неопределенности. Поэтому принятые меры и установленные средства защиты,
особенно в начальный период их эксплуатации, могут обеспечивать как
чрезмерный, так и недостаточный уровень защиты. Естественно, что для
обеспечения возможности варьирования уровнем защищенности средства защиты
должны обладать определенной гибкостью. Особенно важно это свойство в тех
случаях, когда средства защиты необходимо устанавливать на работающую
систему, не нарушая процесс ее нормального функционирования. Кроме того,
внешние условия и требования с течением времени меняются. В таких ситуациях
свойство гибкости спасает владельцев АС от необходимости принятия
кардинальных мер по полной замене средств защиты на новые.

Открытость алгоритмов и механизмов защиты


Суть принципа открытости алгоритмов и механизмов защиты состоит в
том, что защита не должна обеспечиваться только за счет секретности
структурной организации и алгоритмов функционирования ее подсистем. Знание
алгоритмов работы системы защиты не должно давать возможности ее преодо-
ления (даже автору). Однако это вовсе не означает, что информация о конкретной
системе защиты должна быть общедоступна - необходимо обеспечивать защиту от
угрозы раскрытия параметров системы.

Простота применения средств защиты


Механизмы защиты должны быть интуитивно понятны и просты в
использовании. Применение средств защиты не должно быть связано со знанием
специальных языков или с выполнением действий, требующих значительных до-
18
полнительных трудозатрат при обычной работе законных пользователей, а также
не должно требовать от пользователя выполнения рутинных малопонятных ему
операций (ввод нескольких паролей и имен и т.д.).

Заключение
• Знание требований дисциплины, ее структуры, видов занятий,
разделов и тем поможет лучше ориентироваться в вопросах
подготовки по специальности.
• Знание основ теории защиты информации будет способствовать
компетентному решению практических вопросов защиты
информации, явится основой для профессиональной деятельности
специалиста по информационной безопасности
• Проблема защиты информации формулировалась по-разному в разные
исторические эпохи.
• Проблема защиты информации в АС и ТКС была сформулирована в
середине 70-х годов двадцатого века и с тех пор претерпела
существенные изменения, связанные с уровнем развития систем.
• Перспективным является путь комплексного обеспечения
информационной безопасности, сочетающий формальный и
неформальный подход к решению проблемы.
• Основные понятия и принципы в области защиты информации
являются важным элементом при изучении дисциплины "Основы
информационной безопасности" Однозначное определение базовых
понятий необходимо в интересах как производителей, так и
потребителей информационных систем, а также для полного и
непротиворечивого описания процесса защиты информации.

19

Оценить