Информационная безопасность. Курс лекций
Шрифт:
Введение
Эффективность процесса управления любой сферой деятельности зависит от оперативности принимаемого решения и его соответствия сложившейся обстановке. Автоматизирование процесса управления является наиболее перспективным направлением повышения качества принимаемых решений, так как:
• разрешается противоречие между необходимостью оперативной и правильной реакции на различные ситуации функционирования управляемого объекта и еще существующими неавтоматизированными способами обработки и подготовки решения;
• частично устраняется субъективизм, вносимый принимающими решение должностными лицами;
• интенсивное развитие информационных технологий предоставляет широкие возможности по совершенствованию процессов управления как на государственном, так и всех других уровнях.
Результатом развития информационных технологий стало повсеместное использование вычислительной техники и ИВС для решения широкого круга задач обработки и передачи информации.
С развитием информационных технологий увеличивается и опасность несанкционированного вмешательства в работу как государственных, так и коммерческих информационных систем, которая в условиях современной российской действительности усугубляется целым рядом дополнительных негативных факторов. Основными факторами, осложняющими предотвращение и нейтрализацию угроз информационной безопасности являются:
1) широкое применение зарубежных средств вычислительной и коммуникационной техники, вызванное объективной невозможностью отечественной промышленности удовлетворить спрос на современное компьютерное и связное оборудование;
2) бесконтрольное и нескоординированное создание и развитие государственными и коммерческими структурами выделенных и корпоративных телекоммуникационных систем, влекущее не только невозможность создания единого информационного пространства из-за разнотипности используемого оборудования, но и невозможность обеспечения надежной защиты информации из-за распыления необходимых для этого сил и средств и их неподконтрольности;
3) инвестиционная политика в области телекоммуникаций проводится без тщательного анализа ее последствий в части обеспечения информационной безопасности и надежности функционирования сетей связи;
4) незаконное распространение на российском рынке несертифицированных отечественных и импортных программно-аппаратных средств защиты информации;
5) недостаточная отработка вопросов сопряжения компьютерных сетей органов государственной власти, учреждений и организаций Российской Федерации с международными информационными сетями.
Дополнительно к вышеперечисленным факторам необходимо добавить и факторы, обусловленные общим состоянием научно-технического прогресса в области вычислительной техники, такие как:
• увеличение мощности ЭВМ и упрощение работы с ними, что приводит к понижению квалификации пользователя;
• упрощение техники программирования и широкая степень доступности средств создания программного обеспечения (ПО), что немаловажно для создания программных средств, могущих оказывать деструктивное воздействие на автоматизированные системы обработки информации и обрабатываемую ими информацию;
• широкая доступность различного (в том числе и «пиратского») как отечественного, так и импортного программного обеспечения, которое потенциально может нести в себе разнообразные деструктивные функции;
• широкое развитие локальных и глобальных ВС, способствующее быстрому распространению РПС.
В связи с перечисленными факторами, вопросы информационной безопасности и защиты информации в автоматизированных системах обработки информации (АСОИ) в настоящее время становятся все более актуальными.
Однако, безопасность (в подавляющем большинстве случаев) является качественной характеристикой системы: ее трудно измерить в каких-либо единицах; у различных групп специалистов, занимающихся проблемами безопасности может быть свой взгляд на безопасность и средства ее достижения. Для согласования всех точек зрения на проблему создания защищенных систем разрабатываются стандарты информационной безопасности. Это документы, регламентирующие основные понятия и концепции информационной безопасности на государственном или межгосударственном уровне, определяющие понятие "защищенная система" посредством стандартизации требований и критериев безопасности, образующих шкалу оценки степени защищенности ВС.
Вопрос 1. Основные положения по обеспечению ИБ
Руководствуясь целями обеспечения защиты информации в автоматизированных системах Гостехкомиссия (ГТК) при Президенте Российской федерации (РФ) опубликовала ряд руководящих документов, посвященных вопросам защиты от несанкционированного доступа к информации:
1. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. М.: 1997
2. Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанцционированного доступа к информации. М.: 1997
3. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М.: 1997
4. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М.: 1997.
5. Гостехкомиссия России. Руководящий документ. Межсетевые экраны. Защита от несанкционированного доступа к информации. М.: 1997.
6. Гостехкомиссия России. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. М.: 1997.
Следует отметить, что идейной основой этих документов является «Концепция защиты средств вычислительной техники от несанкционированного доступа к информации (НСД)», содержащая систему взглядов ГТК на проблему информационной безопасности и основные принципы защиты компьютерных систем, как основы для построения автоматизированных систем обработки информации (АСОИ) и автоматизированных систем управления (АСУ).
Концепция определяет следующие основные положения:
ОПРЕДЕЛЕНИЕ НСД
ОСНОВНЫЕ ПРИНЦИПЫ ЗАЩИТЫ
МОДЕЛЬ НАРУШИТЕЛЯ В АС
ОСНОВНЫЕ СПОСОБЫ НСД
ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ОТ НСД
ОСНОВНЫЕ ХАРАКТЕРИСТИКИ ТЕХНИЧЕСКИХ СРЕДСТВ ЗАЩИТЫ ОТ НСД
КЛАССИФИКАЦИЯ АС
ОРГАНИЗАЦИЯ РАБОТ ПО ЗАЩИТЕ
Концепция предназначена для заказчиков, разработчиков и пользователей СВТ и АС, которые используются для обработки, хранения и передачи требующей защиты информации. Она является базой нормативно-технических и методических документов, направленных на решение следующих задач: